(25)-第12章 FTP服務(wù)器配置

第13章FTP服務(wù)器配置

項(xiàng)目描述：某學(xué)院組建了校園網(wǎng)，建設(shè)了學(xué)院網(wǎng)站，架設(shè)了Web服務(wù)器來(lái)為學(xué)院網(wǎng)站安家，但在網(wǎng)站上傳和更新時(shí)，需要用到文件上傳和下載，功能因此還要架設(shè)FTP服務(wù)器，為學(xué)院內(nèi)部和互聯(lián)網(wǎng)用戶提供FTP等服務(wù)。本單元先實(shí)踐配置與管理Apache服務(wù)器。

項(xiàng)目目標(biāo)：●掌握FTP服務(wù)的工作原理●學(xué)會(huì)配置vsftpd服務(wù)器

●實(shí)踐典型的FTP服務(wù)器配置案例13.1FTP服務(wù)器概述以HTTP為基礎(chǔ)的WWW服務(wù)功能雖然強(qiáng)大，但對(duì)于文件傳輸來(lái)說(shuō)卻略顯不足。一種專門(mén)用于文件傳輸?shù)姆?wù)FTP服務(wù)應(yīng)運(yùn)而生。FTP服務(wù)就是文件傳輸服務(wù)，F(xiàn)TP的全稱是FileTransferProtocol，顧名思義，就是文件傳輸協(xié)議，具備更強(qiáng)的文件傳輸可靠性和更高的效率。13.1.1FTP工作原理FTP大大簡(jiǎn)化了文件傳輸?shù)膹?fù)雜性，它能夠使文件通過(guò)網(wǎng)絡(luò)從一臺(tái)主機(jī)傳送到另外一臺(tái)計(jì)算機(jī)上卻不受計(jì)算機(jī)和操作系統(tǒng)類型的限制。無(wú)論是PC、服務(wù)器、大型機(jī)，還是IOS、Linux、Windows操作系統(tǒng)，只要雙方都支持協(xié)議FTP，就可以方便、可靠地進(jìn)行文件的傳送。FTP服務(wù)的具體工作過(guò)程如下，如圖13.1.1FTP工作原理（1）客戶端向服務(wù)器發(fā)出連接請(qǐng)求，同時(shí)客戶端系統(tǒng)動(dòng)態(tài)地打開(kāi)一個(gè)大于1024的端口等候服務(wù)器連接（比如1031端口）。（2）若FTP服務(wù)器在端口21偵聽(tīng)到該請(qǐng)求，則會(huì)在客戶端1031端口和服務(wù)器的21端口之間建立起一個(gè)FTP會(huì)話連接。（3）當(dāng)需要傳輸數(shù)據(jù)時(shí)，F(xiàn)TP客戶端再動(dòng)態(tài)地打開(kāi)一個(gè)大于1024的端口（比如1032端口）連接到服務(wù)器的20端口，并在這兩個(gè)端口之間進(jìn)行數(shù)據(jù)的傳輸。當(dāng)數(shù)據(jù)傳輸完畢后，這兩個(gè)端口會(huì)自動(dòng)關(guān)閉。（4）當(dāng)FTP客戶端斷開(kāi)與FTP服務(wù)器的連接時(shí)，客戶端上動(dòng)態(tài)分配的端口將自動(dòng)釋放。13.1.2匿名用戶FTP服務(wù)不同于WWW，它首先要求登錄到服務(wù)器上，然后再進(jìn)行文件的傳輸，這對(duì)于很多公開(kāi)提供軟件下載的服務(wù)器來(lái)說(shuō)十分不便，于是匿名用戶訪問(wèn)就誕生了。通過(guò)使用一個(gè)共同的用戶名anonymous，密碼不限的管理策略（一般使用用戶的郵箱作為密碼即可），讓任何用戶都可以很方便地從這些服務(wù)器上下載軟件。13.1.3FTP服務(wù)的傳輸模式FTP服務(wù)有兩種工作模式：主動(dòng)傳輸模式（ActiveFTP）和被動(dòng)傳輸模式（PassiveFTP）。1．主動(dòng)傳輸模式在主動(dòng)傳輸模式下，F(xiàn)TP客戶端隨機(jī)開(kāi)啟一個(gè)大于1024的端口N（比如1031）向服務(wù)器的21號(hào)端口發(fā)起連接，然后開(kāi)放N+1號(hào)端口（1032）進(jìn)行監(jiān)聽(tīng)，并向服務(wù)器發(fā)出PORT1032命令。服務(wù)器接收到命令后，會(huì)用其本地的FTP數(shù)據(jù)端口（通常是20）來(lái)連接客戶端指定的端口1032，進(jìn)行數(shù)據(jù)傳輸，如圖13.1.3FTP服務(wù)的傳輸模式2．被動(dòng)傳輸模式在被動(dòng)傳輸模式下，F(xiàn)TP客戶端隨機(jī)開(kāi)啟一個(gè)大于1024的端口N（比如1031）向服務(wù)器的21號(hào)端口發(fā)起連接，同時(shí)會(huì)開(kāi)啟N+1號(hào)端口（1032），然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動(dòng)模式。服務(wù)器收到命令后，會(huì)開(kāi)放一個(gè)大于1024的端口P（1521）進(jìn)行監(jiān)聽(tīng)，然后用PORTP命令通知客戶端，自己的數(shù)據(jù)端口是1521?？蛻舳耸盏矫詈螅瑫?huì)通過(guò)1032號(hào)端口連接服務(wù)器的端口1521，然后在兩個(gè)端口之間進(jìn)行數(shù)據(jù)傳輸，如圖13.1.4Vsftpd簡(jiǎn)介vsftpd是目前Linux中最常用的FTP服務(wù)器軟件，

vsftpd是“verysecureFTPdaemon”的縮寫(xiě)，安全性是它的一個(gè)最大的特點(diǎn)。它可以運(yùn)行在諸如Linux、BSD、Solaris、HP-UNIX等系統(tǒng)上面，是一個(gè)完全免費(fèi)的、開(kāi)放源代碼的ftp服務(wù)器軟件，支持很多其他的FTP服務(wù)器所不支持的特征。

在開(kāi)源操作系統(tǒng)中常用的FTPD套件主要還有ProFTPD、PureFTPd和wuftpd等

13.1.5FTP命令

Linux系統(tǒng)中FTP命令的登錄界面13.1.5FTP命令

Windows系統(tǒng)中FTP命令的登錄界面在登錄成功之后，用戶就可以進(jìn)行相應(yīng)的文件傳輸操作了。在提示符下輸入“？”，顯示ftp命令說(shuō)明。？與help相同。其中常用到的一些重要命令見(jiàn)相關(guān)資料下載。13.2

項(xiàng)目設(shè)計(jì)與準(zhǔn)備13.2.1項(xiàng)目設(shè)計(jì)在VMWare虛擬機(jī)中啟動(dòng)一臺(tái)Linux服務(wù)器作為vsftpd服務(wù)器，在該系統(tǒng)中添加用戶user1和user2。在客戶端對(duì)vsftpd服務(wù)器進(jìn)行測(cè)試。最后介紹一個(gè)典型vsftpd服務(wù)器配置案例，以達(dá)到融會(huì)貫通的教學(xué)目標(biāo)。13.2.2項(xiàng)目準(zhǔn)備需要如下設(shè)備。1．PC計(jì)算機(jī)2臺(tái)，其中PCA安裝企業(yè)版Linux網(wǎng)絡(luò)操作系統(tǒng)，另一臺(tái)作為測(cè)試客戶端。2．推薦使用虛擬機(jī)進(jìn)行網(wǎng)絡(luò)環(huán)境搭建。13.3

項(xiàng)目實(shí)施13.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)1．安裝vsftpd服務(wù)[root@RHEL6桌面]#rpm-qvsftpd[root@RHEL6桌面]#mkdir/iso[root@RHEL6桌面]#mount/dev/cdrom/isomount:blockdevice/dev/sr0iswrite-protected,mountingread-only[root@RHEL6桌面]#yumcleanall

//安裝前先清除緩存[root@RHEL6桌面]#yuminstallvsftpd–y[root@RHEL6桌面]#yuminstallftp–y //同時(shí)安裝ftp軟件包[root@RHEL6桌面]#rpm–qa|grepvsftpd //檢查安裝組件是否成功13.3

項(xiàng)目實(shí)施13.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)可以使用下面的命令檢查系統(tǒng)是否已經(jīng)安裝了vsftpd服務(wù)：[root@RHEL6桌面]#rpm-qa|grepftpgvfs-obexftp-1.4.3-15.el6.x86_64vsftpd-2.2.2-11.el6.x86_64ftp-0.17-53.el6.x86_6413.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)2．vsftpd服務(wù)啟動(dòng)、重啟、隨系統(tǒng)啟動(dòng)、停止[root@RHEL6桌面]#servicevsftpdstart[root@RHEL6桌面]#servicevsftpdrestart[root@RHEL6桌面]#chkconfigvsftpdon //每次開(kāi)機(jī)后自動(dòng)啟動(dòng)[root@RHEL6桌面]#servicevsftpdstop13.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)3．在客戶端client測(cè)試vsftpd服務(wù)①在虛擬機(jī)client上進(jìn)行測(cè)試，安裝ftp軟件包，測(cè)試時(shí)出現(xiàn)錯(cuò)誤：[root@client桌面]#mount/dev/cdrom/isomount:blockdevice/dev/sr0iswrite-protected,mountingread-only[root@client桌面]#yuminstallvsftpd–y[root@client桌面]#yuminstallftp–y //同時(shí)安裝ftp軟件包[root@client桌面]#ftp0ftp:connect:沒(méi)有到主機(jī)的路由 //出現(xiàn)錯(cuò)誤ftp>exit13.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)3．在客戶端client測(cè)試vsftpd服務(wù)①在虛擬機(jī)client上進(jìn)行測(cè)試，安裝ftp軟件包，測(cè)試時(shí)出現(xiàn)錯(cuò)誤：分析：只能是防火墻和SELinux。一是讓防火墻放行FTP服務(wù)，關(guān)閉SELinux；二是關(guān)閉防火墻和SELinux。13.3.1安裝、啟動(dòng)與停止vsftpd服務(wù)3．在客戶端client測(cè)試vsftpd服務(wù)②關(guān)閉防火墻和SELinux后的測(cè)試結(jié)果如圖所示。默認(rèn)FTP目錄下有個(gè)文件夾pub。13.3.2認(rèn)識(shí)VSftpd的配置文件vftpd的配置主要通過(guò)以下幾個(gè)文件來(lái)完成。1．/etc/pam.d/vsftpdvsftpd的PluggableAuthenticationModules（PAM）配置文件，主要用來(lái)加強(qiáng)vsftpd服務(wù)器的用戶認(rèn)證。2．/etc/vsftpd/vsftpd.confvsftpd的主配置文件。配置FTP服務(wù)器主要工作要通過(guò)修改此文件來(lái)完成。13.3.2認(rèn)識(shí)VSftpd的配置文件3．/etc/vsftpd/ftpusers所有位于此文件內(nèi)的用戶都不能訪問(wèn)vsftpd服務(wù)。當(dāng)然，為了安全起見(jiàn)，這個(gè)文件中默認(rèn)已經(jīng)包括了root、bin和daemon等系統(tǒng)賬號(hào)。4．/etc/vsftpd/user_list這個(gè)文件中包括的用戶有可能是被拒絕訪問(wèn)vsftpd服務(wù)的，也可能是允許訪問(wèn)的，這主要取決于vsftpd的主配置文件/etc/vsftpd/vsftpd.conf中的“userlist_deny”參數(shù)是設(shè)置為“YES”（默認(rèn)值）還是“NO”。5．/var/ftpvsftpd提供服務(wù)的文件集散地，它包括一個(gè)pub子目錄。在默認(rèn)配置下，所有的目錄都是只讀的，不過(guò)只有root用戶有寫(xiě)權(quán)限。13.3.4配置vsftpd常規(guī)服務(wù)器1．配置監(jiān)聽(tīng)地址與控制端口有時(shí)候，也許你不想采用FTP的默認(rèn)21端口來(lái)提供服務(wù)。【例13-1】設(shè)置客戶端訪問(wèn)通過(guò)2121端口，而不是默認(rèn)的21端口來(lái)進(jìn)行。（1）用文本編輯器打開(kāi)/etc/vsftpd/vsftpd.conf。[root@server～]#vim/etc/vsftpd/vsftpd.conf（2）在其中添加如下兩行。listen_address=0listen_port=212113.3.4配置vsftpd常規(guī)服務(wù)器【例13-1】設(shè)置客戶端訪問(wèn)通過(guò)2121端口，而不是默認(rèn)的21端口來(lái)進(jìn)行。③關(guān)閉防火墻和SELinux，然后重啟vsftpd服務(wù)后，在client客戶端測(cè)試結(jié)果如下。（測(cè)試結(jié)束，將上面兩行語(yǔ)句刪除，以免影響后面實(shí)訓(xùn)。）[root@RHEL6~]#ftp02121Connectedto0(0).220(vsftpd2.2.2)Name(0:root):anonymous //也可以輸入"ftp"331Pleasespecifythepassword.Password: //匿名訪問(wèn)，密碼為空230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>exit //退出FTP交互方式。13.3.4配置vsftpd常規(guī)服務(wù)器2．配置FTP模式與數(shù)據(jù)端口vsftpd的主配置文件中還可以決定FTP采用的模式和數(shù)據(jù)傳輸端口。（1）connect_from_port_20。設(shè)置以port模式進(jìn)行數(shù)據(jù)傳輸時(shí)使用20端口?！癥ES”：表示使用?！癗O”：表示不使用。（2）pasv_address。定義vsftpd服務(wù)器使用PASV模式時(shí)使用的IP地址。默認(rèn)值未設(shè)置。（3）pasv_enable。默認(rèn)值為“YES”，也就是允許使用PASV模式。13.3.4配置vsftpd常規(guī)服務(wù)器2．配置FTP模式與數(shù)據(jù)端口（4）pasv_min_port。

pasv_max_port指定PASV模式可以使用的最?。ù螅┒丝?，默認(rèn)值為0，就是未限制，請(qǐng)將它設(shè)置為不小于1

024的數(shù)值（最大端口不能大于65535）。（5）pasv_promiscuous。設(shè)置為“YES”時(shí)，可以允許使用FxP功能。就是支持你的臺(tái)式機(jī)作為客戶控制端，讓數(shù)據(jù)在兩臺(tái)服務(wù)器之間傳輸。（6）port_enable。允許使用主動(dòng)傳輸模式，默認(rèn)值為“YES”。13.3.4配置vsftpd常規(guī)服務(wù)器3．配置ASCII模式（1）ascii_download_enable。設(shè)置是否可用ASCII模式下載。默認(rèn)值為“NO”。（2）ascii_upload_enable。設(shè)置是否可用ASCII模式上傳。默認(rèn)值為“NO”。13.3.4配置vsftpd常規(guī)服務(wù)器4．配置超時(shí)選項(xiàng)vsftpd中還有超時(shí)定義選項(xiàng)，以防客戶端無(wú)限制地連接在FTP服務(wù)器上，占據(jù)寶貴的系統(tǒng)資源。（1）data_connection_timeout。定義數(shù)據(jù)傳輸過(guò)程中被阻塞的最長(zhǎng)時(shí)間（以秒為單位），一旦超出這個(gè)時(shí)問(wèn)，客戶端的連接將被關(guān)閉。默認(rèn)值是“300”。（2）idle_session_timeout。定義客戶端閑置的最長(zhǎng)時(shí)間（以秒為單位，默認(rèn)值是300）。超過(guò)300秒后，客戶端的連接將被強(qiáng)制關(guān)閉。（3）connect_timeout。設(shè)置客戶端嘗試連接vsftpd命令通道的超時(shí)時(shí)間。13.3.4配置vsftpd常規(guī)服務(wù)器4．配置超時(shí)選項(xiàng)【例13-2】設(shè)置客戶端連接超時(shí)時(shí)間為60秒。connect_timeout=6013.3.4配置vsftpd常規(guī)服務(wù)器5．配置負(fù)載控制當(dāng)然，所有的服務(wù)器管理員都不希望FTP客戶端占用過(guò)多的帶寬，而影響了服務(wù)器的正常運(yùn)行，通過(guò)以下參數(shù)就可以設(shè)置。（1）anon_max_rate=5000。匿名用戶的最大傳輸速率，單位是B/s。（2）local_max_rate=20000。本地用戶的最大傳輸速率，單位是B/s?！纠?3-3】限制所有用戶的下載速度為60KB/s。anon_max_rate=60000local_max_rate=6000013.3.4配置vsftpd常規(guī)服務(wù)器6．配置匿名用戶以下選項(xiàng)控制anonymous（匿名用戶）訪問(wèn)vsftpd服務(wù)器。（1）anonymous_enable。當(dāng)設(shè)置為“anonymous_enable=YES”時(shí)，表示啟用匿名用戶。當(dāng)然，以下所有的控制匿名用戶的選項(xiàng)，也只有在這項(xiàng)設(shè)置為“YES”時(shí)才生效?！纠?3-4】拒絕匿名用戶登錄FTP服務(wù)器。anonymous_enable=NO（2）anon_mkdir_write_enable。本選項(xiàng)設(shè)置為“YES”時(shí)，匿名用戶可以在一個(gè)具備寫(xiě)權(quán)限的目錄中創(chuàng)建新目錄。默認(rèn)值為“NO”。13.3.4配置vsftpd常規(guī)服務(wù)器（3）anon_root。當(dāng)匿名用戶登錄vsftpd后，將它的目錄切換到指定目錄。默認(rèn)值為未設(shè)置?！纠?3-5】設(shè)置匿名用戶的根目錄為/var/ftp/temp。anon_root=/var/ftp/temp（4）anon_upoad_enable。當(dāng)本選項(xiàng)設(shè)置為“YES”時(shí)，匿名用戶可以向具備寫(xiě)權(quán)限的目錄中上傳文件。默認(rèn)值為“NO”。（5）anon_world_readable_only。默認(rèn)值為“YES”，這代表著匿名用戶只具備下載權(quán)限。（6）ftp_username。指定匿名用戶與本地的哪個(gè)賬號(hào)相對(duì)應(yīng)，該用戶的/home目錄即為匿名用戶訪問(wèn)FTP服務(wù)器時(shí)的根目錄。默認(rèn)值是“ftp”。13.3.4配置vsftpd常規(guī)服務(wù)器（7）no_anon_password。設(shè)置為“YES”時(shí)，匿名用戶不用輸入密碼。默認(rèn)值為“NO”。（8）secure_email_1ist_enable。當(dāng)設(shè)置為“YES”時(shí)（默認(rèn)值為“NO”），匿名用戶只有采用特定的E-mail作為密碼才能訪問(wèn)vsftpd服務(wù)?！纠?3-6】搭建一臺(tái)FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。①用文本編輯器打開(kāi)，/etc/vsftpd/vsftpd.conf。[root@server～]#vim/etc/vsftpd/vsftpd.conf13.3.4配置vsftpd常規(guī)服務(wù)器②在其中添加如下4行：anonymous_enable=YES #允許匿名用戶登錄anon_root=/var/ftp #設(shè)置匿名用戶的根目錄為/var/ftpanon_upload_enable=YES #允許匿名用戶上傳文件anon_mkdir_write_enable=YES #允許匿名用戶創(chuàng)建文件夾13.3.4配置vsftpd常規(guī)服務(wù)器③在Windows7客戶端的資源管理器中輸入0，打開(kāi)pub目錄，新建一個(gè)文件夾，結(jié)果出錯(cuò)了。13.3.4配置vsftpd常規(guī)服務(wù)器④設(shè)置本地系統(tǒng)權(quán)限，一是將屬主設(shè)為ftp，二是對(duì)pub目錄賦予其他用戶寫(xiě)的權(quán)限。[root@RHEL6桌面]#ll-ld/var/ftp/pubdrwxr-xr-x.2rootroot40961月312:36/var/ftp/pub//其他用戶沒(méi)有寫(xiě)入權(quán)限[root@RHEL6桌面]#chownftp/var/ftp/pub //將屬主改為匿名用戶ftp[root@RHEL6桌面]#ll-ld/var/ftp/pubdrwxr-xr-x.2ftproot40961月312:36/var/ftp/pub //已將屬主改為匿名用戶ftp[root@RHEL6桌面]#servicevsftpdrestart⑤再次使用Windows7客戶端測(cè)試，在pub目錄下能夠建立新文件夾。13.3.4配置vsftpd常規(guī)服務(wù)器13.3.4配置vsftpd常規(guī)服務(wù)器7．配置本地用戶及目錄vsftpd允許用戶以本地用戶或者匿名用戶登錄（其中本地用戶就是服務(wù)器上有實(shí)際賬號(hào)的那些用戶），并且提供了豐富的控制選項(xiàng)。（1）local_enable。是否允許本地用戶登錄，默認(rèn)值為“YES”，也就是允許本地用戶訪問(wèn)vsftpd服務(wù)器。以下選項(xiàng)只有在“l(fā)ocalenable=YES”的前提下才有效。

13.3.4配置vsftpd常規(guī)服務(wù)器7．配置本地用戶及目錄【例13-7】允許本地用戶登錄FTP服務(wù)器。local_enable=YES（2）local_root。指定本地用戶登錄vsftpd服務(wù)器時(shí)切換到的目錄。沒(méi)有設(shè)置默認(rèn)值。13.3.4配置vsftpd常規(guī)服務(wù)器（3）local_umask。設(shè)置文件創(chuàng)建的掩碼（操作方法與Linux下文件屬性設(shè)置相同），默認(rèn)值是“022”，也就是其他用戶具有只讀屬性。13.3.4配置vsftpd常規(guī)服務(wù)器【例13-8】搭建一臺(tái)只允許本地賬戶登錄的FTP服務(wù)器0。①用文本編輯器打開(kāi)/etc/vsftpd/vsftpd.conf主配置文件?！緍oot@server～】#vim/etc/vsftpd/vsftpd.conf②在其中添加如下3行：anonymous_enable=NO #不允許匿名用戶登錄local_enable=YES #允許本地用戶登錄FTP服務(wù)器local_root=/home #指定本地用戶登錄FTP服務(wù)器時(shí)切換到的目錄13.3.4配置vsftpd常規(guī)服務(wù)器【例13-8】搭建一臺(tái)只允許本地賬戶登錄的FTP服務(wù)器。③建立不能在本地登錄的用戶user1和user2，并設(shè)置用戶密碼。[root@RHEL6桌面]#useradd-s/sbin/nologinuser1[root@RHEL6桌面]#useradd-s/sbin/nologinuser2[root@RHEL6桌面]#passwduser1[root@RHEL6桌面]#passswduser213.3.4配置vsftpd常規(guī)服務(wù)器【例13-8】搭建一臺(tái)只允許本地賬戶登錄的FTP服務(wù)器。④測(cè)試。[root@client桌面]#ftp0Connectedto0(0).220(vsftpd2.2.2)Name(0:root):ftp //輸入匿名用戶ftp登錄331Pleasespecifythepassword.Password:clos530Loginincorrect.Loginfailed. //登錄失敗ftp>close //關(guān)閉該連接221Goodbye.ftp>open0 //重新打開(kāi)ftp服務(wù)器0Connectedto0(0).220(vsftpd2.2.2)Name(0:root):user1 //輸入本地用戶user1331Pleasespecifythepassword.Password: //輸入user1的用戶密碼230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls //登錄成功，可以列出設(shè)置的根目錄下的文件夾227EnteringPassiveMode(192,168,1,30,248,129).150Herecomesthedirectorylisting.drwx------20016384Dec0318:12lost+founddrwx------45015014096Dec1307:50user1drwx------45025024096Dec1307:51user2drwx------265005004096Dec0320:10yyadmin226DirectorysendOK.ftp>13.3.4配置vsftpd常規(guī)服務(wù)器（4）chmod_enable。當(dāng)設(shè)置為“YES”時(shí)，以本地用戶登錄的客戶端可以通過(guò)“SITECHMOD”命令來(lái)修改文件的權(quán)限。（5）chroot_local_user。設(shè)置為“YES”時(shí)，本地用戶只能訪問(wèn)到它的/home目錄，不能切換到/home目錄之外。（6）chroot_list_enable。13.3.4配置vsftpd常規(guī)服務(wù)器當(dāng)設(shè)置為“YES”時(shí)，表示本地用戶也有些例外，可以切換到它的/home目錄之外，例外的用戶在“chroot_list_file”指定的文件中（默認(rèn)文件是“/etc/vsftpd/chroot_list”）。限制用戶目錄的意思就是把使用者的活動(dòng)范圍限制在某一個(gè)目錄里，他可以在這個(gè)目錄范圍內(nèi)自由活動(dòng)，但是不可以進(jìn)入這個(gè)目錄以外的任何目錄。如果我們不限制FTP服務(wù)器使用者的活動(dòng)范圍的話，那么所有的使用者就可以隨意地瀏覽整個(gè)文件系統(tǒng)，稍有設(shè)置不當(dāng)就會(huì)給一些心懷不軌的用戶制造機(jī)會(huì)，所以vsftp提供防止出現(xiàn)這類問(wèn)題的功能，它就是限制用戶目錄。

13.3.4配置vsftpd常規(guī)服務(wù)器【例13-9】限制用戶目錄只能在本人/home目錄內(nèi)。①建立用戶user1和user2。[root@RHEL6～]#useradd-s/sbin/nologinuser1[root@RHEL6～]#useradd-s/sbin/nologinuser213.3.4配置vsftpd常規(guī)服務(wù)器②修改主配置文件/etc/vsftpd/vsftpd.conf。把chroot_list_enable和chroot_list_file前面的注釋符號(hào)去掉即可。chroot_list_enable=YES#(defaultfollows)chroot_list_file=/etc/vsftpd/chroot_list③編輯chroot_list文件。編輯/etc/vsftpd/chroot_list，并添加需要鎖定用戶目錄的賬號(hào)（注意每個(gè)用戶占一行）。[root@RHEL6～]#vim/etc/vsftpd/chroot_listuser1user213.3.4配置vsftpd常規(guī)服務(wù)器④重啟服務(wù)及測(cè)試。當(dāng)使用user1賬號(hào)登錄的時(shí)候，發(fā)現(xiàn)可以成功登錄，但是當(dāng)使用pwd命令查看當(dāng)前路徑時(shí)，發(fā)現(xiàn)目前所處的位置是在“/”下，而使用ls命令后發(fā)現(xiàn)，實(shí)際現(xiàn)在所處的位置是在/home目錄下。這樣一來(lái)，user1這個(gè)用戶就被完全鎖定在/home目錄中了，即使user1賬號(hào)被黑客或圖謀不軌者盜取，也無(wú)法對(duì)服務(wù)器做出過(guò)大的危害，從而大大提高系統(tǒng)安全性。13.3.4配置vsftpd常規(guī)服務(wù)器8．配置虛擬用戶基于安全方面的考慮，vsftpd除了支持本地用戶和匿名用戶之外，還支持虛擬用戶，就是將所有非Anonymous（匿名用戶）都映射為一個(gè)虛擬用戶，從而統(tǒng)一限制其他用戶的訪問(wèn)權(quán)限。（1）guest_enable。當(dāng)設(shè)置為“YES”時(shí)（默認(rèn)值為“NO”），所有非匿名用戶都被映射為一個(gè)特定的本地用戶。該用戶通過(guò)“guest_username”命令指定。（2）guest_username。設(shè)置虛擬用戶映射到的本地用戶，默認(rèn)值為“ftp”。13.3.4配置vsftpd常規(guī)服務(wù)器9．配置用戶登錄控制vsftpd還提供了豐富的登錄控制選項(xiàng)，包括登錄后客戶端可以顯示的信息，允許執(zhí)行的命令等，以及登錄中的一些控制選項(xiàng)。（1）banner_file。設(shè)置客戶端登錄之后，服務(wù)器顯示在客戶端的信息，該信息保存在“banner_file”指定的文本文件中。（2）cmds_allowed。設(shè)置客戶端登錄vsftpd服務(wù)器后，客戶端可以執(zhí)行的命令集合。需要注意的是，如果設(shè)置了該命令，則其他沒(méi)有列在其中的命令都拒絕執(zhí)行。沒(méi)有設(shè)置默認(rèn)值。（3）ftpd-banner。設(shè)置客戶端登錄vsftpd服務(wù)器后，客戶端顯示的歡迎信息或者其他相關(guān)信息。需要注意的是，如果設(shè)置了“banner_file”，則本命令會(huì)被忽略。沒(méi)有設(shè)置默認(rèn)值。13.3.4配置vsftpd常規(guī)服務(wù)器（4）userlist_enable。

userlist_deny設(shè)置使用/etc/vsftpd/user_list文件來(lái)控制用戶的訪問(wèn)權(quán)限，當(dāng)userlist_deny設(shè)置為“YES”時(shí)，user_list中的用戶都不能登錄vsftpd服務(wù)器；設(shè)置為“NO”時(shí)，只有該文件中的用戶才能訪問(wèn)vsftpd服務(wù)器。當(dāng)然，這些都是在“userlist_enable”被設(shè)置為“YES”時(shí)才生效。13.3.4配置vsftpd常規(guī)服務(wù)器【例13-10】設(shè)置一個(gè)禁止登錄的用戶列表文件/etc/vsftpd/user_list，并讓該文件可以正常工作。[root@RHEL6～]#vim/etc/vsftpd/vsftpd.confuserlist_enable=YESuserlist_file=/etc/vsftpd/user_list13.3.4配置vsftpd常規(guī)服務(wù)器10．配置目錄訪問(wèn)控制vsftpd還針對(duì)目錄的訪問(wèn)設(shè)置了豐富的控制選項(xiàng)。（1）dirlist_enable。設(shè)置是否允許用戶列目錄。默認(rèn)值為“YES”，即允許列目錄。（2）dirmessage_enable。設(shè)置當(dāng)用戶切換到一個(gè)目錄時(shí)，是否顯示目錄切換信息。如果設(shè)置為“YES”，則顯示“message_file”指定文件中的信息（默認(rèn)是顯示.message文件信息）。在項(xiàng)目實(shí)錄中的子項(xiàng)目3對(duì)此有詳細(xì)講解。（3）message_file。用于指定目錄切換時(shí)顯示的信息所在的文件，默認(rèn)值為“.message”。13.3.4配置vsftpd常規(guī)服務(wù)器【例13-11】設(shè)置用戶進(jìn)入/home/user1/目錄后，提示“Welcometouser1'sspace！”。

①用vim編輯/etc/vsftpd/vsftpd.conf主配置文件。[root@RHEL6～]#vim/etc/vsftpd/vsftpd.confdirmessage_enable=YESmessage_file=.message #指定信息文件為.message②創(chuàng)建提示性文件。[root@RHEL6～]#cd/home/user1root@RHEL6user1]#vim.messageWelcometouser1'sspace！13.3.4配置vsftpd常規(guī)服務(wù)器【例13-11】設(shè)置用戶進(jìn)入/home/user1/目錄后，提示“Welcometouser1'sspace！”。③測(cè)試。測(cè)試結(jié)果表明，使用user1登錄成功，當(dāng)進(jìn)入user1目錄時(shí)，顯示提示信息“Welcometouser1'sspace！”。時(shí)刻注意防火墻和SELinux、本地權(quán)限等對(duì)FTP服務(wù)器配置的影響，其他服務(wù)器也要注意！13.3.4配置vsftpd常規(guī)服務(wù)器（4）force_dot_file。設(shè)置是否顯示以“.”開(kāi)頭的文件，默認(rèn)值是不顯示。（5）hide_ids。隱藏文件的所有者和組信息，匿名用戶看到的文件所有者和組全部變成ftp。11．配置文件操作控制vsftpd還提供了幾個(gè)選項(xiàng)用于控制文件的上傳和下載。（1）download_enable。設(shè)置是否允許下載。默認(rèn)值是“YES”，即允許下載。（2）chown_uploads。當(dāng)設(shè)置為“YES”時(shí)，所有匿名用戶上傳的文件，其擁有者都會(huì)被設(shè)置為“chown_username”命令指定的用戶。默認(rèn)值是“NO”。（3）chown_username。設(shè)置匿名用戶上傳的文件的擁有者。默認(rèn)值是“root”。（4）write_enable。當(dāng)設(shè)置為“YES”時(shí)，F(xiàn)TP客戶端登錄后允許使用DELE（刪除文件）、RNFR（重命名）和STOR（斷點(diǎn)續(xù)傳）命令。13.3.4配置vsftpd常規(guī)服務(wù)器13.3.4配置vsftpd常規(guī)服務(wù)器12．配置新增文件權(quán)限設(shè)置vsftpd服務(wù)器可以讓我們?cè)O(shè)置上傳過(guò)來(lái)的文件權(quán)限，以進(jìn)行安全方面的設(shè)置。（1）anon_umask。匿名用戶新增文件的umask數(shù)值。默認(rèn)值為077。（2）file_open_mode。上傳文件的權(quán)限，與chmod所使用的數(shù)值相同。如果希望上傳的文件可以執(zhí)行，則設(shè)置此值為0777。默認(rèn)值為0666。（3）local_umask。本地用戶新增文件時(shí)的umask數(shù)值（默認(rèn)值為077）。不過(guò)，其他大多數(shù)的FTP服務(wù)器使用的都是022。如果用戶希望的話，則可以修改為022。13.3.4配置vsftpd常規(guī)服務(wù)器13．日志設(shè)置vsftpd還可以讓我們記錄服務(wù)器的工作狀態(tài)，以及客戶端的上傳、下載操作。（1）dual_log_enable。如果啟用，將生成兩個(gè)相似的日志文件，分別為/var/log/xferlog和/var/logrolate.d/vsftpd.log。前者是Wu-ftpd類型的傳輸日志，可以用于標(biāo)準(zhǔn)工具分析；后者是vsftpd自己類型的日志。默認(rèn)值為“NO”。（2）log_ftp_protocol。是否記錄所有的FTP命令信息。默認(rèn)值為“NO”。（3）syslog_enable。設(shè)置為“YES”時(shí)會(huì)將本來(lái)應(yīng)記錄在/var/logrolate.d/vsftpd.log中的信息，轉(zhuǎn)而傳給syslogddaemon，由syslogd的配置文件決定存于什么位置。默認(rèn)值為“NO”。13.3.4配置vsftpd常規(guī)服務(wù)器13．日志設(shè)置（4）xferlog_enable。如果啟用，將會(huì)維護(hù)一日志文件，用于詳細(xì)記錄上傳和下載操作。在默認(rèn)情況下，這個(gè)日志文件是/var/logrolate.d/vsftpd.log，但是也可以通過(guò)配置文件中的vsftpd_log_file選項(xiàng)來(lái)指定。默認(rèn)值為“NO”。（5）xferlog_std_format。如果啟用，傳輸日志文件將以標(biāo)準(zhǔn)xferlog的格式書(shū)寫(xiě)，如同Wu-ftpd一樣。此格式的日志文件默認(rèn)/var/log/xferlog，但是也可以通過(guò)xferlog_file選項(xiàng)來(lái)設(shè)定。13.3.4配置vsftpd常規(guī)服務(wù)器14．配置限制服務(wù)器連接數(shù)限制在同一時(shí)刻內(nèi)允許連接服務(wù)器的數(shù)量是一種非常有效的保護(hù)服務(wù)器并減少負(fù)載的方式之一。主配置文件中常用的字段有以下兩種。（1）max_clients。設(shè)置FTP同一時(shí)刻的最大連接數(shù)。默認(rèn)值為0，表示不限制最大連接數(shù)。（2）max_per_ip。設(shè)置每個(gè)IP的最大連接數(shù)。默認(rèn)值為0，表示不限制最大連接數(shù)。13.3.4配置vsftpd常規(guī)服務(wù)器15．常規(guī)FTP服務(wù)器配置案例Ⅰ某學(xué)院信息工程系準(zhǔn)備搭建一臺(tái)功能簡(jiǎn)單的FTP服務(wù)器，允許信息工程系員工上傳和下載文件，并允許創(chuàng)建用戶自己的目錄。本案例是一個(gè)較為簡(jiǎn)單的基本案例，允許所有員工上傳和下載文件需要設(shè)置成為允許匿名用戶登錄，而且，還需要把允許匿名用戶上傳功能打開(kāi)。anon_mkdir_write_enable字段可以控制是否允許匿名用戶創(chuàng)建目錄。13.3.4配置vsftpd常規(guī)服務(wù)器解決方案如下。（1）用文本編輯器編輯/etc/vsftpd/vsftpd.conf，并允許匿名用戶訪問(wèn)。[root@server～]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES #允許匿名用戶登錄（2）允許匿名用戶上傳文件，并可以創(chuàng)建目錄。anon_upload_enable=YES #允許匿名用戶上傳文件anon_mkdir_write_enable #允許匿名用戶創(chuàng)建目錄提示：把a(bǔ)non_upload_enable和anon_mkdir_write_enable前面的注釋符號(hào)去掉即可。13.3.4配置vsftpd常規(guī)服務(wù)器（3）重啟vsftpd服務(wù)。[root@server～]#servicevsftpdrestart（4）修改/var/ftp權(quán)限。為了保證匿名用戶能夠上傳和下載文件，使用chmod命令開(kāi)放所有的系統(tǒng)權(quán)限。[root@server～]#chmod777-R/var/ftp提示：其中777表示給所有用戶讀、寫(xiě)和執(zhí)行權(quán)限，-R為遞歸修改/var/ftp下所有目錄的權(quán)限。（5）測(cè)試。公司內(nèi)部現(xiàn)在有一臺(tái)FTP和Web服務(wù)器，F(xiàn)TP的功能主要用于維護(hù)公司的網(wǎng)站內(nèi)容，包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁(yè)等等。公司現(xiàn)有兩個(gè)部門(mén)負(fù)責(zé)維護(hù)任務(wù)，他們分別適用team1和team2賬號(hào)進(jìn)行管理。先要求僅允許team1和team2賬號(hào)登錄FTP服務(wù)器，但不能登錄本地系統(tǒng)，并將這兩個(gè)賬號(hào)的根目錄限制為/var/www/html，不能進(jìn)入該目錄以外的任何目錄。2.需求分析將FTP服務(wù)器和Web服務(wù)器做在一起是企業(yè)經(jīng)常采用的方法，這樣方便實(shí)現(xiàn)對(duì)網(wǎng)站的維護(hù)。為了增強(qiáng)安全性，首先需要使用僅允許本地用戶訪問(wèn)，并禁止匿名用戶登錄。其次，使用chroot功能將team1和team2鎖定在/var/www/html目錄下。如果需要?jiǎng)h除文件，則還需要注意本地權(quán)限。13.3.4配置vsftpd常規(guī)服務(wù)器13.3.4配置vsftpd常規(guī)服務(wù)器解決方案如下。（1）建立維護(hù)網(wǎng)站內(nèi)容的FTP賬號(hào)team1和team2并禁止本地登錄，然后為其設(shè)置密碼。[root@RHEL6桌面]#useradd-s/sbin/nologinteam1[root@RHEL6桌面]#useradd-s/sbin/nologinteam2[root@RHEL6桌面]#passwdteam1[root@RHEL6桌面]#passwdteam2（2）配置vsftpd.conf主配置文件并做相應(yīng)修改。13.3.4配置vsftpd常規(guī)服務(wù)器[root@RHEL6桌面]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NO #禁止匿名用戶登錄local_enable=YES #允許本地用戶登錄local_root=/var/www/html #設(shè)置本地用戶的根目錄為/var/www/htmlchroot_list_enable=YES #激活chroot功能chroot_list_file=/etc/vsftpd/chroot_list #設(shè)置鎖定用戶在根目錄中的列表文件保存主配置文件并退出。（3）建立/etc/vsftpd/chroot_list文件，添加team1和team2賬號(hào)。[root@RHEL6桌面]#vim/etc/vsftpd/chroot_listteam1team213.3.4配置vsftpd常規(guī)服務(wù)器（4）關(guān)閉防火墻和SELinux。①利用setup命令打開(kāi)防火墻對(duì)話框，將“啟用”前面的“*”按空格去掉，保存退出即可。②編輯/etc/sysconfig/selinux文件，將“SELINUX=enforcing”改為“SELINUX=disabled”，存盤(pán)退出，重啟系統(tǒng)即可。13.3.4配置vsftpd常規(guī)服務(wù)器（5）重啟vsftpd服務(wù)使配置生效。[root@RHEL6桌面]#servicevsftpdrestart13.3.4配置vsftpd常規(guī)服務(wù)器（6）修改本地權(quán)限。[root@RHEL6桌面]#ll-d/var/www/html[root@RHEL6桌面]#chmod-Ro+w/var/www/html //其他用戶可以寫(xiě)入！[root@RHEL6桌面]#ll-d/var/www/html13.3.4配置vsftpd常規(guī)服務(wù)器（7）在Linux客戶端client上的測(cè)試結(jié)果如圖所示。13.3.5設(shè)置vsftp虛擬賬號(hào)1．創(chuàng)建用戶數(shù)據(jù)庫(kù)（1）創(chuàng)建用戶文本文件。首先，建立保存虛擬賬號(hào)和密碼的文本文件，格式如下。虛擬賬號(hào)1密碼虛擬賬號(hào)2密碼13.3.5設(shè)置vsftp虛擬賬號(hào)使用vi編輯器建立用戶文件vuser.txt，添加虛擬賬號(hào)user10和user20。如下所示。[root@server～]#mkdir/vftp[root@server～]#vim/vftp/vuser.txtuser10123456user2012345613.3.5設(shè)置vsftp虛擬賬號(hào)13.3.5設(shè)置vsftp虛擬賬號(hào)（3）修改數(shù)據(jù)庫(kù)文件訪問(wèn)權(quán)限。數(shù)據(jù)庫(kù)文件中保存著虛擬賬號(hào)和密碼信息，為了防止非法用戶盜取，可以修改該文件的訪問(wèn)權(quán)限。[root@server～]#chmod700/vftp/vuser.db[root@server～]#ll/vftp13.3.5設(shè)置vsftp虛擬賬號(hào)2．配置PAM文件為了使服務(wù)器能夠使用數(shù)據(jù)庫(kù)文件，對(duì)客戶端進(jìn)行身份驗(yàn)證，需要調(diào)用系統(tǒng)的PAM模塊。PAM（PlugableAuthenticationModule）為可插拔認(rèn)證模塊，不必重新安裝應(yīng)用程序，通過(guò)修改指定的配置文件，調(diào)整對(duì)該程序的認(rèn)證方式。PAM模塊配置文件路徑為/etc/pam.d，該目錄下保存著大量與認(rèn)證有關(guān)的配置文件，并以服務(wù)名稱命名。下面修改vsftp對(duì)應(yīng)的PAM配置文件/etc/pam.d/vsftpd，將默認(rèn)配置使用“#”全部注釋，添加相應(yīng)字段，如下所示。[root@RHEL6桌面]#vim/etc/pam.d/vsftpd#PAM-1.0#session optional pam_keyinit.so force revoke#auth required pam_listfile.so item=user sense=deny#file=/etc/vsftpd/ftpusers onerr=succeed#auth required pam_shells.soauth required /lib64/security/pam_userdb.so db=/vftp/vusersession required /lib64/security/pam_userdb.so db=/vftp/vuser13.3.5設(shè)置vsftp虛擬賬號(hào)13.3.5設(shè)置vsftp虛擬賬號(hào)4．修改vsftpd.confanonymous_enable=NO ①anon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOlocal_enable=YES ②chroot_local_user=YES ③write_enable=NO ④guest_enable=YES ⑤guest_username=vuser ⑥listen=YES ⑦pam_service_name=vsftpd ⑧以上代碼中其后帶序號(hào)的各行功能說(shuō)明如下。①為了保證服務(wù)器的安全，關(guān)閉匿名訪問(wèn)，以及其他匿名相關(guān)設(shè)置。②虛擬賬號(hào)會(huì)映射為服務(wù)器的系統(tǒng)賬號(hào)，所以需要開(kāi)啟本地賬號(hào)的支持。③鎖定賬戶的根目錄。④關(guān)閉用戶的寫(xiě)權(quán)限。⑤開(kāi)啟虛擬賬號(hào)訪問(wèn)功能。⑥設(shè)置虛擬賬號(hào)對(duì)應(yīng)的系統(tǒng)賬號(hào)為vuser。⑦設(shè)置FTP服務(wù)器為獨(dú)立運(yùn)行。⑧配置vsftp使用的PAM模塊為vsftpd。13.3.5設(shè)置vsftp虛擬賬號(hào)5．重啟vsftpd服務(wù)6．測(cè)試使用虛擬賬號(hào)user1登錄FTP服務(wù)器，進(jìn)行測(cè)試，會(huì)發(fā)現(xiàn)虛擬賬號(hào)登錄成功，并顯示FTP服務(wù)器目錄信息。13.4配置基于虛擬用戶的FTP服務(wù)器案例13.4.1企業(yè)環(huán)境公司為了宣傳最新的產(chǎn)品信息，計(jì)劃搭建FTP服務(wù)器，為客戶提供相關(guān)文檔的下載。對(duì)所有互聯(lián)網(wǎng)用戶開(kāi)放共享目錄，允許下載產(chǎn)品信息，禁止上傳。公司的合作單位能夠使用FTP服務(wù)器進(jìn)行上傳和下載，但不可刪除數(shù)據(jù)。并且為保證服務(wù)器的穩(wěn)定性，需要進(jìn)行適當(dāng)優(yōu)化設(shè)置。13.4.2需求分析根據(jù)企業(yè)的需求，對(duì)于不同用戶進(jìn)行不同的權(quán)限限制，F(xiàn)TP服務(wù)器需要實(shí)現(xiàn)用戶的審核。而考慮服務(wù)器的安全性，所以關(guān)閉實(shí)體用戶登錄，使用虛擬賬戶驗(yàn)證機(jī)制，并對(duì)不同虛擬賬號(hào)設(shè)置不同的權(quán)限。為了保證服務(wù)器的性能，還需要根據(jù)用戶的等級(jí)限制客戶端的連接數(shù)以及下載速度。13.4.3解決方案13.4.3解決方案13.4.3解決方案2．配置PAM文件修改vsftp對(duì)應(yīng)的PAM配置文件/etc/pam.d/vsftpd，如下所示。#%PAM—1.0#sessionoptional pam_keyinit.so force revoke#authrequired pam_listfile.so item=user sense=deny#file=/etc/vsftpd/ftptestusers onerr=succeed#auth required pam_shells.so#auth include system-auth#