信創(chuàng)服務器操作系統(tǒng)的配置與管理（openEuler版） 課件 項目10 部署企業(yè)的FTP服務

項目10部署企業(yè)的FTP服務項目描述項目分析相關知識項目實施練習與實踐目錄[學習目標]（1）掌握FTP服務的工作原理。（2）了解FTP的典型消息。（3）掌握匿名FTP與實名FTP的概念與應用。（4）掌握FTP多站點的概念與應用。（5）掌握企業(yè)網(wǎng)FTP服務的部署業(yè)務實施流程和職業(yè)素養(yǎng)。項目描述項目描述Jan16公司信息中心的文件共享服務能有效地提高信息中心網(wǎng)絡工作的效率，公司希望能在信息中心部署公司文檔中心，為各部門提供FTP服務，以提高公司的工作效率。公司網(wǎng)絡拓撲如圖10-1所示。圖10-1公司網(wǎng)絡拓撲項目描述FTP服務部署要求如下。1）在FTP服務器上部署FTP服務、創(chuàng)建FTP站點，為公司所有員工提供文件共享服務，從而提高工作效率，具體要求有以下幾點。（1）

在“/vat/ftp”目錄下創(chuàng)建【文檔中心】目錄，并在該目錄中創(chuàng)建【產(chǎn)品技術文檔】、【公司品牌宣傳】、【常用軟件工具】子目錄，以便實現(xiàn)公共文檔的分類管理。（2）

創(chuàng)建FTP公共站點，站點根目錄為【文檔中心】，僅允許員工下載文檔。（3）

FTP的訪問地址為【】。項目描述2）在FTP服務器上建立部門級數(shù)據(jù)共享空間，具體要求有以下幾點。（1）

在“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄下創(chuàng)建【行政部】、【項目部】和【工會】部門專屬目錄，同時為各部門創(chuàng)建相應的服務賬戶。（2）

基于不同端口部署FTP部門站點，根目錄為【部門文檔中心】，該站點不允許用戶修改根目錄結構，僅允2）在FTP服務器上建立部門級數(shù)據(jù)共享空間，具體要求有以下幾點。（3）為各部門設置專門訪問賬戶，僅允許它們訪問【文檔中心】和部門專屬目錄文檔。（4）FTP的訪問地址為【:2100】。項目描述3）工會主要負責管理全國各分公司的員工，不同職位的員工權限不同，其中負責人是小趙，普通員工包括小陳、小蔡等。因此公司需要在FTP服務器中對工會FTP站點的權限進行詳細劃分，具體要求由如下幾點：（1）FTP訪問地址為【:2120】。（2）FTP站點根目錄為【/var/ftp/部門文檔中心/工會】。（3）不同角色的用戶對工會目錄具有不同權限，具體如表10-1所示。表10-1工會用戶權限表

文件夾用戶角色/var/ftp/部門文檔中心/工會小趙負責人完全控制小陳普通員工只讀、下載、不能上傳小蔡普通員工只讀、下載、不能上傳項目分析項目分析通過部署文件共享服務可以讓局域網(wǎng)內計算機訪問共享目錄內的文檔，但是不同局域網(wǎng)內的用戶則無法訪問該共享目錄。FTP服務與文件共享類似，用于提供文件共享訪問服務，但是它提供服務的網(wǎng)絡不再局限于局域網(wǎng)，用戶還可以通過廣域網(wǎng)訪問。因此，可以在公司的服務器上建立FTP站點，并在FTP站點上部署共享目錄，這樣就可以實現(xiàn)公司文檔的共享，員工便可以方便訪問該站點的文檔了。根據(jù)項目背景，分別在openEuler服務器上部署FTP站點服務，具體分解為以下幾個工作任務:（1）部署企業(yè)公共FTP站點，實現(xiàn)公司公共文檔的分類管理，方便員工下載。（2）部署部門專屬FTP站點，實現(xiàn)部門級數(shù)據(jù)共享，以提高數(shù)據(jù)安全性和工作效率。（3）配置FTP服務器權限，實現(xiàn)FTP站點權限的詳細劃分，從而提高網(wǎng)絡安全性。相關知識相關知識文件傳輸協(xié)議(FileTransferProtocol,FTP)定義了一個在遠程計算機系統(tǒng)和本地計算機系統(tǒng)之間傳輸文件的標準，工作在應用層，使用TCP傳輸控制協(xié)議在不同的主機之間提供可靠的數(shù)據(jù)傳輸。由于TCP是一種面向連接的、可靠的傳輸協(xié)議，因此FTP可提供可靠的文件傳輸。FTP支持斷點續(xù)傳功能，它可以大幅地減低CPU和網(wǎng)絡帶寬的開銷。在Internet誕生初期，F(xiàn)TP就已經(jīng)被應用在文件傳輸服務上，并且一直作為主要的服務被廣泛部署，在Windows、Linux、UNIX等各種常見的網(wǎng)絡操作系統(tǒng)中被廣泛使用。10.1FTP協(xié)議的組成FTP是TCP/IP協(xié)議簇中的協(xié)議之一。FTP協(xié)議有兩個組成部分，其一為FTP服務器，其二為FTP客戶端。其中FTP服務器用來存儲文件，用戶可以使用FTP客戶端，通過FTP協(xié)議訪問位于FTP服務器上的資源。在開發(fā)網(wǎng)站的時候，通常利用FTP協(xié)議把網(wǎng)頁或程序傳輸?shù)絎eb服務器上。此外，由于FTP傳輸效率非常高，在網(wǎng)絡中傳輸大文件時，一般也采用該協(xié)議。10.2常用FTP服務器和客戶端程序目前，市面上有眾多的FTP服務器和客戶端程序，表10-2中列出了基于Windows和Linux兩種平臺的常用FTP服務器和客戶端程序。表10-2基于Windows和Linux兩種平臺的常用FTP服務器和客戶端程序程序基于Windows平臺基于Linux平臺名稱連接模式名稱連接模式FTP服務器程序IIS主動、被動vsftpd主動、被動Serv-U主動、被動proftpd主動、被動XlightFTPServer主動、被動Wu-ftpd主動、被動FTP客戶端程序命令行工具FTP默認為主動命令行工具lftp默認為主動圖形化工具：CuteFTP、LeapFTP主動、被動圖形化工具：gFTP、Iglooftp主動、被動Web瀏覽器主動、被動Mozilla瀏覽器主動、被動10.3FTP的典型消息使用FTP客戶端程序與FTP服務器進行通信時，經(jīng)常會看到一些由FTP服務器發(fā)送過來的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號含

義120服務在多少分鐘內準備好125數(shù)據(jù)連接已經(jīng)打開，開始傳送150文件狀態(tài)正確，正在打開數(shù)據(jù)連接200命令執(zhí)行正確202命令未被執(zhí)行，該站點不支持此命令211系統(tǒng)狀態(tài)或系統(tǒng)幫助信息回應212目錄狀態(tài)213文件狀態(tài)214幫助消息。關于如何使用本服務器或特殊的非標準命令220對新連接用戶的服務已準備就緒221控制連接關閉225數(shù)據(jù)連接打開，無數(shù)據(jù)傳輸正在進行226正在關閉數(shù)據(jù)連接。請求的文件操作成功（例如，文件傳送或終止）10.3FTP的典型消息使用FTP客戶端程序與FTP服務器進行通信時，經(jīng)常會看到一些由FTP服務器發(fā)送過來的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號含

義227進入被動模式230用戶已登錄。如果不需要可以退出250請求的文件操作完成331用戶名正確，需要輸入密碼332需要登錄的賬戶350請求的文件操作需要更多的信息421服務不可用，控制連接關閉。例如是由于同時連接的用戶過多（已達到同時連接的用戶數(shù)量限制）或連接超時425打開數(shù)據(jù)連接失敗426連接關閉，傳送中止450請求的文件操作未被執(zhí)行451請求的操作中止。發(fā)生本地錯誤452請求的操作未被執(zhí)行。系統(tǒng)存儲空間不足。文件不可用500語法錯誤，命令不可識別?？赡転槊钚羞^長10.3FTP的典型消息使用FTP客戶端程序與FTP服務器進行通信時，經(jīng)常會看到一些由FTP服務器發(fā)送過來的消息，這些消息是FTP協(xié)議所定義的。表10-3中列出了一些典型的FTP消息。表10-3FTP協(xié)議中定義的典型消息消息號含

義500語法錯誤，命令不可識別。可能為命令行過長501因參數(shù)錯誤導致的語法錯誤502命令未被執(zhí)行503命令順序錯誤504由于參數(shù)錯誤，命令未被執(zhí)行530賬戶或密碼錯誤，未能登錄532存儲文件需要賬戶信息550請求的操作未被執(zhí)行，文件不可用（例如文件未找到或無訪問權限）551請求的操作被中止，頁面類型未知552請求的文件操作被中止。超出當前目錄的存儲分配553請求而的操作未被執(zhí)行。文件名不合法10.4匿名FTP與實名FTP1．匿名FTP在使用FTP時必須先登錄到FTP服務器，在遠程主機上獲取相應的用戶權限以后，方可進行文件的下載或上傳操作。也就是說，如果要想同哪一臺計算機進行文件傳輸，那么就必須獲取該臺計算機的相關使用授權。換言之，除非有登錄計算機的賬號和口令，否則便無法進行文件傳輸。但是，這種配置管理方法違背了Internet的開放性，Internet上的FTP服務器主機太多了，不可能要求每個用戶在每一臺FTP服務器上都擁有各自的帳號。因此，匿名FTP就應運而生了。匿名FTP是這樣一種機制：用戶可通過匿名賬號連接到遠程主機上，并從主機上下載文件，而無須成為FTP服務器的注冊用戶。此時，系統(tǒng)管理員會建立一個特殊的用戶賬號，名為Anonymous,Internet上的任何人在任何地方都可使用該匿名賬戶下載FTP服務器上的資源。10.4匿名FTP與實名FTP2．實名FTP相對于匿名FTP，一些FTP服務僅允許特定用戶訪問，為一個部門、組織或個人提供網(wǎng)絡共享服務，我們稱這種FTP服務為實名FTP?？蛻粼L問實名FTP時需要輸入賬戶和密碼，F(xiàn)TP管理員需要在FTP服務器上注冊相應的用戶賬號。10.5FTP的工作原理與工作方式一個FTP會話通常要包括5個軟件元素的交互，表10-4列出了這5個軟件元素，圖10-2描述了FTP協(xié)議的工作模型。軟件元素說明用戶接口（UI）提供了一個用戶接口并使用客戶端協(xié)議解釋器的服務客戶端協(xié)議解釋器（CPI）向遠程服務器協(xié)議機發(fā)送命令并且驅動客戶端數(shù)據(jù)傳輸過程服務端協(xié)議解釋器（SPI）響應客戶協(xié)議機發(fā)出的命令并驅動服務器端數(shù)據(jù)傳輸過程客戶端數(shù)據(jù)傳輸協(xié)議（CDTP）負責完成與服務器數(shù)據(jù)傳輸過程，以及客戶端本地文件系統(tǒng)的通信服務端數(shù)據(jù)傳輸協(xié)議（SDTP）負責完成與客戶數(shù)據(jù)傳輸過程，以及服務器文件系統(tǒng)的通信表10-4FTP會話的5個軟件元素10.5FTP的工作原理與工作方式圖10-2FTP協(xié)議的工作模型10.5FTP的工作原理與工作方式大多數(shù)的TCP應用協(xié)議使用單個的連接，一般是客戶端向服務器的一個固定端口發(fā)起連接，然后使用這個連接進行通信。但是，F(xiàn)TP協(xié)議卻有所不同，F(xiàn)TP協(xié)議在運作時要使用兩個TCP連接。在TCP會話中，存在兩個獨立的TCP連接，一個是由CPI和SPI使用的，被稱為控制連接；另一個是由CDTP和SDTP使用的，被稱作數(shù)據(jù)連接。FTP獨特的雙端口連接結構的優(yōu)勢在于這兩個連接可以選擇各自合適的服務質量。例如，為控制連接提供更短的延遲時間和為數(shù)據(jù)連接提供更大的數(shù)據(jù)吞吐量?？刂七B接是在執(zhí)行FTP命令時由客戶端發(fā)起請求與FTP服務器建立連接?？刂七B接并不傳輸數(shù)據(jù)，只用來傳輸控制數(shù)據(jù)（傳輸?shù)腇TP命令集及其響應）。因此，控制連接只需要很小的網(wǎng)絡寬帶。10.5FTP的工作原理與工作方式通常情況下，F(xiàn)TP服務器監(jiān)聽21端口號來等待控制連接建立請求。一旦客戶端和服務器建立連接，控制連接將始終保持連接狀態(tài)，而數(shù)據(jù)連接端口（TCP20端口號）僅在傳輸數(shù)據(jù)時開啟。在客戶端請求獲取FTP文件目錄、上傳文件和下載文件等操作時，客戶端和服務器將建立一條數(shù)據(jù)連接，這里的數(shù)據(jù)連接是全雙工的，允許同時進行雙向的數(shù)據(jù)傳輸，并且客戶端的端口號是隨機產(chǎn)生的，多次建立連接的客戶端端口號是不同的，一旦傳輸結束，就馬上釋放這條數(shù)據(jù)連接。FTP客戶端和服務器請求連接、建立連接、數(shù)據(jù)傳輸、數(shù)據(jù)傳輸完成、斷開連接的過程如圖10-3所示，其中客戶端端口號（TCP1088和1089）在是客戶端內隨機產(chǎn)生的。10.5FTP的工作原理與工作方式圖10-3FTP工作過程

10.5FTP的工作原理與工作方式FTP支持兩種模式，一種方式叫做Standard(也就是PORT方式，主動方式)，一種是Passive(也就是PASV，被動方式)。Standard模式FTP的客戶端發(fā)送PORT命令到FTP服務器。Passive模式FTP的客戶端發(fā)送PASV命令到FTP服務器。主動模式工作原理如下：FTP客戶端首先和FTP服務器的TCP21端口建立連接，通過這個通道發(fā)送命令，客戶端需要接收數(shù)據(jù)的時候在這個通道上發(fā)送PORT命令。PORT命令包含了客戶端用什么端口接收數(shù)據(jù)。在傳送數(shù)據(jù)的時候，服務器端通過自己的TCP20端口連接至客戶端的指定端口發(fā)送數(shù)據(jù)。FTP服務器必須和客戶端建立一個新的連接用來傳送數(shù)據(jù)。10.5FTP的工作原理與工作方式被動模式工作原理如下：在建立控制通道的時候Passive模式和Standard模式類似，但建立連接后發(fā)送的不是Port命令，而是Pasv命令。FTP服務器收到Pasv命令后，隨機打開一個高端端口（端口號大于1024）并且通知客戶端在這個端口上傳送數(shù)據(jù)的請求，客戶端連接FTP服務器此端口，通過三次握手建立通道，然后FTP服務器將通過這個端口進行數(shù)據(jù)傳送。很多防火墻在設置的時候都是不允許接受外部發(fā)起的連接的，所以許多位于防火墻后或內網(wǎng)的FTP服務器不支持PASV模式，因為客戶端無法穿過防火墻打開FTP服務器的高端端口；而許多內網(wǎng)的客戶端不能用PORT模式登陸FTP服務器，因為從服務器的TCP20無法和內部網(wǎng)絡的客戶端建立一個新的連接，會造成無法工作的情況。10.6FTP服務常用文件及參數(shù)解析FTP服務軟件包主要包括以下文件。1．/etc/vsftpd/vsftpd.conf（主配置文件）vsftpd.conf文件內包含了大量的的參數(shù)，不同的參數(shù)可以實現(xiàn)對vsftpd服務功能的實現(xiàn)和權限的控制，但其中大部分的參數(shù)都是以“#”開頭的注釋，在配置前可將原始的主配置文件進行備份，隨后再重寫新的主配置文件。vsftpd.conf文件書寫的格式為“option=value”，注意“=”號兩邊不能留空白符。每行前后也不能有多余的空格，選項區(qū)分大小寫，特殊情況選項值不區(qū)分。如果要查詢vsftp的man文檔，以獲得vsftp的詳細選項配置說明，請在終端輸入“manvsftpd.conf”命令（openEuler系統(tǒng)已移除）。表10-5中列舉了vsftpd服務的主配置文件中常用的參數(shù)和解析。10.6FTP服務常用文件及參數(shù)解析參數(shù)解析anonymous_enable=YES/NO是否允許匿名訪問，YES為允許，NO為拒絕local_enable=YES/NO是否允許本地用戶登錄，YES為允許，NO為拒絕write_enable=YES/NO用戶是否可以讀寫，YES為允許，NO為拒絕local_umask=022權限掩碼（反碼），即默認創(chuàng)建文件的權限為777-022=755，目錄權限是666-022=644anon_upload_enable=YES/NO是否允許匿名用戶上傳文件，YES為允許，NO為拒絕anon_mkdir_write_enable=YES/NO是否允許默認用戶創(chuàng)建文件夾，YES為允許，NO為拒絕dirmessage_enable=YES/NO用戶首次進入新目錄時可以顯示消息。在進入目錄時是否顯示.message文件的內容。YES為允許，NO為拒絕xferlog_enable=YES/NO是否啟用日志文件，上傳或者下載的日志被記錄在【/var/log/vsftpd.log】文件中。YES為允許，NO為拒絕connect_from_port_20=YES/NO控制以PORT模式進行數(shù)據(jù)傳輸時是否使用TCP20端口（ftp-data）。YES為允許，NO為拒絕chown_uploads=YESchown_username=whoever這兩行要成對出現(xiàn)，意思為：上傳文件后，文件的所有者變成whoever，不能重新上傳覆蓋該文件pam_service_name=vsftpd列出與vsftpd相關的PAM文件表10-5vsftpd服務的程序主配置文件的參數(shù)和解析10.6FTP服務常用文件及參數(shù)解析參數(shù)解析userlist_enable=YES/NO當該選項設為YES時，啟用配置文件【/etc/vsftpd/user_list】：1：若此時沒有選項userlist_deny=NO，則【/etc/vsftpd/user_list】文件中的用戶不能訪問FTP。2：若存在選項userlist_deny=NO，則僅接受【/etc/vsftpd/user_list】文件中存在用戶登錄FTP的請求（前提是這些用戶不存在于【/etc/vsftpd/ftpusers】文件中）當該選項設置為NO時，不啟用【/etc/vsftpd/user_list】配置文件userlist_file=/etc/vsftpd/users_list默認的用戶名單guest_enable=YES/NO是否開啟用戶身份驗證，YES為開啟，NO為關閉guest_username=ftp虛擬用戶映射登錄的用戶為ftp，此用戶的身份為guest用戶，配合上面選項生效local_root=/var/ftp設定本地用戶登錄的主目錄位置anon_root=/var/ftp設定匿名用戶登錄的主目錄位置pasv_enable=YES#port_enable=YESport為主動模式，pasv為被動模式，兩鐘模式不能同時使用，必須注釋掉一個表10-5vsftpd服務的程序主配置文件的參數(shù)和解析10.6FTP服務常用文件及參數(shù)解析參數(shù)解析pasv_min_port=9000pasv_max_prot=9200使用被動模式時端口的范圍，本例為9000-9200，只能在被動模式下使用use_localtime=YES/NO是否使用本地時間，YES為使用，NO為不適用anon_umaks=022匿名用戶上傳文件的umask值anon_upload_enable=YES/NO允許匿名用戶上傳文件,YES為允許，NO為拒絕chroot_local_user=YES/NO鎖定所有系統(tǒng)用戶在家目錄中，YES為鎖定，NO為不鎖定anon_other_write_enable=YES/NO允許匿名用戶修改目錄名稱或刪除目錄，YES為允許，NO為拒絕chroot_list_enable=YES/NO鎖定特定用戶在家目錄中，當chroot_local_user=YES時，則chroot_list文件中的用戶不禁錮，當chroot_local_user=NO時，則chroot_list文件中的用戶禁錮ftpd_banner="welcometomageftpserver"自定義FTP登錄提示信息max_clients=0最大并發(fā)連接數(shù)max_per_ip=0每個IP同時發(fā)起最大連接數(shù)anon_max_rate=0匿名用戶的最大傳輸速率local_max_rate=0本地用戶的最大傳輸速率表10-5vsftpd服務的程序主配置文件的參數(shù)和解析10.6FTP服務常用文件及參數(shù)解析2．/etc/pam.d/vsftpd（vsftpd認證文件）該文件主要用于加強vsftpd服務器的用戶認證，決定vsftpd使用何種認證方式，可以是本地系統(tǒng)的真實用戶認證（模塊pam_unix），也可以是獨立的用戶認證數(shù)據(jù)庫（模塊pam_userdb）,也可以是網(wǎng)絡上的LDAP數(shù)據(jù)庫（模塊pam_ldap）等。此文件中的【file=/etc/vsftpd/ftpusers】字段，指明阻止訪問的用戶來自“/etc/vsftpd/ftpusers”文件中的用戶。文件的輸出如下：#%PAM-1.0sessionoptionalpam_keyinit.soforcerevokeauthrequiredpam_listfile.soitem=usersense=denyfile=/etc/vsftpd/ftpusersonerr=succeedauthrequiredpam_shells.soauthincludepassword-authaccountincludepassword-authsessionrequiredpam_loginuid.sosessionincludepassword-auth10.6FTP服務常用文件及參數(shù)解析3．/etc/vsftpd/ftpusers（黑名單）ftpusers文件不受任何配置項的影響，它總是有效，是一個黑名單。該文件存放的是一個禁止訪問FTP的用戶列表，出于安全考慮，管理員通常不希望一些擁有過大權限的帳號（比如root)登入FTP，以免通過該帳號從FTP上傳或下載一些危險位置上的文件從而損壞系統(tǒng)。該文件中默認已經(jīng)包含了root、bin、daemon等系統(tǒng)賬號。文件的部分內容如下：#Usersthatarenotallowedtologinviaftp//不允許下列用戶登錄FTProotbindaemonadmlpsyncshutdown【...省略顯示部分內容...】10.6FTP服務常用文件及參數(shù)解析4．/etc/vsftpd/user_list（用戶列表）這個文件中包括的用戶有可能是被拒絕訪問vsftpd服務的用戶，也可能是被允許訪問的用戶，這完全由vsftpd的主配置文件(/etc/vsftpd/vsftpd.conf)中的【userlist_deny】參數(shù)和【userlist_enable】參數(shù)設置為”YES”（默認值）還是”NO”，代碼如下：userlist_enable=YESuserlist_deny=YES黑名單，拒絕文件中的用戶訪問FTPuserlist_enable=YESuserlist_deny=NO白名單，拒絕除userlist文件外的用戶訪問FTPuserlist_enable=NOuserlist_deny=YES/NO無效名單，表示沒有對任何用戶進行訪問限制10.6FTP服務常用文件及參數(shù)解析5．/var/ftp（默認共享站點目錄）該目錄是vsftpd提供服務的文件集散地，它包括一個pub子目錄。在默認配置下，所有的目錄都是只讀狀態(tài)，只有root用戶擁有寫權限。項目實施任務10-1企業(yè)公共FTP站點的部署任務10-1企業(yè)公共FTP站點的部署任務規(guī)劃在FTP服務器上創(chuàng)建一個FTP公共站點，并在站點根目錄【/var/ftp/文檔中心】分別創(chuàng)建【產(chǎn)品技術文檔】、【公司品牌宣傳】、【常用軟件工具】、【公司規(guī)章制度】子目錄，以實現(xiàn)公共文檔的分類管理，方便員工下載文檔，任務網(wǎng)絡拓撲如圖10-4所示。圖10-4任務網(wǎng)絡拓撲任務10-1企業(yè)公共FTP站點的部署openEuler服務器具備FTP服務的功能，本任務可以在FTP服務器上安裝FTP功能，并通過以下步驟實現(xiàn)公司FTP公共站點的建設。（1）在FTP服務器創(chuàng)建FTP站點目錄。（2）在FTP服務器安裝vsftpd服務。（3）修改FTP服務主配置文件的參數(shù)。（4）啟動FTP服務。任務10-1企業(yè)公共FTP站點的部署任務實施1．在FTP服務器創(chuàng)建FTP站點目錄（1）在FTP服務器的【/var/ftp】目錄創(chuàng)建【文檔中心】目錄，并在【文檔中心】目錄中創(chuàng)建【產(chǎn)品技術文檔】、【公司品牌宣傳】、【常用軟件工具】、【公司規(guī)章制度】等子目錄。在【產(chǎn)品技術文檔】目錄中創(chuàng)建“a.txt”文件，配置命令如下：[root@FTPServer~]#mkdir/var/ftp/文檔中心[root@FTPServer~]#cd/var/ftp/文檔中心/[root@FTPServer文檔中心]#mkdir產(chǎn)品技術文檔公司品牌宣傳常用軟件工具公司規(guī)章制度[root@FTPServer文檔中心]#ll總用量16Kdrwxr-xr-x.2rootroot4.0K3月2812:09產(chǎn)品技術文檔drwxr-xr-x.2rootroot4.0K3月2812:09常用軟件工具drwxr-xr-x.2rootroot4.0K3月2812:09公司規(guī)章制度drwxr-xr-x.2rootroot4.0K3月2812:09公司品牌宣傳[root@FTPServer文檔中心]#cd產(chǎn)品技術文檔/[root@FTPServer產(chǎn)品技術文檔]#toucha.txt任務10-1企業(yè)公共FTP站點的部署（2）修改【文檔中心】目錄的默認所屬主和所屬組，并設置為遞歸狀態(tài)，避免用戶無法讀寫目錄數(shù)據(jù)的情況出現(xiàn)，配置命令如下：[root@FTPServer文檔中心]#chown-Rftp.ftp/var/ftp/文檔中心/任務10-1企業(yè)公共FTP站點的部署2．在FTP服務器上安裝vsftpd服務（1）使用“yum”命令安裝vsftpd服務，配置命令如下：（2）使用“rpm”命令檢查系統(tǒng)是否成功安裝了vsftpd服務，配置命令如下：[root@FTPServer~]#yum-yinstallvsftpd[root@FTPServer~]#rpm-qa|grepvsftpdvsftpd-3.0.3-33.oe1.x86_64任務10-1企業(yè)公共FTP站點的部署（3）啟動vsftpd服務，設置服務為開機自啟動，并查看服務狀態(tài)，配置命令如下：[root@FTPServer~]#systemctlstartvsftpd.service[root@FTPServer~]#systemctlenablevsftpd[root@FTPServer~]#systemctlstatusvsftpd.service●vsftpd.service-VsftpdftpdaemonLoaded:loaded(8;;file://DNS-client/usr/lib/systemd/system/vsftpd.service/usr/lib/systemd/system/vsftpd.service8;>Active:active(running)sinceTue2022-3-2812:12:56CST;11sagoProcess:3494ExecStart=/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf(code=exited,status=0/SUCCESS)MainPID:3495(vsftpd)Tasks:1(limit:8989)Memory:404.0KCGroup:/system.slice/vsftpd.service└─3495/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf【...省略顯示部分內容...】任務10-1企業(yè)公共FTP站點的部署3.修改FTP服務主配置文件參數(shù)（1）在修改vsftpd服務的配置文件前，需要先對主配置文件進行備份，配置命令如下：（2）修改vsftpd服務的主配置文件,需要設置FTP服務允許匿名登錄、允許匿名用戶上傳下載和創(chuàng)建目錄，但是不允許刪除共享內的內容，配置命令如下：[root@FTPServer~]#cp/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bak[root@FTPServer~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES##設置允許匿名用戶登錄#local_enable=YES##注釋此行表示禁止本地系統(tǒng)用戶登錄#local_umask=022##注釋此行表示取消對本地用戶設置新增文件的權限掩碼write_enable=YES##設置匿名用戶具備寫入權限anon_upload_enable=YES##設置匿名用戶具備上傳權限anon_umask=022##設置匿名用戶新增文件的權限掩碼anon_mkdir_write_enable=YES##允許匿名用戶創(chuàng)建文件夾anon_other_write_enable=NO##禁止匿名用戶修改或刪除文件任務10-1企業(yè)公共FTP站點的部署4.重啟FTP服務通過“systemctl”命令重啟FTP服務，配置命令如下：[root@FTPServer~]#systemctlrestartvsftpd.service任務10-1企業(yè)公共FTP站點的部署任務驗證（1）在FTP服務器上使用“ss”命令檢查端口啟用情況，可以看到FTP服務默認監(jiān)聽的21端口已啟用，驗證命令如下。（2）配置PC1的IP地址為“/24”，驗證命令如下。（3）在PC1內，使用“yum”命令安裝FTP客戶端服務，配置命令如下。[root@FTPServer~]#ss-lnt|grep21LISTEN032*:21*:*[root@PC1~]#nmcliconnectionmodifyens37ipv4.addresses/24[root@PC1~]#nmcliconnectionupens37[root@PC1~]#yum-yinstallftp任務10-1企業(yè)公共FTP站點的部署（4）在PC1上，通過ftp相關命令訪問FTP站點，使用匿名賬戶anonymous或ftp登錄（密碼為空）。登錄成功后，使用“mkdir”命令創(chuàng)建目錄，測試結果成功，而刪除目錄則會操作失敗，驗證命令如下。[root@PC1~]#ftpConnectedto().220(vsFTPd3.0.3)Name(:root):anonymous331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>cd文檔中心250Directorysuccessfullychanged.ftp>mkdirtest257"/文檔中心/test"createdftp>rmtest550Permissiondenied.任務10-1企業(yè)公共FTP站點的部署（5）使用匿名用戶登錄成功后，切換到產(chǎn)品技術文檔目錄，嘗試將“a.txt”文件下載到本地并且修改名稱為“file.txt”，驗證命令如下。ftp>cd產(chǎn)品技術文檔250Directorysuccessfullychanged.ftp>geta.txtfile.txtlocal:file.txtremote:a.txt227EnteringPassiveMode(192,168,1,1,44,207).150OpeningBINARYmodedataconnectionfora.txt(0bytes).226Transfercomplete.ftp>quit221Goodbye.[root@PC1~]#ll總用量8-rw-------.1rootroot1.2K12月2210:19anaconda-ks.cfg-rw-r--r--.1rootrootfile.txt任務10-2部署部門專屬FTP站點任務10-2部署部門專屬FTP站點通過任務10-1，公司創(chuàng)建了公共的FTP站點，為員工下載公司共享文件提供了便利，提高了工作效率。各部門也相繼提出了建立部門級數(shù)據(jù)共享空間需求，具體要求如下：（1）在“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄創(chuàng)建【行政部】、【項目部】、【工會】部門專屬目錄。（2）為各部門創(chuàng)建相應的服務賬號。（3）創(chuàng)建FTP部門站點，站點根目錄為【部門文檔中心】，站點權限如下；①不允許用戶切換到其他目錄。②各部門用戶服務賬號僅允許訪問對應部門的專屬目錄，對專屬目錄有上傳和下載權限。（4）FTP的訪問地址為：ftp://:2100。任務10-2部署部門專屬FTP站點本任務在部署部門的專屬FTP站點中，可以先創(chuàng)建一個具有上傳和下載權限的站點，然后在發(fā)布目錄和子目錄中配置權限，給服務賬戶制定相應的權限。在服務賬戶的設計中，可以根據(jù)組織架構的特征，完成服務用戶賬戶的創(chuàng)建。因此，應根據(jù)FTP服務相關的公司組織架構來規(guī)劃設計相應的服務賬號與FTP站點架構，結果如圖10-5所示。圖10-5部門FTP站點架構任務10-2部署部門專屬FTP站點綜上所述，本任務可通過以下步驟來實現(xiàn)：（1）

創(chuàng)建各部門FTP站點的專屬服務賬戶。（2）

配置FTP站點參數(shù)，根據(jù)公司需求創(chuàng)建部門專屬FTP站點。（3）

重新啟動FTP服務，生效配置。任務10-2部署部門專屬FTP站點任務實施1.創(chuàng)建FTP站點部門服務賬戶1）創(chuàng)建FTP站點物理目錄（1）在FTP服務器的“/var/ftp”目錄下為各部門建立【部門文檔中心】目錄，并在該目錄創(chuàng)建【行政部】、【項目部】、【工會】部門專屬目錄。[root@FTPServer~]#mkdir/var/ftp/部門文檔中心[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/行政部[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/項目部[root@FTPServer~]#mkdir/var/ftp/部門文檔中心/工會任務10-2部署部門專屬FTP站點（2）在FTP服務器創(chuàng)建用戶project_user1、service_user1、union_user1三個用戶，并且設置家目錄為“/var/ftp部門文檔中心/”下的3個共享目錄【項目部】、【行政部】和【工會】，設置密碼為“Jan16@123”，配置命令如下：[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/項目部project_user1[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/行政部service_user1[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/工會union_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinproject_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinservice_user1[root@FTPServer~]#echo"Jan16@123"|passwd--stdinunion_user1任務10-2部署部門專屬FTP站點2）在FTP服務器上每個用戶的家目錄下，創(chuàng)建3個測試用的txt文本文件，配置命令如下：[root@FTPServer~]#touch/var/ftp/部門文檔中心/項目部/project.txt[root@FTPServer~]#touch/var/ftp/部門文檔中心/行政部/service.txt[root@FTPServer~]#touch/var/ftp/部門文檔中心/工會/union.txt任務10-2部署部門專屬FTP站點2.配置FTP站點參數(shù)，根據(jù)公司需求創(chuàng)建部門專屬FTP站點（1）創(chuàng)建

名稱為“/etc/vsftpd/vsftpd2100.conf”的配置文件，在配置文件中設置對應的權限：禁用匿名登錄、允許本地用戶進行登錄但不允許用戶切換目錄，設置本地用戶對目錄有上傳下載的權限，設置監(jiān)聽的端口為2100，配置命令如下：[root@FTPServer~]#vim/etc/vsftpd/vsftpd2100.conflisten=YESanonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listpam_service_name=vsftpdlisten_port=2100任務10-2部署部門專屬FTP站點（2）修改“/etc/vsftpd/chroot_list”文件，將需要受到禁止切換目錄限制的用戶添加到此文件，配置命令如下：[root@FTPServer~]#vim/etc/vsftpd/chroot_listproject_user1service_user1union_user1任務10-2部署部門專屬FTP站點3.重新啟動FTPServer服務在配置完成后，通過“vsftpd”命令啟動FTP服務，在vsftp服務中，允許以通過修改配置文件名稱的方式建立多個FTP服務站點，啟動時需要在vsftpd服務名稱后加上【新配置文件名稱】，配置命令如下：[root@FTPServer~]#/usr/sbin/vsftpd/etc/vsftpd/vsftpd2100.conf任務10-2部署部門專屬FTP站點任務認證（1）在FTP服務器上通過“ss”命令檢查端口啟動情況，查看到2100端口已經(jīng)處于監(jiān)聽狀態(tài)則代表服務已經(jīng)正常啟動，驗證命令如下。（2）在PC1主機上使用項目部專屬用戶【project_user1】訪問FTP站點，通過“pwd”命令可以查看到用戶登錄后將處于家目錄下，通過“mkdir”命令可以創(chuàng)建新目錄，隨后把project.txt文本下載到本地，最后切換目錄時，系統(tǒng)提示失敗，驗證命令如下。[root@FTPServer~]#ss-tlnp|grep2100LISTEN032*:2100*:*users:(("vsftpd",pid=1478,fd=3))任務10-2部署部門專屬FTP站點[root@PC1~]#ftp2100Connectedto().220(vsFTPd3.0.3)Name(:root):project_user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/var/ftp/項目部"isthecurrentdirectoryftp>ls227EnteringPassiveMode(192,168,1,1,53,241).150Herecomesthedirectorylisting.-rw-r--r--1000Dec2804:36project.txt226DirectorysendOK.ftp>getproject.txtlocal:project.txtremote:project.txt227EnteringPassiveMode(192,168,1,1,106,229).150OpeningBINARYmodedataconnectionforproject.txt(0bytes).226Transfercomplete.ftp>mkdirtest257"/var/ftp/項目部/test"createdftp>cd/var550Failedtochangedirectory.ftp>exit任務10-3配置FTP服務器權限任務10-3配置FTP服務器權限任務規(guī)劃對于【工會】目錄的權限問題，可以通過虛擬用戶進行劃分。運維工程師進行了如下表10-6的規(guī)劃。所屬系統(tǒng)用戶虛擬用戶名用戶站點目錄權限union_user1xiaozhao小趙/var/ftp/部門文檔中心/工會

可讀、可寫、可上傳xiaochen小陳只讀、下載、不能上傳xiaocai小蔡只讀、下載、不能上傳表10-6FTP虛擬用戶及權限規(guī)劃表任務10-3配置FTP服務器權限本任務可分解為以下幾個步驟：（1）創(chuàng)建FTP虛擬用戶。（2）修改FTP配置文件參數(shù)，根據(jù)公司需求創(chuàng)建FTP站點。（3）配置FTP虛擬用戶權限。（4）重啟FTP服務，使配置生效。任務10-3配置FTP服務器權限任務實施1.創(chuàng)建FTP虛擬用戶（1）使用“gdbmtool”創(chuàng)建存放虛擬用戶的文件【login.pag】，在命令內指定虛擬用戶賬戶密碼，配置命令如下：（2）添加虛擬用戶的映射賬號，創(chuàng)建映射用戶的宿主目錄。創(chuàng)建FTP根目錄，配置命令如下：[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaozhao12345[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaochen12345[root@FTPServer~]#gdbmtool/etc/vsftpd/login.pagstorexiaocai12345[root@FTPServer~]#useradd-d/var/ftp/部門文檔中心/工會-s/sbin/nologinunion_user1[root@FTPServer~]#chmod744/var/ftp/部門文檔中心/工會任務10-3配置FTP服務器權限（3）為虛擬用戶建立PAM認證文件,此文件將用于對虛擬用戶認證的控制，配置命令如下：以上內容，通過“db=/etc/vsftpd/login”參數(shù)指定了要使用的虛擬用戶數(shù)據(jù)庫文件位置（此處不需要寫.pag擴展名）。[root@FTPServer~]#vim/etc/pam.d/vsftpd.loginauthrequiredpam_userdb.sodb=/etc/vsftpd/loginaccountrequiredpam_userdb.sodb=/etc/vsftpd/login任務10-3配置FTP服務器權限2.配置FTP配置文件參數(shù)（1）創(chuàng)建vsftpd服務的主配置文件，配置命令如下[root@FTPServer~]#vim/etc/vsftpd/vsftpd2120.conflisten=YESanonymous_enable=NOlocal_enable=YESpam_service_name=vsftpd.login##設置用于用戶認證的PAM文件位置guest_enable=YES##設置啟用虛擬用戶guest_username=union_user1##設置虛擬用戶映射的系統(tǒng)用戶名稱user_config_dir=/etc/vsftpd/vusers_dir##指定虛擬用戶獨立的配置文件目錄allow_writeable_chroot=YES##允許可寫用戶登錄listen_port=2120任務10-3配置FTP服務器權限3.配置FTP虛擬用戶權限（1）創(chuàng)建虛擬用戶配置文件目錄，配置命令如下：（2）創(chuàng)建并設置【xiaozhao】用戶的權限配置文件，配置命令如下：[root@FTPServer~]#mkdir/etc/vsftpd/vusers_dir[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaozhaovirtual_use_local_privs=NOwrite_enable=YES##設置虛擬用戶可寫入anon_world_readable_only=NOanon_upload_enable=YES##設置虛擬用戶可上傳文件anon_mkdir_write_enable=YES##設置虛擬用戶可創(chuàng)建文件目錄anon_other_write_enable=YES##設置虛擬用戶可重命名、刪除任務10-3配置FTP服務器權限（3）創(chuàng)建并設置【xiaochen】用戶的權限配置文件，配置命令如下：（4）創(chuàng)建并設置【xiaocai】用戶的權限配置文件，配置命令如下。[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaochenvirtual_use_local_privs=NOwrite_enable=NOanon_world_readable_only=NOanon_upload_enable=NO##設置虛擬用戶不可上傳文件anon_mkdir_write_enable=NO##設置虛擬用戶不可創(chuàng)建文件目錄anon_other_write_enable=NO##設置虛擬用戶不可重命名、刪除[root@FTPServer~]#vim/etc/vsftpd/vusers_dir/xiaocaivirtual_use_local_privs=NOwrite_enable=NOanon_world_readable_only=NOanon_upload_enable=NO##設置虛擬用戶不可上傳文件anon_mkdir_write_enable=NO##設置虛擬用戶不可創(chuàng)建文件目錄anon_other_write_enable=NO##設置虛擬用戶不可重命名、刪除任務10-3配置FTP服務器權限4.重啟FTP服務（1）重啟vsftpd服務，配置命令如下：[root@FTPServer~]#/usr/sbin/vsftpd/etc/vsftpd/vsftpd2120.conf任務10-3配置FTP服務器權限任務驗證（1）使用“gdbmtool”命令進入交互模式，查看pag文件內容是否正確，驗證命令如下。[root@FTPServer~]#cd/etc/vsftpd[root@localhostvsftpd]#gdbmtoolWelcometothegdbmtool.Type?forhelp.

gdbmtool>openlogin.paggdbmtool>listxiaozhaoJan16@123xiaochenJan16@123xiaocaiJan16@123任務10-3配置FTP服務器權限（2）在PC1主機上使用【xiaozhao】用戶訪問FTP站點，可以上傳文件和創(chuàng)建目錄。使用【xiaochen】或【xiaocai】用戶則只能讀取文件和下載文件，驗證命令如下。[root@PC1~]#ftp2120Connectedto().220(vsFTPd3.0.3)Name(:root):xiaozhao331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>mkdirtest257"/test"createdftp>putanaconda-ks.cfgabc.cfglocal:anaconda-ks.cfgremote:abc.cfg227EnteringPassiveMode(192,168,1,1,198,82).150Oktosenddata.226Transfercomplete.1122bytessentin0.00086secs(1304.65Kbytes/sec)ftp>gettest.txtlocal:test.txtremote:test.txt227EnteringPassiveMode(192,168,1,1,54,149).150OpeningBINARYmodedataconnectionfortest.txt(7bytes).226Transfercomplete.7bytesreceivedin0.000207secs(33.82Kbytes/sec)ftp>ls227EnteringPassiveMode(192,168,1,1,229,30).150Herecomesthedirectorylisting.-rw-r--r--1100610061122Dec3111:48abc.cfgdrwxr-xr-x2100610064096Dec3111:47test-rw-r--r--1000Dec3111:36test.txt226DirectorysendOK.任務10-3配置FTP服務器權限ftp>exit[root@PC1~]#ftp2120Connectedto().220(vsFTPd3.0.3)Name(0:root):xiaochen331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(192,168,1,1,221,52).150Herecomesthedirectorylisting.-rw-r--r--1100610061122Dec3111:48abc.cfgdrwxr-xr-x2100610064096Dec3111:47test-rw-r--r--1007Dec3111:50test.txt226DirectorysendOK.ftp>putanaconda-ks.cfgabc2.cfglocal:anaconda-ks.cfgremote:abc2.cfg227EnteringPassiveMode(192,168,1,1,168,130).550Permissiondenied.ftp>mkdirtest1550Permissiondenied.ftp>gettest.txtlocal:test.txtremote:test.txt227EnteringPassiveMode(192,168,1,1,37,31).150OpeningBINARYmodedataconnectionfortest.txt(7bytes).226Transfercomplete.7bytesreceivedin0.000306secs(22.88Kbytes/sec)練習與實踐練習與實踐.一．理論習題