LINUX操作系統(tǒng)應(yīng)用第八講

LINUX操作系統(tǒng)應(yīng)用軟件與服務(wù)外包學(xué)院網(wǎng)絡(luò)安全技術(shù)主講：普星郵箱：postpx@163.com項目5網(wǎng)絡(luò)服務(wù)器架設(shè)——FTP服務(wù)器搭建【知識目標(biāo)】了解文件傳輸協(xié)議理解FTP服務(wù)器的工作模式和過程了解FTP服務(wù)器軟件vsftpd掌握安裝和配置FTP服務(wù)器的方法【能力目標(biāo)】會安裝和啟動默認(rèn)的vsftp服務(wù)；能配置匿名用戶訪問的FTP服務(wù)器；能配置本地用戶訪問的FTP服務(wù)器；能配置虛擬用戶訪問的FTP服務(wù)器；問題提出FTP服務(wù)的作用與系統(tǒng)組成

FTP(FileTransferProtocol,文件傳輸協(xié)議)是使網(wǎng)絡(luò)中的計算機之間實現(xiàn)文件傳送的標(biāo)準(zhǔn)協(xié)議。FTP主要應(yīng)用于軟件資源的上傳與下載和Web站點的維護與更新FTP服務(wù)系統(tǒng)由服務(wù)器軟件、客戶端軟件和FTP通信協(xié)議三部分組成培訓(xùn)電影在進行通信時，F(xiàn)TP需要建立兩個TCP連接：控制連接：標(biāo)準(zhǔn)端口為21，用于發(fā)送FTP命令信息數(shù)據(jù)連接：標(biāo)準(zhǔn)端口為20，用于上傳、下載數(shù)據(jù)FTP客戶端LinuxgFTPMozilla

WindowsIE瀏覽器flashFTPGuteFTPFTP服務(wù)器端Vsftpd（RHEL6自帶）Wu-FtpdProFTPD1．vsftpd軟件的特點vsftpd的全稱是“verysecureFTPdaemon”(非常安全的守護),優(yōu)點:安全、高速、高穩(wěn)定性、體積小、可定制強、效率高官方下載地址:ftp://2．vsftpd數(shù)據(jù)連接的類型及建立過程FTP的數(shù)據(jù)連接分為主動和被動兩種模式。vsftpd服務(wù)簡介

主動模式(PORT):服務(wù)器主動向客戶端發(fā)起數(shù)據(jù)連接。首先由客戶端向服務(wù)器的FTP端口(默認(rèn)是21)發(fā)送連接請求,服務(wù)器接受連接,建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時,客戶端在命令鏈路上用PORT命令告訴服務(wù)器:“我打開了XXXX端口,你過來連接我”,當(dāng)服務(wù)端收到這個PORT命令后就會從20端口向客戶端打開的那個端口發(fā)送連接請求,建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。被動模式(PASV):在該模式下服務(wù)端在指定范圍內(nèi)的某個端口被動等待客戶端發(fā)起數(shù)據(jù)連接?？蛻舳讼蚍?wù)器的FTP端口(默認(rèn)是21)發(fā)送連接請求,服務(wù)器接受連接,建立一條控制連接。當(dāng)需要傳送數(shù)據(jù)時,服務(wù)器在命令鏈路上用PASV命令告訴客戶端:“我打開了XXXX端口,你過來連接我”。當(dāng)客戶端收到這個信息后,就可以向服務(wù)器的XXXX端口發(fā)送連接請求,建立一條數(shù)據(jù)鏈路來傳送數(shù)據(jù)。3．vsftpd的傳輸模式文本模式：ASCII模式，以文本序列傳輸數(shù)據(jù)二進制模式：Binary模式，以二進制序列傳輸數(shù)據(jù)4．vsftpd用戶的類型匿名用戶：anonymous或ftp本地用戶：帳號名稱、密碼等信息保存在passwd、shadow文件中虛擬用戶：使用獨立的帳號/密碼數(shù)據(jù)文件9任務(wù)1vsftpd服務(wù)器安裝與測試1.檢查是否安裝vsFTPd軟件#rpm–qa|grepvsftpdRHEL6.4系統(tǒng)自帶了vsftpd,默認(rèn)情況下,vsftpd未安裝,若無任何顯示，說明vsFTPd未安裝，需要輸入以下命令安裝vsftp。[root@ftp_server~]#mount/dev/cdrom/mnt[root@ftp_server~]#rpm-ivh/mnt/Packages/vsftpd-2.2.2-11.el6.i686.rpm2.vsftpd服務(wù)的運行管理Vsftpd啟動、重啟、狀態(tài)查詢、停止等操作。servicevsftpdstart|restare|status|stop設(shè)置vsftpd自啟動[root@ftp_server~]#chkconfig--level35vsftpdon[root@ftp_server~]#chkconfig--listvsftpdvsftpd0:off1:off2:off3:on4:off5:on6:off3．啟動vsftpd服務(wù)并查看端口占用情況#netstat-nutap|grepftp4．Linux客戶端訪問vsftpd服務(wù)器步驟1:在服務(wù)器端設(shè)置防火墻,開啟FTP服務(wù)端口。步驟2:在RHEL6客戶機上安裝ftp的客戶端軟件包步驟3:在客戶機上使用ftp命令登錄vsftpd服務(wù)器12[root@ftp_client~]#ftp2Connectedto2(2).220(vsFTPd2.2.2)Name(2:root):ftp //輸入用戶名331Pleasespecifythepassword.Password: //輸入用戶密碼230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(2,42,195).150Herecomesthedirectorylisting.drwxr-xr-x2004096Mar022012pub226DirectorysendOK.ftp>mkdirdir1 //在服務(wù)器上創(chuàng)建一個文件夾550Permissiondenied.//權(quán)限被拒絕,表明匿名登錄在默認(rèn)配置下不能上傳信息ftp>bye221Goodbye.命令格式功能cdremote-directory更改遠(yuǎn)程計算機上的工作目錄pwd顯示遠(yuǎn)程計算機上的當(dāng)前目錄ls|dirremote-directory顯示遠(yuǎn)程目錄文件和子目錄列表deleteremote-file刪除遠(yuǎn)程計算機上的文件rm|getremote-file[local-file]將遠(yuǎn)程文件下載到本地計算機put|mputlocal－file[remote－file]將本地文件上傳到遠(yuǎn)程計算機上mkdirremote-directory創(chuàng)建遠(yuǎn)程目錄rmdirremote-directory刪除遠(yuǎn)程目錄bye或quit結(jié)束與遠(yuǎn)程計算機的FTP會話并退出ftp14訪問FTP服務(wù)器命令的返回值及含義110重新啟動標(biāo)記應(yīng)答332登入時需要賬號信息120服務(wù)在多久時間內(nèi)ready350請求的操作需要進一部的命令125打開數(shù)據(jù)連接，傳輸開始421無法提供服務(wù)，關(guān)閉控制連接150文件狀態(tài)正常，開啟數(shù)據(jù)連接端口425無法開啟數(shù)據(jù)鏈路200命令被接受執(zhí)行成功426關(guān)閉聯(lián)機，終止傳輸202命令執(zhí)行失敗450請求的操作未執(zhí)行211系統(tǒng)狀態(tài)或是系統(tǒng)求助響應(yīng)451命令終止：有本地的錯誤。212目錄的狀態(tài)452未執(zhí)行命令：磁盤空間不足213文件的狀態(tài)500格式錯誤，無法識別命令214求助的訊息501參數(shù)語法錯誤。215名稱系統(tǒng)類型502命令執(zhí)行失敗。220新的聯(lián)機服務(wù)就緒。503命令順序錯誤。221服務(wù)的控制連接關(guān)閉，可以注銷504命令所接的參數(shù)不正確。225數(shù)據(jù)連結(jié)開啟，但無傳輸動作530登錄不成功226關(guān)閉數(shù)據(jù)連接端口，請求的文件操作成功532儲存文件需要賬戶登入227進入被動傳輸狀態(tài)550未執(zhí)行請求的操作230使用者登入551請求的命令終止，類型未知。250請求的文件操作完成552請求的文件終止，儲存位溢出。257顯示目前的路徑名稱553未執(zhí)行請求的的命令，名稱不正確331用戶名稱正確，需要密碼設(shè)置項說明/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的本地用戶帳號列表文件（黑名單）/etc/vsftpd/user_list禁止或允許使用vsftpd的用戶列表文件/etc/pam.d/vsftpdPAM認(rèn)證文件（其中file=/etc/vsftpd/ftpusers字段，指明阻止訪問的用戶來自/etc/vsftpd/ftpusers文件中的用戶）

/var/ftp匿名用戶主目錄/var/ftp/pub匿名用戶的下載目錄，此目錄需賦權(quán)根chmod1777pub（1為特殊權(quán)限，使上載后無法刪除）/etc/logrotate.d/vsftpd.logvsftpd的日志文件任務(wù)2認(rèn)識vsftpd的配置文件16主配置文件——/etc/vsftpd/vsftpd.conf可設(shè)置：用戶登錄控制、用戶權(quán)限控制、超時設(shè)置、服務(wù)器功能選項、服務(wù)器性能選項、服務(wù)器響應(yīng)消息等FTP服務(wù)器的配置。#vi/etc/vsftpd/vsftpd.conf以#號開頭是注釋行或是被關(guān)掉的具有某功能的配置行

所有有效配置行有相同的格式為：option=value等號兩邊不能加空格配置文件的詳細(xì)幫助信息可查詢手冊頁#manvsftpd.conf在初始的樣板文件中，并不包括所有想實現(xiàn)的功能，有些功能的實現(xiàn)要添加配置行。任務(wù)2認(rèn)識vsftpd的配置文件17anonymous_enable

=YES/NO是否允許匿名用戶登錄FTP服務(wù)器，默認(rèn)值為YES。no_anon_password=YES/NO

控制匿名用戶登入時是否需要密碼，YES不需要，NO需要。默認(rèn)值為NO。anon_world_readable_only

=YES/NO

匿名用戶是否允許下載可閱讀的文檔。默認(rèn)值為YES。#anon_upload_enable

=YES/NO

是否允許匿名用戶上傳文件，缺省為NO。#anon_mkdir_write_enable

=YES/NO是否允許匿名用戶有創(chuàng)建目錄的寫入權(quán)限，默認(rèn)值為NO1.匿名用戶的有關(guān)設(shè)置任務(wù)2認(rèn)識vsftpd的配置文件18anon_other_write_enable=YES/NO

是否允許匿名用戶有其他的寫入權(quán)限，如對文件改名、覆蓋及刪除文件。默認(rèn)值為NO。ftp_username=

（自添）匿名用戶所使用的系統(tǒng)用戶名。默認(rèn)下，此參數(shù)在配置文件中不出現(xiàn)，默認(rèn)值為ftp。anon_root=/var/ftp（自添）設(shè)置匿名用戶登錄后所在的目錄（缺省為/var/ftp）anon_umask=022（自添）匿名用戶所上傳文件的默認(rèn)權(quán)限掩碼值anon_max_rate=200000設(shè)置匿名用戶的最大傳輸速度，單位為bytes/sec，值為0表示不限制

1.匿名用戶的有關(guān)設(shè)置任務(wù)2認(rèn)識vsftpd的配置文件19local_enable=YES|NO是否允許本地用戶登錄FTP服務(wù)器，默認(rèn)值為YES。

local_umask=022本地用戶上傳文件的默認(rèn)權(quán)限掩碼值local_max_rate=500000設(shè)置本地用戶的最大傳輸速度，單位為bytes/sec，值為0時表示不限制local_root=/var/ftp（自添）設(shè)置本地用戶登錄后所在目錄（缺省為為用戶主目錄）。如：user1用戶為：/home/user12.本地用戶的設(shè)置任務(wù)2認(rèn)識vsftpd的配置文件write_enable=YES|NO允許用戶訪問時,是否允許他們有寫入的權(quán)限，默認(rèn)值為YES。listen=YES|NO設(shè)置vsftpd服務(wù)器是否以獨立（standalone）模式運行，默認(rèn)值為YES，建議不要更改。很多與服務(wù)器運行相關(guān)的配置命令，需要此運行模式才有效。若設(shè)置為NO，則vsftpd不是以獨立的服務(wù)運行，要受xinetd服務(wù)的管理控制，功能上會受限制。listen_port=21設(shè)置FTP服務(wù)器建立連接所偵聽的端口，默認(rèn)值為21。3.全局設(shè)置任務(wù)2認(rèn)識vsftpd的配置文件213.全局設(shè)置max_clients=0設(shè)置FTP服務(wù)器所允許的最大客戶端連接數(shù)，默認(rèn)值為0，表示不限制。若設(shè)置為150時，則同時允許有150個連接，超出的將拒絕建立連接。只有在以standalone模式運行時才有效。max_per_ip=5設(shè)置每個IP地址允許與FTP服務(wù)器同時建立連接的數(shù)目。默認(rèn)為0，不受限制。通?？蓪Υ伺渲眠M行設(shè)置，防止同一個用戶建立太多的連接。只有在以standalone模式運行時才有效。任務(wù)2認(rèn)識vsftpd的配置文件223.全局設(shè)置xferlog_enable=YES是否啟用日志xferlog_file=var/log/vsftpd.log

設(shè)置日志文件名及路徑。需啟用xferlog_enable選項xferlog_std_format=YES

是否用標(biāo)準(zhǔn)格式存儲日志pam_service_name=vsftpd

設(shè)置PAM認(rèn)證服務(wù)的配置文件名,該文件位于/etc/pam.d目錄下任務(wù)2認(rèn)識vsftpd的配置文件233.全局設(shè)置——歡迎信息

ftpd_banner=WelcomeblahFTPservice這邊可定義歡迎話語的字符串，相較于banner_file

是檔案的形式，而ftpd_banner

是字串的格式。預(yù)設(shè)為無。

banner_file

=/etc/vsftpd/banner當(dāng)使用者登入時，會顯示此設(shè)定所在的文件的內(nèi)容，通常為歡迎話語或是說明。默認(rèn)值為無。dirmessage_enable

=YES如果啟動這個選項，使用者第一次進入一個目錄時，會檢查該目錄下是否有.message這個檔案，若是有，則會出現(xiàn)此檔案的內(nèi)容，通常這個檔案會放置歡迎話語，或是對該目錄的說明。默認(rèn)值為開啟。message_file=.message設(shè)置目錄消息文件。當(dāng)使用者第一次進入一個目錄時，是否顯示該目錄中的.message文件（需用編輯器手工創(chuàng)建）的內(nèi)容，該文件通常放置歡迎話語，或是對該目錄的說明信息任務(wù)2認(rèn)識vsftpd的配置文件在默認(rèn)配置下，用戶可以使用“cd..”命名切換到上級目錄。比如，若用戶登錄后所在的目錄為/var/ftp，則在“ftp>”命令行下，執(zhí)行“cd..”命令后，用戶將切換到其上級目錄/var，若繼續(xù)執(zhí)行該命令，則可進入Linux系統(tǒng)的根目錄，從而可以對整個Linux的文件系統(tǒng)進行操作。若設(shè)置了write_enable=YES，則用戶還可對根目錄下的文件進行改寫操作，會給系統(tǒng)帶來極大的安全隱患，因此，必須防止用戶切換到Linux的根目錄，相關(guān)的配置項如下：4.控制用戶是否允許切換到上級目錄

任務(wù)2認(rèn)識vsftpd的配置文件（1）配置所有登錄不能改變自己的FTP根目錄chroot_local_user=YES|NO

本地用戶是否鎖定在宿主目錄中要對本地用戶查看效果，需先設(shè)置local_root=/var/ftp（2）配置部分賬戶不允許改變自己的FTP根目錄#chroot_list_enable=YES|NO是否啟用chroot_list_file配置項指定的用戶列表文件#chroot_list_file=/etc/vsftpd/chroot_list此文件需自己建立，被列入此文件的用戶，在登錄后將不能切換到自己目錄以外的其他目錄4.控制用戶是否允許切換到上級目錄

任務(wù)2認(rèn)識vsftpd的配置文件chroot_list_enable=YESchroot_local_user=YESchroot_list中的用戶未鎖定，chroot_list外的用戶鎖定chroot_list_enable=YESchroot_local_user=NOchroot_list中的用戶鎖定，chroot_list外的用戶未鎖定chroot_list_enable=NOchroot_local_user=YES所有用戶鎖定chroot_list_enable=NOchroot_local_user=NO所有用戶未鎖定任務(wù)2認(rèn)識vsftpd的配置文件5.設(shè)置訪問控制（1）設(shè)置允許或不允許訪問的主機tcp_wrappers=YES設(shè)置vsftpd服務(wù)器是否與tcpwrapper相結(jié)合，進行主機的訪問控制。默認(rèn)為YES，vsftpd服務(wù)器會檢查/etc/hosts.allow和/etc/hosts.deny中的設(shè)置，以決定請求連接的主機是否允許訪問該FTP服務(wù)器。這兩個文件可以起到簡易的防火墻功能。如：若僅允許～54的用戶，可以訪問連接vsftpd服務(wù)器，則可在/etc/hosts.allow文件中添加以下內(nèi)容：vsftpd：/：allowall：all：deny任務(wù)2認(rèn)識vsftpd的配置文件（2）設(shè)置允許或不允許訪問的用戶對用戶的訪問控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件來控制實現(xiàn)。相關(guān)配置命令如下：userlist_enable=YES|NO

設(shè)置/etc/vsftpd/user_list文件是否啟用生效。YES則生效，NO不生效。userlist_deny=YES|NO設(shè)置/etc/vsftpd/user_list文件中的用戶是允許訪問還是不允許訪問。若設(shè)置為YES，則/etc/vsftpd/user_list文件中的用戶將不允許訪問FTP服務(wù)器；若設(shè)置為NO，則只有vsftpd.user_list文件中的用戶，才能訪問FTP服務(wù)器。任務(wù)2認(rèn)識vsftpd的配置文件用戶文件列表/etc/vsftpd/ftpusers

指定了不允許訪問FTP服務(wù)器的本地用戶賬號（黑名單）

，例如root等。這些賬號不是普通用戶賬號，而是在系統(tǒng)中具有較高權(quán)限的賬號，禁止這些賬號進行FTP登錄可提高系統(tǒng)的安全性。/etc/vsftpd/user_list

指定允許或不允許登陸的用戶列表，使用起來比ftpusers更加靈活。需要在主配置文件中進行設(shè)置userlist_enable=YESuserlist_deny=YES●ftpusers中用戶禁止訪問●user_list中用戶禁止訪問（登錄時不會出現(xiàn)密碼提示，直接被服務(wù)器拒絕）●其他的ftp用戶都可以登錄userlist_enable=YESuserlist_deny=NO●只允許user_list中的用戶訪問●其他的ftp用戶都不可以登錄任務(wù)2認(rèn)識vsftpd的配置文件任務(wù)2認(rèn)識vsftpd的配置文件userlist_enable=YESftpusers中用戶允許訪問user_list中用戶允許訪問userlist_enable=NOftpusers中用戶禁止訪問user_list中用戶允許訪問userlist_deny=YESftpusers中用戶禁止訪問（登錄時可以看到密碼輸入提示，但仍無法訪問）

user_list中用戶禁止訪問userlist_deny=NOftpusers中用戶禁止訪問user_list中用戶允許訪問任務(wù)2認(rèn)識vsftpd的配置文件6.設(shè)置用戶配置文件所在的目錄

在vsftpd服務(wù)器中，不同用戶還可使用不同的配置，這要通過用戶配置文件來實現(xiàn)。user_config_dir=/etc/vsftpd/userconf用于設(shè)置用戶配置文件所在的目錄。設(shè)置了該配置項后，當(dāng)用戶登錄FTP服務(wù)器時，系統(tǒng)就會到/etc/vsftpd/userconf目錄下讀取與當(dāng)前用戶名相同的文件，并根據(jù)文件中的配置命令，對當(dāng)前用戶進行更進一步的配置。比如，利用用戶配置文件，可實現(xiàn)對不同用戶進行訪問的速度進行控制，在各用戶配置文件中，定義local_max_rate配置，以決定該用戶允許的訪問速度。任務(wù)2認(rèn)識vsftpd的配置文件7.與連接相關(guān)的設(shè)置listen_address=IP地址設(shè)置在指定的IP地址上偵聽用戶的FTP請求。若不設(shè)置，則對服務(wù)器所綁定的所有IP地址進行偵聽。只有在以standalone模式運行時才有效。對于只綁定了一個IP地址的服務(wù)器，不需要配置該項，默認(rèn)情況下，配置文件中沒有該配置項。若服務(wù)器同時綁定了多個IP地址，則應(yīng)通過該配置項，指定在哪個IP地址上提供FTP服務(wù)，即指定FTP服務(wù)器所使用的IP地址。注意：設(shè)置此值前后，可以通過netstat-tnl對比端口的監(jiān)聽情況accept_timeout=60設(shè)置建立被動（PASV）數(shù)據(jù)連接的超時時間，單位為秒，默認(rèn)值為60。connect_timeout=60PORT方式下建立數(shù)據(jù)連接的超時時間，單位為秒。data_connection_timeout=300設(shè)置建立