江蘇理工學院計算機工程學院Linux服務器管理與應用史培中spz0812@第4章FTP服務器的配置與應用4.1FTP服務概述4.2vsftpd服務器的安裝與配置4.3PureFTPD服務器的安裝與配置4.4FTP客戶端的配置與訪問4.5文件傳輸命令產生背景：實現信息共享是使用因特網的首要目的，而文件傳輸是信息共享非常重要的內容之一。以HTTP協議為基礎的Web服務功能雖然強大，但對于文件傳輸來說卻略顯不足，需要一種專門用作文件傳輸的服務。FTP服務：文件傳輸協議（FileTransferProtocol），用于Internet上的控制文件的雙向傳輸，它同時也是一個應用程序。優點：用戶通過它可以把自己的PC與所有運行FTP協議的服務器相連，訪問服務器上的大量程序和信息，具有更強的文件傳輸可靠性和更高的傳輸效率。4.1FTP服務概述4.1.1FTP工作原理FTP協議大大簡化了文件傳輸的復雜性，它能夠使文件通過網絡從一臺主機傳送到另外一臺計算機上，卻不受計算機和操作系統類型的限制。4.1FTP服務概述4.1.2匿名用戶訪問方式 FTP服務不同于WWW，它首先要求登錄到服務器上，然后再進行文件的傳輸，這對于很多公開提供軟件下載的服務器來說十分不方便，于是匿名用戶訪問就誕生了。匿名用戶登錄

通過使用一個公用的用戶名Anonymous，密碼不限的管理策略，讓任何用戶都可以很方便地從這些服務器上下載軟件。4.1FTP服務概述4.1.3FTP服務的傳輸模式主動傳輸模式

FTP客戶端隨機開啟一個大于1024的端口N（1025）向服務器的21端口發起連接，然后開放N+1號端口

（1026）進行監聽，并向服務器發

出PORT1026命令。

服務器接收到命令后，會用本地的 FTP數據端口（20）來連接客戶端

指定的端口1026，進行數據傳輸。4.1FTP服務概述4.1.3FTP服務的傳輸模式被動傳輸模式

FTP客戶端隨機開啟一個大于1024的端口N（1025）向服務器的21號端口發起連接，同時會開啟 N+1號端口（1026），然后

向服務器發送PASV命令，通知

服務器自己處于被動模式。服務

器收到命令后，會開放一個大于 1024的端口P（1521）進行監

聽，然后用PORTP命令通知客

戶端。4.1FTP服務概述4.1.4流行的FTP服務器軟件簡介Wu-ftpd

發布較早，程序組織比較亂，安全性不太好。Proftpd

容易配置，下載速度比較快，緩沖溢出的錯誤較少。Vsftpd

RHEL5內置的FTP服務器軟件，使用方法簡單，安全性高。PureFTPD

它是Linux下一款很著名的FTP服務器軟件，在SuSE、Debian中內置，不過在RHEL5中卻沒有內置。

4.1FTP服務概述RHEL5內置有RedHatContentAcceletatot和vsftpd兩款FTP服務器軟件。RedHatContentAcceletatot：是一款基于內核的Web服務器，不過它提供了Web和FTP兩種服務。VerySecureFTPDaemon：以安全作為第一要素的，穩定性、效率方面表現也不錯。4.2vsftpd服務器的安裝與配置4.2.1安裝vsftpd服務vsftpd服務器的安裝很簡單，只要安裝一個RPM軟件包即可

（1）查詢是否安裝了vsftpd服務

（2）安裝vsftpd4.2vsftpd服務器的安裝與配置4.2.2vsftpd服務的啟動與關閉啟動vsFTPd服務

#/etc/rc.d/init.d/vsftpdstart servicevsftpdstart停止vsFTPd服務

#/etc/rc.d/init.d/vsftpdstop servicevsftpdstop重新啟動vsFTPd服務

#/etc/rc.d/init.d/vsftpdrestart servicevsftpdrestart自動運行vsFTPd服務

執行“ntsysv”命令啟動服務配置程序，在其前面加上“*”號。4.2vsftpd服務器的安裝與配置4.2.3vsftpd的配置文件/etc/pam.d/vsftpd

加強vsftpd服務器的用戶認證；/etc/vsftpd/vsftpd.conf vsftpd的主配置文件/etc/vsftpd/ftpusers

此文件內的用戶不能訪問vsftpd服務。/etc/vsftpd/user_list

文件內的用戶可能被拒絕，也可能被允許，取決于主配置文件中參數值。/var/ftp

提供服務的文件集散地，它包括一個pub子目錄。默認情況下，所有目錄都為直讀，不過只有root用戶有寫權限。4.2vsftpd服務器的安裝與配置4.2.4監聽地址與控制端口用文本編輯器打開/ect/vsftpd/vsftpd.conf文件 #vi/etc/vsftpd/vsftpd.conf在其中添加如下兩行 Listen_address= Listen_port=2121

這樣，客戶端訪問就要通過2121端口，而不是默認的21端口進行了。

4.2vsftpd服務器的安裝與配置4.2.5FTP模式與數據端口ftp_data_port//定義FTP傳輸數據的端口；pasv_address//定義vsftpd服務器使用PASV模式時使用IP地址；pasv_enable//默認值為YES，也就是允許使用PASV模式；pasv_min_port//指定PASV模式可以使用的最小（大）端口，默認為0；pasv_promiscuous//設置為YES，可以允許使用FxP功能；port_enable

//允許使用主動傳輸模式，默認值為YES。4.2vsftpd服務器的安裝與配置4.2.6ASCII模式ascii_download_enable

設置是否可用ASCII模式下載。默認值為”NO”;ascii_upload_enable

設置是否可用ASCII模式上傳。默認值為“NO”；4.2vsftpd服務器的安裝與配置4.2.7超時選項data_connection_timeout

定義數據在傳輸過程中被阻塞的最長時間（以秒為單位，默認300秒）;idle_session_timeout

定義客戶端閑置的最長時間（以秒為單位，默認300秒）;4.2vsftpd服務器的安裝與配置4.2.8負載控制anon_max_rate=5000

匿名用戶的最大傳輸速率（單位是bps）;local_max_rate=20000

本地用戶的最大傳輸速率（單位是bps）;4.2vsftpd服務器的安裝與配置4.2.9匿名用戶anonymous_enable //表示是否啟用匿名用戶anon_mkdir_write_enable //匿名用戶是否可以創建新目錄anon_root //匿名登錄后，切換到指定目錄anon_upload_enable //匿名用戶向具備寫權限的目錄上傳文件anon_world_readable_only//代表匿名用戶具備下載權限ftp_username //指定匿名用戶與本地哪個帳號相對應no_anon_password //匿名用戶是否需要輸入密碼secure_email_list_enable //匿名用戶只有采用特定的Email作為密碼4.2vsftpd服務器的安裝與配置4.2.10本地用戶local_enable //是否允許本地用戶登錄chmod_enable //是否允許通過”SITECHMOD”命令改權限chroot_local_user //是否只能訪問到本地用戶的主目錄chroot_list_enable //是否可以例外的切換到本地用戶的主目錄以外local_root //指定本地用戶登錄后切換至的目錄local_umask //設置文件創建的權限掩碼4.2vsftpd服務器的安裝與配置4.2.11虛擬目錄guest_enable

當設置為YES時，所有非匿名用戶都被映射為一個特定的本地用戶。guest_username

設置虛擬用戶映射到本地用戶，默認值為“ftp”。4.2vsftpd服務器的安裝與配置4.2.12用戶登錄控制banner_file

設置客戶端登錄之后，服務器顯示客戶端的信息，保存在該文件；cmds_allowed

設置客戶端登錄后，客戶端可以執行的命令集合；ftpd_banner

設置客戶端登錄后，客戶端顯示的歡迎信息或者其他相關信息；userlist_enable userlist_deny設置使用user_list文件來控制用戶的訪問權限；4.2vsftpd服務器的安裝與配置4.2.13目錄訪問控制dirlist_enabledirmessage_enableForce_dot_filesMessage_fileHide_ids4.2vsftpd服務器的安裝與配置4.2.14文件操作控制download_enable

設置是否允許下載。默認為“YES”，即允許下載；chown_uploads

設置匿名用戶是否允許上傳文件，默認值為“NO”；chown_username

設置匿名用戶上傳的文件的擁有者。默認值是“root”；write_enable

設置為“YES”時，FTP客戶端登錄后允許使用刪除（DELE）、重命名（RNFR）和斷點續傳（STOR）命令。4.2vsftpd服務器的安裝與配置4.2.15新增文件權限dual_log_enablelog_ftp_protocolsyslog_enablexferlog_enablexferlog_std_format4.2vsftpd服務器的安裝與配置4.2.16日志設置Xferlog_std_format

傳輸日志文件將以標準xferlog的格式書寫。此格式的日志文件默認為/var/log/xferlog，也可以通過xferlog_file選項來設定。Xferlog_enable

如果啟用將會維護一個日志文件，用于詳細記錄上傳和下載。默認情況下，這個日志文件是/var/log/vsftpd.log4.2vsftpd服務器的安裝與配置4.2.17允許匿名用戶上傳文件第1步[root@localhost~]#vi/etc/vsftpd/vsftpd.conf第2步write_enable=YES

；允許上傳；anon_upload_enable=YES ；允許匿名用戶上傳；anon_mkdir_write_enable=YES ；允許匿名用戶創建目錄和上傳；anon_other_write_enable=NO ；但不允許匿名用戶刪除和改名；

第3步[root@localhost~]#chmodftp.root/var/ftp/pub第4步[root@localhost~]#servicevsftpdrestart4.2vsftpd服務器的安裝與配置4.2.18限制用戶目錄修改配置文件

打開/etc/vsftpd/vsftpd.conf文件，添加以下行：

chroot_local_user=YES重啟vsftpd服務器

執行/etc/init.d/vsftpdrestart重啟vsftpd服務器再以本地用戶登錄

測試只能訪問本地用戶的主目錄4.2vsftpd服務器的安裝與配置4.2.19配置高安全級別的匿名FTP服務器第2步，基本安全配置anonymous_enable=YES ；啟用匿名訪問local_enable=NO ；關閉本地用戶訪問write_enable=NO ；關閉本地用戶的寫權限anon_upload_enable=NO ；關閉匿名用戶的上傳權限anon_mkdir_write_enable=NO ；關閉匿名用戶創建目錄和寫入文件的權限anon_other_write_enable=NO ；關閉匿名用戶刪除、改名的權限第3步，進一步安全調整anon_world_readable_only=YES ；匿名用戶對任何資源最多只有只讀權限hide_ids=YES ；隱藏文件夾和目錄屬主，都以FTP代替pasv_min_port=50000第4步，開啟監控xferlog_enable=YES ；打開日志，日志文件為/var/log/vsftpd.logls_recurse_enable=NO ；禁用危險的“ls–R”指令ascii_download_enable=NO ；禁止ASCII模式下載第5步，性能優化one_process_model=YES ；每個IP單一進程模式idle_session_timeout=120 ；刪除空閑了兩分鐘后的用戶data_connection_timeout=300 ；刪除空閑了五分鐘后的下載accept_timeout=60 ；刪除掛起了一分鐘后的被動連接connect_timeout=60 ；刪除掛起了一分鐘后的活動連接anon_max_rate=50000 ；匿名用戶最大傳輸速率為50KB/s4.2vsftpd服務器的安裝與配置4.2.20實戰虛擬用戶安裝必需的軟件創建用戶數據庫

（1）創建一個臨時文件，比如/etc/vsftpd/ftp_pam_db.users；

（2）用db_load命令生成pam_userdb認證所需要的賬號文件；

（3）配置PAM信息；

（4）配置vsftpd賬號；

（5）創建虛擬用戶目錄；

（6）按照該配置文件啟動服務；

（7）用虛擬用戶測試目錄權限。4.2vsftpd服務器的