《Linux服務(wù)器配置與管理》課件項(xiàng)目8 FTP服務(wù)器配置與管理

【項(xiàng)目描述】公司為方便內(nèi)部信息的交流，需要一臺(tái)FTP服務(wù)器實(shí)現(xiàn)公司內(nèi)部文件的上傳下載功能。同時(shí)，公司的Web服務(wù)器也要借助FTP服務(wù)來(lái)實(shí)現(xiàn)網(wǎng)站資源的更新。本項(xiàng)目中我們來(lái)完成FTP服務(wù)器的配置與管理任務(wù)。【學(xué)習(xí)目標(biāo)】（1）了解FTP服務(wù)器在網(wǎng)絡(luò)中的作用。（2）掌握FTP服務(wù)器的安裝過(guò)程。（3）掌握匿名訪問(wèn)FTP服務(wù)器的配置方法。（4）掌握具名訪問(wèn)FTP服務(wù)器的配置方法。（5）掌握FTP服務(wù)器的安全管理方法。預(yù)備知識(shí)認(rèn)識(shí)FTP服務(wù)器FTP的工作原理以HTTP為基礎(chǔ)的WWW服務(wù)功能雖然強(qiáng)大，但對(duì)于文件傳輸來(lái)說(shuō)卻略顯不足。一種專門用于文件傳輸?shù)腇TP服務(wù)應(yīng)運(yùn)而生。FTP（FileTransferProtocol）即文件傳輸協(xié)議，F(xiàn)TP服務(wù)是用于文件傳輸?shù)姆?wù)，相對(duì)于WWW服務(wù)，具有更高的可靠性和效率。FTP極大簡(jiǎn)化了文件傳輸?shù)膹?fù)雜性，能夠使文件通過(guò)網(wǎng)絡(luò)從一臺(tái)主機(jī)傳送到另一臺(tái)主機(jī)卻不受計(jì)算機(jī)和操作系統(tǒng)類型的限制。無(wú)論是PC、服務(wù)器、大型機(jī)，還是Linux、Windows操作系統(tǒng)，只要雙方都支持FTP協(xié)議，就可以方便、可靠地進(jìn)行文件的傳送。FTP的工作原理FTP服務(wù)的具體工作過(guò)程如圖所示。FTP的傳輸模式1）主動(dòng)傳輸模式在主動(dòng)傳輸模式下，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口（1024+X）向服務(wù)器的21號(hào)端口發(fā)起連接，然后開放(1024+X+1)號(hào)端口進(jìn)行監(jiān)聽，并向服務(wù)器發(fā)出“PORT1024+X+1”命令。服務(wù)器接收到命令后，會(huì)用其本地的FTP數(shù)據(jù)端口（通常是20）來(lái)連接客戶端指定的端口(1024+X+1)，進(jìn)行數(shù)據(jù)傳輸。FTP的傳輸模式2）被動(dòng)傳輸模式在被動(dòng)傳輸模式下，F(xiàn)TP客戶端隨機(jī)開啟一個(gè)大于1024的端口（1024+X）向服務(wù)器的21號(hào)端口發(fā)起連接，同時(shí)會(huì)開啟（1024+X+1）號(hào)端口，然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動(dòng)模式。服務(wù)器收到命令后，會(huì)開放一個(gè)大于1024的端口（1024+Y）進(jìn)行監(jiān)聽，然后用“PORT1024+Y”命令通知客戶端，自己的數(shù)據(jù)端口是1024+Y。客戶端接收到命令后，會(huì)通過(guò)（1024+X+1）號(hào)端口連接服務(wù)器的1024+Y端口，然后在兩個(gè)端口之間進(jìn)行數(shù)據(jù)傳輸。任務(wù)一安裝FTP服務(wù)器任務(wù)提出要想使FTP服務(wù)器順利運(yùn)行，首先需要安裝好所需要的軟件包。本次任務(wù)主要安裝FTP服務(wù)器所需要的軟件包vsftpd。任務(wù)分析FTP可以通過(guò)很多軟件實(shí)現(xiàn)，linux中最常用的FTP服務(wù)器軟件是vsftpd。vsftpd是一個(gè)基于GPL發(fā)布的FTP服務(wù)器軟件。其中的vs是“VerySecure”的縮寫，由此名稱縮寫可以看出，該服務(wù)器的初衷就是服務(wù)的安全性。RHEL7.3中的vsftpd主程序軟件包是vsftpd-3.0.2-21.el7.x86_64.rpm，我們需要安裝此軟件包。任務(wù)實(shí)施——查看系統(tǒng)中是否已經(jīng)安裝vsftpd軟件包如果主程序包沒有安裝，則需要安裝主程序包。任務(wù)實(shí)施——安裝主程序包步驟1掛載光盤。任務(wù)實(shí)施——安裝主程序包步驟2使用YUM安裝軟件包。任務(wù)總結(jié)本次任務(wù)主要完成了FTP服務(wù)器軟件的安裝。由于使用了YUM工具，在安裝過(guò)程中所依賴的軟件包都會(huì)自動(dòng)安裝，使我們的安裝過(guò)程輕松了很多。同步訓(xùn)練檢查當(dāng)前系統(tǒng)中是否安裝了vsftpd的軟件包，如果沒有，請(qǐng)安裝此軟件包。任務(wù)二配置匿名訪問(wèn)FTP服務(wù)器任務(wù)提出公司部門內(nèi)部搭建一臺(tái)FTP服務(wù)器，采用的IP地址為00，允許部門員工匿名訪問(wèn)上傳和下載文件。任務(wù)分析vsftpd服務(wù)器的配置文件為/etc/vsftpd/vsftpd.conf。與匿名用戶有關(guān)的常用配置選項(xiàng)有：（1）anonymous_enable：該項(xiàng)設(shè)置為yes時(shí)，表示啟用匿名用戶。（2）anon_mkdir_write_enable：該項(xiàng)設(shè)置為yes時(shí)，表示匿名用戶可以在一個(gè)具備寫權(quán)限的目錄中創(chuàng)建新目錄。（3）anon_upload_enable：該項(xiàng)設(shè)置為yes時(shí)，表示匿名用戶可以向具備寫權(quán)限的目錄中上傳文件。所謂匿名訪問(wèn)，并不是不需要用戶名，而是所有用戶共用同一個(gè)用戶名，該用戶名為ftp或anonymous。匿名訪問(wèn)時(shí)默認(rèn)使用的目錄是/var/ftp/pub目錄。任務(wù)實(shí)施步驟1修改配置文件/etc/vsftpd/vsftpd.conf。任務(wù)實(shí)施步驟2啟動(dòng)服務(wù)。任務(wù)實(shí)施步驟3測(cè)試。所有匿名用戶默認(rèn)使用/var/ftp/pub目錄存放文件。我們?cè)诖四夸浿袆?chuàng)建一個(gè)測(cè)試文件，用于文件下載測(cè)試。任務(wù)實(shí)施步驟3測(cè)試。1）在Windows資源管理器進(jìn)行測(cè)試打開Windows資源管理器，在地址欄中輸入00，即可登錄FTP服務(wù)器，看到共享文件夾pub，任務(wù)實(shí)施步驟3測(cè)試。1）在Windows命令行中測(cè)試任務(wù)總結(jié)在此任務(wù)中，我們配置FTP服務(wù)器使其可以提供匿名用戶上傳和下載文件的功能，并在Windows的資源管理器和命令行界面進(jìn)行了測(cè)試。同步訓(xùn)練配置自己的FTP服務(wù)器實(shí)現(xiàn)匿名用戶上傳和下載文件的功能，并進(jìn)行測(cè)試。任務(wù)三配置具名訪問(wèn)FTP服務(wù)器任務(wù)提出公司的FTP服務(wù)器在運(yùn)行了一段時(shí)間后發(fā)現(xiàn)讓用戶匿名訪問(wèn)非常不安全，用戶無(wú)法管理自己的文件，經(jīng)常有文件被其他用戶誤刪除的情況，還存在用戶上傳病毒和木馬程序的風(fēng)險(xiǎn)。因此，公司決定將FTP服務(wù)器配置成需要用戶名和密碼登錄才能訪問(wèn)的具名訪問(wèn)的形式。為測(cè)試該功能，我們創(chuàng)建了user123用戶，使其能登錄并訪問(wèn)FTP服務(wù)器。任務(wù)分析在vsftpd中只要將匿名訪問(wèn)的功能關(guān)閉，具名訪問(wèn)的功能就開啟了。因此，我們只需要將【任務(wù)二】中所有匿名訪問(wèn)的功能全部關(guān)閉即可。在具名訪問(wèn)過(guò)程中，需要用戶具有自己的用戶名和密碼才能登錄到vsftpd服務(wù)器。FTP服務(wù)使用系統(tǒng)賬戶作為自己的用戶賬戶，也即登錄FTP服務(wù)器的用戶必須在Linux系統(tǒng)中具有一個(gè)賬戶。而我們?cè)诤芏鄷r(shí)候只想讓用戶登錄FTP服務(wù)器，并不想讓用戶登錄Linux系統(tǒng)。為此，我們?cè)趧?chuàng)建用戶賬戶時(shí)，可以將用戶的Shell設(shè)置為/sbin/nologin，這樣用戶就無(wú)法利用該賬戶登錄Linux系統(tǒng)了。用戶用自己的賬戶登錄FTP服務(wù)器后，會(huì)直接進(jìn)入自己的家目錄，在自己家目錄中上傳的文件，不會(huì)被其他用戶刪除。任務(wù)實(shí)施步驟1修改配置文件，將原有的匿名登錄功能關(guān)閉。anonymous_enable=NO#此處必須寫NO,加注釋也不能關(guān)閉匿名訪問(wèn)功能#anon_upload_enable=YES#此行前加上注釋即可#anon_mkdir_write_enable=YES

#此行前加上注釋即可anon_other_write_enable=YES

#此行刪掉或加上注釋任務(wù)實(shí)施步驟2創(chuàng)建登錄FTP服務(wù)器的賬戶。任務(wù)實(shí)施步驟3重啟服務(wù)。任務(wù)實(shí)施步驟4測(cè)試服務(wù)。在Windows命令行進(jìn)行測(cè)試。任務(wù)總結(jié)本次任務(wù)中，我們配置了FTP服務(wù)器的具名訪問(wèn)，用戶通過(guò)輸入自己的賬戶和密碼登錄到FTP服務(wù)器，進(jìn)入自己的家目錄中，實(shí)現(xiàn)對(duì)自己文件的管理，保證了文件的安全性。同步訓(xùn)練公司內(nèi)部的Web服務(wù)器和FTP服務(wù)器在同一臺(tái)服務(wù)器上?，F(xiàn)在想通過(guò)FTP服務(wù)器來(lái)維護(hù)Web服務(wù)器的網(wǎng)站，實(shí)現(xiàn)網(wǎng)站內(nèi)容的更新。請(qǐng)配置FTP服務(wù)器實(shí)現(xiàn)該功能。任務(wù)四FTP服務(wù)器訪問(wèn)控制任務(wù)提出為了提高公司FTP服務(wù)器的安全性，需要禁止用戶user111訪問(wèn)FTP服務(wù)器，且所有用戶都只能訪問(wèn)其家目錄下的文件，不能訪問(wèn)家目錄以外的文件。請(qǐng)配置這兩項(xiàng)訪問(wèn)控制功能。任務(wù)分析——用戶登錄限制在配置文件中，userlist_enable和userlist_deny兩個(gè)選項(xiàng)用來(lái)控制用戶登錄vsftpd服務(wù)器。當(dāng)userlist_enable=YES時(shí)，userlist_deny的設(shè)置才生效。userlist_deny使用/etc/vsftpd/user_list文件來(lái)控制用戶的登錄訪問(wèn)。userlist_deny=YES時(shí),user_list文件中列出的用戶都不能登錄vsftpd服務(wù)器；userlist_deny=NO時(shí)，只有user_list文件中列出的用戶才能登錄vsftpd服務(wù)器。任務(wù)分析——用戶訪問(wèn)目錄限制配置文件中chroot_local_user和chroot_list_enable選項(xiàng)可以實(shí)現(xiàn)限制用戶只能訪問(wèn)其家目錄以下的目錄的功能。當(dāng)chroot_local_user=YES時(shí)，啟用“限定用戶只能訪問(wèn)其家目錄下的目錄”功能。此時(shí)當(dāng)chroot_list_enable=YES時(shí)，不在chroot_list_file后面定義的文件中列出的用戶都被啟用該功能，而在此文件中的用戶不啟用該功能。當(dāng)chroot_list_enable=NO時(shí),在chroot_list_file后面定義的文件中列出的用戶都啟用該功能，而不在此文件中的用戶不啟用該功能。任務(wù)實(shí)施——用戶登錄限制步驟1修改配置文件。userlist_enable=YES#此行在配置文件里默認(rèn)已經(jīng)存在，位于文件末尾userlist_deny=YES#此行是文件的默認(rèn)選項(xiàng)，不寫也可以u(píng)serlist_file=/etc/vsftpd/user_list#此行需要添加上，指定哪些用戶禁止登錄任務(wù)實(shí)施——用戶登錄限制步驟2重啟服務(wù)。任務(wù)實(shí)施——用戶登錄限制步驟3測(cè)試。（1）創(chuàng)建user111用戶。任務(wù)實(shí)施——用戶登錄限制步驟3測(cè)試。（2）將user111加入/etc/vsftpd/user_list文件中。任務(wù)實(shí)施——用戶登錄限制步驟3測(cè)試。（3）使用user111登錄ftp服務(wù)器，會(huì)提示登錄失敗。任務(wù)實(shí)施——用戶訪問(wèn)目錄限制步驟1修改配置文件。chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list#去掉以上三行前面的注釋符“#”allow_writeable_chroot=YES#添加此行，否則在登錄時(shí)會(huì)報(bào)錯(cuò)任務(wù)實(shí)施——用戶訪問(wèn)目錄限制步驟2創(chuàng)建chroot