Red-Hat-Enterprise-FTP服務(wù)器配置實例教程

第5章FTP服務(wù)器第5章FTP服務(wù)器FTP服務(wù)是互聯(lián)網(wǎng)上的常見服務(wù)之一，本章主要介紹了FTP服務(wù)器的工作原理、工作模式和基本應(yīng)用，并且重點講解了在RedHatEnterpriseLinux5下VsFTP服務(wù)器的架構(gòu)。目錄5.1FTP服務(wù)器簡介5.1.1FTP簡介5.1.2FTP工作原理5.1.3FTP的兩種操作模式：主動模式和被動模式5.1.4FTP體系結(jié)構(gòu)5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式5.1.6常用的匿名FTP目錄5.2安裝和配置FTP服務(wù)器5.2.1安裝VsFTPD軟件包5.2.2連接和訪問FTP服務(wù)器5.3FTP服務(wù)器配置實例5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置5.3.3通過指定賬戶訪問FTP服務(wù)器存在的安全隱患問題5.1FTP服務(wù)器簡介一般來說，用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內(nèi)容之一。Internet上早期實現(xiàn)傳輸文件，并不是一件容易的事。我們知道Internet是一個非常復(fù)雜的計算機環(huán)境，有PC機，工作站，大型機等。這些計算機可能運行在不同的操作系統(tǒng)下，有運行UNIX的服務(wù)器，也有運行DOS、WINDOWS的PC機和運行MacOS的蘋果機等等。而各種操作系統(tǒng)之間的文件交流問題，需要建立一個統(tǒng)一的文件傳輸協(xié)議，這就是所謂的FTP?；诓煌牟僮飨到y(tǒng)有不同的FTP應(yīng)用程序，而所有這些應(yīng)用程序都遵守同一種協(xié)議，這樣用戶就可以把自己的文件傳送給別人，或者從其它的用戶環(huán)境中獲得文件。5.1.1FTP簡介

5.1.1FTP簡介1.FTP定義FTP即文件傳輸協(xié)議，全稱是FileTransferProtocol，顧名思義，它是專門用來傳輸文件的協(xié)議。它支持的FTP功能是網(wǎng)絡(luò)中最重要，用途最廣泛的服務(wù)之一。用戶可以連接到服務(wù)器上下載文件，也可以將自己的文件上傳到FTP服務(wù)器中。以下載文件為例，當(dāng)啟動FTP服務(wù)從遠程計算機拷貝文件時，事實上啟動了兩個程序：一個本地機上的FTP客戶程序，它向FTP服務(wù)器提出拷貝文件的請求；另一個是啟動在遠程計算機上的FTP服務(wù)器程序，它響應(yīng)用戶的請求把指定的文件傳送到客戶機上5.1.1FTP簡介2.FTP優(yōu)點FTP可將文件從網(wǎng)絡(luò)上的一臺計算機傳送到另一臺計算機。其突出的優(yōu)點是可在不同類型的計算機之間傳送文件和交換文件，比如在WINDOWS和UNIX、LINUX系統(tǒng)上均可傳送。它實現(xiàn)了服務(wù)器和客戶機之間的文件傳輸和資源再分配，是普遍采用的資源共享方式之一。FTP服務(wù)管理簡單，且具備雙向傳輸功能。5.1.1FTP簡介3.FTP意義FTP是TCP/IP的一種具體應(yīng)用，它工作在OSI模型的第七層，TCP模型的第四層，即應(yīng)用層。它使用TCP協(xié)議傳輸而不是UDP協(xié)議，這樣，F(xiàn)TP客戶端在和服務(wù)器建立連接之前就有一個“三次握手”的過程。它的意義在于客戶端與服務(wù)器之間的連接是可靠的，而且是面向連接的，為數(shù)據(jù)的傳輸提供了可靠的保證。另外，F(xiàn)TP服務(wù)還有一個非常重要的特點是：它可以獨立于平臺。也就是說，在UNIX,LINUX,WINDOWS等操作系統(tǒng)中都可以實現(xiàn)FTP的客戶端和服務(wù)器，相互之間可以跨平臺進行文件傳送。

5.1FTP服務(wù)器簡介

5.1.2FTP工作原理

FTP的工作方式采用客戶/服務(wù)器模式?？蛻舳撕头?wù)器使用TCP進行連接。為建立連接，客戶端和服務(wù)器都必須各自打開一個TCP端口。FTP服務(wù)器預(yù)置兩個端口：控制端口（端口21）和數(shù)據(jù)端口（端口20）。控制端口為客戶端和服務(wù)器之間交換命令和應(yīng)答提供通信的通道；而數(shù)據(jù)端口只用來交換數(shù)據(jù)。其中端口21用來發(fā)送和接受FTP的控制消息，一旦建立FTP會話，端口21的連接在整個會話期間就始終保持打開狀態(tài)；端口20用來發(fā)送和接受FTP數(shù)據(jù)，只有在傳輸數(shù)據(jù)時才打開，一旦傳輸結(jié)束就斷開。5.1.2FTP工作原理FTP使用TCP作為傳輸時的通信協(xié)議，因此它可以提供較可靠的面向連接的傳輸。FTP服務(wù)器和客戶端計算機數(shù)據(jù)交換的過程如下：1．FTP客戶端使用Three-WayHandshake與FTP服務(wù)器建立TCP交談。2．FTP服務(wù)器利用TCP21連接端口以發(fā)送和接收控制信息，這個連接端口主要是用來傾聽FTP客戶端的連接請求，在交談建立后，這個連接端口會在交談時全程啟動。3．FTP服務(wù)器端另外使用TCP20連接端口以發(fā)送和接收FTP文件（ASCII或二進制文件），這個連接端口會在文件傳輸完立即關(guān)閉。5.1.2FTP工作原理4．FTP客戶端在向FTP服務(wù)器提出連接請求時會動態(tài)指定一個連接端口號碼，通常這些客戶端指定的連接端口號碼是1024—65535，因為0—1023端口（稱Well-knownPortNumber）已由IANA（InternetAssignedNumberAuthority）預(yù)先指定給通信協(xié)議或其他的服務(wù)使用。5．當(dāng)FTP交談建立后，客戶端會啟動一個連接端口以連接到服務(wù)器上的TCP21連接端口6．當(dāng)文件開始傳輸時，客戶端會啟動另一個連接端口以連接到服務(wù)器的TCP20連接端口，而且每一次文件傳輸時，客戶端都會啟動另一個新的連接端口以發(fā)送文件。5.1.3FTP的兩種操作模式：主動模式和被動模式根據(jù)FTP數(shù)據(jù)連接建立方法，可將FTP客戶端對服務(wù)器的訪問分為兩種模式：主動模式又稱標(biāo)準(zhǔn)模式（ActiveMode）和被動模式(PassiveMode)。一般情況下使用主動模式，由FTP客戶端發(fā)起到FTP服務(wù)器的控制連接，F(xiàn)TP服務(wù)器接收到數(shù)據(jù)請求命令后，再由FTP服務(wù)器發(fā)起客戶端的連接。具體的講，客戶機首先向服務(wù)器的端口21（命令通道）發(fā)送一個TCP連接請求，然后執(zhí)行l(wèi)ogin、dir等各種命令。一旦用戶請求服務(wù)器發(fā)送數(shù)據(jù)，F(xiàn)TP服務(wù)器就用其20端口（數(shù)據(jù)通道）向客戶的數(shù)據(jù)端口發(fā)起連接。主動模式實際上是一種客戶端管理，F(xiàn)TP客戶端可以在控制連接上給FTP服務(wù)器發(fā)送port命令，要求服務(wù)器使用port命令指定的TCP端口來建立從服務(wù)器上TCP端口21到客戶端的數(shù)據(jù)連接。5.1.3FTP的兩種操作模式：主動模式和被動模式如果使用被動模式，將由FTP客戶端發(fā)起控制和數(shù)據(jù)連接。被動模式一般用Web瀏覽器連接FTP服務(wù)器。另外，從網(wǎng)絡(luò)安全的角度看，被動模式比主動模式安全。被動模式實際上是一種服務(wù)器管理，F(xiàn)TP客戶端發(fā)出Pasv命令后，F(xiàn)TP服務(wù)器通過一個用作數(shù)據(jù)傳輸（連接）的服務(wù)器動態(tài)端口進行響應(yīng)，當(dāng)客戶端發(fā)出數(shù)據(jù)連接命令后，F(xiàn)TP服務(wù)器便立即使用動態(tài)端口連接客戶端。

FTP服務(wù)器端或FTP客戶端都可設(shè)置這兩種模式?；贗IS的FTP服務(wù)同時支持主動模式和被動模式兩種連接，但是究竟采用何種模式，取決于客戶端指定的方法。5.1.4FTP體系結(jié)構(gòu)FTP是一種C/S（客戶端/服務(wù)器）的通信協(xié)議，因此在兩臺主機間傳遞文件時，其中一臺必須運行FTP客戶端程序，如IE6.0或FTP指令。而文件傳遞時有兩種形式：下載（Downloading/Getting）:文件由服務(wù)器發(fā)送到客戶端。上傳（Uploading/Putting）:文件由客戶端發(fā)送到服務(wù)器。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式1.FTP服務(wù)的相關(guān)軟件

在LINUX下實現(xiàn)FTP服務(wù)的軟件很多，其中比較有名的有WU-FTPD、ProFTPD、VsFTPD和.Pure-FTPD等等。VsFTPD是UNIX類操作系統(tǒng)上運行服務(wù)器的名字，是RedHatEnterpriseLinux5內(nèi)置的FTP服務(wù)器，可以運行在LINUX、BSD、Solaris以及HP-UX等上面。它具有非常高的安全性需求、帶寬限制、良好的可伸縮性、創(chuàng)建虛擬用戶的可能性、IPV6支持、中等偏上的性能、分配虛擬IP的可能性等其他FTP服務(wù)器不具備的功能。所以有“秀外慧中”的美稱。通常，F(xiàn)TP訪問服務(wù)器時需要經(jīng)過驗證，只有經(jīng)過了FTP服務(wù)器的相關(guān)驗證，用戶才能進行訪問和傳輸文件等操作。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式2.VsFTPD提供了以下3種登錄形式（1）anonymous（匿名賬號）anonymous（匿名賬號）是應(yīng)用的最廣泛的一種FTP服務(wù)器登錄。如果用戶在FTP服務(wù)器上沒有賬號，那么用戶可以以anonymous為用戶名，以自己的電子郵件地址為密碼進行登錄。當(dāng)匿名用戶登錄FTP服務(wù)器后，其登錄目錄為匿名FTP服務(wù)器的根目錄/var/ftp。為了減輕FTP服務(wù)器的負載，一般情況下，應(yīng)關(guān)閉匿名賬戶的上傳功能。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式（2）real（真實賬戶）real（真實賬戶）也稱為本地賬號，就是以真實的用戶名和密碼進行登錄，但前提條件是用戶在FTP服務(wù)器上擁有自己的賬號。用真實賬號登錄后，其登錄的目錄為用戶自己的目錄，該目錄在系統(tǒng)建立賬號時就已經(jīng)創(chuàng)建，例如，在RedHatLinux9系統(tǒng)中建立一個名稱為xxk的用戶，那么它的默認目錄就是/home/xxk。真實用戶可以訪問整個目錄結(jié)構(gòu)，從而對系統(tǒng)安全構(gòu)成極大的威脅，所以，應(yīng)盡量避免用戶使用真實賬號來訪問FTP服務(wù)器。（3）guest（虛擬賬號）如果用戶在FTP服務(wù)器上擁有一個賬號，但此賬號只能用于文件傳輸服務(wù)，那么該賬號就是guest（虛擬賬號）。guest是真實賬號的一種形式，他們的不同之處在于，guest登錄FTP服務(wù)器后，不能訪問除宿主目錄以外的內(nèi)容。5.1.6常用的匿名FTP匿名FTP是這樣一種機制，用戶可通過它連接到遠程主機上，并從其下載文件，而無需成為其注冊用戶。當(dāng)遠程主機提供匿名FTP服務(wù)時，會指定某些目錄向公眾開放，允許匿名存取。系統(tǒng)中的其余目錄則處于隱匿狀態(tài)。作為一種安全措施，大多數(shù)匿名FTP主機都允許用戶從其下載文件，而不允許用戶向其上傳文件。也就是說，用戶可將匿名FTP主機上的所有文件拷貝到自己的機器上，但不能將自己機器上的任何一個文件拷貝至匿名FTP主機上。即使有些匿名FTP主機確實允許用戶上傳文件，用戶也只能將文件上傳至某一指定上傳目錄中。隨后，系統(tǒng)管理員會去檢查這些文件，他會將這些文件移至另一個公共下載目錄中，供其他用戶下載。利用這種方式，遠程主機的用戶得到了保護，避免了有人上傳有問題的文件，如帶病毒的文件。5.2安裝和配置FTP服務(wù)器FTP服務(wù)器利用文件傳輸協(xié)議實現(xiàn)文件的上傳與下載服務(wù)。RedHatEnterpriseLinux5自帶VsFTPD服務(wù)軟件包，其名稱為vsftp-2.0.5-10.e15.i386.rpm,可在RedHatEnterpriseLinux5安裝光盤中找到安裝包。VsFTP(verysecurityFTP)意為非常安全的FTP服務(wù)器，vsftpd是VsFTP服務(wù)器的一個守護進程，用于具體實現(xiàn)FTP服務(wù)器的功能。5.2.1安裝VsFTPD軟件包1.檢查并安裝VsFTPD軟件包在終端窗口輸入：“rpm-qa|grepvsftpd”命令檢查系統(tǒng)是否安裝了VsFTPD軟件包，如圖5-1所示。圖5-1檢查系統(tǒng)是否安裝了vsftpd軟件包5.2.1安裝VsFTPD軟件包從圖5-1中可以看出，系統(tǒng)已經(jīng)安裝了版本號為2.0.5-12.el5的VsFTPD軟件包。如果沒有安裝，可以在安裝光盤的Server目錄下找到vsftpd-2.0.5-12.el5.i386.rpm的安裝包文件，然后用命令“rpm–ivhvsftpd-2.0.5-12.el5.i386.rpm”進行安裝。VsFTPD在安裝時會自動創(chuàng)建FTP系統(tǒng)用戶組ftp和屬于該組的FTP系統(tǒng)用戶ftp，該用戶的主目錄為/var/ftp，默認作為FTP服務(wù)器的匿名賬戶。執(zhí)行命令“vi/etc/passwd”，可以看到ftp賬戶的基本信息，如圖5-2所示?？梢钥吹?，ftp賬戶的用戶ID號是14，組ID號是50，宿主目錄為“/var/ftp”，登陸后的shell為“/sbin/nologin”。5.2.1安裝VsFTPD軟件包圖5-2檢查ftp賬戶的基本信息5.2.1安裝VsFTPD軟件包當(dāng)然，也可以用命令“vi/etc/group”查看ftp組的信息，如圖5-3所示。圖5-3檢查ftp組的基本信息5.2.1安裝VsFTPD軟件包2.設(shè)置VsFTPD服務(wù)的自啟動默認情況下，該服務(wù)并未啟動，可采用以下命令來檢查其啟動狀態(tài)：“chkconfig--listvsftpd”，如圖5-4所示。圖5-4查看vsftpd服務(wù)的啟動狀態(tài)5.2.1安裝VsFTPD軟件包

若要設(shè)置該服務(wù)在3和5運行級別時自動啟動，則設(shè)置命令為：“chkconfig--level35vsftpdon”，如圖5-5所示。圖5-5設(shè)置vsftpd服務(wù)的自啟動5.2.1安裝VsFTPD軟件包3.VsFTPD服務(wù)的啟動腳本VsFTPD服務(wù)器在/etc/rc.d/init.d目錄下，有一個名為vsftpd的服務(wù)啟動腳本，利用該腳本，可實現(xiàn)vsftpd服務(wù)器的啟動，重啟，狀態(tài)查詢，停止等操作。啟動：/etc/rc.d/init.d/vsftpdstart或servicevsftpdstart停止：/etc/rc.d/init.d/vsftpdstop或servicevsftpdstop重啟：/etc/rc.d/init.d/vsftpdrestart或servicevsftpdrestart5.2.1安裝VsFTPD軟件包查詢：/etc/rc.d/init.d/vsftpdstatus或servicevsftpdstatus具體操作如圖5-6所示。圖5-6VsFTPD服務(wù)的啟動與停止5.2.1安裝VsFTPD軟件包4.VsFTPD配置文件簡介/etc/vsftpd/vsftpd.conf。//VsFTPD的主配置文件是。另外還有加強VsFTPD服務(wù)器用戶認證的/etc/pam.d/vsftpd。/etc/vsftpd.ftpusers。//禁止訪問VsFTPD的用戶列表文件。凡是該文件中包含的賬戶，都不能訪問VsFTPD服務(wù)。一般處于安全性，常把root、bin和daemon等系統(tǒng)賬戶都寫入該文件中。5.2.1安裝VsFTPD軟件包/etc/vsftpd.user_list。//VsFTPD的用戶列表文件。該文件中包含的用戶可能是拒絕訪問VsFTPD服務(wù)的，也可能是允許訪問的，主要取決于VsFTPD的主配置文件/etc/vsftpd/vsftpd.conf中的userlist_deny參數(shù)是設(shè)置為“Yes”（缺省值）或者“No”。/var/ftp。//VsFTPD提供服務(wù)的文件集散地，它包括一個pub目錄。在默認配置下，所有目錄都是只讀的，只有root用戶具有寫權(quán)限。5.2.2連接和訪問FTP服務(wù)器

1.匿名賬戶訪問FTP服務(wù)器VsFTPD服務(wù)器安裝并啟動服務(wù)后，按其默認配置，就可以正常工作了。VsFTPD默認的匿名用戶賬戶為ftp，密碼也為ftp，且默認允許匿名用戶登錄，登錄后所在的FTP站點根目錄為“/var/ftp”目錄。匿名登錄操作如圖5-7所示。5.2.2連接和訪問FTP服務(wù)器

5.2.2連接和訪問FTP服務(wù)器FTP登錄成功后，將出現(xiàn)FTP的命令行提示符ftp>，可以在這里鍵入FTP命令實現(xiàn)相關(guān)的操作，常見的命令如下：ls//查看當(dāng)前目錄的文件列表pwd//查看當(dāng)前目錄mkdir//建立目錄rm//刪除目錄get或mget//下載文件put或mput//上傳文件5.2.2連接和訪問FTP服務(wù)器cd或lcd//切換服務(wù)器端或本地的目錄quit或exit//退出ftp登錄另外，在ftp>狀態(tài)下鍵入?，可獲得使用的ftp命令幫助。需要注意的是，以匿名身份登錄后是沒有寫權(quán)限和上傳文件的權(quán)限的。另外，在進行匿名登錄時即可用賬戶ftp登錄也可用anonymous，如圖5-8中就是以anonymous身份登陸的。5.2.2連接和訪問FTP服務(wù)器注意，如果在本機上驗證FTP服務(wù)正常，但在其它機器上驗證失效，可將FTP服務(wù)器的防火墻關(guān)閉。5.2.2連接和訪問FTP服務(wù)器關(guān)于匿名賬戶的高級配置，還需要對VsFTPD的主配置文件/etc/vsftpd/vsftpd.conf中的相關(guān)參數(shù)進行設(shè)置。anonymous_enable//控制是否允許匿名用戶登錄。YES為允許，NO為不允許，默認值為YES。no_anno_password//控制匿名用戶登錄時是否需要密碼。YES為不需要，NO為需要，默認值為NO。anon_root//設(shè)置匿名用戶的根目錄。匿名用戶登錄后，將被鎖定到此目錄下。主配置文件中默認無此項，默認值為“/var/ftp”。5.2.2連接和訪問FTP服務(wù)器anon_world_readable_only//控制是否允許匿名用戶下載可閱讀文檔。當(dāng)值為YES時，允許用戶下載可閱讀文檔；當(dāng)值為NO時，只允許匿名用戶瀏覽整個服務(wù)器的文件系統(tǒng)。默認值為YES。anon_upload_enable//控制是否允許匿名用戶上傳文件。YES為允許，NO為不允許，默認值為NO。除了這個參數(shù)外，還需要兩個條件，即write_enable參數(shù)為YES，以及在文件系統(tǒng)上，F(xiàn)TP匿名用戶對某個目錄有寫權(quán)限。anon_mkdir_write_enable//控制是否允許匿名用戶創(chuàng)建新目錄。YES為允許，NO為不允許，默認值為NO。在文件系統(tǒng)上，F(xiàn)TP匿名用戶必須對新目錄的上層目錄擁有寫權(quán)限。anon_other_write_enable//控制匿名用戶是否擁有除了上傳和新建目錄之外的其它權(quán)限，如刪除、更名等。YES為擁有，NO為不擁有，默認值為NO。5.2.2連接和訪問FTP服務(wù)器下面我們用vi編輯器打開VsFTPD的主配置文件“/etc/vsftpd/vsftpd.conf”來具體查看一下與匿名用戶相關(guān)的幾個重要參數(shù)，如圖5-9所示。圖5-9VsFTPD的主配置文件5.2.2連接和訪問FTP服務(wù)器在圖5-9中可以看到，參數(shù)anonymous_enable的值設(shè)置為了YES，即允許匿名用戶訪問。參數(shù)local_enable用來設(shè)置是否允許本地用戶訪問FTP服務(wù)器，默認值為YES，表示允許本地賬戶登錄訪問。參數(shù)write_enable是設(shè)置是否允許向FTP服務(wù)器進行各種寫入操作，默認值為YES，表示允許。參數(shù)anon_upload_enable的值設(shè)置為了YES，即允許匿名用戶上傳文件，但這里被注釋掉了，并未生效。參數(shù)anon_mkdir_write_enable的值設(shè)置為了YES，允許匿名用戶創(chuàng)建新目錄，此參數(shù)默認也被“#”號注釋了。5.2.2連接和訪問FTP服務(wù)器2.指定賬戶訪問FTP服務(wù)器對于有較高安全性的FTP服務(wù)器一般不允許匿名訪問，更常見的方式是使用本地賬戶來登錄和訪問FTP服務(wù)器。所以，在使用和訪問FTP服務(wù)器之前，應(yīng)根據(jù)需要，先創(chuàng)建好所需的FTP賬戶。另外，作為FTP登錄使用的賬戶，其Shell應(yīng)設(shè)置為“/sbin/nologin”，以使用戶賬戶只能用來登錄FTP，而不能用來登錄Linux系統(tǒng)。補充：Shell是用戶登錄后所使用的一個命令行界面。輸入的命令由Shell進行解釋，并發(fā)送給Linux內(nèi)核，由內(nèi)核進行具體操作。Linux系統(tǒng)自帶有許多種Shell，系統(tǒng)默認使用的是/bin/bash。若在配置文件中，該字段的值為空，則默認使用“/bin/sh”的Shell。查看/etc/目錄下的shells文件，可以看到系統(tǒng)使用的全部Shell列表，如圖5-10所示。5.2.2連接和訪問FTP服務(wù)器圖5-10缺省的shells文件5.2.2連接和訪問FTP服務(wù)器可以根據(jù)不同的需要，將不同賬戶的Shell設(shè)置成不同的值，典型的設(shè)置如下：若要使某個用戶賬戶不能登錄Linux，只需設(shè)置該用戶所使用的Shell為/sbin/nologin即可，比如對于FTP賬戶，一般只能用來登錄FTP服務(wù)器，而不能用來登錄Linux操作系統(tǒng)。若要讓某用戶沒有telnet權(quán)限，則應(yīng)設(shè)置該用戶使用的Shell為/bin/true即可。5.2.2連接和訪問FTP服務(wù)器若要讓某用戶沒有telnet和ftp登錄權(quán)限，則應(yīng)設(shè)置該用戶使用的Shell為/bin/false。在“/etc/shells”文件中，若沒有“/bin/true”或“/bin/false”，則可以使用vi編輯器將其添加進去，如圖5-11所示。圖5-11修改后的shells文件5.2.2連接和訪問FTP服務(wù)器利用不同賬戶登錄FTP服務(wù)器后，其FTP站點根目錄不同這一特點，可將用戶Web站點根目錄與該用戶的FTP站點根目錄設(shè)置為相同。這樣用戶就可以利用FTP遠程管理Web站點下的目錄和文件，以實現(xiàn)對Web服務(wù)器的遠程管理。若要求各FTP用戶登錄后，其站點根目錄均為同一個目錄，比如，用于提供軟件下載的FTP站點，此時可將各用戶的主目錄都設(shè)置為FTP站點的根目錄即可。5.2.2連接和訪問FTP服務(wù)器3.

登錄和訪問FTP服務(wù)器的方式FTP服務(wù)器啟動并創(chuàng)建好FTP賬戶后，登錄和訪問FTP服務(wù)器有2種方法：（1）在Linux的文本模式或Windows平臺的MS-DOS方式下，利用“ftp服務(wù)器IP地址命令”，以文本方式通過ftp命令來連接和訪問FTP服務(wù)器。（2）在瀏覽器中，利用ftp協(xié)議來訪問FTP服務(wù)器，訪問格式為：ftp://用戶名:用戶密碼@網(wǎng)站域名或ftp://用戶名@網(wǎng)站域名。5.3FTP服務(wù)器配置實例

宿主機器WindowsXP的IP地址為：7；虛擬機VMware下的RedHatEnterpriseLinux5的IP地址為：9。將RedHatEnterpriseLinux5架設(shè)為FTP服務(wù)器，以宿主機器WindowsXP作為客戶機進行測試。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置創(chuàng)建一個名為abc的系統(tǒng)用戶，屬于ftp組，不允許登陸Linux系統(tǒng)，其主目錄為/var/www/abc。利用該賬戶從客戶機以文本方式登陸FTP服務(wù)器，并查看登錄目錄及當(dāng)前目錄下的文件列表，接著新建一個名為downloads的目錄，并將本地新建的123.txt文件（內(nèi)容隨意），上傳到downloads目錄中，并查看上傳結(jié)果。分別從Windows和Linux客戶端通過文本方式訪問FTP服務(wù)器，并下載downloads目錄下的123.txt文件到Windows的“E:\”以及Linux的“/”目錄下。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置1.創(chuàng)建用戶和用戶組由于ftp組是已存在的組，因此不再需要創(chuàng)建，下面直接創(chuàng)建用戶賬戶。創(chuàng)建賬戶abc之前，先要創(chuàng)建其宿主目錄“/var/www/abc”，如圖5-12所示。圖5-12創(chuàng)建賬戶abc的宿主目錄5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置接下來使用“useradd”命令創(chuàng)建指定賬戶abc，如圖5-13所示。圖5-13創(chuàng)建賬戶5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置useradd”命令中的參數(shù)說明：-r創(chuàng)建的用戶ID<500-m為賬戶創(chuàng)建主目錄，如果主目錄不存在-g指定組-d創(chuàng)建指定目錄取代/home/username-s指定用戶登錄時使用的Shell-c注釋5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置下面來為該用戶設(shè)置密碼，并查看賬戶記錄，如圖5-14所示。圖5-14設(shè)置賬戶密碼5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置2.設(shè)置用戶主目錄的所有者，所屬的組和權(quán)限可以使用chown命令來使某個目錄隸屬于某個用戶，用chgrp命令使某個目錄隸屬于某個組。格式為：chown所屬用戶名目錄名

chgrp所屬組名目錄名當(dāng)然，也可以用“chown所有者.所有組目錄名”來一次性地修改目錄的所有者和所有組。在圖5-15所示的例子中，用命令“chownabc.ftp/var/www/abc”將目錄“/var/www/abc”的所有者和所有組從原來的root用戶和root組修改為了abc用戶和ftp組。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-15修改目錄的所有者和所有組5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置在這里，還要設(shè)置一下宿主目錄的權(quán)限。即只允許本用戶對其宿主目錄具有最高權(quán)限（讀、寫、執(zhí)行），其它用戶只有讀和執(zhí)行的權(quán)限。所以目錄“/var/www/abc”的權(quán)限碼為755，如果不是，可通過chmod命令修改，如圖5-16所示。圖5-16修改目錄的權(quán)限5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置3.從客戶機登陸FTP服務(wù)器創(chuàng)建目錄downloads使用ftp命令從客戶機登錄FTP服務(wù)器，然后進行所要求的操作。這里以宿主機WindowsXP作為客戶機登錄，效果如圖5-17所示。圖5-17通過指定賬戶登錄FTP服務(wù)器5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置從客戶端登錄到FTP服務(wù)器后，使用“mkdir”命令創(chuàng)建子目錄downloads。如圖5-18所示。圖5-18創(chuàng)建子目錄downloads5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置4.從客戶機登陸FTP服務(wù)器上傳文件下面就要用put命令進行文件的上傳了。這里要特別注意，如果源文件的路徑有誤，或是目標(biāo)路徑不存在，都會導(dǎo)致上傳文件失敗，所以最簡單的辦法就是在登錄到FTP服務(wù)器進行文件上傳之前，先將目錄定位到欲上傳文件所在的目錄下，然后再登陸FTP服務(wù)器，之后將目錄定位到上傳目標(biāo)路徑下，最后再用“put上傳文件名”的方式完成上傳工作。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置首先在本地的某個目錄（如E:\aaa）下建立123.txt文件，如圖5-19所示。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置然后通過賬戶abc登錄到FTP服務(wù)器上，用“cd”命令切換到目標(biāo)位置（/var/www/abc/downloads），最后用“put”命令進行文件上傳，效果如圖5-20所示。圖5-20上傳文件5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置put用于傳輸單個文件，mput用于一次傳輸多個文件，支持“*”和“?”通配符。5.從Windows客戶機登錄FTP服務(wù)器下載文件要將FTP服務(wù)器發(fā)布的文件下載到客戶端的指定目錄中，最簡單且不容易出錯的方式就是在登陸FTP服務(wù)器之前，先將目錄定位在目標(biāo)位置（即要下載的目標(biāo)目錄），然后再登陸FTP服務(wù)器，用get命令進行文件的下載。get用于下載單個文件，mget用于一次下載多個文件。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置格式為：get遠程文件名本地文件名圖5-21是通過Windows客戶端登陸FTP服務(wù)器下載指定文件123.txt的效果圖?？梢钥吹?，在登陸FTP服務(wù)器之前，已將目錄定位到了下載的目標(biāo)目錄，即“E:\”，然后再登陸FTP服務(wù)器下載目標(biāo)文件123.txt。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-21通過Windows客戶端下載文件5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-22是通過Linux客戶端登陸FTP服務(wù)器下載指定文件123.txt的效果圖。可以看到，在登陸FTP服務(wù)器之前，已將目錄定位到了下載的目標(biāo)目錄，即“/”，然后再登陸FTP服務(wù)器下載目標(biāo)文件123.txt。圖5-22通過Linux客戶端下載文件5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

在5.3.1的基礎(chǔ)上，給FTP服務(wù)器（0）注冊域名；然后在FTP服務(wù)器的發(fā)布目錄（/var/www/abc）中創(chuàng)建一個文本文件qqq.txt，內(nèi)容隨意；分別從Windows和Linux客戶端通過瀏覽器訪問FTP服務(wù)器，并下載文件qqq.txt；然后再將本地的某個文件上傳到服務(wù)器的downloads目錄中。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

1.配置DNS服務(wù)器首先配置DNS服務(wù)器，為IP地址0注冊域名，可參考“第3章DNS服務(wù)器”。圖5-23是在Windows客戶端測試域名是否暢通。圖5-23在Windwos客戶端測試域名5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

圖5-24是在Linux客戶端測試域名是否暢通。圖5-24在Linux客戶端測試域名2.在FTP服務(wù)器端建立發(fā)布文件qqq.txt

在FTP服務(wù)器的發(fā)布目錄/var/www/abc下建立文本文件qqq.txt，效果如圖5-25所示。圖5-25在發(fā)布目錄下建立文件qqq.txt5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

3.在Windows客戶端通過瀏覽器登錄FTP服務(wù)器測試在Windows客戶端打開IE瀏覽器，在地址欄中輸入“”，然后回車，這時會發(fā)現(xiàn)FTP站點并未提示輸入賬戶名和密碼，而直接登錄成功，如圖5-26所示。這是因為匿名用戶默認情況下是開啟狀態(tài)，所以如果直接登錄，則認為是匿名登陸，這樣一來，只能登錄到匿名用戶的宿主目錄，即/var/ftp下，而無法下載賬戶abc宿主目錄/var/www/abc下的qqq.txt。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

圖5-26匿名登陸5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

解決方法有兩種：一是在瀏覽器的地址欄中訪問FTP站點時，通過“ftp://用戶名:用戶密碼@網(wǎng)站域名或ftp://用戶名@網(wǎng)站域名”的方式。在IE瀏覽器的地址欄中輸入“ftp://abc@”，系統(tǒng)會彈出如圖5-27所示的登陸對話框，輸入賬戶名abc及其密碼abc，然后點擊“登陸”按鈕。圖5-27通過指定賬戶登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

如果賬戶名和密碼正確無誤，瀏覽器就會成功登錄到FTP服務(wù)器的指定目錄/var/www/abc中，如圖5-28所示。圖5-28在Windows客戶端成功登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

下載文件qqq.txt的操作就變得十分簡單了。通過快捷菜單下的復(fù)制、粘貼，可將文件qqq.txt粘貼到客戶機任意位置。上傳文件只需要先將欲上傳的文件復(fù)制，然后直接在FTP服務(wù)器窗口粘貼即可，如圖5-29所示。圖5-29在Windows客戶端上傳文件5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

方法二是禁用匿名賬戶，這在前面的章節(jié)中介紹過，只需要修改FTP服務(wù)器的主配置文件/etc/vsftpd/vsftpd.conf中的anonymous_enable參數(shù)即可，將其由默認的YES（允許匿名賬戶登錄）改為NO（不允許）。然后用“servicevsftpdrestart”命令重啟FTP服務(wù)器。這時，再登錄FTP服務(wù)器，如果不輸入賬戶名和密碼，是無法登錄成功的。只能通過合法的賬戶名方可登錄。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

4.在Linux客戶端通過瀏覽器登錄FTP服務(wù)器測試

在Linux客戶端瀏覽器的地址欄中輸入“”，由于前面已經(jīng)禁用了匿名賬戶，所以這里會自動彈出圖5-30所示的登錄界面。圖5-30在Linux客戶端登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

當(dāng)正確輸入賬戶名和密碼后，會顯示如圖5-31所示的登錄成功界面。圖5-31在Linux客戶端成功登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置下載文件qqq.txt，只需要鼠標(biāo)右鍵單擊該文件，在彈出的快捷菜單中選擇“鏈接另存為”就可以下載該文件了，如圖5-32所示。圖5-32在Linux客戶端下載文件如果想上傳文件，在Linux客戶端的瀏覽器中還無法實現(xiàn)，當(dāng)然，可以利用FTP客戶端軟件來進行。5.3.3通過指定賬戶訪問FTP服務(wù)器存在的安全隱患問題

細心的讀者會發(fā)現(xiàn)，在通過命令行方式訪問FTP服務(wù)器時，可以通過“cd”命令切換目錄；在瀏覽器訪問時由于提供了“向上一層”按鈕，所以也存在相同的問題。這樣就會給FTP服務(wù)器造成很大的安全隱患。比如，本來限定某賬戶只能對其宿主目錄下的內(nèi)容進行操作，但這時，如果登錄賬戶可以隨意切換目