VSFTP服务说明.docx

ftp服务器：目标：了解ftp服务在基本概念了解常用的ftp服务器和ftp客户端软件（c/s结构）掌握vsftpd服务器的配置和管理掌握使用ftp命令对ftp服务器进行测试掌握基于ip的虚拟ftp服务器ftp服务在基本概念（file transfer protocol）1、ftp是用于进行文件传输的网络协议2、ftp服务中分为服务器和客户机两个角色ftp服务器的传输模式1、主动模式：由服务器主动连接客户机建立数据链路2、被动模式：ftp服务器等待客户机建立数据前链路ftp服务器使用的端口1、21端口用于与客户机建立命令链路2、在主动模式下服务器使用20端口向客户机建立数据链路主动模式的连接过程：1、ftp客户机由大于1024的n端口向ftp服务器的21端口发出请求建立命令链路2、ftp服务器由21端口向ftp客户机的n端口回应，确认建立命令链路3、ftp服务器由20端口向ftp客户机的n+1端口主动建立数据链路连接4、ftp客户机由n+1端口向ftp服务器的20端口回应，确认数据链路的建议被动模式的连接过程：1、ftp客户机由大于1024的n端口向ftp服务器的21端口发出请求建立命令链路2、ftp服务器由21端口向ftp客户机的n端口回应，确认建立命令链路3、ftp服务器会通过已建立的数据链路通知客户机自己已经打开了大于1024的端口m，用于建立数据链路；当需要传输数据时，ftp客户机会通过n+1端口向ftp服务器的m端口请求建立数据链路4、ftp服务器的m端口监听到ftp客户机的连接请求后，将从m端口向ftp客户机的n+1端口确认数据链路的建立常用ftp服务口器的软件windows下常用的ftp服务器软件1、iis具有ftp服务器的功能2、serv-u是流行的ftp服务器软件linux下的ftp服务顺1、wu-ftpd出现较早，运行稳定，安全性稍差2、proftpd在配置文件和安全性方面有很大的改进3、vsftpd着重强调服务的安全性，运行效率也很高（very secure ftp daemon）ftp命令作为ftp客户端ftp命令是最基本的ftp客户端软件1、在linux和windows系统中都默认提供ftp命令2、ftp命令的交互环境中使用命令对ftp服务器进行操作3、ftp命令中很多命令与bash中的命令类似4、binary设置传输二进制文件，ascii设置传输文本文件5、get命令用于下载文件，put命令用于上传文件6、mget和mput用于一次下载或上传多个文件7、bye命令可退出ftp命令交互环境显示本地目录：lcd/!(惊叹号代表当前目录)vsftpd中支持的用户类型1、匿名用户使用公共的用户帐号进行登录，通常用于提供公共文件下载服务2、本地用户 使用linux系统用户帐号登录，每个用户都使用各自的宿主目录3、虚拟用户使用独立的文件保存虚拟帐号，安全性较好，可替代本地用户 vsftpd.conf配置文件1、vsftpd.conf是vsftpd服务器的主配置文件/etc/vsftpd/vsftpd.conf2、配置文件中所有的配置项都有相同的格式anonymous_enable=yes3、配置文件中的注释行以#开始4、配置文件的详细帮助信息可查询手册页#man vsftpd.confvsftpd.conf文件中的缺省配置为anonymous_enable=yes # annonymous_enable设置为yes时ftp服务器允许匿名登录local_enable=yeswrite_enable=yeslocal_umask=022 # 删除除的用户权限，这里指组和其他用户删除掉写权限dirmessage_enable=yes # dirmessage_enable设置为yes时当切换到ftp服务器中的某个目录时，将显示该目录下的.message隐含文件的内容xferlog_enable=yes # xferlog_enable设置为yes时ftp服务器将启用上传和下载日志connect_from_port_20=yes # connect_from_port_20设置为yes时ftp服务器将启用ftp数据端口的连接请求xferlog_std_format=yes # xferlog_std_format设置为yes时ftp服务器将使用标准的ftpd xferlog日志格式pam_service_name=vsftpd # 用户认证文件userlist_enable=yes # userlist_enable设置为yes时ftp服务器将检查userlist_file设置文件中指定的用户是否可以访问vsftpd服务器listen=yes # listen设置为yes时ftp服务器将处于独立启动模式tcp_wrappers=yes # tcp_wrappers设置为yes时ftp服务器将使用tcp_wrappers作为主机访问控制方式vsftpd.ftpusers文件1、vsftpd.ftpusers用于保存不允许进行ftp登录的本地用户帐号# head -5 /etc/vsftpd.ftpusers# users that are not allowed to login via ftprootbindaemonadm2、vsftpd.ftpusers文件中可禁止高权限本地用户登录ftp服务器，提高了系统的安全性vsftpd.user_list文件对vsftpd服务器更灵活的用户访问控制/etc/vsftpd.user_list1、使用vsftpd.user_list文件需要在主配置文件中进行设置设置禁止vsftpd.user_list文件中的用户登录userlist_enable=yesuserlist_deny=yes2、设置只允许vsftpd.user_list文件中的用户登录userlist_enable=yesuserlist_deny=no匿名用户登录vsftpd服务器提供匿名用户登录的功能1、匿名用户使用的登录用户名anonymous/ftp2、匿名ftp用户登录的口令通常是使用用户的email地址，在vsftpd中输入任何字符串或直接回车都可以登录3、所有匿名用户都登录到相同的目录中/var/ftp4、ftp服务器的匿名登录可用于构建公共的文件下载服务器vsftpd服务的启动和关闭服务器启动脚本1、启动脚本名称是vsftpd/etc/init.d/vsftpd2、vsftpd服务需要设置在运行级别3和5自动启动# chkconfig -level 35 vsftpd on3、服务器启动# service vsftpd start4、服务器停止# service vsftpd stop5、服务器状态查询# service vsftpd status使用ftp命令登录ftp服务器ftp命令登录ftp服务器的格式# ftp 匿名登录1、使用用户名anonymous或ftp2、登录的ftp根目录为系统目录/var/ftp本地用户登录1、使用系统用帐号和口令登录ftp服务器2、登录ftp服务器后的目录为用户宿主目录，用户可转换到系统中的其他目录ftp本地用户帐号的问题使用ftp本地用户帐号存在安全性问题1、ftp本地用户使用linux系统用户帐号，存在安全隐患 使用虚拟帐号替代本地用户帐号可以增强系统的安全性2、本地用户登录ftp目录后可从宿主目录转换到其他目录，不是很安全 可以设置将本地用户禁锢在宿主目录中将ftp本地用户禁锢在宿主目录中1、在vsftpd.conf文件中添加设置项chroot_local_user=yes2、重新启动vsftpd服务# service vsftpd restart3、使用ftp客户端验证 本地用户登录ftp服务器后，宿主目录将作为根(/)目录vsftp虚拟用户帐号的设置步骤1、建立虚拟用户口令库文件2、生成vsftpd的认证文件3、建立虚拟用户所需的pam配置文件4、建立虚拟用户所要访问的目录并设置相就权限5、设置vsftpd.conf配置文件vsftpd虚拟用户配置1、建立虚拟用户口令库文件 口令库文件中奇数行设置用户名，偶数行设置口令 # cat logins.txt test1 123456 test2 2345672、生成vsftpd的认证文件使用db_load命令生成认证文件# db_load -t -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db设置认证文件只对用户可读可写#chmod 600 /etc/vsftpd/vsftpd_login.db3、建立虚拟用户所需的pam配置文件手工建立vsftpd.vu文件# cat /etc/pam.d/vsftpd.vuauth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_loginaccount required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login4、建立虚拟用户及要访问的目录并设置相应的权限建立所有ftp虚拟用户帐号使用的系统用户帐号，并设置该帐号宿主目录的权限# useradd -d /home/ftpsite virtual# chmod 700 /home/ftpsite/5、设置vsftpd.conf配置文件在配置文件中添加虚拟用户的配置内容guest_enable=yesguest_username=virtualpam_service_name=vsftpd.vu6、重新启动vsftpd服务程序对vsftpd.conf文件修改后需要重新启动vsftpd服务程序# service vsftpd restart测试虚拟用户帐号的ftp登录使用ftp命令登录ftp服务器1、使用已配置的虚拟用户名和口令登录ftp服务器，如能够正常登录说明虚拟帐号配置成功2、为了系统的安全，缺省配置的虚拟用户只具有较低的用户权限3、可以通过为每个虚拟用户建立独立的配置文件增加用户的权限对虚拟用户设置不同的权限1、设置主配置文件 在vsftpd.conf文件中添加用户配置文件目录设置 user_config_dir=/etc/vsftpd_user_conf2、建立用户配置文件目录 使用mkdir命令建立用户配置文件目录# mkdir /etc/vsftpd_user_conf3、为虚拟用户建立单独的配置文件 用户配置文件名称与用户名相同/etc/vsftpd_user_conf/test1/etc/vsftpd_user_conf/test24、每个ftp虚拟用户都可以独立设置其权限anon_world_readable_only=no #表示用户可以浏览ftp目录和下载文件anon_upload_enable=yes #表示用户可以上传文件anon_mkdir_write_enable=yes #表示用户具有建立和删除目录的权利anon_other_write_enable=yes #表示用户具有文件改名和删除文件的权限 配置vsftpd服务器中的资源限制1、vsftpd服务器中的使用可以进行限制max_clients=100 #设置项用于设置ftp服务器所允许最大客户端连接数，值为0时表示不限制max_per_ip=5 #设置项用于设置对于同一地址允许的最大客户端连接数，值为时表示不限制local_max_rate=50000 #设置项用于设置本地用户的最大传输速率，单位为bytes/sec,值为0时表示不限制anon_max_rate=20000 #设置项用于设置匿名用户的最大传输速率，单位为bytes/sec,值为0时表示不限制配置基于ip的虚拟ftp服务器1、绑定其他ip2、建立虚拟ftp服务器目录3、创建虚拟服务器的匿名用户所映射的本地用户4、修改原独立运行的服务器配置文件5、复制生成虚拟服务器的主配置文件6、设定虚拟服务器的ip并使虚拟服务器的匿名用户映射到本地用户ftp2给服务器绑定其他ipifconfig eth0:23netconfig -d eth0:0建立虚拟ftp服务器目录# mkdir -p /var/ftp2/pub1创建虚拟服务器的匿名用户所映射的本地用户ftp2# useradd -d /var/ftp2 -m ftp2修改原独立运行的服务器配置文件/etc/vsftpd/vsftpd.conf添加主服务器的iplisten_address=22复制生成虚拟服务器的主配置文件 vsftpd_site2.conf# cp /etc/vsftpd/vsftp.conf /etc/vsftp/vsftp_site2.conf设定虚拟服务器的ip如下listen_address=23使虚拟服务器的匿名用户映射到本地用户ftp2ftp_username=ftp2重启服务生效即可附ftp配置文件说明1、vsftpd配置参数详细整理#接受匿名用户anonymous_enable=yes#匿名用户login时不询问口令no_anon_password=yes#匿名用户主目录anon_root=(none)#接受本地用户local_enable=yes#本地用户主目录local_root=(none)#如果匿名用户需要密码,那么使用banned_email_file里面的电子邮件地址的用户不能登录deny_email_enable=yes#仅在没有pam验证版本时有用,是否检查用户有一个有效的shell来登录check_shell=yes#若启用此选项,userlist_deny选项才被启动userlist_enable=yes#若为yes,则userlist_file中的用户将不能登录,为no则只有userlist_file的用户可以登录userlist_deny=no#如果和chroot_local_user一起开启,那么用户锁定的目录来自/etc/passwd每个用户指定的目录(这个不是很清楚,很哪位熟悉的指点一下)passwd_chroot_enable=no#定义匿名登入的使用者名称。默认值为ftp。ftp_username=ftp#用户权限控制#可以上传(全局控制).write_enable=yes#本地用户上传文件的umasklocal_umask=022#上传文件的权限配合umask使用#file_open_mode=0666#匿名用户可以上传anon_upload_enable=no#匿名用户可以建目录anon_mkdir_write_enable=no匿名用户其它的写权利(更改权限?)anon_other_write_enable=no如果设为yes，匿名登入者会被允许下载可阅读的档案。默认值为yes。anon_world_readable_only=yes#如果开启,那么所有非匿名登陆的用户名都会被切换成guest_username指定的用户名#guest_enable=no所有匿名上传的文件的所属用户将会被更改成chown_usernamechown_uploads=yes匿名上传文件所属用户名chown_username=lightwiter#如果启动这项功能，则所有列在chroot_list_file之中的使用者不能更改根目录chroot_list_enable=yes#允许使用async abor命令,一般不用,容易出问题async_abor_enable=yes管控是否可用ascii 模式上传。默认值为no。ascii_upload_enable=yes#管控是否可用ascii 模式下载。默认值为no。ascii_download_enable=yes#这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限，当vsftpd 不需要file system 的权限时，就会将使用者限制在此数据夹中。默认值为/usr/share/emptysecure_chroot_dir=/usr/share/empty#超时设置#空闲连接超时idle_session_timeout=600#数据传输超时data_connection_timeout=120#pavs请求超时accept_timeout=60#prot模式连接超时connect_timeout=60#服务器功能选项#开启日记功能xferlog_enable=yes#使用标准格式xferlog_std_format=yes#当xferlog_std_format关闭且本选项开启时,记录所有ftp请求和回复,当调试比较有用.#log_ftp_protocol=no#允许使用pasv模式pasv_enable=yes#关闭安全检查,小心呀.#pasv_promiscuous+no#允许使用port模式#port_enable=yes#关闭安全检查#prot_promiscuous#开启tcp_wrappers支持tcp_wrappers=yes#定义pam 所使用的名称，预设为vsftpd。pam_service_name=vsftpd#当服务器运行于最底层时使用的用户名nopriv_user=nobody#使vsftpd在pasv命令回复时跳转到指定的ip地址.(服务器联接跳转?)pasv_address=(none)#服务器性能选项#是否能使用ls -r命令以防止浪费大量的服务器资源#ls_recurse_enable=yes#是否使用单进程模式#one_process_model#绑定到listen_port指定的端口,既然都绑定了也就是每时都开着的,就是那个什么standalone模式listen=yes#当使用者登入后使用ls -al 之类的指令查询该档案的管理权时，预设会出现拥有者的uid，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。text_userdb_names=no#显示目录清单时是用本地时间还是gmt时间,可以通过mdtm命令来达到一样的效果use_localtime=no#测试平台优化#use_sendfile=yes#信息类设置#login时显示欢迎信息.如果设置了banner_file则此设置无效ftpd_banner=欢迎来到湖南三辰fake-ta ftp 网站.#允许为目录配置显示信息,显示每个目录下面的message_file文件的内容d