Linux_FTP配置詳解.ppt

1、VSFTP,FTP協(xié)議,FTP概述FTP就是File Transport Protocol文件傳輸協(xié)議的縮寫，F(xiàn)TP服務(wù)器能夠在網(wǎng)絡(luò)上提供文件傳輸服務(wù)。FTP最初與WWW服務(wù)和郵件服務(wù)一起被列為因特網(wǎng)的三大應(yīng)用，可見其在網(wǎng)絡(luò)應(yīng)用中的地位舉足輕重。 FTP服務(wù)器根據(jù)服務(wù)對(duì)象的不同可分為匿名服務(wù)器（Anonymous Ftp Server）和系統(tǒng)FTP服務(wù)器。前者是可以讓任何人登錄上去獲取文件的FTP服務(wù)器，后者就只能是在FTP服務(wù)器上有合法賬號(hào)的人才能使用。,FTP協(xié)議,控制連接：主要用來傳送在實(shí)際通信過程中需要執(zhí)行的FTP命令以及命令的響應(yīng)（服務(wù)器監(jiān)聽21號(hào)端口） 數(shù)據(jù)連接：用來傳輸用戶的數(shù)據(jù)

2、。,FTP服務(wù)器的設(shè)置,目前在UNIX和LINUX下常用的免費(fèi)FTP服務(wù)器軟件主要是Wu-FTP和ProFTP這兩種。Wu-FTP廣泛應(yīng)用在眾多的Unix和Linux系統(tǒng)中，曾經(jīng)是RedHat Linux默認(rèn)的FTP服務(wù)器軟件，其全稱是Washington University FTP。 Wu-FTP軟件的特性： 1、讓用戶在下載文件的同時(shí)可以對(duì)文件做自動(dòng)的壓縮或解壓縮操作； 2、可以對(duì)不同網(wǎng)絡(luò)的機(jī)器做不同的存取限制和存取時(shí)間； 3、可以記錄文件上傳和下載的時(shí)間； 4、可以顯示傳輸時(shí)的相關(guān)信息，以便讓用戶知道目前的傳輸狀態(tài)； 5、可以設(shè)定連接的數(shù)量限制，以提高工作效率。,FTP服務(wù)器的設(shè)置,但

3、是，Wu-FTP最致命的弱點(diǎn)是安全性比較差。由于推出的時(shí)間比較早，所以在功能上和安全性上，都不能滿足現(xiàn)在的需求。所以，在Red Hat Linux 8.0中，默認(rèn)的FTP服務(wù)器已經(jīng)改成了vs-ftpd這個(gè)軟件 這些功能都適于吞吐量較大的FTP服務(wù)器的管理要求。,vsftpd 簡介,vsftpd 是一個(gè)基于GPL 發(fā)布的類UNIX 系統(tǒng)上使用的FTP 服務(wù)器軟件。其中的vs 是“Very Secure”的縮寫，從此名稱縮寫可以看出，編制者的初衷就是代碼的安全性。,Vsftpd 的特性,安全性是編寫vsftpd 代碼的初衷，除了與生俱來的安全性能之外，高速、穩(wěn)定的性能是vsftpd 的兩個(gè)特性。

4、在速度方面：使用ASCII 模式下載數(shù)據(jù)時(shí)，vsftpd 的速度是WU-FTPd 的兩倍；如果Linux的主機(jī)使用2.4.X 版本的內(nèi)核，在千兆以太網(wǎng)上的下載速度可達(dá)86Mbytes/sec。 在穩(wěn)定性方面：vsftpd 可以在單機(jī)（非集群）上支持4000 個(gè)以上的并發(fā)用戶同時(shí)連接。據(jù) 的數(shù)據(jù)，vsftpd 可以支持15000 個(gè)并發(fā)用戶。 除了安全、高速、穩(wěn)定之外，vsftpd 還具有如下的特性： 支持基于IP 的虛擬FTP 服務(wù)器 支持虛擬用戶 支持PAM 或xinetd/tcp_wrappers 的認(rèn)證方式 支持兩種運(yùn)行方式：獨(dú)立和Xinetd 支持每個(gè)虛擬用戶具有獨(dú)立的配置 支持帶寬限

5、制等,誰在使用vsftpd,由于vsftpd 具有上述的特性，現(xiàn)在越來越多的FTP 服務(wù)器使用vsftpd。例如： ,配置vsftpd,Redhat 8.0自帶了vsftpd，在安裝時(shí)如果選擇了FTP服務(wù)的話，已經(jīng)安裝好了如下的部分軟件：vsftpd-1.1.0-1.i386.rpm，anonftp-4.0-12.i386.rpm。 其中： vsftpd包用于創(chuàng)建一個(gè)安全的FTP服務(wù)器。 anonftp 包用于創(chuàng)建匿名FTP服務(wù)器目錄。若要架設(shè)匿名FTP服務(wù)器就應(yīng)該安裝此包。ano

6、nftp 包安裝的匿名FTP服務(wù)器目錄是/var/ftp，匿名下載目錄為/var/ftp/pub。,vsftpd的配置文件,在RedHat9.0中vsftpd的默認(rèn)配置文件有三個(gè)，分別是： /etc/vsftpd/vsftpd.conf /etc/vsftpd.ftpusers /etc/vsftpd.user_list 其中，/etc/vsftpd.conf 是主配置文件。/etc/vsftpd.ftpusers 中指定了哪些用戶不能訪問FTP服務(wù)器。/etc/vsftpd.user_list 中指定的用戶默認(rèn)情況（ 即在/etc/vsftpd.conf 中設(shè)置了userlist_deny=

7、YES）下也不能訪問FTP 服務(wù)器，當(dāng)在/etc/vsftpd.conf 中設(shè)置了userlist_deny=NO時(shí)，僅僅允許/etc/vsftpd.user_list 中指定的用戶訪問FTP 服務(wù)器。,默認(rèn)配置文件,默認(rèn)的配置文件如下：,默認(rèn)配置文件,這個(gè)默認(rèn)的配置文件達(dá)到的效果是： （1）允許匿名用戶和本地用戶登錄； （2）匿名用戶的登錄名為ftp 或anonymous，口令為一個(gè)Email地址； （3）匿名用戶不能離開匿名服務(wù)器目錄/var/ftp，且只能下載不能上傳； （4）本地用戶的登錄名為本地用戶名，口令為此本地用戶的口令； （5）本地用戶可以離開自家目錄切換至有權(quán)訪問的其他目錄，

8、并在權(quán)限允許的情況下進(jìn)行上傳/下載； （6）寫在文件/etc/vsftpd.ftpusers 中的本地用戶禁止登錄。,進(jìn)一步配置vsftpd,啟用ASCII 傳輸方式 默認(rèn)情況下，vsftpd 為了提高傳輸效率，禁止了ASCII 傳輸方式。雖然在ftp 客戶軟件中可以使用asc命令，但是傳輸文件時(shí)仍然使用二進(jìn)制傳輸方式。 可以分別啟用上傳和下載的ASCII 傳輸方式，方法是編輯/etc/vsftpd 配置文件，將如下兩行前的#去掉即可啟用。 #ascii_upload_enable=YES #ascii_download_enable=YES,進(jìn)一步配置vsftpd,設(shè)置連接服務(wù)器后的歡迎信息

9、 為了使用戶連接服務(wù)器后顯示信息，vsftpd 提供了兩個(gè)選項(xiàng)，分別是： ftpd_banner banner_file 例如：可以設(shè)置如下的ftpd_banner 選項(xiàng)的值： ftpd_banner=Welcome to wnt FTP service. 即：用戶連接服務(wù)器后顯示信息“Welcome to wnt FTP service.”。 也可以設(shè)置如下的banner_file 選項(xiàng)的值： banner_file=/var/vsftpd_banner_file 即：用戶連接服務(wù)器后顯示文件/var/vsftpd_banner_file 中的信息。,進(jìn)一步配置vsftpd,配置基本的性能和

10、安全選項(xiàng) 1. 設(shè)置空閑的用戶會(huì)話的中斷時(shí)間 例如下面的配置： idle_session_timeout=600 將在用戶會(huì)話空閑10 分鐘后被中斷。 2. 設(shè)置空閑的數(shù)據(jù)連接的的中斷時(shí)間 例如下面的配置： data_connection_timeout=120 將在數(shù)據(jù)連接空閑2 分鐘后被中斷。 3. 設(shè)置客戶端空閑時(shí)的自動(dòng)中斷和激活連接的時(shí)間 例如下面的配置： accept_timeout=60 connect_timeout=60 將使客戶端空閑1 分鐘后自動(dòng)中斷連接，并在中斷1 分鐘后自動(dòng)激活連接。,進(jìn)一步配置vsftpd,設(shè)置最大傳輸速率限制 例如下面的配置： local_max_r

11、ate=50000 anon_max_rate=30000 將使本地用戶的最大傳輸速率為50kbytes/sec，匿名用戶的傳輸速率為30kbytes/sec。 5. 設(shè)置客戶端連接時(shí)的端口范圍 例如下面的配置： pasv_min_port=50000 pasv_max_port=60000 將使客戶端連接時(shí)的端口范圍在50000 和60000 之間。這提高了系統(tǒng)的安全性。,進(jìn)一步配置vsftpd,6. 設(shè)置chroot 在默認(rèn)配置中，本地用戶可以切換到自家目錄以外的目錄進(jìn)行瀏覽，并在權(quán)限許可的范圍內(nèi)進(jìn)行下載和上傳。這樣的設(shè)置對(duì)于一個(gè)FTP 服務(wù)器來說是不安全的。 如果希望用戶登錄后不能切換到

12、自家目錄以外的目錄，則需要設(shè)置chroot 選項(xiàng)，涉及如: chroot_local_user chroot_list_enable chroot_list_file 有兩種設(shè)置chroot 的方法： （1）設(shè)置所有的本地用戶執(zhí)行chroot 只要將chroot_local_user 的值設(shè)為YES 即可，即： chroot_local_user=YES （2）設(shè)置指定的用戶執(zhí)行chroot 需要如下的設(shè)置： chroot_local_user=NO chroot_list_enable=YES chroot_list_file= /etc/vsftpd.chroot_list 這樣，只有/e

13、tc/vsftpd.chroot_list 文件中指定的用戶才執(zhí)行chroot。,進(jìn)一步配置vsftpd,配置基于本地用戶的訪問控制 要配置基于本地用戶的訪問控制，可以通過修改vsftpd 的主配置文件/etc/vsftpd.conf 來進(jìn)行，有如下兩種限制方法： 1. 限制指定的本地用戶不能訪問，而其他本地用戶可訪問 例如下面的設(shè)置： userlist_enable=YES userlist_deny=YES userlist_file= /etc/vsftpd.user_list 使文件/etc/vsftpd.user_list 中指定的本地用戶不能訪問FTP 服務(wù)器，而其他本地用戶可訪問

14、FTP服務(wù)器。,進(jìn)一步配置vsftpd,2. 限制指定的本地用戶可以訪問，而其他本地用戶不可訪問 例如下面的設(shè)置： userlist_enable= YES userlist_deny=NO userlist_file= /etc/vsftpd.user_list 使文件/etc/vsftpd.user_list 中指定的本地用戶可以訪問FTP 服務(wù)器，而其他本地用戶不可以訪問FTP服務(wù)器。,進(jìn)一步配置vsftpd,配置基于主機(jī)的訪問控制 由于vsftpd 有兩種運(yùn)行方式，即：由xinetd 啟動(dòng)和獨(dú)立啟動(dòng)。這兩種運(yùn)行方式的主機(jī)訪問控制配置是不同的，下面介紹的是由xinetd 啟動(dòng)的vsftp

15、d 的主機(jī)訪問控制的配置。顯然，要配置這種主機(jī)訪問控制，需要修改配置文件/etc/xinetd.d/vsftpd。 1. 只允許指定的主機(jī)訪問 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： only_from 例如：only_from 表示只允許網(wǎng)段內(nèi)的主機(jī)訪問。,進(jìn)一步配置vsftpd,2. 指定不能訪問的主機(jī) 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： no_access 例如：no_access 表示網(wǎng)段內(nèi)的主機(jī)不能

16、訪問。 3. 配置每個(gè)客戶機(jī)的最大連接數(shù) 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： per_source = 數(shù)值 例如：per_source = 5 表示每個(gè)客戶機(jī)的最大連接數(shù)為5。,進(jìn)一步配置vsftpd,4. 配置服務(wù)器總的并發(fā)連接數(shù) 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： instances = 數(shù)值 例如：instances = 200 表示FTP 服務(wù)器總共支持的最高連接數(shù)為200。 5. 配置訪問時(shí)間限制 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： access_time

17、= hour:min-hour:min 例如：access_time = 18:00-23:59 表示只有在下午6 點(diǎn)到午夜0 點(diǎn)之前才能訪問此FTP 服務(wù)器； 又如：access_time = 8:30-11:30 13:00-18:00 表示只有在上午8 點(diǎn)半到11 點(diǎn)半和下午1 點(diǎn)到下午6 點(diǎn)才能訪問此FTP 服務(wù)器。,進(jìn)一步配置vsftpd,6. 指定連接失敗時(shí)顯示的信息 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： banner_fail = 文件名 例如：banner_fail = /etc/vsftpd.busy_banner 表示當(dāng)連接失敗時(shí)顯示

18、文件/etc/vsftpd.busy_banner 中的內(nèi)容。,僅僅更改vsftpd.conf這個(gè)主配置文件是不夠的，還要更改/etc/xinetd.d/vsftpd這個(gè)文件，來控制vsftpd的一些啟動(dòng)參數(shù)。 rootlinux8 /etc# cat /etc/xinetd.d/vsftpd service ftp disable = no socket_type = stream wait = no user = root server = /usr/sbin/vsftpd nice = 10 per_source = 5 instances = 200 banner_fail = /etc/vsftpd.busy_banner log_on_success += PID HOST DURATION log_on_failure += HOST 這種近乎偏執(zhí)的配置會(huì)大大增加FTP服務(wù)器的安全性，使得vsftpd可以應(yīng)用在Internet上而不用擔(dān)心其安全性與穩(wěn)定性。,FTP協(xié)議,ftp的典型消息 在用于ftp客戶程序與ftp服務(wù)器進(jìn)行通信時(shí)，經(jīng)常會(huì)看到一些由ftp服務(wù)器發(fā)送消息，這些消息是ftp協(xié)議所定義的。下面列出典型的ftp消息： 消息號(hào) 125:數(shù)據(jù)連接打開，傳輸開始 200：命令OK 226：數(shù)據(jù)傳輸完畢 331：用戶名OK 425：