《Linux服務與安全管理》教學課件9(FTP服務器配置與安全管理)

1、第九章第九章 ftp服務器服務器配置與安全管理配置與安全管理FTP是是Internet中一種應用非常廣泛的服務，用戶通過它從服務器獲取需中一種應用非常廣泛的服務，用戶通過它從服務器獲取需要的文檔、資料、音頻、視頻等。要的文檔、資料、音頻、視頻等。Internet出現(xiàn)以來，它就一直是用戶使出現(xiàn)以來，它就一直是用戶使用頻率最高的應用服務之一，其重要性僅次于用頻率最高的應用服務之一，其重要性僅次于HTTP和和SMTP。在。在Linux系系統(tǒng)中，構建安全的統(tǒng)中，構建安全的FTP服務是一項非常艱巨而且復雜的工作，許多與服務服務是一項非常艱巨而且復雜的工作，許多與服務器相關的配置文件以及用戶管理都需要著重

2、考慮。因此，本章將對器相關的配置文件以及用戶管理都需要著重考慮。因此，本章將對vsftpd這種這種Linux下最常用的下最常用的FTP服務器的安全配置和使用進行詳細介紹。服務器的安全配置和使用進行詳細介紹。第第9章章 FTP服務器配置與安全管理服務器配置與安全管理9.1 FTP服務概述服務概述9.1.1 FTP協(xié)議簡介協(xié)議簡介互聯(lián)網文件傳輸協(xié)議（FTP）標準是在RFC959中說明的。該協(xié)議定義了一個在遠程計算機系統(tǒng)和本地計算機系統(tǒng)之間傳輸文件的標準。FTP是TCP/IP的一種具體應用，其工作在OSI模型的第七層，TCP模型的第四層上，即應用層。使用TCP傳輸。FTP主要有如下作用：v從客戶向服

3、務器發(fā)送一個文件。v從服務器向客戶發(fā)送一個文件。v從服務器向客戶發(fā)送文件或目錄列表。9.1 FTP服務概述服務概述9.1.2 FTP的連接模式的連接模式FTP協(xié)議需要通過TCP協(xié)議建立兩個聯(lián)機通道才能夠順利地傳輸數(shù)據(jù)，一個是“傳輸控制信息”通道，TCP端口號為21；另一個是“傳輸數(shù)據(jù)信息”通道，TCP端口號為20。 FTP的連接模式有兩種：主動模式和被動模式。這里都是相對于服務器而言的。（1）主動模式：即Port模式，由服務器主動連接客戶機建立數(shù)據(jù)鏈路。如圖9-1所示。 （2）被動模式：即PASV模式，F(xiàn)TP服務器等待客戶機建立數(shù)據(jù)鏈路。如圖9-2所示。圖圖9-1 主動模式的連接過程主動模式的

4、連接過程9.1 FTP服務概述服務概述圖圖9-2 被動模式的連接過程被動模式的連接過程9.1 FTP服務概述服務概述9.1.3 FTP的常用命令的常用命令在Linux和Windows系統(tǒng)中都默認提供ftp命令，它是最基本的FTP客戶端軟件。在客戶端使用命令“ftp 遠端主機IP地址 PORT”即可連接到一臺FTP服務器，進入ftp命令的交互環(huán)境。表表9-1 FTP常用命令說明（常用命令說明（1）9.1 FTP服務概述服務概述表表9-1 FTP常用命令說明（常用命令說明（2）9.1 FTP服務概述服務概述9.1.4 FTP服務器軟件服務器軟件流行的FTP服務器軟件有很多種，在Linux環(huán)境下常用

5、的有3種。（1）wu-ftpd。（2）proftpd。（3）vsftpd。綜合性能最為優(yōu)秀。非常流行。其優(yōu)勢體現(xiàn)在以下幾個方面。v安全性高v穩(wěn)定性好v速度更快v匿名FTP更加簡單的配置v支持基于IP地址的虛擬主機v支持虛擬用戶，而且每個虛擬用戶可具有獨立的配置v支持PAM認證方式v支持帶寬限制v支持tcp_wrappers9.1.5 vsftpd支持的用戶類型支持的用戶類型（1）匿名用戶。（2）本地用戶。（3）虛擬用戶。9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.1 安裝安裝1. 準備工作準備工作v使用以下命令來檢查系統(tǒng)中是否安裝過該軟件包：# r

6、pm qa |grep vsftpd2. 安裝安裝v首先建立掛載點，掛載光驅，然后安裝軟件包：# cd /mnt/cdrom/Packages# rpm ivh vsftpd*3. 了解軟件包安裝的文件了解軟件包安裝的文件v用命令“rpm -ql vsftpd”可以查詢到vsftpd軟件包所生成的文件。9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.1 安裝安裝4. Vsftpd服務器的默認配置服務器的默認配置vsftpd的主配置文件“/etc/vsftpd/vsftpd.conf”默認包含以下的配置語句：9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實

7、現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.1 安裝安裝4. Vsftpd服務器的默認配置服務器的默認配置9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.1 安裝安裝4. Vsftpd服務器的默認配置服務器的默認配置9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.2 配置匿名用戶訪問配置匿名用戶訪問FTP服務器服務器v任務及分析任務及分析（1）任務情境公司技術部準備選擇一臺主機（48）搭建一臺功能簡單的FTP服務器，允許所有員工對服務器上的特定目錄“/var/ftp/mypub”上傳、下

8、載和重命名文件，并且允許創(chuàng)建用戶自己的目錄。對于上傳的文件，其所有者自動設置為ftpadmin。當用戶切換到“/var/ftp/pub”目錄后，將顯示一段提示信息。（2）任務分析允許所有員工上傳和下載文件，需要設置成允許匿名用戶登錄。此案例是FTP服務器的最基本配置。配置服務器的流程如下：v配置本地目錄的權限和所有者。v配置FTP服務器，開放匿名用戶的各項寫權限。v設置/var/ftp/pub目錄的提示信息。1.從網管工作站匿名登錄FTP服務器，通過上傳、下載數(shù)據(jù)和切換目錄進行測試。9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.2 配置匿名用戶訪問配

9、置匿名用戶訪問FTP服務器服務器2配置方案和過程配置方案和過程（1）創(chuàng)建本地用戶ftpadmin并設置密碼。（2）建立匿名上傳目錄mypub并設置權限。（3）編輯主配置文件“/etc/vsftpd/vsftpd.conf”。在文件中作如下設置：（4）修改SELinux。（5）設置/var/ftp/pub目錄的提示信息。9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.2 配置匿名用戶訪問配置匿名用戶訪問FTP服務器服務器3應用測試應用測試（1）啟動vsftpd服務并查看器運行狀態(tài)：（2）查看vsftpd服務占用端口情況： （3）設定開機自動加載vsftp

10、d服務： （4）從網管工作站匿名登錄FTP服務器。9.2 案例導學案例導學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.3 配置本地用戶訪問配置本地用戶訪問FTP服務器服務器1任務及分析任務及分析（1）任務情境公司內部現(xiàn)有一臺FTP和Web服務器（IP：48），F(xiàn)TP服務器主要用于維護公司的網站，包括上傳文件、創(chuàng)建目錄、更新網頁等。公司現(xiàn)有兩個部門負責維護任務，它們分別使用user1和user2賬號進行管理（這兩個賬戶但不能登錄本地系統(tǒng)），將它們登錄FTP的根目錄限制為“/var/www/html”，不能進入任何其他目錄。（2）任務分析將FTP和We

11、b服務器做在一起是企業(yè)經常采用的方法，便于實現(xiàn)對網站的維護。為了增強安全性，首先需要僅允許本地用戶訪問，并禁止匿名登錄。其次使用chroot功能將user1和user2鎖定在“/var/www/html”目錄下。如需刪除文件則還應配置本地權限。配置服務器的流程如下：v在Linux系統(tǒng)中添加兩個用戶user1和user2。v在FTP服務器上設置目錄“/var/www/html”的權限，允許user1和user讀和寫。v修改主配置文件，禁用匿名用戶的相關配置，增加本地用戶登錄的相關參數(shù)，設置本地用戶具有寫權限，以達到預期的目的。v對用戶user1和user2設置chroot。9.2 案例導學案例導

12、學實現(xiàn)匿名和本地訪問的實現(xiàn)匿名和本地訪問的FTP服務器服務器9.2.3 配置本地用戶訪問配置本地用戶訪問FTP服務器服務器2配置方案和過程配置方案和過程（1）建立維護網站內容的用戶賬號并禁止本地登錄。（2）修改本地權限。（3）編輯主配置文件，設置用戶權限。（4）設置本地用戶的chroot。（5）開啟禁用SELinux的FTP傳輸審核功能。3應用測試應用測試（1）啟動vsftpd服務并查看服務器運行狀態(tài)。（2）查看vsftpd服務占用端口情況。（3）設定開機自動加載vsftpd服務。（4）驗證僅允許本地用戶登錄。（5）驗證用戶user1和user2的chroot功能。（6）驗證用戶user1和u

13、ser2的權限分配情況。9.3 課堂練習課堂練習配置配置FTP虛擬主機虛擬主機vsftp支持虛擬主機的功能，在一臺機器上向外提供多個FTP站點。9.3.1 任務及分析任務及分析1任務情境任務情境在48這臺Linux主機上已經建立了一個FTP站點，為了充分利用主機和帶寬資源，希望在此Linux主機上再建立一個允許匿名登錄和下載的FTP站點。2任務分析任務分析vsftpd不支持基于名字的虛擬主機，因此本例中采用基于IP地址的虛擬主機。顯然，基于IP地址的虛擬主機是以IP地址為單位的，每個虛擬主機對應監(jiān)聽一個IP地址，因此，需要在這臺Linux主機上添加新的IP地址。9.3

14、課堂練習課堂練習配置配置FTP虛擬主機虛擬主機9.3.2 配置方案和過程配置方案和過程配置基于IP地址的FTP虛擬主機的步驟如下。1為一臺Linux主機配置多個IP地址。2建立FTP虛擬主機的根目錄。3創(chuàng)建FTP虛擬主機的匿名用戶賬號。4建立FTP虛擬主機的配置文件。5為原獨立運行的FTP服務器指定監(jiān)聽的IP地址。9.3.3 應用測試應用測試1啟動和測試FTP虛擬主機。2查看vsftpd服務器進程。3登錄vsftpd虛擬主機進行測試。（具體過程略）9.4 拓展練習拓展練習vsftpd服務的安全管服務的安全管理理作為一種廣泛使用和認可的網絡服務，F(xiàn)TP主要面臨如下幾種安全威脅：（1）數(shù)據(jù)泄密。（

15、2）匿名訪問所引起的安全脆弱性。（3）拒絕服務攻擊。9.4.1 設置虛擬用戶設置虛擬用戶vsftpd采用PAM方式驗證虛擬用戶。由于虛擬用戶的用戶名/口令被單獨保存，因此在驗證時，vsftpd需要用一個系統(tǒng)用戶的身份來讀取數(shù)據(jù)庫文件或數(shù)據(jù)庫服務器以完成驗證，guest用戶就是用于映射虛擬用戶的。設置vsftpd虛擬用戶賬號的過程如下（具體過程略）：1建立虛擬用戶數(shù)據(jù)庫文件建立虛擬用戶數(shù)據(jù)庫文件。2建立虛擬用戶使用的認證文件建立虛擬用戶使用的認證文件。3建立虛擬用戶使用的真實賬號及其登錄的目錄，并設置相應的權限建立虛擬用戶使用的真實賬號及其登錄的目錄，并設置相應的權限。4編輯編輯vsftpd的主

16、配置文件的主配置文件vsftpd.conf。5測試測試。9.4.2 主機訪問控制主機訪問控制可以利用tcp_wrappers實現(xiàn)主機訪問控制。tcp_wrappers的配置文件主要有兩個：/etc/hosts.allow和/etc/hosts.deny。1例如，在例如，在Linux主機主機48上配置上配置vsftpd服務，允許除服務，允許除45以外的來自以外的來自/24網段的所有主機訪問此網段的所有主機訪問此FTP服務器；服務器；另外允許來自另外允許來自域的主機訪問此域的主機訪問此FTP服務器。服務器。解決方案：利用tcp

17、_wrappers提供的主機訪問控制功能來實現(xiàn)。（1）編輯vsftpd的主配置文件以支持tcp_wrappers。其中默認含有如下指令：tcp_wrappers=YES（2）編輯/etc/hosts.allow文件，增加以下內容：vsftpd:45:DENYvsftpd:192.168.11., （3）測試。在主機45上進行測試： # ftp 48Connected to 48.421 Service not available.ftp9.4 拓展練習拓展練習vsftpd服務的安全管服務的安全管理理

18、9.4.2 主機訪問控制主機訪問控制除了上述基本的主機訪問控制功能外，tcp_wrappers還為vsftpd提供了額外的配置文件。2例如：在例如：在Linux主機主機48上配置上配置vsftpd服務，針對來自服務，針對來自/24網段的匿名連接，限制其下載速率為網段的匿名連接，限制其下載速率為5KB/s，而對來自其他網段，而對來自其他網段的匿名連接，則不做速率限制。的匿名連接，則不做速率限制。解決方案：利用tcp_wrappers提供的特定功能來實現(xiàn)。（1）編輯vsftpd的主配置文件，增加如下指令： anon_max_rate=0 / 設置匿名

19、用戶的最高傳輸速率，“0”表示不限制（2）建立額外的配置文件“/etc/vsftpd/vsftpd_other.conf”，內容如下：anon_max_rate=5000/在額外的配置文件vsftpd_other.conf中僅設置了anon_max_rate指令，其目的就是為了與主配置文件中的相同指令產生“矛盾”。通過后面的測試可以進一步說明哪條指令最終有效。9.4 拓展練習拓展練習vsftpd服務的安全管服務的安全管理理9.4.2 主機訪問控制主機訪問控制（3）編輯hosts.allow文件，增加相關指令。 為了減少干擾，首先去掉上例中關于vsftpd的設置，然后增加如下指令：vsftpd:

20、 192.168.11. :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_other.conf /這里使用了一個特殊的環(huán)境變量“VSFTPD_LOAD_CONF”為vsftpd提供額外的配置文件。其作用是：當來自網段的主機訪問vsftpd服務器時，加載額外的配置文件“/etc/vsftpd/vsftpd_other.conf”。也就是說，當額外配置文件與主配置文件中的相關指令產生矛盾時，以額外配置文件的設置為準。（4）測試。從客戶機（45）以匿名方式登錄FTP服務器（48），并下載文件“screen.png”到本地“/tmp”目錄下。具體過程略。9.4 拓展練習拓展練習vsftpd服務的安全管服務的安全管理理9.4.3 用戶訪問控制用戶訪問控制vsftpd的用戶訪問控制分為兩類：v第一類是傳統(tǒng)用戶列表文件“/etc/vsftpd/ftpusers”，默認存放黑名單，也就是說其中列出的用戶都沒有登錄此FTP服務器的權限。v第二類是改進的用戶列表文件“/etc/vs