《Linux 》課件 第13章FTP服務(wù)器

第13章FTP服務(wù)器Linux系統(tǒng)管理與服務(wù)器配置——基于CentOS7目錄13.1項目一：FTP服務(wù)器的安裝與啟動 13.1.1FTP服務(wù)器簡介 13.1.2FTP用戶分類 13.1.3FTP服務(wù)器的安裝 13.2項目二：遠程連接與訪問FTP 13.2.1設(shè)置SELinux和防火墻 13.2.2創(chuàng)建FTP賬號 13.2.3連接FTP服務(wù)器 13.3項目三：FTP服務(wù)器的配置 13.3.1vsftpd.conf配置文件介紹 13.3.2匿名用戶設(shè)置 13.3.3本地用戶設(shè)置 13.3.4服務(wù)相關(guān)設(shè)置 13.3.5主動與被動服務(wù)設(shè)置 13.4常見問題分析13.5本章小結(jié)

13.1項目一：FTP服務(wù)器的安裝與啟動管理員為了滿足公司項目組成員對文件共享的需求，計劃在服務(wù)器上配置FTP服務(wù)器，首先需要安裝FTP服務(wù)軟件包，然后使用匿名用戶進行測試，確認FTP軟件包安裝正常，該服務(wù)可用。序號知識點詳見章節(jié)1了解FTP服務(wù)器基本原理13.1.12FTP用戶分類13.1.23安裝FTP服務(wù)器13.1.34管理vsftpd服務(wù)13.1.35測試FTP服務(wù)器13.1.313.1.1FTP服務(wù)器簡介各種操作系統(tǒng)之間的文件交流問題，需要建立一個統(tǒng)一的文件傳輸協(xié)議，即FTP(FileTransferProtocol，F(xiàn)TP)。FTP是一個客戶機/服務(wù)器系統(tǒng)。FTP文件傳輸原理簡單說明，如下圖所示。13.1.2FTP用戶分類使用FTP的用戶需要經(jīng)過驗證后才能登錄，F(xiàn)TP服務(wù)器的用戶可分成3類。實體用戶。Linux系統(tǒng)中的用戶，即系統(tǒng)本機的用戶。Linux一般不會針對實體用戶進行限制，因此實體用戶可以針對整個文件系統(tǒng)進行工作。但通常不希望他們通過FTP方式遠程訪問系統(tǒng)。訪客用戶。只能采用FTP方式使用系統(tǒng)的用戶，不能直接使用Shell登錄系統(tǒng)，即虛擬用戶，訪問服務(wù)器時需要驗證。大多數(shù)FTP用戶是這類用戶。匿名用戶。對于公共性質(zhì)的服務(wù)器可以提供匿名用戶訪問，用戶名：anonymous。但在使用匿名用戶時，應(yīng)對其進行盡可能多的限制，權(quán)限較低，如：同時連接的用戶數(shù)量受限，訪問的文件數(shù)目受限，不能上傳文件，允許操作的指令較少，設(shè)置匿用戶同時登入的最大聯(lián)機數(shù)量等。13.1.3FTP服務(wù)器的安裝FTP服務(wù)器的安裝可分為裝載，安裝，啟動服務(wù)，設(shè)置自啟動狀態(tài)，測試幾個步驟。1.裝載#mount/dev/cdrom/media在掛載目錄下面的Packages目錄中可以找到vsftpd-3.0.2-10.el7.x86_64.rpm和ftp-0.17-66.el7.x86_64.rpm軟件包，前者是服務(wù)器，后者是客戶端。可以拷貝到其他目錄待安裝。2.安裝#rpm-ivhvsftpd-3.0.2-10.el7.x86_64.rpm#rpm-ivhftp-0.17-66.el7.x86_64.rpm也可以執(zhí)行以下命令直接安裝（第一步可省略）：#yum-yinstallvsftpd#yum-yinstallftp13.1.3FTP服務(wù)器的安裝與測試3.啟動服務(wù)#systemctlstartvsftpd.service4.設(shè)置自啟動狀態(tài)#systemctlenablevsftpd.service5.測試使用命令“ftpIP地址”命令登錄FTP服務(wù)器。初始安裝時，可以使用FTP的匿名用戶anonymous登錄。登錄密碼為空，如果能登錄成功則說明FTP服務(wù)器安裝成功，登錄成功后出現(xiàn)ftp〉提示符。13.1項目一：FTP服務(wù)器的安裝與啟動操作過程：#yum-yinstallvsftpd#yum-yinstallftp#systemctlstartvsftpd.service#systemctlenablevsftpd.service#ftp2Name:ftpPassword:230Loginsuccessfulftp>quit13.2項目二：遠程連接與訪問FTPFTP軟件包成功之后，為了使FTP服務(wù)器的使用更加規(guī)范和安全，管理員針對公司各個部門對資源共享的需求設(shè)置訪客賬號：為技術(shù)部、網(wǎng)絡(luò)部、行政部和市場部每個部門創(chuàng)建一個訪客賬號，分別為：techftp、netftp、admftp和markftp，指定默認訪問路徑為/var/ftp/賬號名目錄。各部門員工可以在相應(yīng)路徑下完成資源的上傳和下載，從而實現(xiàn)資源共享。序號知識點詳見章節(jié)1對SELinux和Firewall的設(shè)置13.2.12FTP賬號的創(chuàng)建13.2.23連接FTP服務(wù)器13.2.34FTP常用命令13.2.313.2.1設(shè)置SELinux和防火墻1.SELinux對FTP服務(wù)器的控制SELinux全稱SecurityEnhancedLinux，意為安全強化Linux，是強制訪問控制系統(tǒng)(MandatoryAccessControl，MAC)的一個實現(xiàn)，目的在于明確的指明某個進程可以訪問哪些資源(文件、網(wǎng)絡(luò)端口等)。在SELinux中對FTP作了相應(yīng)的控制，執(zhí)行#getsebool-a|grepftp命令可以看到具體的布爾變量設(shè)置清單，如下：ftpd_anon_write-->off//不允許上傳ftpd_connect_db-->off//不允許FTP連接數(shù)據(jù)庫ftpd_full_access-->off//不允許用戶上傳下載ftpd_use_cifs-->off//不允許FTP使用Samba文件系統(tǒng)ftpd_use_nfs-->off//不允許FTP使用NFT文件系統(tǒng)httpd_enable_ftp_server-->off//不允許httpd作為FTP服務(wù)器13.2.1設(shè)置SELinux和防火墻默認情況下，變量都設(shè)置為off值，因此為了能讓訪客用戶可以完成FTP的上傳和下載功能，需要對相應(yīng)的變量值做修改。執(zhí)行命令：#setsebool-Pftpd_full_accesson//將SELinux中的ftpd_full_access設(shè)置為on，使得所有通過驗證的用戶都可以進行上傳下載需要注意上述修改變量布爾值的方法立即生效，且永久設(shè)置。去掉命令中“-P”參數(shù)，則為臨時設(shè)置。13.2.1設(shè)置SELinux和防火墻2.防火墻對FTP服務(wù)器的控制防火墻可以防御通過端口號對系統(tǒng)造成的攻擊，因此防火墻通常禁止某些遠程訪問。因此在遠程訪問FTP服務(wù)器時需要對防火墻做相應(yīng)的設(shè)置。最簡單的方法是執(zhí)行#systemctlstopfirewalld.service命令關(guān)閉防火墻。如果想在開啟防火墻的狀態(tài)下遠程訪問FTP服務(wù)器，需要執(zhí)行以下命令：#firewall-cmd--permanent--zone=public--add-service=ftp//永久開放ftp服務(wù)#firewall-cmd--reload//重新加載防火墻13.2.2創(chuàng)建FTP賬號創(chuàng)建FTP訪客賬號的命令：#useradd-d/var/ftp/主目錄名-s/sbin/nologin-gftp用戶名當FTP賬號創(chuàng)建后，必須立即創(chuàng)建密碼，使用passwd命令，格式如下：#passwd用戶名

輸入密碼兩次，注意密碼并不回顯。13.2.3連接FTP服務(wù)器1.字符界面訪問FTP字符界面通常叫做“黑色屏幕”方式或?qū)υ挿绞剑褂迷摲绞皆L問時，需要用戶掌握FTP的命令，交互過程均以字符體現(xiàn)，對用戶要求較高。在使用時，首先要登錄FTP服務(wù)器，命令的格式：ftpFTP服務(wù)器IP地址連接成功后，則出現(xiàn)字符界面顯示Name:表示輸入用戶和密碼。當用戶和密碼輸入正確，系統(tǒng)會提示Loginsuccessfully，同時出現(xiàn)ftp>作為提示符。13.2.3連接FTP服務(wù)器常用FTP命令如下表：命令說明?查詢列出ftp命令pwd顯示遠程主機上的當前工作目錄ls顯示當前遠程目錄下的內(nèi)容cd切換遠程目錄lcd切換本地工作目錄asc純文本方式傳輸bin二進制方式傳輸get從遠程服務(wù)器上download一個文件put上傳一個文件到遠程服務(wù)器上mget下載多個文件mput上傳多個文件bye斷開與服務(wù)器的連接quit退出服務(wù)器13.2.3連接FTP服務(wù)器2.瀏覽器訪問FTP訪問FTP還可以使用瀏覽器，在地址欄目中輸入：ftp://用戶名:密碼@FTP服務(wù)器地址如果沒有密碼或不指定密碼，也可以在地址欄中輸入：ftp://用戶名@FTP服務(wù)器地址在接下來的窗口中繼續(xù)輸入密碼即可。如果匿名訪問FTP服務(wù)器可以輸入：ftp://FTP服務(wù)器地址對于上傳來說，操作起來很方便，直接把本地的文件拖入瀏覽器的窗口中即可。如果下載可以直接將文件從瀏覽器拖入到本地文件的窗口。文件刪除也可以在瀏覽器窗口中進行，選中被刪除文件然后按del鍵。13.2項目二：遠程連接與訪問FTP操作過程：#setsebool-Pftpd_full_accesson#firewall-cmd--permanent--zone=public--add-service=ftp#firewall-cmd--reload#useradd-gftp-d/var/ftp/techftp-s/sbin/nologintechftp#passwdtechftp#useradd-gftp-d/var/ftp/netftp-s/sbin/nologinnetftp#passwdnetftp#useradd-gftp-d/var/ftp/admftp-s/sbin/nologinadmftp#passwdadmftp#useradd-gftp-d/var/ftp/markftp-s/sbin/nologinmarkftp#passwdmarkftp13.2項目二：遠程連接與訪問FTP以techftp賬號為例登錄測試：#ftp2Name:techftpPassword:230Loginsuccessfulftp>put/tmp/ftpfileftpfileftp>mkdirsourceftp>cdsourceftp>putprojectprojectftp>quit13.3項目三：FTP服務(wù)器的配置管理員為了使FTP服務(wù)器的使用更加安全和具有個性化，計劃對服務(wù)器做以下配置：不允許匿名用戶登錄；設(shè)置用戶登錄信息為“welcometoourhome!”；最大連接上限是30；用戶成功連接服務(wù)器，無任何操作，空閑時間超過60秒后自動斷開。序號知識點詳見章節(jié)1vsftpd.conf配置文件介紹13.3.12vsftpd.conf配置項介紹13.3.2~13.3.513.3.1vsftpd.conf配置文件介紹vsftpd.conf在/etc/ftp路徑下，文件格式非常簡單。option=value(選項＝值)需要注意在option、=、value之間不允許有空白符(空格等)，每一個配置項在編譯時都有一個默認的設(shè)置，可以在配置文件中修改。vsftpd.conf中的配置項很豐富，主要涉及：匿名用戶的設(shè)置、本地用戶的設(shè)置、服務(wù)相關(guān)設(shè)置、主動與被動服務(wù)設(shè)置等。13.3.2匿名用戶設(shè)置對匿名用戶的設(shè)置包括是否允許登錄，是否具有上傳、刪除、創(chuàng)建等訪問權(quán)限，常用配置項如表13.5所示配置項描述可選值anonymous_enable設(shè)置是否允許匿名登錄yes|noanon_upload_enable設(shè)置是否開放上傳權(quán)限，允許匿名上傳yes|noanon_mkdir_write_enable設(shè)置是否允許匿名用戶創(chuàng)建目錄的同時可以在此目錄中上傳文件

yes|noanon_other_write_enable設(shè)置匿名用戶是否有刪除的權(quán)限yes|noanon_world_readable_only若設(shè)置為yes，則匿名用戶不僅可以上傳和建立目錄，而且可以刪除和更改文件和目錄yes|noanon_root設(shè)置匿名用戶登錄后所在的目錄默認值：/var/ftp13.3.3本地用戶設(shè)置表示本地用戶對該FTP服務(wù)器的訪問權(quán)限，常用配置項見表所示。配置項描述可選值local_root設(shè)置本地用戶登錄后的目錄默認值：/var/ftpwrite_enable設(shè)置是否開放本地用戶寫的權(quán)限yes|nolocal_enble設(shè)置本地賬號是否能夠登錄。如果設(shè)置為yes，/etc/passwd內(nèi)的賬號都可以使用ftp服務(wù)登錄系統(tǒng)，使用ftp服務(wù)上傳下載文件資源yes|nouserlist_enable設(shè)置user_list文件是否生效yes|nolocal_max_rate設(shè)置本地用戶所能使用的最大傳輸速度，單位是B/s，設(shè)置為0表示不受速度限制013.3.4服務(wù)相關(guān)設(shè)置服務(wù)配置包括對服務(wù)器的控制，常用配置項見表所示。配置項描述可選值connect_form_port_20啟用FTP數(shù)據(jù)端口20的數(shù)據(jù)連接yes|nolisten_port設(shè)置FTP服務(wù)器監(jiān)聽客戶端連接的端口默認值：21listen設(shè)置獨立的vsftpd服務(wù)器yes|nodirmessage_enable設(shè)置是否顯示目錄信息。當切換目錄時，顯示目錄下.message的內(nèi)容yes|noftpd_banner設(shè)置登錄歡迎信息anon_max_rate匿名用戶所能使用的最大傳輸速度，單位是B/s。設(shè)置為0表示不受速度限制0max_clients表示服務(wù)器最多可以連接多少客戶端。0表示不限制，具體的數(shù)字表示客戶端最大的限制數(shù)目0max_per_IP表示同一個IP的客戶端最多連接數(shù)量2accept_timeout表示連接服務(wù)器的超時時間，單位是秒data_connection_timeout表示數(shù)據(jù)傳輸超時時間，單位是秒idle_session_timeout表示多長時間對服務(wù)器沒有任何操作后斷開服務(wù)器連接，單位是秒ascii_download_enable設(shè)置是否啟用ASCII模式下載數(shù)據(jù)yes|noascii_upload_enable設(shè)置是否啟用ASCII模式上傳數(shù)據(jù)yes|no13.3.5主動與被動服務(wù)設(shè)置FTP服務(wù)器的主動與被動服務(wù)是從FTP工作方式劃分的。主動方式標記為PORTFTP，被動方式標記為PASVFTP。無論主動和被動，服務(wù)器首先用21端口接受客戶端的連接。接下來傳輸數(shù)據(jù)才分主動和被動方式。主動方式是服務(wù)器主動采用20端口發(fā)送數(shù)據(jù)給客戶端。被動方式是客戶端主動接受FTP服務(wù)器的數(shù)據(jù)，這樣服務(wù)器變成了被動方式。被動方式傳輸數(shù)據(jù)使用的端口號通常是一個范圍，這個范圍使用如下配置：passv_min_prot=65400passv_max_prot=654200同時，具體使用什么端口號是客戶端提出的。為了保證客戶端提出的端口號與服務(wù)器范圍相適應(yīng)，客戶端在連接的同時要指定被動方式。13.3項目三：FTP服務(wù)器的配置操作過程：#vim/etc/vsftpd/vsftpd.confftpd_banner=welcometoourhome!anonymous_enable=nomax_clients=30idle_session_timeout=60保存退出。#systemctlrestartvsftpd.service#ftp13.4常見問題分析1.使用不同的用戶賬號登錄到FTP服務(wù)器，會看到不同的目錄。匿名賬號登錄能夠看到techftp目錄，pub目錄；可是使用techftp賬號登錄卻看不到pub文件，而是進入到了techftp目錄里面。這是因為每個FTP賬號無論從遠程登錄還是本地登錄，登錄后都會進入到賬號用戶的主目錄。匿名用戶的主目錄可以看做/var/ftp，而techft