第12章FTP服务器

1、第第12章章 FTP服务器服务器 FTP（File Transfer Protocol）是一个客）是一个客户机户机/服务器系统，服务器系统，使用它进行文件传输时，需使用它进行文件传输时，需要具备以下两个条件要具备以下两个条件: 在服务器端安装在服务器端安装FTP服务器程序，如在服务器程序，如在Windows系统中安装系统中安装IIS或者或者Serv-U，在，在Linux系统中安装系统中安装vsftpd或者或者Wu-ftpd。 在客户机中安装在客户机中安装FTP客户端程序，如客户端程序，如CuteFtp，Windows操作系统中的操作系统中的IE浏览器等。浏览器等。 FTP在工作过程中需要建立两

2、条连接，在工作过程中需要建立两条连接，一一条条控制连接控制连接和一条和一条数据连接数据连接。 FTP有两种工作模式：有两种工作模式：主动模式（又称为主动模式（又称为PORT模式）和被动模式（又称为模式）和被动模式（又称为PASV模模式）。式）。 FTP在传输文件时，可以使用以下两种方在传输文件时，可以使用以下两种方式。式。1ASCII传输方式传输方式2二进制传输方式二进制传输方式 RHEL6.0在安装过程中默认并没有安装在安装过程中默认并没有安装vsftpd，下面将，下面将vsftpd安装包安装到系统中。安装包安装到系统中。1.查看系统中是否安装了查看系统中是否安装了vsftpd程序程序 #

3、rpm qa vsftpd2.安装安装vsftpd安装包安装包 使用使用rpm命令方式安装命令方式安装 直接双击执行程序安装直接双击执行程序安装3卸载卸载vsftpd 如果是使用如果是使用RPM包安装包安装的的vsftpd，那么不需要使，那么不需要使用用FTP时，则可以使用时，则可以使用# rpm e vsftpd*将其将其从系统中卸载掉。从系统中卸载掉。12.1 安装安装FTP服务器程序服务器程序 vsftpd的配置文件主要有：的配置文件主要有：（1）/etc/pam.d/vsftpd vsftpd的的Pluggable Authentication Modules（PAM）配置文件，主要用

4、来加强配置文件，主要用来加强vsftpd服务器的用户认证。服务器的用户认证。（2）/etc/vsftpd/vsftpd.conf 这个文件是这个文件是vsftpd的主配置文件，各种选项的设置和修改的主配置文件，各种选项的设置和修改都在这里完成。都在这里完成。（3）/etc/vsftpd/ftpusers 不论在何种情况下，不论在何种情况下，此文件中的用户都不能访问此文件中的用户都不能访问vsftpd服服务务。 为安全起见，为安全起见，root用户默认已被放置在此文件中。如果用户默认已被放置在此文件中。如果想使用想使用root帐户登录帐户登录FTP服务器，必须在此文件中去掉服务器，必须在此文件中

5、去掉root，或者在或者在root所在行前面加上所在行前面加上“#”将将root帐户注释掉。帐户注释掉。12.2 vsftpd的配置文件的配置文件（4）/etc/vsftpd/user_list 这个文件中的用户既可能是允许访问这个文件中的用户既可能是允许访问vsftpd服务的，也服务的，也可能是拒绝访问的，这主要是由可能是拒绝访问的，这主要是由vsftpd.conf文件中的两项文件中的两项选项来决定的。选项来决定的。如果如果userlist_enable=NO，则，则userlist_deny选项不起选项不起作用，忽略作用，忽略user_list文件。文件。如果如果userlist_enab

6、le=YES，则，则 userlist_deny选项起选项起作用，此时又分两种情况：作用，此时又分两种情况： userlist_deny=YES，则，则user_list中的所有用户都不能中的所有用户都不能访问访问vsftpd服务。服务。userlist_deny=NO，则只有，则只有user_list中的用户才可以访中的用户才可以访问问vsftpd服务。服务。12.2 vsftpd的配置文件的配置文件（5）/var/ftp 匿名用户主目录。本地用户主目录为：匿名用户主目录。本地用户主目录为：/home/用户主目录，即登录后进入自己的目录。用户主目录，即登录后进入自己的目录。/var/ftp目

7、目录下包括一个录下包括一个pub子目录。默认情况下，所有的目子目录。默认情况下，所有的目录都是只读的，不过只有录都是只读的，不过只有root用户有写权限。用户有写权限。（6）/usr/sbin/vsftpd：vsftpd的主程序。的主程序。（7）/etc/rc.d/init.d/vsftpd：启动脚本。：启动脚本。（8）/etc/logrotate.d/vsftpd：vsftpd的日志文的日志文件。件。12.2 vsftpd的配置文件的配置文件将将vsftpd程序安装到系统中以后，在执行该程序程序安装到系统中以后，在执行该程序之前，还需要对之前，还需要对FTP目录、用户名等进行简单的配目录、用

8、户名等进行简单的配置，然后再来启动置，然后再来启动vsftpd服务。服务。1配置用户配置用户对于允许匿名访问的对于允许匿名访问的FTP服务器来说，应该在服务器主服务器来说，应该在服务器主机中创建名为机中创建名为ftp的用户。另外，还需检查是否有名为的用户。另外，还需检查是否有名为nobody的用户存在，若没有这些用户，则需另外创建。使的用户存在，若没有这些用户，则需另外创建。使用用finger命令可以看出系统默认已经创建了这两个用户，如命令可以看出系统默认已经创建了这两个用户，如下图所示。下图所示。RHEL6.0在默认安装过程中并没有安装在默认安装过程中并没有安装finger程程序，用户需要时

9、可以自行安装。序，用户需要时可以自行安装。12.3 配置配置vsftpd基本环境基本环境12.3 配置配置vsftpd基本环境基本环境2配置目录配置目录在安装在安装vsftpd的过程中系统已经自动生成了的过程中系统已经自动生成了/var/ftp/pub目录，其中目录，其中/var/ftp目录即为匿名用户访问目录即为匿名用户访问FTP时的根目录，时的根目录，此目录中的文件用户可以下载，但如果允许匿名用户上传文此目录中的文件用户可以下载，但如果允许匿名用户上传文件至此件至此FTP服务器，服务器，还需要执行还需要执行mkdir 命令创建一个新的子命令创建一个新的子目录，并使用目录，并使用chown命

10、令将该子目录的所有者和组改为命令将该子目录的所有者和组改为ftp，同时使用同时使用chmod命令将该子目录开放写入权限命令将该子目录开放写入权限，具体执行过，具体执行过程如下图所示。程如下图所示。12.3 配置配置vsftpd基本环境基本环境3vsftpd的启动与关闭的启动与关闭启动服务：启动服务：# service vsftpd start # /etc/rc.d/init.d/vsftpd start关闭服务：关闭服务：# service vsftpd stop # /etc/rc.d/init.d/vsftpd stop如果需要让如果需要让vsftpd服务随系统的启动而自动加载，可以服务

11、随系统的启动而自动加载，可以执行执行“ntsysv”命令启动服务配置程序，找到命令启动服务配置程序，找到“vsftpd”服务，服务，按下空格键，在其前面加上星号（按下空格键，在其前面加上星号（*），然后选择），然后选择“确定确定”按钮即可。按钮即可。 12.3 配置配置vsftpd基本环境基本环境4匿名用户下载文件测试匿名用户下载文件测试经过上面步骤的设置，现在经过上面步骤的设置，现在vsftpd服务已启动，匿名用服务已启动，匿名用户已经可以登录到户已经可以登录到FTP的主目录的主目录/var/ftp进行下载了，但此时进行下载了，但此时还不能上传文件，如下图所示（在还不能上传文件，如下图所示（

12、在Windows中使用命令方中使用命令方式登录式登录FTP并下载文件）。并下载文件）。这时我们访问这时我们访问FTP的各种选项都是的各种选项都是vsftpd的默认的默认选项，如设置为使用匿名登录、不允许上传等。如选项，如设置为使用匿名登录、不允许上传等。如果要设置匿名上传，或者使用用户名登录，就必须果要设置匿名上传，或者使用用户名登录，就必须要修改要修改vsftpd.conf配置文件中的相关选项。配置文件中的相关选项。12.3 配置配置vsftpd基本环境基本环境12.3 配置配置vsftpd基本环境基本环境1匿名用户配置选项匿名用户配置选项anonymous_enable=YES：是否允许匿

13、名登录：是否允许匿名登录FTP服服务器，默认设置为务器，默认设置为YES允许，即用户可使用用户名允许，即用户可使用用户名ftp或或anonymous进行进行ftp登录，口令为用户的登录，口令为用户的E-mail地址，也可地址，也可不输入口令。如不允许匿名访问去掉前面不输入口令。如不允许匿名访问去掉前面#并设置为并设置为NO。anon_upload_enable=YES：是否允许匿名用户上传：是否允许匿名用户上传文件，须将文件，须将write_enable=YES，默认设置为，默认设置为YES允许。允许。anon_mkdir_write_enable=YES ：是否允许匿名用户：是否允许匿名用户

14、创建新文件夹，默认设置为创建新文件夹，默认设置为YES允许。允许。anon_other_write_enable：匿名用户其他的写权利：匿名用户其他的写权利（如更改权限）。（如更改权限）。 12.4 vsftpd常用选项常用选项chown_uploads=YES：设定是否允许改变上传：设定是否允许改变上传文件的属主，与下面一个设定项配合使用。文件的属主，与下面一个设定项配合使用。chown_username=whoever：设置想要改变的：设置想要改变的上传文件的属主，如果需要，则输入一个系统用户上传文件的属主，如果需要，则输入一个系统用户名，例如可以把上传的文件都改成名，例如可以把上传的文件

15、都改成root属主。属主。anon_root=（none）：匿名用户主目录。）：匿名用户主目录。no_anon_passwd=YES：匿名用户登录时不询：匿名用户登录时不询问口令。问口令。 从上面列出的选项可以看出，大部分都是开关从上面列出的选项可以看出，大部分都是开关型选项，可设置为型选项，可设置为YES或或NO。另外，还可以设置下。另外，还可以设置下面这些面这些FTP服务器的公共选项以显示不同的欢迎信服务器的公共选项以显示不同的欢迎信息。息。12.4 vsftpd常用选项常用选项ftpd_banner=Welcome to blah FTP service.：设置登录：设置登录FTP服务器

16、时显示的欢迎信息，可以修改服务器时显示的欢迎信息，可以修改=后的欢迎信息内后的欢迎信息内容。另外如在需要设置更改目录欢迎信息的目录下创建名容。另外如在需要设置更改目录欢迎信息的目录下创建名为为.message的文件，并写入欢迎信息保存后，在进入到此的文件，并写入欢迎信息保存后，在进入到此目录时会显示自定义欢迎信息。目录时会显示自定义欢迎信息。dirmessage_enable=YES：激活目录欢迎信息功能，当用：激活目录欢迎信息功能，当用户用命令方式首次访问服务器上某个目录时，户用命令方式首次访问服务器上某个目录时，FTP服务器将服务器将显示欢迎信息，默认情况下，欢迎信息是通过该目录下显示欢迎

17、信息，默认情况下，欢迎信息是通过该目录下的的.message文件获得的，此文件保存自定义的欢迎信息，文件获得的，此文件保存自定义的欢迎信息，由用户自己建立。由用户自己建立。 12.4 vsftpd常用选项常用选项举例举例1：打开：打开vsftpd.conf文件修改选项，使匿名用户登文件修改选项，使匿名用户登录后显示欢迎信息，并且可以上传文件、创建目录。录后显示欢迎信息，并且可以上传文件、创建目录。根据要求，需要修改以下选项的值：根据要求，需要修改以下选项的值：anonymous_enable=YESwrite_enable=YESanon_upload_enable=YESanon_mkdir

18、_write_enable=YESftpd_banner=Welcome to My FTP service在在vsftpd.conf文件中作了修改之后，需要重新启动文件中作了修改之后，需要重新启动vsftpd进程以使修改生效。下面我们在进程以使修改生效。下面我们在RHEL6.0中使用命令中使用命令方式进行匿名登录来检验上述设置，具体过程如下图所示。方式进行匿名登录来检验上述设置，具体过程如下图所示。 12.4 vsftpd常用选项常用选项12.4 vsftpd常用选项常用选项欢迎信息已经显示出来。但是创建目录却失败了，这是欢迎信息已经显示出来。但是创建目录却失败了，这是因为因为/var/ft

19、p目录的所有者和组都是目录的所有者和组都是root，其他用户没有写权，其他用户没有写权限。因此，客户端不能在根目录（也即限。因此，客户端不能在根目录（也即/var/ftp目录）中创目录）中创建文件夹。这时，我们可以切换目录到有权限的建文件夹。这时，我们可以切换目录到有权限的upload中，中，再新建文件夹，然后测试一下上传功能。过程如下图所示：再新建文件夹，然后测试一下上传功能。过程如下图所示： 12.4 vsftpd常用选项常用选项2本地用户配置本地用户配置本地用户是指在本地用户是指在FTP服务器上拥有帐户的用户，他们既服务器上拥有帐户的用户，他们既可以在可以在FTP服务器上进行本地登录，也

20、可以使用自己的帐户服务器上进行本地登录，也可以使用自己的帐户和密码远程访问和密码远程访问FTP服务器。他们远程访问服务器。他们远程访问FTP服务器时，服务器时，将登录到用户自己的主目录（将登录到用户自己的主目录（home目录），操作权限与主目录），操作权限与主目录操作权限相同，并且可以上传文件至此目录。目录操作权限相同，并且可以上传文件至此目录。默认情况下，默认情况下，vsftpd是允许本地用户登录是允许本地用户登录FTP的，主要的，主要通过通过local_enable=YES和和local_umask=022来设置的。使来设置的。使用本地用户用本地用户sjh进行进行FTP远程登录的过程如下图

21、所示。如果远程登录的过程如下图所示。如果不想让本地用户登录不想让本地用户登录FTP后进入用户的后进入用户的home目录，可以使目录，可以使用用local_root=/path进行设置。进行设置。12.4 vsftpd常用选项常用选项12.4 vsftpd常用选项常用选项从上图可以看出，本地用户登录从上图可以看出，本地用户登录FTP后将显示其后将显示其home目目录的完整路径，并且用户可以通过录的完整路径，并且用户可以通过cd命令随意切换到服务器命令随意切换到服务器的各个目录中去，这对于系统安全非常不利。为此，我们可的各个目录中去，这对于系统安全非常不利。为此，我们可以通过以通过chroot_l

22、ocal_user=YES这一选项来将本地用户的根这一选项来将本地用户的根目录限制为自己的主目录，这样本地用户登录目录限制为自己的主目录，这样本地用户登录FTP后就不能后就不能切换到其他目录，如下图所示。切换到其他目录，如下图所示。12.4 vsftpd常用选项常用选项如果只是想对部分本地用户进行根目录的限制，则可以如果只是想对部分本地用户进行根目录的限制，则可以通过通过chroot_list_enable=YES和和chroot_list_file=/etc/vsftpd/chroot_list这两个选项来设置。这两个选项来设置。如果想限制部分本地用户登录如果想限制部分本地用户登录FTP，则

23、需要通过，则需要通过userlist_enable=YES启用启用userlist功能，同时配合功能，同时配合userlist_deny=NO或或YES来进行本地用户的允许或拒绝。来进行本地用户的允许或拒绝。12.4 vsftpd常用选项常用选项3网络和连接参数配置网络和连接参数配置在在FTP服务器的管理中无论对本地用户还是匿名用户，服务器的管理中无论对本地用户还是匿名用户，对于对于FTP服务器资源的使用都需要进行控控制，避免由于负服务器资源的使用都需要进行控控制，避免由于负担过大造成担过大造成FTP服务器运行异常，可以添加以下配置项对服务器运行异常，可以添加以下配置项对FTP客户机使用客户机

24、使用FTP服务器资源进行控制：服务器资源进行控制：max_client：设置：设置FTP服务器所允许的最大客户端连接服务器所允许的最大客户端连接数，值为数，值为0时表示不限制。例如时表示不限制。例如max_client=100表示表示FTP服服务器的所有客户端最大连接数不超过务器的所有客户端最大连接数不超过100个。个。max_per_ip：设置对于同一：设置对于同一IP地址允许的最大客户端连地址允许的最大客户端连接数，值为接数，值为0时表示不限制。时表示不限制。local_max_rate：设置本地用户的最大传输速率，单位：设置本地用户的最大传输速率，单位为为B/s，值为，值为0时表示不限制

25、。例如时表示不限制。例如local_max_rate=500000表示表示FTP服务器的本地用户最大传输速率设置为服务器的本地用户最大传输速率设置为500KB/s。anon_max_rate：设置匿名用户的最大传输速率，单位：设置匿名用户的最大传输速率，单位为为B/s，值为，值为0表示不限制。表示不限制。idle_session_timeout=600：空闲连接超时时间，单位为秒。空闲连接超时时间，单位为秒。12.4 vsftpd常用选项常用选项data_connection_timeout=120：数据传输超时时间。：数据传输超时时间。ACCEPT_TIMEOUT：PASV请求超时时间。请求超时时间。connection_timeout=60：PORT模式连接超时时间。模式连接超时时间。connection_from_por