LINUX操作系統(tǒng)應用第八講

LINUX操作系統(tǒng)應用軟件與服務外包學院網(wǎng)絡安全技術(shù)主講：普星郵箱：postpx@163.com項目5網(wǎng)絡服務器架設——FTP服務器搭建【知識目標】了解文件傳輸協(xié)議理解FTP服務器的工作模式和過程了解FTP服務器軟件vsftpd掌握安裝和配置FTP服務器的方法【能力目標】會安裝和啟動默認的vsftp服務；能配置匿名用戶訪問的FTP服務器；能配置本地用戶訪問的FTP服務器；能配置虛擬用戶訪問的FTP服務器；問題提出FTP服務的作用與系統(tǒng)組成

FTP(FileTransferProtocol,文件傳輸協(xié)議)是使網(wǎng)絡中的計算機之間實現(xiàn)文件傳送的標準協(xié)議。FTP主要應用于軟件資源的上傳與下載和Web站點的維護與更新FTP服務系統(tǒng)由服務器軟件、客戶端軟件和FTP通信協(xié)議三部分組成培訓電影在進行通信時，F(xiàn)TP需要建立兩個TCP連接：控制連接：標準端口為21，用于發(fā)送FTP命令信息數(shù)據(jù)連接：標準端口為20，用于上傳、下載數(shù)據(jù)FTP客戶端LinuxgFTPMozilla

WindowsIE瀏覽器flashFTPGuteFTPFTP服務器端Vsftpd（RHEL6自帶）Wu-FtpdProFTPD1．vsftpd軟件的特點vsftpd的全稱是“verysecureFTPdaemon”(非常安全的守護),優(yōu)點:安全、高速、高穩(wěn)定性、體積小、可定制強、效率高官方下載地址:ftp://2．vsftpd數(shù)據(jù)連接的類型及建立過程FTP的數(shù)據(jù)連接分為主動和被動兩種模式。vsftpd服務簡介

主動模式(PORT):服務器主動向客戶端發(fā)起數(shù)據(jù)連接。首先由客戶端向服務器的FTP端口(默認是21)發(fā)送連接請求,服務器接受連接,建立一條命令鏈路。當需要傳送數(shù)據(jù)時,客戶端在命令鏈路上用PORT命令告訴服務器:“我打開了XXXX端口,你過來連接我”,當服務端收到這個PORT命令后就會從20端口向客戶端打開的那個端口發(fā)送連接請求,建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。被動模式(PASV):在該模式下服務端在指定范圍內(nèi)的某個端口被動等待客戶端發(fā)起數(shù)據(jù)連接?？蛻舳讼蚍掌鞯腇TP端口(默認是21)發(fā)送連接請求,服務器接受連接,建立一條控制連接。當需要傳送數(shù)據(jù)時,服務器在命令鏈路上用PASV命令告訴客戶端:“我打開了XXXX端口,你過來連接我”。當客戶端收到這個信息后,就可以向服務器的XXXX端口發(fā)送連接請求,建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。3．vsftpd的傳輸模式文本模式：ASCII模式，以文本序列傳輸數(shù)據(jù)二進制模式：Binary模式，以二進制序列傳輸數(shù)據(jù)4．vsftpd用戶的類型匿名用戶：anonymous或ftp本地用戶：帳號名稱、密碼等信息保存在passwd、shadow文件中虛擬用戶：使用獨立的帳號/密碼數(shù)據(jù)文件9任務1vsftpd服務器安裝與測試1.檢查是否安裝vsFTPd軟件#rpm–qa|grepvsftpdRHEL6.4系統(tǒng)自帶了vsftpd,默認情況下,vsftpd未安裝,若無任何顯示，說明vsFTPd未安裝，需要輸入以下命令安裝vsftp。[root@ftp_server~]#mount/dev/cdrom/mnt[root@ftp_server~]#rpm-ivh/mnt/Packages/vsftpd-2.2.2-11.el6.i686.rpm2.vsftpd服務的運行管理Vsftpd啟動、重啟、狀態(tài)查詢、停止等操作。servicevsftpdstart|restare|status|stop設置vsftpd自啟動[root@ftp_server~]#chkconfig--level35vsftpdon[root@ftp_server~]#chkconfig--listvsftpdvsftpd0:off1:off2:off3:on4:off5:on6:off3．啟動vsftpd服務并查看端口占用情況#netstat-nutap|grepftp4．Linux客戶端訪問vsftpd服務器步驟1:在服務器端設置防火墻,開啟FTP服務端口。步驟2:在RHEL6客戶機上安裝ftp的客戶端軟件包步驟3:在客戶機上使用ftp命令登錄vsftpd服務器12[root@ftp_client~]#ftp2Connectedto2(2).220(vsFTPd2.2.2)Name(2:root):ftp //輸入用戶名331Pleasespecifythepassword.Password: //輸入用戶密碼230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(2,42,195).150Herecomesthedirectorylisting.drwxr-xr-x2004096Mar022012pub226DirectorysendOK.ftp>mkdirdir1 //在服務器上創(chuàng)建一個文件夾550Permissiondenied.//權(quán)限被拒絕,表明匿名登錄在默認配置下不能上傳信息ftp>bye221Goodbye.命令格式功能cdremote-directory更改遠程計算機上的工作目錄pwd顯示遠程計算機上的當前目錄ls|dirremote-directory顯示遠程目錄文件和子目錄列表deleteremote-file刪除遠程計算機上的文件rm|getremote-file[local-file]將遠程文件下載到本地計算機put|mputlocal－file[remote－file]將本地文件上傳到遠程計算機上mkdirremote-directory創(chuàng)建遠程目錄rmdirremote-directory刪除遠程目錄bye或quit結(jié)束與遠程計算機的FTP會話并退出ftp14訪問FTP服務器命令的返回值及含義110重新啟動標記應答332登入時需要賬號信息120服務在多久時間內(nèi)ready350請求的操作需要進一部的命令125打開數(shù)據(jù)連接，傳輸開始421無法提供服務，關(guān)閉控制連接150文件狀態(tài)正常，開啟數(shù)據(jù)連接端口425無法開啟數(shù)據(jù)鏈路200命令被接受執(zhí)行成功426關(guān)閉聯(lián)機，終止傳輸202命令執(zhí)行失敗450請求的操作未執(zhí)行211系統(tǒng)狀態(tài)或是系統(tǒng)求助響應451命令終止：有本地的錯誤。212目錄的狀態(tài)452未執(zhí)行命令：磁盤空間不足213文件的狀態(tài)500格式錯誤，無法識別命令214求助的訊息501參數(shù)語法錯誤。215名稱系統(tǒng)類型502命令執(zhí)行失敗。220新的聯(lián)機服務就緒。503命令順序錯誤。221服務的控制連接關(guān)閉，可以注銷504命令所接的參數(shù)不正確。225數(shù)據(jù)連結(jié)開啟，但無傳輸動作530登錄不成功226關(guān)閉數(shù)據(jù)連接端口，請求的文件操作成功532儲存文件需要賬戶登入227進入被動傳輸狀態(tài)550未執(zhí)行請求的操作230使用者登入551請求的命令終止，類型未知。250請求的文件操作完成552請求的文件終止，儲存位溢出。257顯示目前的路徑名稱553未執(zhí)行請求的的命令，名稱不正確331用戶名稱正確，需要密碼設置項說明/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的本地用戶帳號列表文件（黑名單）/etc/vsftpd/user_list禁止或允許使用vsftpd的用戶列表文件/etc/pam.d/vsftpdPAM認證文件（其中file=/etc/vsftpd/ftpusers字段，指明阻止訪問的用戶來自/etc/vsftpd/ftpusers文件中的用戶）

/var/ftp匿名用戶主目錄/var/ftp/pub匿名用戶的下載目錄，此目錄需賦權(quán)根chmod1777pub（1為特殊權(quán)限，使上載后無法刪除）/etc/logrotate.d/vsftpd.logvsftpd的日志文件任務2認識vsftpd的配置文件16主配置文件——/etc/vsftpd/vsftpd.conf可設置：用戶登錄控制、用戶權(quán)限控制、超時設置、服務器功能選項、服務器性能選項、服務器響應消息等FTP服務器的配置。#vi/etc/vsftpd/vsftpd.conf以#號開頭是注釋行或是被關(guān)掉的具有某功能的配置行

所有有效配置行有相同的格式為：option=value等號兩邊不能加空格配置文件的詳細幫助信息可查詢手冊頁#manvsftpd.conf在初始的樣板文件中，并不包括所有想實現(xiàn)的功能，有些功能的實現(xiàn)要添加配置行。任務2認識vsftpd的配置文件17anonymous_enable

=YES/NO是否允許匿名用戶登錄FTP服務器，默認值為YES。no_anon_password=YES/NO

控制匿名用戶登入時是否需要密碼，YES不需要，NO需要。默認值為NO。anon_world_readable_only

=YES/NO

匿名用戶是否允許下載可閱讀的文檔。默認值為YES。#anon_upload_enable

=YES/NO

是否允許匿名用戶上傳文件，缺省為NO。#anon_mkdir_write_enable

=YES/NO是否允許匿名用戶有創(chuàng)建目錄的寫入權(quán)限，默認值為NO1.匿名用戶的有關(guān)設置任務2認識vsftpd的配置文件18anon_other_write_enable=YES/NO

是否允許匿名用戶有其他的寫入權(quán)限，如對文件改名、覆蓋及刪除文件。默認值為NO。ftp_username=

（自添）匿名用戶所使用的系統(tǒng)用戶名。默認下，此參數(shù)在配置文件中不出現(xiàn)，默認值為ftp。anon_root=/var/ftp（自添）設置匿名用戶登錄后所在的目錄（缺省為/var/ftp）anon_umask=022（自添）匿名用戶所上傳文件的默認權(quán)限掩碼值anon_max_rate=200000設置匿名用戶的最大傳輸速度，單位為bytes/sec，值為0表示不限制

1.匿名用戶的有關(guān)設置任務2認識vsftpd的配置文件19local_enable=YES|NO是否允許本地用戶登錄FTP服務器，默認值為YES。

local_umask=022本地用戶上傳文件的默認權(quán)限掩碼值local_max_rate=500000設置本地用戶的最大傳輸速度，單位為bytes/sec，值為0時表示不限制local_root=/var/ftp（自添）設置本地用戶登錄后所在目錄（缺省為為用戶主目錄）。如：user1用戶為：/home/user12.本地用戶的設置任務2認識vsftpd的配置文件write_enable=YES|NO允許用戶訪問時,是否允許他們有寫入的權(quán)限，默認值為YES。listen=YES|NO設置vsftpd服務器是否以獨立（standalone）模式運行，默認值為YES，建議不要更改。很多與服務器運行相關(guān)的配置命令，需要此運行模式才有效。若設置為NO，則vsftpd不是以獨立的服務運行，要受xinetd服務的管理控制，功能上會受限制。listen_port=21設置FTP服務器建立連接所偵聽的端口，默認值為21。3.全局設置任務2認識vsftpd的配置文件213.全局設置max_clients=0設置FTP服務器所允許的最大客戶端連接數(shù)，默認值為0，表示不限制。若設置為150時，則同時允許有150個連接，超出的將拒絕建立連接。只有在以standalone模式運行時才有效。max_per_ip=5設置每個IP地址允許與FTP服務器同時建立連接的數(shù)目。默認為0，不受限制。通常可對此配置進行設置，防止同一個用戶建立太多的連接。只有在以standalone模式運行時才有效。任務2認識vsftpd的配置文件223.全局設置xferlog_enable=YES是否啟用日志xferlog_file=var/log/vsftpd.log

設置日志文件名及路徑。需啟用xferlog_enable選項xferlog_std_format=YES

是否用標準格式存儲日志pam_service_name=vsftpd

設置PAM認證服務的配置文件名,該文件位于/etc/pam.d目錄下任務2認識vsftpd的配置文件233.全局設置——歡迎信息

ftpd_banner=WelcomeblahFTPservice這邊可定義歡迎話語的字符串，相較于banner_file

是檔案的形式，而ftpd_banner

是字串的格式。預設為無。

banner_file

=/etc/vsftpd/banner當使用者登入時，會顯示此設定所在的文件的內(nèi)容，通常為歡迎話語或是說明。默認值為無。dirmessage_enable

=YES如果啟動這個選項，使用者第一次進入一個目錄時，會檢查該目錄下是否有.message這個檔案，若是有，則會出現(xiàn)此檔案的內(nèi)容，通常這個檔案會放置歡迎話語，或是對該目錄的說明。默認值為開啟。message_file=.message設置目錄消息文件。當使用者第一次進入一個目錄時，是否顯示該目錄中的.message文件（需用編輯器手工創(chuàng)建）的內(nèi)容，該文件通常放置歡迎話語，或是對該目錄的說明信息任務2認識vsftpd的配置文件在默認配置下，用戶可以使用“cd..”命名切換到上級目錄。比如，若用戶登錄后所在的目錄為/var/ftp，則在“ftp>”命令行下，執(zhí)行“cd..”命令后，用戶將切換到其上級目錄/var，若繼續(xù)執(zhí)行該命令，則可進入Linux系統(tǒng)的根目錄，從而可以對整個Linux的文件系統(tǒng)進行操作。若設置了write_enable=YES，則用戶還可對根目錄下的文件進行改寫操作，會給系統(tǒng)帶來極大的安全隱患，因此，必須防止用戶切換到Linux的根目錄，相關(guān)的配置項如下：4.控制用戶是否允許切換到上級目錄

任務2認識vsftpd的配置文件（1）配置所有登錄不能改變自己的FTP根目錄chroot_local_user=YES|NO

本地用戶是否鎖定在宿主目錄中要對本地用戶查看效果，需先設置local_root=/var/ftp（2）配置部分賬戶不允許改變自己的FTP根目錄#chroot_list_enable=YES|NO是否啟用chroot_list_file配置項指定的用戶列表文件#chroot_list_file=/etc/vsftpd/chroot_list此文件需自己建立，被列入此文件的用戶，在登錄后將不能切換到自己目錄以外的其他目錄4.控制用戶是否允許切換到上級目錄

任務2認識vsftpd的配置文件chroot_list_enable=YESchroot_local_user=YESchroot_list中的用戶未鎖定，chroot_list外的用戶鎖定chroot_list_enable=YESchroot_local_user=NOchroot_list中的用戶鎖定，chroot_list外的用戶未鎖定chroot_list_enable=NOchroot_local_user=YES所有用戶鎖定chroot_list_enable=NOchroot_local_user=NO所有用戶未鎖定任務2認識vsftpd的配置文件5.設置訪問控制（1）設置允許或不允許訪問的主機tcp_wrappers=YES設置vsftpd服務器是否與tcpwrapper相結(jié)合，進行主機的訪問控制。默認為YES，vsftpd服務器會檢查/etc/hosts.allow和/etc/hosts.deny中的設置，以決定請求連接的主機是否允許訪問該FTP服務器。這兩個文件可以起到簡易的防火墻功能。如：若僅允許～54的用戶，可以訪問連接vsftpd服務器，則可在/etc/hosts.allow文件中添加以下內(nèi)容：vsftpd：/：allowall：all：deny任務2認識vsftpd的配置文件（2）設置允許或不允許訪問的用戶對用戶的訪問控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件來控制實現(xiàn)。相關(guān)配置命令如下：userlist_enable=YES|NO

設置/etc/vsftpd/user_list文件是否啟用生效。YES則生效，NO不生效。userlist_deny=YES|NO設置/etc/vsftpd/user_list文件中的用戶是允許訪問還是不允許訪問。若設置為YES，則/etc/vsftpd/user_list文件中的用戶將不允許訪問FTP服務器；若設置為NO，則只有vsftpd.user_list文件中的用戶，才能訪問FTP服務器。任務2認識vsftpd的配置文件用戶文件列表/etc/vsftpd/ftpusers

指定了不允許訪問FTP服務器的本地用戶賬號（黑名單）

，例如root等。這些賬號不是普通用戶賬號，而是在系統(tǒng)中具有較高權(quán)限的賬號，禁止這些賬號進行FTP登錄可提高系統(tǒng)的安全性。/etc/vsftpd/user_list

指定允許或不允許登陸的用戶列表，使用起來比ftpusers更加靈活。需要在主配置文件中進行設置userlist_enable=YESuserlist_deny=YES●ftpusers中用戶禁止訪問●user_list中用戶禁止訪問（登錄時不會出現(xiàn)密碼提示，直接被服務器拒絕）●其他的ftp用戶都可以登錄userlist_enable=YESuserlist_deny=NO●只允許user_list中的用戶訪問●其他的ftp用戶都不可以登錄任務2認識vsftpd的配置文件任務2認識vsftpd的配置文件userlist_enable=YESftpusers中用戶允許訪問user_list中用戶允許訪問userlist_enable=NOftpusers中用戶禁止訪問user_list中用戶允許訪問userlist_deny=YESftpusers中用戶禁止訪問（登錄時可以看到密碼輸入提示，但仍無法訪問）

user_list中用戶禁止訪問userlist_deny=NOftpusers中用戶禁止訪問user_list中用戶允許訪問任務2認識vsftpd的配置文件6.設置用戶配置文件所在的目錄

在vsftpd服務器中，不同用戶還可使用不同的配置，這要通過用戶配置文件來實現(xiàn)。user_config_dir=/etc/vsftpd/userconf用于設置用戶配置文件所在的目錄。設置了該配置項后，當用戶登錄FTP服務器時，系統(tǒng)就會到/etc/vsftpd/userconf目錄下讀取與當前用戶名相同的文件，并根據(jù)文件中的配置命令，對當前用戶進行更進一步的配置。比如，利用用戶配置文件，可實現(xiàn)對不同用戶進行訪問的速度進行控制，在各用戶配置文件中，定義local_max_rate配置，以決定該用戶允許的訪問速度。任務2認識vsftpd的配置文件7.與連接相關(guān)的設置listen_address=IP地址設置在指定的IP地址上偵聽用戶的FTP請求。若不設置，則對服務器所綁定的所有IP地址進行偵聽。只有在以standalone模式運行時才有效。對于只綁定了一個IP地址的服務器，不需要配置該項，默認情況下，配置文件中沒有該配置項。若服務器同時綁定了多個IP地址，則應通過該配置項，指定在哪個IP地址上提供FTP服務，即指定FTP服務器所使用的IP地址。注意：設置此值前后，可以通過netstat-tnl對比端口的監(jiān)聽情況accept_timeout=60設置建立被動（PASV）數(shù)據(jù)連接的超時時間，單位為秒，默認值為60。connect_timeout=60PORT方式下建立數(shù)據(jù)連接的超時時間，單位為秒。data_connection_timeout=300設置建立