第 FTP服務(wù)的配置與應(yīng)用

會(huì)計(jì)學(xué)1第FTP服務(wù)的配置與應(yīng)用本章目標(biāo)了解FTP服務(wù)的基本概念了解常用的FTP服務(wù)器和FTP客戶端軟件掌握vsftpd服務(wù)器的配置和管理掌握使用ftp命令對(duì)FTP服務(wù)器進(jìn)行測(cè)試第1頁(yè)/共36頁(yè)本章結(jié)構(gòu)FTP服務(wù)器FTP服務(wù)概述FTP服務(wù)的安裝和簡(jiǎn)單配置

FTP服務(wù)器及基本原理

ftp命令與FTP客戶端軟件

安裝vsftpd

vsftpd服務(wù)器的配置基本

vsftpd服務(wù)的啟動(dòng)和關(guān)閉

配置FTP服務(wù)器的虛擬用戶

典型FTP服務(wù)器設(shè)置

FTP服務(wù)應(yīng)用舉例

第2頁(yè)/共36頁(yè)FTP服務(wù)器及基本原理FTP服務(wù)的基本概念FTP是用于進(jìn)行文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議FTP服務(wù)中分為服務(wù)器和客戶機(jī)兩個(gè)角色FTP服務(wù)器的傳輸模式主動(dòng)模式：由服務(wù)器主動(dòng)連接客戶機(jī)建立數(shù)據(jù)鏈路被動(dòng)模式：FTP服務(wù)器等待客戶機(jī)建立數(shù)據(jù)鏈路FTP服務(wù)器使用的端口21端口用于與客戶機(jī)建立命令鏈路在主動(dòng)模式下服務(wù)器使用20端口向客戶機(jī)建立數(shù)據(jù)鏈路第3頁(yè)/共36頁(yè)主動(dòng)模式的連接過(guò)程1：FTP客戶機(jī)由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請(qǐng)求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機(jī)的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器由20端口向FTP客戶機(jī)的N+1端口主動(dòng)建立數(shù)據(jù)鏈路連接4：FTP客戶機(jī)由N+1端口向FTP服務(wù)器的20端口回應(yīng)，確認(rèn)數(shù)據(jù)鏈路的建立第4頁(yè)/共36頁(yè)被動(dòng)模式的連接過(guò)程1：FTP客戶機(jī)由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請(qǐng)求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機(jī)的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器會(huì)通過(guò)已建立的數(shù)據(jù)鏈路通知客戶機(jī)自己已經(jīng)打開了大于1024的端口M，用于建路數(shù)據(jù)鏈路；當(dāng)需要傳輸數(shù)據(jù)時(shí)，F(xiàn)TP客戶機(jī)會(huì)通過(guò)N+1端口向FTP服務(wù)器的M端口請(qǐng)求建立數(shù)據(jù)鏈路4：FTP服務(wù)器在M端口監(jiān)聽到FTP客戶機(jī)的連接請(qǐng)求后，將從M端口向FTP客戶機(jī)的N+1端口確認(rèn)數(shù)據(jù)鏈路的建立第5頁(yè)/共36頁(yè)常用FTP服務(wù)器軟件Windows下常用的FTP服務(wù)器軟件IIS具有FTP服務(wù)器的功能Serv-U是流行的FTP服務(wù)器軟件Linux下的FTP服務(wù)器Wu-ftpd出現(xiàn)較早，運(yùn)行穩(wěn)定，安全性稍差Proftpd在配置文件和安全性方面有很大改進(jìn)vsftpd著重強(qiáng)調(diào)服務(wù)的安全性，運(yùn)行效率也很高vsftpd服務(wù)器是本章學(xué)習(xí)的重點(diǎn)第6頁(yè)/共36頁(yè)ftp命令作為FTP客戶端ftp命令是最基本的FTP客戶端軟件在Linux和Windows系統(tǒng)中都默認(rèn)提供ftp命令ftp命令的交互環(huán)境中使用命令對(duì)FTP服務(wù)器進(jìn)行操作ftp中很多命令與Bash中的命令類似binary設(shè)置傳輸二進(jìn)制文件，ascii設(shè)置傳輸文本文件get命令用于下載文件，put命令用于上傳文件mget和mput用于一次下載或上傳多個(gè)文件bye命令可退出ftp命令交互環(huán)境第7頁(yè)/共36頁(yè)FTP客戶端軟件FTP客戶端軟件的特點(diǎn)運(yùn)行在圖形環(huán)境下的窗口程序可使用鼠標(biāo)和通過(guò)菜單進(jìn)行操作用戶界面友好，操作方便常用FTP客戶端軟件CuteFTP是Windows下流行的商業(yè)軟件Filezilla是Windows下運(yùn)行的開源軟件gftp是Linux中GNOME桌面環(huán)境中運(yùn)行的FTP客戶端軟件，是GNOME的重要組成部分第8頁(yè)/共36頁(yè)安裝vsftpdvsftpd的安裝需要注意以下幾點(diǎn)RHEL4系統(tǒng)中默認(rèn)沒(méi)有安裝vsftpd服務(wù)器vsftpd服務(wù)器的安裝文件位于第1張安裝光盤中安裝文件名稱是vsftpd-2.0.1-5.i386.rpm使用rpm命名可順利安裝該軟件包#rpm-ivhvsftpd-2.0.1-5.i386.rpm

第9頁(yè)/共36頁(yè)vsftpd.conf配置文件vsftpd.conf是vsftpd服務(wù)器的主配置文件/etc/vsftpd/vsftpd.conf

配置文件中所有的配置項(xiàng)都有相同的格式anonymous_enable=YES配置文件中的注釋行以“#”開始配置文件的詳細(xì)幫助信息可查詢手冊(cè)頁(yè)#manvsftpd.conf第10頁(yè)/共36頁(yè)vsftpd服務(wù)器的缺省配置vsftpd.conf文件中的缺省配置為：anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpduserlist_enable=YESlisten=YEStcp_wrappers=YESanonymous_enable設(shè)置為“YES”時(shí)FTP服務(wù)器允許匿名登錄local_enable設(shè)置為“YES”時(shí)允許本地用戶登錄

write_enable設(shè)置為“YES”時(shí)FTP服務(wù)器開放對(duì)本地用戶的寫權(quán)限local_umask設(shè)置項(xiàng)設(shè)置本地用戶的文件生成掩碼dirmessage_enable設(shè)置為“YES”時(shí)當(dāng)切換到FTP服務(wù)器中的某個(gè)目錄時(shí)，將顯示該目錄下的.message隱含文件的內(nèi)容xferlog_enable設(shè)置為“YES”時(shí)FTP服務(wù)器將啟用上傳和下載日志connect_from_port_20設(shè)置為“YES”時(shí)FTP服務(wù)器將啟用FTP數(shù)據(jù)端口的連接請(qǐng)求xferlog_std_format設(shè)置為“YES”時(shí)FTP服務(wù)器將使用標(biāo)準(zhǔn)的ftpdxferlog日志格式pam_service_name設(shè)置PAM認(rèn)證服務(wù)的配置文件名稱userlist_enable設(shè)置為“YES”時(shí)FTP服務(wù)器將檢查userlist_file設(shè)置文件中指定的用戶是否可以訪問(wèn)vsftpd服務(wù)器listen設(shè)置為“YES”時(shí)FTP服務(wù)器將處于獨(dú)立啟動(dòng)模式

tcp_wrappers設(shè)置為“YES”時(shí)FTP服務(wù)器將使用tcp_wrappers作為主機(jī)訪問(wèn)控制方式

第11頁(yè)/共36頁(yè)vsftpd.ftpusers文件vsftpd.ftpusers用于保存不允許進(jìn)行FTP登錄的本地用戶帳號(hào)#head-5/etc/vsftpd.ftpusers#Usersthatarenotallowedtologinviaftprootbindaemonadm

vsftpd.ftpusers文件中可禁止高權(quán)限本地用戶登錄FTP服務(wù)器，提高了系統(tǒng)的安全性第12頁(yè)/共36頁(yè)vsftpd.user_list文件vsftpd.user_list文件具有對(duì)vsftpd服務(wù)器更靈活的用戶訪問(wèn)控制/etc/vsftpd.user_list

使用vsftpd.user_list文件需要在主配置文件中進(jìn)行設(shè)置設(shè)置禁止vsftpd.user_list文件中的用戶登錄userlist_enable=YESuserlist_deny=YES

設(shè)置只允許vsftpd.user_list文件中的用戶登錄userlist_enable=YESuserlist_deny=NO

第13頁(yè)/共36頁(yè)匿名用戶登錄vsftpd服務(wù)器提供匿名用戶登錄的功能匿名用戶使用的登錄用戶名anonymousftp匿名FTP用戶登錄的口令通常是使用用戶的E-mail地址，在vsftpd中輸入任何字符串或直接回車都可以登錄所有匿名用戶都登錄到相同的目錄中/var/ftpFTP服務(wù)器的匿名登錄可用于構(gòu)建公共的文件下載服務(wù)器第14頁(yè)/共36頁(yè)vsftpd服務(wù)的啟動(dòng)和關(guān)閉服務(wù)器啟動(dòng)腳本啟動(dòng)腳本名稱是vsftpd/etc/init.d/vsftpd

vsftpd服務(wù)需要設(shè)置在運(yùn)行級(jí)別3和5自動(dòng)啟動(dòng)#chkconfig--level35vsftpdon

服務(wù)器啟動(dòng)#servicevsftpdstart

服務(wù)器停止#servicevsftpdstop

服務(wù)器狀態(tài)查詢#servicevsftpdstatus

第15頁(yè)/共36頁(yè)使用ftp命令登錄FTP服務(wù)器ftp命令登錄FTP服務(wù)器的格式#ftp

匿名登錄使用用戶名anonymous或ftp登錄的FTP根目錄為系統(tǒng)目錄“/var/ftp”本地用戶登錄使用系統(tǒng)用戶帳號(hào)和口令登錄ftp服務(wù)器登錄FTP服務(wù)器后的目錄為用戶宿主目錄，用戶可轉(zhuǎn)換到系統(tǒng)中的其他目錄第16頁(yè)/共36頁(yè)FTP本地用戶帳號(hào)的問(wèn)題使用FTP本地用戶帳號(hào)存在安全性問(wèn)題FTP本地用戶使用Linux系統(tǒng)用戶帳號(hào)，存在安全隱患使用虛擬帳號(hào)替代本地用戶帳號(hào)可以增強(qiáng)系統(tǒng)的安全性本地用戶登錄FTP目錄后可從宿主目錄轉(zhuǎn)換到其他目錄，不是很安全可以設(shè)置將本地用戶禁錮在宿主目錄中第17頁(yè)/共36頁(yè)將FTP本地用戶禁錮在宿主目錄中在vsftpd.conf文件中添加設(shè)置項(xiàng)chroot_local_user=YES

重新啟動(dòng)vsftpd服務(wù)#servicevsftpdrestart

使用ftp客戶端驗(yàn)證本地用戶登錄FTP服務(wù)器后，宿主目錄將作為根（/）目錄第18頁(yè)/共36頁(yè)階段總結(jié)FTP是進(jìn)行文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議FTP服務(wù)器和客戶機(jī)軟件在Linux和Windows平臺(tái)都有多種選擇vsftpd是以安全見長(zhǎng)的FTP服務(wù)器軟件FTP客戶端可以是ftp命令或窗口程序vsftpd服務(wù)使用vsftpd.conf文件進(jìn)行核心配置vsftpd服務(wù)器的啟動(dòng)腳本是vsftpdvsftpd默認(rèn)配置支持匿名用戶登錄和本地用戶登錄第19頁(yè)/共36頁(yè)階段練習(xí)查看vsftpd.conf配置文件的默認(rèn)設(shè)置使用ftp命令匿名登錄FTP服務(wù)器第20頁(yè)/共36頁(yè)vsftpd中支持的用戶類型匿名用戶使用公共的用戶帳號(hào)進(jìn)行登錄，通常用于提供公共文件下載服務(wù)本地用戶使用Linux系統(tǒng)用戶帳號(hào)登錄，每個(gè)用戶都使用各自的宿主目錄虛擬用戶使用獨(dú)立的文件保存虛擬帳號(hào)，安全性較好，可替代本地用戶第21頁(yè)/共36頁(yè)vsftpd虛擬用戶帳號(hào)的設(shè)置步驟建立虛擬用戶口令庫(kù)文件生成vsftpd的認(rèn)證文件建立虛擬用戶所需的PAM配置文件建立虛擬用戶所要訪問(wèn)的目錄并設(shè)置相應(yīng)權(quán)限設(shè)置vsftpd.conf配置文件第22頁(yè)/共36頁(yè)vsftpd虛擬用戶配置3-1建立虛擬用戶口令庫(kù)文件口令庫(kù)文件中奇數(shù)行設(shè)置用戶名，偶數(shù)行設(shè)置口令#catlogins.txtmikepwabcdjohnpw1234生成vsftpd的認(rèn)證文件使用db_load命令生成認(rèn)證文件#db_load-T-thash-flogins.txt\/etc/vsftpd/vsftpd_login.db設(shè)置認(rèn)證文件只對(duì)用戶可讀可寫#chmod600/etc/vsftpd/vsftpd_login.db

第23頁(yè)/共36頁(yè)vsftpd虛擬用戶配置3-2建立虛擬用戶所需的PAM配置文件手工建立vsftpd.vu文件#cat/etc/pam.d/vsftpd.vuauthrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_loginaccountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login

建立虛擬用戶及要訪問(wèn)的目錄并設(shè)置相應(yīng)的權(quán)限建立所有FTP虛擬用戶帳號(hào)使用的系統(tǒng)用戶帳號(hào)，并設(shè)置該帳號(hào)宿主目錄的權(quán)限#useradd-d/home/ftpsitevirtual#chmod700/home/ftpsite/

第24頁(yè)/共36頁(yè)vsftpd虛擬用戶配置3-3設(shè)置vsftpd.conf配置文件在配置文件中添加虛擬用戶的配置內(nèi)容guest_enable=YESguest_username=virtualpam_service_name=vsftpd.vu

重新啟動(dòng)vsftpd服務(wù)程序?qū)sftpd.conf文件修改后需要重新啟動(dòng)vsftpd服務(wù)程序#servicevsftpdrestart

第25頁(yè)/共36頁(yè)測(cè)試虛擬用戶帳號(hào)的FTP登錄使用ftp命令登錄FTP服務(wù)器使用已配置的虛擬用戶名和口令登錄FTP服務(wù)器，如能夠正常登錄說(shuō)明虛擬帳號(hào)配置成功為了系統(tǒng)的安全，缺省配置的虛擬用戶只具有較低的用戶權(quán)限可以通過(guò)為每個(gè)虛擬用戶建立獨(dú)立的配置文件增加用戶的權(quán)限第26頁(yè)/共36頁(yè)對(duì)虛擬用戶設(shè)置不同的權(quán)限設(shè)置主配置文件在vsftpd.conf文件中添加用戶配置文件目錄設(shè)置user_config_dir=/etc/vsftpd_user_conf

建立用戶配置文件目錄使用mkdir命令建立用戶配置文件目錄#mkdir/etc/vsftpd_user_conf

為虛擬用戶建立單獨(dú)的配置文件用戶配置文件名稱與用戶名相同/etc/vsftpd_user_conf/mike

/etc/vsftpd_user_conf/john第27頁(yè)/共36頁(yè)虛擬用戶配置文件中的配置項(xiàng)每個(gè)FTP虛擬用戶都可以獨(dú)立設(shè)置其權(quán)限anon_world_readable_only=NOanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YES

“anon_world_readable_only=NO”表示用戶可以瀏覽FTP目錄和下載文件

“anon_upload_enable=YES”表示用戶可以上傳文件

“anon_mkdir_write_enable=YES”表示用戶具有建立和刪除目錄的權(quán)利

“anon_other_write_enable=YES”表示用戶具有文件改名和刪除文件的權(quán)限

第28頁(yè)/共36頁(yè)配置vsftpd服務(wù)器中的資源限制vsftpd服務(wù)器中的資源使用可以進(jìn)行限制max_clients=100max_per_ip=5local_max_rate=500000anon_max_rate=200000

max_clients設(shè)置項(xiàng)用于設(shè)置FTP服務(wù)器所允許的最大客戶端連接數(shù)，值為0時(shí)表示不限制

max_per_ip設(shè)置項(xiàng)用于設(shè)置對(duì)于同一IP地址允許的最大客戶端連接數(shù)，值為0時(shí)表示不限制

local_max_rate設(shè)置項(xiàng)用于設(shè)置本地用戶的最大傳輸速率，單位為bytes/sec，值為0時(shí)表示不限制

anon_max_rate設(shè)置項(xiàng)用于設(shè)置匿名用戶的最大傳輸速率，單位為bytes/sec，值為0表示不限制

第29頁(yè)/共36頁(yè)階段總結(jié)vsftpd服務(wù)器中可使用匿名用戶、本地用戶和虛擬用戶三種用戶類型FTP服務(wù)器中的虛擬用戶與本地用戶功能類似，但更加安全vsftpd服務(wù)器中使用虛擬用戶需要維護(hù)獨(dú)立的用戶口令庫(kù)文件vsftpd中的每個(gè)虛擬用戶可以建立用戶配置文件用于設(shè)置獨(dú)立的用戶權(quán)限vsftpd中可以限制客戶機(jī)對(duì)服務(wù)器資源的使用第30