信創(chuàng)服務(wù)器操作系統(tǒng)的配置與管理（openEuler版） 課件 項(xiàng)目10 部署企業(yè)的FTP服務(wù)

項(xiàng)目10部署企業(yè)的FTP服務(wù)項(xiàng)目描述項(xiàng)目分析相關(guān)知識(shí)項(xiàng)目實(shí)施練習(xí)與實(shí)踐目錄[學(xué)習(xí)目標(biāo)]（1）掌握FTP服務(wù)的工作原理。（2）了解FTP的典型消息。（3）掌握匿名FTP與實(shí)名FTP的概念與應(yīng)用。（4）掌握FTP多站點(diǎn)的概念與應(yīng)用。（5）掌握企業(yè)網(wǎng)FTP服務(wù)的部署業(yè)務(wù)實(shí)施流程和職業(yè)素養(yǎng)。項(xiàng)目描述項(xiàng)目描述Jan16公司信息中心的文件共享服務(wù)能有效地提高信息中心網(wǎng)絡(luò)工作的效率，公司希望能在信息中心部署公司文檔中心，為各部門提供FTP服務(wù)，以提高公司的工作效率。公司網(wǎng)絡(luò)拓?fù)淙鐖D10-1所示。圖10-1公司網(wǎng)絡(luò)拓?fù)漤?xiàng)目描述FTP服務(wù)部署要求如下。1）在FTP服務(wù)器上部署FTP服務(wù)、創(chuàng)建FTP站點(diǎn)，為公司所有員工提供文件共享服務(wù)，從而提高工作效率，具體要求有以下幾點(diǎn)。（1）

在“/vat/ftp”目錄下創(chuàng)建【文檔中心】目錄，并在該目錄中創(chuàng)建【產(chǎn)品技術(shù)文檔】、【公司品牌宣傳】、【常用軟件工具】子目錄，以便實(shí)現(xiàn)公共文檔的分類管理。（2）

創(chuàng)建FTP公共站點(diǎn)，站點(diǎn)根目錄為【文檔中心】，僅允許員工下載文檔。（3）

FTP的訪問(wèn)地址為【】。項(xiàng)目描述2）在FTP服務(wù)器上建立部門級(jí)數(shù)據(jù)共享空間，具體要求有以下幾點(diǎn)。（1）

在“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄下創(chuàng)建【行政部】、【項(xiàng)目部】和【工會(huì)】部門專屬目錄，同時(shí)為各部門創(chuàng)建相應(yīng)的服務(wù)賬戶。（2）

基于不同端口部署FTP部門站點(diǎn)，根目錄為【部門文檔中心】，該站點(diǎn)不允許用戶修改根目錄結(jié)構(gòu)，僅允2）在FTP服務(wù)器上建立部門級(jí)數(shù)據(jù)共享空間，具體要求有以下幾點(diǎn)。（3）為各部門設(shè)置專門訪問(wèn)賬戶，僅允許它們?cè)L問(wèn)【文檔中心】和部門專屬目錄文檔。（4）FTP的訪問(wèn)地址為【:2100】。項(xiàng)目描述3）工會(huì)主要負(fù)責(zé)管理全國(guó)各分公司的員工，不同職位的員工權(quán)限不同，其中負(fù)責(zé)人是小趙，普通員工包括小陳、小蔡等。因此公司需要在FTP服務(wù)器中對(duì)工會(huì)FTP站點(diǎn)的權(quán)限進(jìn)行詳細(xì)劃分，具體要求由如下幾點(diǎn)：（1）FTP訪問(wèn)地址為【:2120】。（2）FTP站點(diǎn)根目錄為【/var/ftp/部門文檔中心/工會(huì)】。（3）不同角色的用戶對(duì)工會(huì)目錄具有不同權(quán)限，具體如表10-1所示。表10-1工會(huì)用戶權(quán)限表

文件夾用戶角色/var/ftp/部門文檔中心/工會(huì)小趙負(fù)責(zé)人完全控制小陳普通員工只讀、下載、不能上傳小蔡普通員工只讀、下載、不能上傳項(xiàng)目分析項(xiàng)目分析通過(guò)部署文件共享服務(wù)可以讓局域網(wǎng)內(nèi)計(jì)算機(jī)訪問(wèn)共享目錄內(nèi)的文檔，但是不同局域網(wǎng)內(nèi)的用戶則無(wú)法訪問(wèn)該共享目錄。FTP服務(wù)與文件共享類似，用于提供文件共享訪問(wèn)服務(wù)，但是它提供服務(wù)的網(wǎng)絡(luò)不再局限于局域網(wǎng)，用戶還可以通過(guò)廣域網(wǎng)訪問(wèn)。因此，可以在公司的服務(wù)器上建立FTP站點(diǎn)，并在FTP站點(diǎn)上部署共享目錄，這樣就可以實(shí)現(xiàn)公司文檔的共享，員工便可以方便訪問(wèn)該站點(diǎn)的文檔了。根據(jù)項(xiàng)目背景，分別在openEuler服務(wù)器上部署FTP站點(diǎn)服務(wù)，具體分解為以下幾個(gè)工作任務(wù):（1）部署企業(yè)公共FTP站點(diǎn)，實(shí)現(xiàn)公司公共文檔的分類管理，方便員工下載。（2）部署部門專屬FTP站點(diǎn)，實(shí)現(xiàn)部門級(jí)數(shù)據(jù)共享，以提高數(shù)據(jù)安全性和工作效率。（3）配置FTP服務(wù)器權(quán)限，實(shí)現(xiàn)FTP站點(diǎn)權(quán)限的詳細(xì)劃分，從而提高網(wǎng)絡(luò)安全性。相關(guān)知識(shí)相關(guān)知識(shí)文件傳輸協(xié)議(FileTransferProtocol,FTP)定義了一個(gè)在遠(yuǎn)程計(jì)算機(jī)系統(tǒng)和本地計(jì)算機(jī)系統(tǒng)之間傳輸文件的標(biāo)準(zhǔn)，工作在應(yīng)用層，使用TCP傳輸控制協(xié)議在不同的主機(jī)之間提供可靠的數(shù)據(jù)傳輸。由于TCP是一種面向連接的、可靠的傳輸協(xié)議，因此FTP可提供可靠的文件傳輸。FTP支持?jǐn)帱c(diǎn)續(xù)傳功能，它可以大幅地減低CPU和網(wǎng)絡(luò)帶寬的開銷。在Internet誕生初期，F(xiàn)TP就已經(jīng)被應(yīng)用在文件傳輸服務(wù)上，并且一直作為主要的服務(wù)被廣泛部署，在Windows、Linux、UNIX等各種常見(jiàn)的網(wǎng)絡(luò)操作系統(tǒng)中被廣泛使用。10.1FTP協(xié)議的組成FTP是TCP/IP協(xié)議簇中的協(xié)議之一。FTP協(xié)議有兩個(gè)組成部分，其一為FTP服務(wù)器，其二為FTP客戶端。其中FTP服務(wù)器用來(lái)存儲(chǔ)文件，用戶可以使用FTP客戶端，通過(guò)FTP協(xié)議訪問(wèn)位于FTP服務(wù)器上的資源。在開發(fā)網(wǎng)站的時(shí)候，通常利用FTP協(xié)議把網(wǎng)頁(yè)或程序傳輸?shù)絎eb服務(wù)器上。此外，由于FTP傳輸效率非常高，在網(wǎng)絡(luò)中傳輸大文件時(shí)，一般也采用該協(xié)議。10.2常用FTP服務(wù)器和客戶端程序目前，市面上有眾多的FTP服務(wù)器和客戶端程序，表10-2中列出了基于Windows和Linux兩種平臺(tái)的常用FTP服務(wù)器和客戶端程序。表10-2基于Windows和Linux兩種平臺(tái)的常用FTP服務(wù)器和客戶端程序程序基于Windows平臺(tái)基于Linux平臺(tái)名稱連接模式名稱連接模式FTP服務(wù)器程序IIS主動(dòng)、被動(dòng)vsftpd主動(dòng)、被動(dòng)Serv-U主動(dòng)、被動(dòng)proftpd主動(dòng)、被動(dòng)XlightFTPServer主動(dòng)、被動(dòng)Wu-ftpd主動(dòng)、被動(dòng)FTP客戶端程序命令行工具FTP默認(rèn)為主動(dòng)命令行工具lftp默認(rèn)為主動(dòng)圖形化工具：CuteFTP、LeapFTP主動(dòng)、被動(dòng)圖形化工具：gFTP、Iglooftp主動(dòng)、被動(dòng)Web瀏覽器主動(dòng)、被動(dòng)Mozilla瀏覽器主動(dòng)、被動(dòng)10.3FTP的典型消息使用FTP客戶端程序與FTP服務(wù)器進(jìn)行通信時(shí)，經(jīng)常會(huì)看到一些由FTP服務(wù)器發(fā)送過(guò)來(lái)的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號(hào)含

義120服務(wù)在多少分鐘內(nèi)準(zhǔn)備好125數(shù)據(jù)連接已經(jīng)打開，開始傳送150文件狀態(tài)正確，正在打開數(shù)據(jù)連接200命令執(zhí)行正確202命令未被執(zhí)行，該站點(diǎn)不支持此命令211系統(tǒng)狀態(tài)或系統(tǒng)幫助信息回應(yīng)212目錄狀態(tài)213文件狀態(tài)214幫助消息。關(guān)于如何使用本服務(wù)器或特殊的非標(biāo)準(zhǔn)命令220對(duì)新連接用戶的服務(wù)已準(zhǔn)備就緒221控制連接關(guān)閉225數(shù)據(jù)連接打開，無(wú)數(shù)據(jù)傳輸正在進(jìn)行226正在關(guān)閉數(shù)據(jù)連接。請(qǐng)求的文件操作成功（例如，文件傳送或終止）10.3FTP的典型消息使用FTP客戶端程序與FTP服務(wù)器進(jìn)行通信時(shí)，經(jīng)常會(huì)看到一些由FTP服務(wù)器發(fā)送過(guò)來(lái)的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號(hào)含

義227進(jìn)入被動(dòng)模式230用戶已登錄。如果不需要可以退出250請(qǐng)求的文件操作完成331用戶名正確，需要輸入密碼332需要登錄的賬戶350請(qǐng)求的文件操作需要更多的信息421服務(wù)不可用，控制連接關(guān)閉。例如是由于同時(shí)連接的用戶過(guò)多（已達(dá)到同時(shí)連接的用戶數(shù)量限制）或連接超時(shí)425打開數(shù)據(jù)連接失敗426連接關(guān)閉，傳送中止450請(qǐng)求的文件操作未被執(zhí)行451請(qǐng)求的操作中止。發(fā)生本地錯(cuò)誤452請(qǐng)求的操作未被執(zhí)行。系統(tǒng)存儲(chǔ)空間不足。文件不可用500語(yǔ)法錯(cuò)誤，命令不可識(shí)別。可能為命令行過(guò)長(zhǎng)10.3FTP的典型消息使用FTP客戶端程序與FTP服務(wù)器進(jìn)行通信時(shí)，經(jīng)常會(huì)看到一些由FTP服務(wù)器發(fā)送過(guò)來(lái)的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號(hào)含

義500語(yǔ)法錯(cuò)誤，命令不可識(shí)別。可能為命令行過(guò)長(zhǎng)501因參數(shù)錯(cuò)誤導(dǎo)致的語(yǔ)法錯(cuò)誤502命令未被執(zhí)行503命令順序錯(cuò)誤504由于參數(shù)錯(cuò)誤，命令未被執(zhí)行530賬戶或密碼錯(cuò)誤，未能登錄532存儲(chǔ)文件需要賬戶信息550請(qǐng)求的操作未被執(zhí)行，文件不可用（例如文件未找到或無(wú)訪問(wèn)權(quán)限）551請(qǐng)求的操作被中止，頁(yè)面類型未知552請(qǐng)求的文件操作被中止。超出當(dāng)前目錄的存儲(chǔ)分配553請(qǐng)求而的操作未被執(zhí)行。文件名不合法10.4匿名FTP與實(shí)名FTP1．匿名FTP在使用FTP時(shí)必須先登錄到FTP服務(wù)器，在遠(yuǎn)程主機(jī)上獲取相應(yīng)的用戶權(quán)限以后，方可進(jìn)行文件的下載或上傳操作。也就是說(shuō)，如果要想同哪一臺(tái)計(jì)算機(jī)進(jìn)行文件傳輸，那么就必須獲取該臺(tái)計(jì)算機(jī)的相關(guān)使用授權(quán)。換言之，除非有登錄計(jì)算機(jī)的賬號(hào)和口令，否則便無(wú)法進(jìn)行文件傳輸。但是，這種配置管理方法違背了Internet的開放性，Internet上的FTP服務(wù)器主機(jī)太多了，不可能要求每個(gè)用戶在每一臺(tái)FTP服務(wù)器上都擁有各自的帳號(hào)。因此，匿名FTP就應(yīng)運(yùn)而生了。匿名FTP是這樣一種機(jī)制：用戶可通過(guò)匿名賬號(hào)連接到遠(yuǎn)程主機(jī)上，并從主機(jī)上下載文件，而無(wú)須成為FTP服務(wù)器的注冊(cè)用戶。此時(shí)，系統(tǒng)管理員會(huì)建立一個(gè)特殊的用戶賬號(hào)，名為Anonymous,Internet上的任何人在任何地方都可使用該匿名賬戶下載FTP服務(wù)器上的資源。10.4匿名FTP與實(shí)名FTP2．實(shí)名FTP相對(duì)于匿名FTP，一些FTP服務(wù)僅允許特定用戶訪問(wèn)，為一個(gè)部門、組織或個(gè)人提供網(wǎng)絡(luò)共享服務(wù)，我們稱這種FTP服務(wù)為實(shí)名FTP?？蛻粼L問(wèn)實(shí)名FTP時(shí)需要輸入賬戶和密碼，F(xiàn)TP管理員需要在FTP服務(wù)器上注冊(cè)相應(yīng)的用戶賬號(hào)。10.5FTP的工作原理與工作方式一個(gè)FTP會(huì)話通常要包括5個(gè)軟件元素的交互，表10-4列出了這5個(gè)軟件元素，圖10-2描述了FTP協(xié)議的工作模型。軟件元素說(shuō)明用戶接口（UI）提供了一個(gè)用戶接口并使用客戶端協(xié)議解釋器的服務(wù)客戶端協(xié)議解釋器（CPI）向遠(yuǎn)程服務(wù)器協(xié)議機(jī)發(fā)送命令并且驅(qū)動(dòng)客戶端數(shù)據(jù)傳輸過(guò)程服務(wù)端協(xié)議解釋器（SPI）響應(yīng)客戶協(xié)議機(jī)發(fā)出的命令并驅(qū)動(dòng)服務(wù)器端數(shù)據(jù)傳輸過(guò)程客戶端數(shù)據(jù)傳輸協(xié)議（CDTP）負(fù)責(zé)完成與服務(wù)器數(shù)據(jù)傳輸過(guò)程，以及客戶端本地文件系統(tǒng)的通信服務(wù)端數(shù)據(jù)傳輸協(xié)議（SDTP）負(fù)責(zé)完成與客戶數(shù)據(jù)傳輸過(guò)程，以及服務(wù)器文件系統(tǒng)的通信表10-4FTP會(huì)話的5個(gè)軟件元素10.5FTP的工作原理與工作方式圖10-2FTP協(xié)議的工作模型10.5FTP的工作原理與工作方式大多數(shù)的TCP應(yīng)用協(xié)議使用單個(gè)的連接，一般是客戶端向服務(wù)器的一個(gè)固定端口發(fā)起連接，然后使用這個(gè)連接進(jìn)行通信。但是，F(xiàn)TP協(xié)議卻有所不同，F(xiàn)TP協(xié)議在運(yùn)作時(shí)要使用兩個(gè)TCP連接。在TCP會(huì)話中，存在兩個(gè)獨(dú)立的TCP連接，一個(gè)是由CPI和SPI使用的，被稱為控制連接；另一個(gè)是由CDTP和SDTP使用的，被稱作數(shù)據(jù)連接。FTP獨(dú)特的雙端口連接結(jié)構(gòu)的優(yōu)勢(shì)在于這兩個(gè)連接可以選擇各自合適的服務(wù)質(zhì)量。例如，為控制連接提供更短的延遲時(shí)間和為數(shù)據(jù)連接提供更大的數(shù)據(jù)吞吐量。控制連接是在執(zhí)行FTP命令時(shí)由客戶端發(fā)起請(qǐng)求與FTP服務(wù)器建立連接?？刂七B接并不傳輸數(shù)據(jù)，只用來(lái)傳輸控制數(shù)據(jù)（傳輸?shù)腇TP命令集及其響應(yīng)）。因此，控制連接只需要很小的網(wǎng)絡(luò)寬帶。10.5FTP的工作原理與工作方式通常情況下，F(xiàn)TP服務(wù)器監(jiān)聽(tīng)21端口號(hào)來(lái)等待控制連接建立請(qǐng)求。一旦客戶端和服務(wù)器建立連接，控制連接將始終保持連接狀態(tài)，而數(shù)據(jù)連接端口（TCP20端口號(hào)）僅在傳輸數(shù)據(jù)時(shí)開啟。在客戶端請(qǐng)求獲取FTP文件目錄、上傳文件和下載文件等操作時(shí)，客戶端和服務(wù)器將建立一條數(shù)據(jù)連接，這里的數(shù)據(jù)連接是全雙工的，允許同時(shí)進(jìn)行雙向的數(shù)據(jù)傳輸，并且客戶端的端口號(hào)是隨機(jī)產(chǎn)生的，多次建立連接的客戶端端口號(hào)是不同的，一旦傳輸結(jié)束，就馬上釋放這條數(shù)據(jù)連接。FTP客戶端和服務(wù)器請(qǐng)求連接、建立連接、數(shù)據(jù)傳輸、數(shù)據(jù)傳輸完成、斷開連接的過(guò)程如圖10-3所示，其中客戶端端口號(hào)（TCP1088和1089）在是客戶端內(nèi)隨機(jī)產(chǎn)生的。10.5FTP的工作原理與工作方式圖10-3FTP工作過(guò)程

10.5FTP的工作原理與工作方式FTP支持兩種模式，一種方式叫做Standard(也就是PORT方式，主動(dòng)方式)，一種是Passive(也就是PASV，被動(dòng)方式)。Standard模式FTP的客戶端發(fā)送PORT命令到FTP服務(wù)器。Passive模式FTP的客戶端發(fā)送PASV命令到FTP服務(wù)器。主動(dòng)模式工作原理如下：FTP客戶端首先和FTP服務(wù)器的TCP21端口建立連接，通過(guò)這個(gè)通道發(fā)送命令，客戶端需要接收數(shù)據(jù)的時(shí)候在這個(gè)通道上發(fā)送PORT命令。PORT命令包含了客戶端用什么端口接收數(shù)據(jù)。在傳送數(shù)據(jù)的時(shí)候，服務(wù)器端通過(guò)自己的TCP20端口連接至客戶端的指定端口發(fā)送數(shù)據(jù)。FTP服務(wù)器必須和客戶端建立一個(gè)新的連接用來(lái)傳送數(shù)據(jù)。10.5FTP的工作原理與工作方式被動(dòng)模式工作原理如下：在建立控制通道的時(shí)候Passive模式和Standard模式類似，但建立連接后發(fā)送的不是Port命令，而是Pasv命令。FTP服務(wù)器收到Pasv命令后，隨機(jī)打開一個(gè)高端端口（端口號(hào)大于1024）并且通知客戶端在這個(gè)端口上傳送數(shù)據(jù)的請(qǐng)求，客戶端連接FTP服務(wù)器此端口，通過(guò)三次握手建立通道，然后FTP服務(wù)器將通過(guò)這個(gè)端口進(jìn)行數(shù)據(jù)傳送。很多防火墻在設(shè)置的時(shí)候都是不允許接受外部發(fā)起的連接的，所以許多位于防火墻后或內(nèi)網(wǎng)的FTP服務(wù)器不支持PASV模式，因?yàn)榭蛻舳藷o(wú)法穿過(guò)防火墻打開FTP服務(wù)器的高端端口；而許多內(nèi)網(wǎng)的客戶端不能用PORT模式登陸FTP服務(wù)器，因?yàn)閺姆?wù)器的TCP20無(wú)法和內(nèi)部網(wǎng)絡(luò)的客戶端建立一個(gè)新的連接，會(huì)造成無(wú)法工作的情況。10.6FTP服務(wù)常用文件及參數(shù)解析FTP服務(wù)軟件包主要包括以下文件。1．/etc/vsftpd/vsftpd.conf（主配置文件）vsftpd.conf文件內(nèi)包含了大量的的參數(shù)，不同的參數(shù)可以實(shí)現(xiàn)對(duì)vsftpd服務(wù)功能的實(shí)現(xiàn)和權(quán)限的控制，但其中大部分的參數(shù)都是以“#”開頭的注釋，在配置前可將原始的主配置文件進(jìn)行備份，隨后再重寫新的主配置文件。vsftpd.conf文件書寫的格式為“option=value”，注意“=”號(hào)兩邊不能留空白符。每行前后也不能有多余的空格，選項(xiàng)區(qū)分大小寫，特殊情況選項(xiàng)值不區(qū)分。如果要查詢vsftp的man文檔，以獲得vsftp的詳細(xì)選項(xiàng)配置說(shuō)明，請(qǐng)?jiān)诮K端輸入“manvsftpd.conf”命令（openEuler系統(tǒng)已移除）。表10-5中列舉了vsftpd服務(wù)的主配置文件中常用的參數(shù)和解析。10.6FTP服務(wù)常用文件及參數(shù)解析參數(shù)解析anonymous_enable=YES/NO是否允許匿名訪問(wèn)，YES為允許，NO為拒絕local_enable=YES/NO是否允許本地用戶登錄，YES為允許，NO為拒絕write_enable=YES/NO用戶是否可以讀寫，YES為允許，NO為拒絕local_umask=022權(quán)限掩碼（反碼），即默認(rèn)創(chuàng)建文件的權(quán)限為777-022=755，目錄權(quán)限是666-022=644anon_upload_enable=YES/NO是否允許匿名用戶上傳文件，YES為允許，NO為拒絕anon_mkdir_write_enable=YES/NO是否允許默認(rèn)用戶創(chuàng)建文件夾，YES為允許，NO為拒絕dirmessage_enable=YES/NO用戶首次進(jìn)入新目錄時(shí)可以顯示消息。在進(jìn)入目錄時(shí)是否顯示.message文件的內(nèi)容。YES為允許，NO為拒絕xferlog_enable=YES/NO是否啟用日志文件，上傳或者下載的日志被記錄在【/var/log/vsftpd.log】文件中。YES為允許，NO為拒絕connect_from_port_20=YES/NO控制以PORT模式進(jìn)行數(shù)據(jù)傳輸時(shí)是否使用TCP20端口（ftp-data）。YES為允許，NO為拒絕chown_uploads=YESchown_username=whoever這兩行要成對(duì)出現(xiàn)，意思為：上傳文件后，文件的所有者變成whoever，不能重新上傳覆蓋該文件pam_service_name=vsftpd列出與vsftpd相關(guān)的PAM文件表10-5vsftpd服務(wù)的程序主配置文件的參數(shù)和解析10.6FTP服務(wù)常用文件及參數(shù)解析參數(shù)解析userlist_enable=YES/NO當(dāng)該選項(xiàng)設(shè)為YES時(shí)，啟用配置文件【/etc/vsftpd/user_list】：1：若此時(shí)沒(méi)有選項(xiàng)userlist_deny=NO，則【/etc/vsftpd/user_list】文件中的用戶不能訪問(wèn)FTP。2：若存在選項(xiàng)userlist_deny=NO，則僅接受【/etc/vsftpd/user_list】文件中存在用戶登錄FTP的請(qǐng)求（前提是這些用戶不存在于【/etc/vsftpd/ftpusers】文件中）當(dāng)該選項(xiàng)設(shè)置為NO時(shí)，不啟用【/etc/vsftpd/user_list】配置文件userlist_file=/etc/vsftpd/users_list默認(rèn)的用戶名單guest_enable=YES/NO是否開啟用戶身份驗(yàn)證，YES為開啟，NO為關(guān)閉guest_username=ftp虛擬用戶映射登錄的用戶為ftp，此用戶的身份為guest用戶，配合上面選項(xiàng)生效local_root=/var/ftp設(shè)定本地用戶登錄的主目錄位置anon_root=/var/ftp設(shè)定匿名用戶登錄的主目錄位置pasv_enable=YES#port_enable=YESport為主動(dòng)模式，pasv為被動(dòng)模式，兩鐘模式不能同時(shí)使用，必須注釋掉一個(gè)表10-5vsftpd服務(wù)的程序主配置文件的參數(shù)和解析10.6FTP服務(wù)常用文件及參數(shù)解析參數(shù)解析pasv_min_port=9000pasv_max_prot=9200使用被動(dòng)模式時(shí)端口的范圍，本例為9000-9200，只能在被動(dòng)模式下使用use_localtime=YES/NO是否使用本地時(shí)間，YES為使用，NO為不適用anon_umaks=022匿名用戶上傳文件的umask值anon_upload_enable=YES/NO允許匿名用戶上傳文件,YES為允許，NO為拒絕chroot_local_user=YES/NO鎖定所有系統(tǒng)用戶在家目錄中，YES為鎖定，NO為不鎖定anon_other_write_enable=YES/NO允許匿名用戶修改目錄名稱或刪除目錄，YES為允許，NO為拒絕chroot_list_enable=YES/NO鎖定特定用戶在家目錄中，當(dāng)chroot_local_user=YES時(shí)，則chroot_list文件中的用戶不禁錮，當(dāng)chroot_local_user=NO時(shí)，則chroot_list文件中的用戶禁錮ftpd_banner="welcometomageftpserver"自定義FTP登錄提示信息max_clients=0最大并發(fā)連接數(shù)max_per_ip=0每個(gè)IP同時(shí)發(fā)起最大連接數(shù)anon_max_rate=0匿名用戶的最大傳輸速率local_max_rate=0本地用戶的最大傳輸速率表10-5vsftpd服務(wù)的程序主配置文件的參數(shù)和解析10.6FTP服務(wù)常用文件及參數(shù)解析2．/etc/pam.d/vsftpd（vsftpd認(rèn)證文件）該文件主要用于加強(qiáng)vsftpd服務(wù)器的用戶認(rèn)證，決定vsftpd使用何種認(rèn)證方式，可以是本地系統(tǒng)的真實(shí)用戶認(rèn)證（模塊pam_unix），也可以是獨(dú)立的用戶認(rèn)證數(shù)據(jù)庫(kù)（模塊pam_userdb）,也可以是網(wǎng)絡(luò)上的LDAP數(shù)據(jù)庫(kù)（模塊pam_ldap）等。此文件中的【file=/etc/vsftpd/ftpusers】字段，指明阻止訪問(wèn)的用戶來(lái)自“/etc/vsftpd/ftpusers”文件中的用戶。文件的輸出如下：#%PAM-1.0sessionoptionalpam_keyinit.soforcerevokeauthrequiredpam_listfile.soitem=usersense=denyfile=/etc/vsftpd/ftpusersonerr=succeedauthrequiredpam_shells.soauthincludepassword-authaccountincludepassword-authsessionrequiredpam_loginuid.sosessionincludepassword-auth10.6FTP服務(wù)常用文件及參數(shù)解析3．/etc/vsftpd/ftpusers（黑名單）ftpusers文件不受任何配置項(xiàng)的影響，它總是有效，是一個(gè)黑名單。該文件存放的是一個(gè)禁止訪問(wèn)FTP的用戶列表，出于安全考慮，管理員通常不希望一些擁有過(guò)大權(quán)限的帳號(hào)（比如root)登入FTP，以免通過(guò)該帳號(hào)從FTP上傳或下載一些危險(xiǎn)位置上的文件從而損壞系統(tǒng)。該文件中默認(rèn)已經(jīng)包含了root、bin、daemon等系統(tǒng)賬號(hào)。文件的部分內(nèi)容如下：#Usersthatarenotallowedtologinviaftp//不允許下列用戶登錄FTProotbindaemonadmlpsyncshutdown【...省略顯示部分內(nèi)容...】10.6FTP服務(wù)常用文件及參數(shù)解析4．/etc/vsftpd/user_list（用戶列表）這個(gè)文件中包括的用戶有可能是被拒絕訪問(wèn)vsftpd服務(wù)的用戶，也可能是被允許訪問(wèn)的用戶，這完全由vsftpd的主配置文件(/etc/vsftpd/vsftpd.conf)中的【userlist_deny】參數(shù)和【userlist_enable】參數(shù)設(shè)置為”YES”（默認(rèn)值）還是”NO”，代碼如下：userlist_enable=YESuserlist_deny=YES黑名單，拒絕文件中的用戶訪問(wèn)FTPuserlist_enable=YESuserlist_deny=NO白名單，拒絕除userlist文件外的用戶訪問(wèn)FTPuserlist_enable=NOuserlist_deny=YES/NO無(wú)效名單，表示沒(méi)有對(duì)任何用戶進(jìn)行訪問(wèn)限制10.6FTP服務(wù)常用文件及參數(shù)解析5．/var/ftp（默認(rèn)共享站點(diǎn)目錄）該目錄是vsftpd提供服務(wù)的文件集散地，它包括一個(gè)pub子目錄。在默認(rèn)配置下，所有的目錄都是只讀狀態(tài)，只有root用戶擁有寫權(quán)限。項(xiàng)目實(shí)施任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署任務(wù)規(guī)劃在FTP服務(wù)器上創(chuàng)建一個(gè)FTP公共站點(diǎn)，并在站點(diǎn)根目錄【/var/ftp/文檔中心】分別創(chuàng)建【產(chǎn)品技術(shù)文檔】、【公司品牌宣傳】、【常用軟件工具】、【公司規(guī)章制度】子目錄，以實(shí)現(xiàn)公共文檔的分類管理，方便員工下載文檔，任務(wù)網(wǎng)絡(luò)拓?fù)淙鐖D10-4所示。圖10-4任務(wù)網(wǎng)絡(luò)拓?fù)淙蝿?wù)10-1企業(yè)公共FTP站點(diǎn)的部署openEuler服務(wù)器具備FTP服務(wù)的功能，本任務(wù)可以在FTP服務(wù)器上安裝FTP功能，并通過(guò)以下步驟實(shí)現(xiàn)公司FTP公共站點(diǎn)的建設(shè)。（1）在FTP服務(wù)器創(chuàng)建FTP站點(diǎn)目錄。（2）在FTP服務(wù)器安裝vsftpd服務(wù)。（3）修改FTP服務(wù)主配置文件的參數(shù)。（4）啟動(dòng)FTP服務(wù)。任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署任務(wù)實(shí)施1．在FTP服務(wù)器創(chuàng)建FTP站點(diǎn)目錄（1）在FTP服務(wù)器的【/var/ftp】目錄創(chuàng)建【文檔中心】目錄，并在【文檔中心】目錄中創(chuàng)建【產(chǎn)品技術(shù)文檔】、【公司品牌宣傳】、【常用軟件工具】、【公司規(guī)章制度】等子目錄。在【產(chǎn)品技術(shù)文檔】目錄中創(chuàng)建“a.txt”文件，配置命令如下：[root@FTPServer~]#mkdir/var/ftp/文檔中心[root@FTPServer~]#cd/var/ftp/文檔中心/[root@FTPServer文檔中心]#mkdir產(chǎn)品技術(shù)文檔公司品牌宣傳常用軟件工具公司規(guī)章制度[root@FTPServer文檔中心]#ll總用量16Kdrwxr-xr-x.2rootroot4.0K3月2812:09產(chǎn)品技術(shù)文檔drwxr-xr-x.2rootroot4.0K3月2812:09常用軟件工具drwxr-xr-x.2rootroot4.0K3月2812:09公司規(guī)章制度drwxr-xr-x.2rootroot4.0K3月2812:09公司品牌宣傳[root@FTPServer文檔中心]#cd產(chǎn)品技術(shù)文檔/[root@FTPServer產(chǎn)品技術(shù)文檔]#toucha.txt任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署（2）修改【文檔中心】目錄的默認(rèn)所屬主和所屬組，并設(shè)置為遞歸狀態(tài)，避免用戶無(wú)法讀寫目錄數(shù)據(jù)的情況出現(xiàn)，配置命令如下：[root@FTPServer文檔中心]#chown-Rftp.ftp/var/ftp/文檔中心/任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署2．在FTP服務(wù)器上安裝vsftpd服務(wù)（1）使用“yum”命令安裝vsftpd服務(wù)，配置命令如下：（2）使用“rpm”命令檢查系統(tǒng)是否成功安裝了vsftpd服務(wù)，配置命令如下：[root@FTPServer~]#yum-yinstallvsftpd[root@FTPServer~]#rpm-qa|grepvsftpdvsftpd-3.0.3-33.oe1.x86_64任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署（3）啟動(dòng)vsftpd服務(wù)，設(shè)置服務(wù)為開機(jī)自啟動(dòng)，并查看服務(wù)狀態(tài)，配置命令如下：[root@FTPServer~]#systemctlstartvsftpd.service[root@FTPServer~]#systemctlenablevsftpd[root@FTPServer~]#systemctlstatusvsftpd.service●vsftpd.service-VsftpdftpdaemonLoaded:loaded(8;;file://DNS-client/usr/lib/systemd/system/vsftpd.service/usr/lib/systemd/system/vsftpd.service8;>Active:active(running)sinceTue2022-3-2812:12:56CST;11sagoProcess:3494ExecStart=/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf(code=exited,status=0/SUCCESS)MainPID:3495(vsftpd)Tasks:1(limit:8989)Memory:404.0KCGroup:/system.slice/vsftpd.service└─3495/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf【...省略顯示部分內(nèi)容...】任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署3.修改FTP服務(wù)主配置文件參數(shù)（1）在修改vsftpd服務(wù)的配置文件前，需要先對(duì)主配置文件進(jìn)行備份，配置命令如下：（2）修改vsftpd服務(wù)的主配置文件,需要設(shè)置FTP服務(wù)允許匿名登錄、允許匿名用戶上傳下載和創(chuàng)建目錄，但是不允許刪除共享內(nèi)的內(nèi)容，配置命令如下：[root@FTPServer~]#cp/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bak[root@FTPServer~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES##設(shè)置允許匿名用戶登錄#local_enable=YES##注釋此行表示禁止本地系統(tǒng)用戶登錄#local_umask=022##注釋此行表示取消對(duì)本地用戶設(shè)置新增文件的權(quán)限掩碼write_enable=YES##設(shè)置匿名用戶具備寫入權(quán)限anon_upload_enable=YES##設(shè)置匿名用戶具備上傳權(quán)限anon_umask=022##設(shè)置匿名用戶新增文件的權(quán)限掩碼anon_mkdir_write_enable=YES##允許匿名用戶創(chuàng)建文件夾anon_other_write_enable=NO##禁止匿名用戶修改或刪除文件任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署4.重啟FTP服務(wù)通過(guò)“systemctl”命令重啟FTP服務(wù)，配置命令如下：[root@FTPServer~]#systemctlrestartvsftpd.service任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署任務(wù)驗(yàn)證（1）在FTP服務(wù)器上使用“ss”命令檢查端口啟用情況，可以看到FTP服務(wù)默認(rèn)監(jiān)聽(tīng)的21端口已啟用，驗(yàn)證命令如下。（2）配置PC1的IP地址為“/24”，驗(yàn)證命令如下。（3）在PC1內(nèi)，使用“yum”命令安裝FTP客戶端服務(wù)，配置命令如下。[root@FTPServer~]#ss-lnt|grep21LISTEN032*:21*:*[root@PC1~]#nmcliconnectionmodifyens37ipv4.addresses/24[root@PC1~]#nmcliconnectionupens37[root@PC1~]#yum-yinstallftp任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署（4）在PC1上，通過(guò)ftp相關(guān)命令訪問(wèn)FTP站點(diǎn)，使用匿名賬戶anonymous或ftp登錄（密碼為空）。登錄成功后，使用“mkdir”命令創(chuàng)建目錄，測(cè)試結(jié)果成功，而刪除目錄則會(huì)操作失敗，驗(yàn)證命令如下。[root@PC1~]#ftpConnectedto().220(vsFTPd3.0.3)Name(:root):anonymous331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>cd文檔中心250Directorysuccessfullychanged.ftp>mkdirtest257"/文檔中心/test"createdftp>rmtest550Permissiondenied.任務(wù)10-1企業(yè)公共FTP站點(diǎn)的部署（5）使用匿名用戶登錄成功后，切換到產(chǎn)品技術(shù)文檔目錄，嘗試將“a.txt”文件下載到本地并且修改名稱為“file.txt”，驗(yàn)證命令如下。ftp>cd產(chǎn)品技術(shù)文檔250Directorysuccessfullychanged.ftp>geta.txtfile.txtlocal:file.txtremote:a.txt227EnteringPassiveMode(192,168,1,1,44,207).150OpeningBINARYmodedataconnectionfora.txt(0bytes).226Transfercomplete.ftp>quit221Goodbye.[root@PC1~]#ll總用量8-rw-------.1rootroot1.2K12月2210:19anaconda-ks.cfg-rw-r--r--.1rootrootfile.txt任務(wù)10-2部署部門專屬FTP站點(diǎn)任務(wù)10-2部署部門專屬FTP站點(diǎn)通過(guò)任務(wù)10-1，公司創(chuàng)建了公共的FTP站點(diǎn)，為員工下載公司共享文件提供了便利，提高了工作效率。各部門也相繼提出了建立部門級(jí)數(shù)據(jù)共享空間需求，具體要求如下：（1）在“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄創(chuàng)建【行政部】、【項(xiàng)目部】、【工會(huì)】部門專屬目錄。（2）為各部門創(chuàng)建相應(yīng)的服務(wù)賬號(hào)。（3）創(chuàng)建FTP部門站點(diǎn)，站點(diǎn)根目錄為【部門文檔中心】，站點(diǎn)權(quán)限如下；①不允許用戶切換到其他目錄。②各部門用戶服務(wù)賬號(hào)僅允許訪問(wèn)對(duì)應(yīng)部門的專屬目錄，對(duì)專屬目錄有上傳和下載權(quán)限。（4）FTP的訪問(wèn)地址為：ftp://:2100。任務(wù)10-2部署部門專屬FTP站點(diǎn)本任務(wù)在部署部門的專屬FTP站點(diǎn)中，可以先創(chuàng)建一個(gè)具有上傳和下載權(quán)限的站點(diǎn)，然后在發(fā)布目錄和子目錄中配置權(quán)限，給服務(wù)賬戶制定相應(yīng)的權(quán)限。在服務(wù)賬戶的設(shè)計(jì)中，可以根據(jù)組織架構(gòu)的特征，完成服務(wù)用戶賬戶的創(chuàng)建。因此，應(yīng)根據(jù)FTP服務(wù)相關(guān)的公司組織架構(gòu)來(lái)規(guī)劃設(shè)計(jì)相應(yīng)的服務(wù)賬號(hào)與FTP站點(diǎn)架構(gòu)，結(jié)果如圖10-5所示。圖10-5部門FTP站點(diǎn)架構(gòu)任務(wù)10-2部署部門專屬FTP站點(diǎn)綜上所述，本任務(wù)可通過(guò)以下步驟來(lái)實(shí)現(xiàn)：（1）

創(chuàng)建各部門FTP站點(diǎn)的專屬服務(wù)賬戶。（2）

配置FTP站點(diǎn)參數(shù)，根據(jù)公司需求創(chuàng)建部門專屬FTP站點(diǎn)。（3）

重新啟動(dòng)FTP服務(wù)，生效配置。任務(wù)10-2部署部門專屬FTP站點(diǎn)任務(wù)實(shí)施1.創(chuàng)建FTP站點(diǎn)部門服務(wù)賬戶1）創(chuàng)建FTP站點(diǎn)物理目錄（1）在FTP服務(wù)器的“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄創(chuàng)建【行政部】、【項(xiàng)目部】、【工會(huì)】部門專屬目錄。[root@FTPServer~]#mkdir/var/ftp/部門文檔中心[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/行政部[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/項(xiàng)目部[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/工會(huì)任務(wù)10-2部署部門專屬FTP站點(diǎn)（2）在FTP服務(wù)器創(chuàng)建用戶project_user1、service_user1、union_user1三個(gè)用戶，并且設(shè)置家目錄為“/var/ftp部門文檔中心/”下的3個(gè)共享目錄【項(xiàng)目部】、【行政部】和【工會(huì)】，設(shè)置密碼為“Jan16@123”，配置命令如下：[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/項(xiàng)目部project_user1[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/行政部service_user1[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/工會(huì)union_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinproject_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinservice_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinunion_user1任務(wù)10-2部署部門專屬FTP站點(diǎn)2）在FTP服務(wù)器上每個(gè)用戶的家目錄下，創(chuàng)建3個(gè)測(cè)試用的txt文本文件，配置命令如下：[root@FTPServer~]#touch/var/ftp/部門文檔中心/項(xiàng)目部/project.txt[root@FTPServer~]#touch/var/ftp/部門文檔中心/行政部/service.txt[root@FTPServer~]#touch/var/ftp/部門文檔中心/工會(huì)/union.txt任務(wù)10-2部署部門專屬FTP站點(diǎn)2.配置FTP站點(diǎn)參數(shù)，根據(jù)公司需求創(chuàng)建部門專屬FTP站點(diǎn)（1）創(chuàng)建

名稱為“/etc/vsftpd/vsftpd2100.conf”的配置文件，在配置文件中設(shè)置對(duì)應(yīng)的權(quán)限：禁用匿名登錄、允許本地用戶進(jìn)行登錄但不允許用戶切換目錄，設(shè)置本地用戶對(duì)目錄有上傳下載的權(quán)限，設(shè)置監(jiān)聽(tīng)的端口為2100，配置命令如下：[root@FTPServer~]#vim/etc/vsftpd/vsftpd2100.conflisten=YESanonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listpam_service_name=vsftpdlisten_port=2100任務(wù)10-2部署部門專屬FTP站點(diǎn)（2）修改“/etc/vsftpd/chroot_list”文件，將需要受到禁止切換目錄限制的用戶添加到此文件，配置命令如下：[root@FTPServer~]#vim/etc/vsftpd/chroot_listproject_user1service_user1union_user1任務(wù)10-2部署部門專屬FTP站點(diǎn)3.重新啟動(dòng)FTPServer服務(wù)在配置完成后，通過(guò)“vsftpd”命令啟動(dòng)FTP服務(wù)，在vsftp服務(wù)中，允許以通過(guò)修改配置文件名稱的方式建立多個(gè)FTP服務(wù)站點(diǎn)，啟動(dòng)時(shí)需要在vsftpd服務(wù)名稱后加上【新配置文件名稱】，配置命令如下：[root@FTPServer~]#/usr/sbin/vsftpd/etc/vsftpd/vsftpd2100.conf任務(wù)10-2部署部門專屬FTP站點(diǎn)任務(wù)認(rèn)證（1）在FTP服務(wù)器上通過(guò)“ss”命令檢查端口啟動(dòng)情況，查看到2100端口已經(jīng)處于監(jiān)聽(tīng)狀態(tài)則代表服務(wù)已經(jīng)正常啟動(dòng)，驗(yàn)證命令如下。（2）在PC1主機(jī)上使用項(xiàng)目部專屬用戶【project_user1】訪問(wèn)FTP站點(diǎn)，通過(guò)“pwd”命令可以查看到用戶登錄后將處于家目錄下，通過(guò)“mkdir”命令可以創(chuàng)建新目錄，隨后把project.txt文本下載到本地，最后切換目錄時(shí)，系統(tǒng)提示失敗，驗(yàn)證命令如下。[root@FTPServer~]#ss-tlnp|grep2100LISTEN032*:2100*:*users:(("vsftpd",pid=1478,fd=3))任務(wù)10-2部署部門專屬FTP站點(diǎn)[root@PC1~]#ftp2100Connectedto().220(vsFTPd3.0.3)Name(:root):project_user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/var/ftp/項(xiàng)目部"isthecurrentdirectoryftp>ls227EnteringPassiveMode(192,168,1,1,53,241).150Herecomesthedirectorylisting.-rw-r--r--1000Dec2804:36project.txt226DirectorysendOK.ftp>getproject.txtlocal:project.txtremote:project.txt227EnteringPassiveMode(192,168,1,1,106,229).150OpeningBINARYmodedataconnectionforproject.txt(0bytes).226Transfercomplete.ftp>mkdirtest257"/var/ftp/項(xiàng)目部/test"createdftp>cd/var550Failedtochangedirectory.ftp>exit任務(wù)10-3配置FTP服務(wù)器權(quán)限任務(wù)10-3配置FTP服務(wù)器權(quán)限任務(wù)規(guī)劃對(duì)于【工會(huì)】目錄的權(quán)限問(wèn)題，可以通過(guò)虛擬用戶進(jìn)行劃分。運(yùn)維工程師進(jìn)行了如下表10-6的規(guī)劃。所屬系統(tǒng)用戶虛擬用戶名用戶站點(diǎn)目錄權(quán)限union_user1xiaozhao小趙/var/ftp/部門文檔中心/工會(huì)

可讀、可寫、可上傳xiaochen小陳只讀、下載、不能上傳xiaocai小蔡只讀、下載、不能上傳表10-6FTP虛擬用戶及權(quán)限規(guī)劃表任務(wù)10-3配置FTP服務(wù)器權(quán)限本任務(wù)可分解為以下幾個(gè)步驟：（1）創(chuàng)建FTP虛擬用戶。（2）修改FTP配置文件參數(shù)，根據(jù)公司需求創(chuàng)建FTP站點(diǎn)。（3）配置FTP虛擬用戶權(quán)限。（4）重啟FTP服務(wù)，使配置生效。任務(wù)10-3配置FTP服務(wù)器權(quán)限任務(wù)實(shí)施1.創(chuàng)建FTP虛擬用戶（1）使用“gdbmtool”創(chuàng)建存放虛擬用戶的文件【login.pag】，在命令內(nèi)指定虛擬用戶賬戶密碼，配置命令如下：（2）添加虛擬用戶的映射賬號(hào)，創(chuàng)建映射用戶的宿主目錄。創(chuàng)建FTP根目錄，配置命令如下：[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaozhao12345[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaochen12345[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaocai12345[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/工會(huì)-s/sbin/nologinunion_user1[root@FTPServer~]#chmod744/var/ftp/部門文檔中心/工會(huì)任務(wù)10-3配置FTP服務(wù)器權(quán)限（3）為虛擬用戶建立PAM認(rèn)證文件,此文件將用于對(duì)虛擬用戶認(rèn)證的控制，配置命令如下：以上內(nèi)容，通過(guò)“db=/etc/vsftpd/login”參數(shù)指定了要使用的虛擬用戶數(shù)據(jù)庫(kù)文件位置（此處不需要寫.pag擴(kuò)展名）。[root@FTPServer~]#vim/etc/pam.d/vsftpd.loginauthrequiredpam_userdb.sodb=/etc/vsftpd/loginaccountrequiredpam_userdb.sodb=/etc/vsftpd/login任務(wù)10-3配置FTP服務(wù)器權(quán)限2.配置FTP配置文件參數(shù)（1）創(chuàng)建vsftpd服務(wù)的主配置文件，配置命令如下[root@FTPServer~]#vim/etc/vsftpd/vsftpd2120.conflisten=YESanonymous_enable=NOlocal_enable=YESpam_service_name=vsftpd.login##設(shè)置用于用戶認(rèn)證的PAM文件位置guest_enable=YES##設(shè)置啟用虛擬用戶guest_username=union_user1##設(shè)置虛擬用戶映射的系統(tǒng)用戶名稱user_config_dir=/etc/vsftpd/vusers_dir##指定虛擬用戶獨(dú)立的配置文件目錄allow_writeable_chroot=YES##允許可寫用戶登錄listen_port=2120任務(wù)10-3配置FTP服務(wù)器權(quán)限3.配置FTP虛擬用戶權(quán)限（1）創(chuàng)建虛擬用戶配置文件目錄，配置命令如下：（2）創(chuàng)建并設(shè)置【xiaozhao】用戶的權(quán)限配置文件，配置命令如下：[root@FTPServer~]#mkdir/etc/vsftpd/vusers_dir[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaozhaovirtual_use_local_privs=NOwrite_enable=YES##設(shè)置虛擬用戶可寫入anon_world_readable_only=NOanon_upload_enable=YES##設(shè)置虛擬用戶可上傳文件anon_mkdir_write_enable=YES##設(shè)置虛擬用戶可創(chuàng)建文件目錄anon_other_write_enable=YES##設(shè)置虛擬用戶可重命名、刪除任務(wù)10-3配置FTP服務(wù)器權(quán)限（3）創(chuàng)建并設(shè)置【xiaochen】用戶的權(quán)限配置文件，配置命令如下：（4）創(chuàng)建并設(shè)置【xiaocai】用戶的權(quán)限配置文件，配置命令如下。[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaochenvirtual_use_local_privs=NOwrite_enable=NOanon_world_readable_only=NOanon_upload_enable=NO##設(shè)置虛擬用戶不可上傳文件anon_mkdir_write_enable=NO##設(shè)置虛擬用戶不可創(chuàng)建文件目錄anon_other_write_enable=NO##設(shè)置虛擬用戶不可重命名、刪除[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaocaivirtual_use_local_privs=NOwrite_enable=NOanon_world_readable_only=NOanon_upload_enable=NO##設(shè)置虛擬用戶不可上傳文件anon_mkdir_write_enable=NO##設(shè)置虛擬用戶不可創(chuàng)建文件目錄anon_other_write_enable=NO##設(shè)置虛擬用戶不可重命名、刪除任務(wù)10-3配置FTP服務(wù)器權(quán)限4.重啟FTP服務(wù)（1）重啟vsftpd服務(wù)，配置命令如下：[root@FTPServer~]#/usr/sbin/vsftpd/etc/vsftpd/vsftpd2120.conf任務(wù)10-3配置FTP服務(wù)器權(quán)限任務(wù)驗(yàn)證（1）使用“gdbmtool”命令進(jìn)入交互模式，查看pag文件內(nèi)容是否正確，驗(yàn)證命令如下。[root@FTPServer~]#cd/etc/vsftpd[root@localhostvsftpd]#gdbmtoolWelcometothegdbmtool.Type?forhelp.

gdbmtool>openlogin.paggdbmtool>listxiaozhaoJan16@123xiaochenJan16@123xiaocaiJan16@123任務(wù)10-3配置FTP服務(wù)器權(quán)限（2）在PC1主機(jī)上使用【xiaozhao】用戶訪問(wèn)FTP站點(diǎn)，可以上傳文件和創(chuàng)建目錄。使用【xiaochen】或【xiaocai】用戶則只能讀取文件和下載文件，驗(yàn)證命令如下。[root@PC1~]#ftp2120Connectedto().220(vsFTPd3.0.3)Name(:root):xiaozhao331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>mkdirtest257"/test"createdftp>putanaconda-ks.cfgabc.cfglocal:anaconda-ks.cfgremote:abc.cfg227EnteringPassiveMode(192,168,1,1,198,82).150Oktosenddata.226Transfercomplete.1122bytessentin0.00086secs(1304.65Kbytes/sec)ftp>gettest.txtlocal:test.txtremote:test.txt227EnteringPassiveMode(192,168,1,1,54,149).150OpeningBINARYmodedataconnectionfortest.txt(7bytes).226Transfercomplete.7bytesreceivedin0.000207secs(33.82Kbytes/sec)ftp>ls227EnteringPassiveMode(192,168,1,1,229,30).150Herecomesthedirectorylisting.-rw-r--r--1100610061122Dec3111:48abc.cfgdrwxr-xr-x2100610064096Dec3111:47test-rw-r--r--1000Dec3111:36test.txt226DirectorysendOK.任務(wù)10-3配置FTP服務(wù)器權(quán)限ftp>exit[root@PC1~]#ftp2120Connectedto().220(vsFTPd3.0.3)Name(0:root):xiaochen331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(192,168,1,1,221,52).150Herecomesthedirectorylisting.-rw-r--r--1100610061122Dec3111:48abc.cfgdrwxr-xr-x2100610064096Dec3111:47test-rw-r--r--1007Dec3111:50test.txt226DirectorysendOK.ftp>putanaconda-ks.cfgabc2.cfglocal:anaconda-ks.cfgremote:abc2.cfg227EnteringPassiveMode(192,168,1,1,168,130).550Permissiondenied.ftp>mkdirtest1550Permissiondenied.ftp>gettest.txtlocal:test.txtremote:test.txt227EnteringPassiveMode(192,168,1,1,37,31).150OpeningBINARYmodedataconnectionfortest.txt(7bytes).226Transfercomplete.7bytesreceivedin0.000306secs(22.88Kbytes/sec)練習(xí)與實(shí)踐練習(xí)與實(shí)踐.一．理論習(xí)題