第9章FTP服務器配置與安全管理

第9章FTP服務器配置與安全管理9.1FTP服務概述 1．FTP協(xié)議簡介互聯(lián)網(wǎng)文件傳輸協(xié)議（FTP）標準是在RFC959中說明的。該協(xié)議定義了一個在遠程計算機系統(tǒng)和本地計算機系統(tǒng)之間傳輸文件的標準。FTP是TCP/IP的一種具體應用，其工作在OSI模型的第七層，TCP模型的第四層上，即應用層。使用TCP傳輸而不是UDP，這樣FTP客戶在和服務器建立連接前就要經(jīng)過“三次握手”的過程，它的意義在于客戶與服務器之間的連接是可靠的，而且是面向連接，為數(shù)據(jù)的傳輸提供了可靠的保證，用戶不必擔心數(shù)據(jù)傳輸?shù)目煽啃?。FTP主要有如下作用：

從客戶向服務器發(fā)送一個文件；

從服務器向客戶發(fā)送一個文件；

從服務器向客戶發(fā)送文件或目錄列表。9.1FTP服務概述FTP服務需要使用兩個端口：一個是控制連接端口（默認是21號端口），專用于在客戶機與服務器之間傳遞指令；另一個是數(shù)據(jù)傳輸端口（端口號的選擇依賴于控制連接上的命令），專用于在客戶機與服務器之間建立數(shù)據(jù)傳輸通道，上傳下載數(shù)據(jù)。FTP的連接模式有兩種：主動模式和被動模式，這里都是相對于服務器而言的。圖9-1主動模式的連接過程圖9-2被動模式的連接過程9.1FTP服務概述 3．FTP的常用命令表9-1FTP常用命令說明命

令說

明ascii設定以ASCII方式傳送文件（缺省值）binary設定以二進制方式傳送文件cd改變當前遠端主機的工作目錄,缺省轉(zhuǎn)到當前用戶的HOME目錄cdup或cd..將當前遠端主機的工作目錄切換到上一級父目錄chmod改變遠端主機的文件權限close終止遠端的FTP進程,返回到FTP命令狀態(tài)delete刪除遠端主機中的文件get[remote-file][local-file]或：recvremote-file[local-file]從遠端主機中的文件傳送至本地主機中l(wèi)cd改變當前本地主機的工作目錄，缺省轉(zhuǎn)到當前用戶的HOME目錄ls[remote-directory][local-file]或：dir[remote-directory][local-file]列出當前遠端主機目錄中的文件，并將結(jié)果寫至本地文件mdelete[remote-files]刪除一批文件9.1FTP服務概述 3．FTP的常用命令續(xù)表命

令說

明mget[remote-files]從遠端主機接收一批文件至本地主機mkdirdirectory-name在遠端主機中建立目錄mputlocal-files將本地主機中一批文件傳送至遠端主機openhost[port]重新建立一個新的連接prompt打開/關閉交互提示模式putlocal-file[remote-file]或：sendlocal-file[remote-file]將本地一個文件傳送至遠端主機中pwd列出當前遠端主機的工作目錄quit或bye終止主機FTP進程，并退出FTP管理方式rename[from][to]改變遠端主機中的文件名rmdirdirectory-name刪除遠端主機中的目錄status顯示當前FTP的狀態(tài)system顯示遠端主機系統(tǒng)類型userusername[password][account]重新以其他的用戶名登錄遠端主機?或help[command] 提供關于所有命令或某個命令的幫助![shellcommand]在客戶機上執(zhí)行所用的SHELL命令9.1FTP服務概述 4．FTP服務器軟件流行的FTP服務器軟件有很多種，在Linux環(huán)境下常用的有：

（1）wu-ftpdUnix系統(tǒng)早期流行的匿名自由（免費的GNU軟件）FTP服務器軟件。運行穩(wěn)定，效率高，在RedHatLinuxAS4之前，RedHatLinux一直都將wu-ftp作為默認安裝的服務器軟件包。但安全漏洞也很多，因此被逐漸替換掉。

（2）proftpd著重強調(diào)FTP服務器的功能。在配置文件和安全性方面有了很大改進。proftpd使用類似Apache配置文件的格式，在一個獨立的配置文件中配置虛擬域以及配置目錄的訪問權限，也可以使用一個外部文件.ftpaccess分別控制各個子目錄。（3）vsftpd目前最安全、穩(wěn)定和高效的FTP服務器，綜合性能最為優(yōu)秀。9.1FTP服務概述 5．vsftpd支持的用戶類型

（1）匿名用戶

匿名用戶使用的登錄用戶名為anonymous或者ftp，

（2）本地用戶

本地用戶是在FTP服務器上擁有賬號的非匿名用戶，該類用戶直接使用自己的賬號和口令進行授權登錄。

（3）虛擬用戶 vsftpd支持使用虛擬帳號替代本地用戶帳號來增強系統(tǒng)的安全性。

虛擬用戶特別采用單獨的文件保存用戶賬號，與系統(tǒng)帳號（passwd/shadow）相分離，這大大增加了系統(tǒng)的安全性。9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器 9.2.1安裝 1．準備工作 2．安裝 3．了解軟件包安裝的文件用命令“rpm-qlvsftpd”可以查詢到vsftpd軟件包所生成的文件。主要有： /etc/pam.d/vsftpd：vsftpd用戶的pam認證文件 /etc/rc.d/init.d/vsftpd：vsftpd服務的啟動腳本 /etc/vsftpd：vsftpd服務配置文件的主目錄 /etc/vsftpd/ftpusers：拒絕訪問vsftpd服務器的本地用戶清單（用戶黑名單）9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器 /etc/vsftpd/user_list：拒絕（默認）或僅允許訪問vsftpd服務器的本地用戶清單（用戶黑/白名單），需結(jié)合“userlist_enable=YES/NO”和“userlist_deny=YES/NO”語句來使用 /etc/vsftpd/vsftpd.conf：vsftpd的主配置文件 /etc/vsftpd/vsftpd_conf_migrate.sh：vsftpd操作的一些變量和設置的腳本 /usr/sbin/vsftpd：可執(zhí)行文件（主程序文件） /var/ftp：默認情況下匿名用戶的根目錄 /var/ftp/pub：用于匿名用戶下載文件的公共目錄 /usr/share/doc/vsftpd-2.0.5：說明和樣例文件的存放目錄

配置文件是安裝軟件包時自動產(chǎn)生的，可以在啟動vsftpd服務器后直接使用。9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器 4．vsftpd服務器的默認配置說明：在vsftpd指令的寫法上還需要注意以下兩項：

每條配置指令應該獨占一行并且指令之前不能有空格；

在“option”、“=”與“value”之間也不能有空格。9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器 9.2.2配置匿名用戶訪問FTP服務器 1．任務及分析 任務情境：公司技術部準備選擇一臺主機（48）搭建一臺功能簡單的FTP服務器，允許所有員工對服務器上的特定目錄“/var/ftp/mypub”上傳、下載和重命名文件，并且允許創(chuàng)建用戶自己的目錄。對于上傳的文件，其所有者自動設置為ftpadmin。當用戶切換到“/var/ftp/pub”目錄后，將顯示一段提示信息。 任務分析：允許所有員工上傳和下載文件，需要設置成允許匿名用戶登錄。配置服務器的流程如下： （1）配置本地目錄的權限和所有者； （2）配置FTP服務器，開放匿名用戶的各項寫權限； （3）設置/var/ftp/pub目錄的提示信息； （4）從網(wǎng)管工作站匿名登錄FTP服務器，通過上傳、下載數(shù)據(jù)和切換目錄進行測試。9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器2．配置方案和過程 （1）創(chuàng)建用戶ftpadmin

（2）建立匿名上傳目錄mypub并設置權限

（3）編輯主配置文件“/etc/vsftpd/vsftpd.conf” （4）修改selinux使其支持匿名上傳

（5）設置/var/ftp/pub目錄的提示信息9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器3．應用測試（1）啟動vsftpd服務并查看器運行狀態(tài)（2）查看vsftpd服務占用端口情況（3）設定開機自動加載vsftpd服務（4）從網(wǎng)管工作站匿名登錄FTP服務器9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器9.2.3配置本地用戶訪問FTP服務器 1．任務及分析任務情境：公司內(nèi)部現(xiàn)有一臺FTP和Web服務器（IP：48），F(xiàn)TP服務器主要用于維護公司的網(wǎng)站，包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁等。公司現(xiàn)有兩個部門負責維護任務，分別使用user1和user2帳號進行管理（這兩個賬戶但不能登錄本地系統(tǒng)），將它們登錄FTP的根目錄限制為“/var/www/html”，不能進入任何其他目錄。

9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器9.2.3配置本地用戶訪問FTP服務器任務分析：將FTP和Web服務器做在一起是企業(yè)經(jīng)常采用的方法，便于實現(xiàn)對網(wǎng)站的維護。為了增強安全性，首先需要僅允許本地用戶訪問，并禁止匿名登錄。其次使用chroot功能將user1和user2鎖定在“/var/www/html”目錄下。如需刪除文件則還應配置本地權限。配置服務器的流程如下： （1）在linux系統(tǒng)中添加兩個用戶user1和user2； （2）在FTP服務器上設置目錄“/var/www/html”的權限，允許user1和 user讀和寫； （3）修改主配置文件，禁用匿名用戶的相關配置，增加本地用戶登 錄的相關參數(shù)，設置本地用戶具有寫權限，以達到預期的目的； （4）對用戶user1和user2設置chroot。9.2案例導學——實現(xiàn)匿名和本地訪問的FTP服務器2．配置方案和過程（1）建立維護網(wǎng)站內(nèi)容的用戶賬號并禁止本地登錄（2）修改本地權限（3）編輯主配置文件，設置用戶權限（4）設置本地用戶的chroot（5）開啟禁用SELinux的FTP傳輸審核功能3．應用測試（1）啟動vsftpd服務并查看器運行狀態(tài)（2）查看vsftpd服務占用端口情況（3）設定開機自動加載vsftpd服務（4）驗證僅允許本地用戶登錄（5）驗證用戶user1和user2的chroot功能（6）驗證用戶user1和user2的權限分配情況9.3課堂練習——配置FTP虛擬主機1．任務及分析 任務情境：在48這臺Linux主機上已經(jīng)建立了一個FTP站點，為了充分利用主機和帶寬資源，希望在此Linux主機上再建立一個允許匿名登錄和下載的FTP站點。 任務分析：vsftpd不支持基于名字的虛擬主機，本例中采用基于IP地址的虛擬主機。基于IP地址的虛擬主機是以IP地址為單位的，每個虛擬主機對應監(jiān)聽一個IP地址，需要在這臺Linux主機上添加新的IP地址。9.3課堂練習——配置FTP虛擬主機2．配置方案和過程（1）為一臺Linux主機配置多個IP地址（2）建立FTP虛擬主機的根目錄（3）創(chuàng)建FTP虛擬主機的匿名用戶帳號（4）建立FTP虛擬主機的配置文件（5）為原獨立運行的FTP服務器指定監(jiān)聽的IP地址9.3課堂練習——配置FTP虛擬主機3．應用測試（1）啟動和測試FTP虛擬主機（2）查看vsftpd服務器進程（3）登錄vsftpd虛擬主機進行測試9.4拓展練習——vsftpd服務的安全管理FTP服務主要面臨如下幾種安全威脅：（1）數(shù)據(jù)泄密（2）匿名訪問所引起的安全脆弱性（3）拒絕服務攻擊9.4拓展練習——vsftpd服務的安全管理9.4.1設置虛擬用戶1．建立虛擬用戶數(shù)據(jù)庫文件（2）執(zhí)行db_load命令生成虛擬用戶數(shù)據(jù)庫文件（3）改變虛擬用戶數(shù)據(jù)庫文件的權限2．建立虛擬用戶使用的認證文件3．建