第4章FTP服務(wù)器的配置與應(yīng)用

1、江蘇理工學(xué)院 計(jì)算機(jī)工程學(xué)院史培中第4章 FTP服務(wù)器的配置與應(yīng)用4.1 FTP服務(wù)概述4.2 vsftpd服務(wù)器的安裝與配置4.3 PureFTPD服務(wù)器的安裝與配置4.4 FTP客戶端的配置與訪問(wèn)4.5 文件傳輸命令產(chǎn)生背景：實(shí)現(xiàn)信息共享是使用因特網(wǎng)的首要目的，而文件傳輸是信息共享非常重要的內(nèi)容之一。以HTTP協(xié)議為基礎(chǔ)的Web服務(wù)功能雖然強(qiáng)大，但對(duì)于文件傳輸來(lái)說(shuō)卻略顯不足，需要一種專門用作文件傳輸?shù)姆?wù)。FTP服務(wù)：文件傳輸協(xié)議（File Transfer Protocol），用于Internet上的控制文件的雙向傳輸，它同時(shí)也是一個(gè)應(yīng)用程序。優(yōu)點(diǎn)：用戶通過(guò)它可以把自己的PC與所有運(yùn)行F

2、TP協(xié)議的服務(wù)器相連，訪問(wèn)服務(wù)器上的大量程序和信息，具有更強(qiáng)的文件傳輸可靠性和更高的傳輸效率。4.1 FTP服務(wù)概述4.1.1 FTP工作原理FTP協(xié)議大大簡(jiǎn)化了文件傳輸?shù)膹?fù)雜性，它能夠使文件通過(guò)網(wǎng)絡(luò)從一臺(tái)主機(jī)傳送到另外一臺(tái)計(jì)算機(jī)上，卻不受計(jì)算機(jī)和操作系統(tǒng)類型的限制。4.1 FTP服務(wù)概述4.1.2 匿名用戶訪問(wèn)方式FTP服務(wù)不同于WWW，它首先要求登錄到服務(wù)器上，然后再進(jìn)行文件的傳輸，這對(duì)于很多公開提供軟件下載的服務(wù)器來(lái)說(shuō)十分不方便，于是匿名用戶訪問(wèn)就誕生了。匿名用戶登錄通過(guò)使用一個(gè)公用的用戶名Anonymous，密碼不限的管理策略，讓任何用戶都可以很方便地從這些服務(wù)器上下載軟件。 4.1

3、FTP服務(wù)概述4.1.3 FTP服務(wù)的傳輸模式主動(dòng)傳輸模式FTP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（1025）向服務(wù)器的21端口發(fā)起連接，然后開放N+1號(hào)端口 （1026）進(jìn)行監(jiān)聽，并向服務(wù)器發(fā)出PORT1026命令。服務(wù)器接收到命令后，會(huì)用本地的FTP數(shù)據(jù)端口（20）來(lái)連接客戶端指定的端口1026，進(jìn)行數(shù)據(jù)傳輸。4.1 FTP服務(wù)概述4.1.3 FTP服務(wù)的傳輸模式被動(dòng)傳輸模式FTP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（1025）向服務(wù)器的21號(hào)端口發(fā)起連接，同時(shí)會(huì)開啟N+1號(hào)端口（1026），然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動(dòng)模式。服務(wù)器收到命令后，會(huì)開放一個(gè)大于1

4、024的端口P（1521）進(jìn)行監(jiān)聽，然后用PORT P命令通知客戶端。4.1 FTP服務(wù)概述4.1.4 流行的FTP服務(wù)器軟件簡(jiǎn)介Wu-ftpd發(fā)布較早，程序組織比較亂，安全性不太好。Proftpd容易配置，下載速度比較快，緩沖溢出的錯(cuò)誤較少。VsftpdRHEL5內(nèi)置的FTP服務(wù)器軟件，使用方法簡(jiǎn)單，安全性高。PureFTPD它是Linux下一款很著名的FTP服務(wù)器軟件，在SuSE、Debian中內(nèi)置，不過(guò)在RHEL5中卻沒(méi)有內(nèi)置。4.1 FTP服務(wù)概述RHEL5內(nèi)置有Red Hat Content Acceletatot和vsftpd兩款FTP服務(wù)器軟件。Red Hat Content A

5、cceletatot：是一款基于內(nèi)核的Web服務(wù)器，不過(guò)它提供了Web和FTP兩種服務(wù)。Very Secure FTP Daemon：以安全作為第一要素的，穩(wěn)定性、效率方面表現(xiàn)也不錯(cuò)。4.2 vsftpd服務(wù)器的安裝與配置4.2.1 安裝VSFTPD服務(wù)vsftpd服務(wù)器的安裝很簡(jiǎn)單，只要安裝一個(gè)RPM軟件包即可（1）查詢是否安裝了vsftpd服務(wù)（2）安裝vsftpd4.2 vsftpd服務(wù)器的安裝與配置4.2.2 VSFTPD服務(wù)的啟動(dòng)與關(guān)閉啟動(dòng)vsFTPd服務(wù) #/etc/rc.d/init.d/vsftpd startservice vsftpd start停止vsFTPd服務(wù) #/e

6、tc/rc.d/init.d/vsftpd stopservice vsftpd stop重新啟動(dòng)vsFTPd服務(wù) #/etc/rc.d/init.d/vsftpd restartservice vsftpd restart自動(dòng)運(yùn)行vsFTPd服務(wù)執(zhí)行“ntsysv”命令啟動(dòng)服務(wù)配置程序，在其前面加上“*”號(hào)。4.2 vsftpd服務(wù)器的安裝與配置4.2.3 VSFTPD的配置文件/etc/pam.d/vsftpd加強(qiáng)vsftpd服務(wù)器的用戶認(rèn)證；/etc/vsftpd/vsftpd.confvsftpd的主配置文件/etc/vsftpd/ftpusers此文件內(nèi)的用戶不能訪問(wèn)vsftpd服務(wù)

7、。/etc/vsftpd/user_list文件內(nèi)的用戶可能被拒絕，也可能被允許，取決于主配置文件中參數(shù)值。/var/ftp提供服務(wù)的文件集散地，它包括一個(gè)pub子目錄。默認(rèn)情況下，所有目錄都為直讀，不過(guò)只有root用戶有寫權(quán)限。4.2 vsftpd服務(wù)器的安裝與配置4.2.4 監(jiān)聽地址與控制端口用文本編輯器打開 /ect/vsftpd/vsftpd.conf文件#vi /etc/vsftpd/vsftpd.conf在其中添加如下兩行Listen_address = Listen_port = 2121這樣，客戶端訪問(wèn)就要通過(guò)2121端口，而不是默認(rèn)的21端口進(jìn)行了。4.

8、2 vsftpd服務(wù)器的安裝與配置4.2.5 FTP模式與數(shù)據(jù)端口ftp_data_port /定義FTP傳輸數(shù)據(jù)的端口；pasv_address /定義vsftpd服務(wù)器使用PASV模式時(shí)使用IP地址；pasv_enable /默認(rèn)值為YES，也就是允許使用PASV模式；pasv_min_port /指定PASV模式可以使用的最?。ù螅┒丝?，默認(rèn)為0；pasv_promiscuous /設(shè)置為YES，可以允許使用FxP功能；port_enable /允許使用主動(dòng)傳輸模式，默認(rèn)值為YES。4.2 vsftpd服務(wù)器的安裝與配置4.2.6 ASCII模式ascii_download_enable

9、設(shè)置是否可用ASCII模式下載。默認(rèn)值為”NO”;ascii_upload_enable設(shè)置是否可用ASCII模式上傳。默認(rèn)值為“NO”；4.2 vsftpd服務(wù)器的安裝與配置4.2.7 超時(shí)選項(xiàng)data_connection_timeout定義數(shù)據(jù)在傳輸過(guò)程中被阻塞的最長(zhǎng)時(shí)間（以秒為單位，默認(rèn)300秒）;idle_session_timeout定義客戶端閑置的最長(zhǎng)時(shí)間（以秒為單位，默認(rèn)300秒）;4.2 vsftpd服務(wù)器的安裝與配置4.2.8 負(fù)載控制anon_max_rate=5000匿名用戶的最大傳輸速率（單位是 bps）;local_max_rate=20000本地用戶的最大傳輸速率

10、（單位是 bps）;4.2 vsftpd服務(wù)器的安裝與配置4.2.9 匿名用戶anonymous_enable/表示是否啟用匿名用戶anon_mkdir_write_enable /匿名用戶是否可以創(chuàng)建新目錄anon_root/匿名登錄后，切換到指定目錄anon_upload_enable/匿名用戶向具備寫權(quán)限的目錄上傳文件anon_world_readable_only/代表匿名用戶具備下載權(quán)限ftp_username/指定匿名用戶與本地哪個(gè)帳號(hào)相對(duì)應(yīng)no_anon_password/匿名用戶是否需要輸入密碼secure_email_list_enable/匿名用戶只有采用特定的Email作

11、為密碼4.2 vsftpd服務(wù)器的安裝與配置4.2.10 本地用戶local_enable/是否允許本地用戶登錄chmod_enable/是否允許通過(guò)”SITE CHMOD”命令改權(quán)限chroot_local_user/是否只能訪問(wèn)到本地用戶的主目錄chroot_list_enable /是否可以例外的切換到本地用戶的主目錄以外local_root/指定本地用戶登錄后切換至的目錄local_umask/設(shè)置文件創(chuàng)建的權(quán)限掩碼4.2 vsftpd服務(wù)器的安裝與配置4.2.11 虛擬目錄guest_enable當(dāng)設(shè)置為YES時(shí)，所有非匿名用戶都被映射為一個(gè)特定的本地用戶。guest_usernam

12、e設(shè)置虛擬用戶映射到本地用戶，默認(rèn)值為“ftp”。4.2 vsftpd服務(wù)器的安裝與配置4.2.12 用戶登錄控制banner_file設(shè)置客戶端登錄之后，服務(wù)器顯示客戶端的信息，保存在該文件；cmds_allowed設(shè)置客戶端登錄后，客戶端可以執(zhí)行的命令集合；ftpd_banner設(shè)置客戶端登錄后，客戶端顯示的歡迎信息或者其他相關(guān)信息；userlist_enableuserlist_deny設(shè)置使用user_list文件來(lái)控制用戶的訪問(wèn)權(quán)限；4.2 vsftpd服務(wù)器的安裝與配置4.2.13 目錄訪問(wèn)控制dirlist_enabledirmessage_enableForce_dot_fil

13、esMessage_fileHide_ids4.2 vsftpd服務(wù)器的安裝與配置4.2.14 文件操作控制download_enable設(shè)置是否允許下載。默認(rèn)為“YES”，即允許下載；chown_uploads設(shè)置匿名用戶是否允許上傳文件，默認(rèn)值為“NO”；chown_username設(shè)置匿名用戶上傳的文件的擁有者。默認(rèn)值是“root”；write_enable設(shè)置為“YES”時(shí)，F(xiàn)TP客戶端登錄后允許使用刪除（DELE）、重命名（RNFR）和斷點(diǎn)續(xù)傳（STOR）命令。4.2 vsftpd服務(wù)器的安裝與配置4.2.15 新增文件權(quán)限dual_log_enablelog_ftp_protoco

14、lsyslog_enablexferlog_enablexferlog_std_format4.2 vsftpd服務(wù)器的安裝與配置4.2.16 日志設(shè)置Xferlog_std_format傳輸日志文件將以標(biāo)準(zhǔn)xferlog的格式書寫。此格式的日志文件默認(rèn)為/var/log/xferlog，也可以通過(guò)xferlog_file選項(xiàng)來(lái)設(shè)定。Xferlog_enable 如果啟用將會(huì)維護(hù)一個(gè)日志文件，用于詳細(xì)記錄上傳和下載。默認(rèn)情況下，這個(gè)日志文件是/var/log/vsftpd.log4.2 vsftpd服務(wù)器的安裝與配置4.2.17 允許匿名用戶上傳文件第1步rootlocalhost # vi

15、/etc/vsftpd/vsftpd.conf第2步write_enable=YES ；允許上傳；anon_upload_enable=YES；允許匿名用戶上傳；anon_mkdir_write_enable=YES；允許匿名用戶創(chuàng)建目錄和上傳；anon_other_write_enable=NO ；但不允許匿名用戶刪除和改名； 第3步rootlocalhost #chmod ftp.root /var/ftp/pub第4步rootlocalhost # service vsftpd restart4.2 vsftpd服務(wù)器的安裝與配置4.2.18 限制用戶目錄修改配置文件打開/etc/vsf

16、tpd/vsftpd.conf文件，添加以下行：chroot_local_user=YES重啟vsftpd服務(wù)器執(zhí)行/etc/init.d/vsftpd restart 重啟vsftpd服務(wù)器再以本地用戶登錄測(cè)試只能訪問(wèn)本地用戶的主目錄4.2 vsftpd服務(wù)器的安裝與配置4.2.19 配置高安全級(jí)別的匿名FTP服務(wù)器第第2 2步，基本安全配置步，基本安全配置anonymous_enable=YESanonymous_enable=YES ；啟用匿名訪問(wèn)；啟用匿名訪問(wèn)local_enable=NO local_enable=NO ；關(guān)閉本地用戶訪問(wèn)；關(guān)閉本地用戶訪問(wèn)write_enable=N

17、O write_enable=NO ；關(guān)閉本地用戶的寫權(quán)限；關(guān)閉本地用戶的寫權(quán)限anon_upload_enable=NO anon_upload_enable=NO ；關(guān)閉匿名用戶的上傳權(quán)限；關(guān)閉匿名用戶的上傳權(quán)限anon_mkdir_write_enable=NOanon_mkdir_write_enable=NO；關(guān)閉匿名用戶創(chuàng)建目錄和寫入文件的權(quán)限；關(guān)閉匿名用戶創(chuàng)建目錄和寫入文件的權(quán)限anon_other_write_enable=NO anon_other_write_enable=NO ；關(guān)閉匿名用戶刪除、改名的權(quán)限；關(guān)閉匿名用戶刪除、改名的權(quán)限第第3 3步，進(jìn)一步安全調(diào)整步，進(jìn)一

18、步安全調(diào)整anon_world_readable_only=YES anon_world_readable_only=YES ；匿名用戶對(duì)任何資源最多只有只讀權(quán)限；匿名用戶對(duì)任何資源最多只有只讀權(quán)限hide_ids=YES hide_ids=YES ；隱藏文件夾和目錄屬主，都以；隱藏文件夾和目錄屬主，都以FTPFTP代替代替pasv_min_port=50000 pasv_min_port=50000 第第4 4步，開啟監(jiān)控步，開啟監(jiān)控xferlog_enable=YES xferlog_enable=YES ；打開日志，日志文件為；打開日志，日志文件為/var/log/vsftpd.log/

19、var/log/vsftpd.logls_recurse_enable=NOls_recurse_enable=NO；禁用危險(xiǎn)的；禁用危險(xiǎn)的“l(fā)s ls R R”指令指令ascii_download_enable=NO ascii_download_enable=NO ；禁止；禁止ASCIIASCII模式下載模式下載第第5 5步，性能優(yōu)化步，性能優(yōu)化one_process_model=YESone_process_model=YES ；每個(gè)；每個(gè)IPIP單一進(jìn)程模式單一進(jìn)程模式idle_session_timeout=120 idle_session_timeout=120 ；刪除空閑了兩分鐘

20、后的用戶；刪除空閑了兩分鐘后的用戶data_connection_timeout=300 data_connection_timeout=300 ；刪除空閑了五分鐘后的下載；刪除空閑了五分鐘后的下載accept_timeout=60 accept_timeout=60 ；刪除掛起了一分鐘后的被動(dòng)連接；刪除掛起了一分鐘后的被動(dòng)連接connect_timeout=60 connect_timeout=60 ；刪除掛起了一分鐘后的活動(dòng)連接；刪除掛起了一分鐘后的活動(dòng)連接anon_max_rate=50000 anon_max_rate=50000 ；匿名用戶最大傳輸速率為；匿名用戶最大傳輸速率為50KB/s50KB/s4.2 vsftpd服務(wù)器的安裝與配置4.2.20 實(shí)戰(zhàn)虛擬用戶安裝必需的軟件創(chuàng)建用戶數(shù)據(jù)庫(kù)（1）創(chuàng)建一個(gè)臨時(shí)文件，比如 /etc/vsftpd/ftp_pam_db.users；（2）用db_load命令生成pam_userdb認(rèn)證所需要的賬號(hào)文件；（3）配置PA