《Linux 》课件 第13章FTP服务器

第13章FTP服务器Linux系统管理与服务器配置——基于CentOS7目录13.1项目一：FTP服务器的安装与启动 13.1.1FTP服务器简介 13.1.2FTP用户分类 13.1.3FTP服务器的安装 13.2项目二：远程连接与访问FTP 13.2.1设置SELinux和防火墙 13.2.2创建FTP账号 13.2.3连接FTP服务器 13.3项目三：FTP服务器的配置 13.3.1vsftpd.conf配置文件介绍 13.3.2匿名用户设置 13.3.3本地用户设置 13.3.4服务相关设置 13.3.5主动与被动服务设置 13.4常见问题分析13.5本章小结

13.1项目一：FTP服务器的安装与启动管理员为了满足公司项目组成员对文件共享的需求，计划在服务器上配置FTP服务器，首先需要安装FTP服务软件包，然后使用匿名用户进行测试，确认FTP软件包安装正常，该服务可用。序号知识点详见章节1了解FTP服务器基本原理13.1.12FTP用户分类13.1.23安装FTP服务器13.1.34管理vsftpd服务13.1.35测试FTP服务器13.1.313.1.1FTP服务器简介各种操作系统之间的文件交流问题，需要建立一个统一的文件传输协议，即FTP(FileTransferProtocol，FTP)。FTP是一个客户机/服务器系统。FTP文件传输原理简单说明，如下图所示。13.1.2FTP用户分类使用FTP的用户需要经过验证后才能登录，FTP服务器的用户可分成3类。实体用户。Linux系统中的用户，即系统本机的用户。Linux一般不会针对实体用户进行限制，因此实体用户可以针对整个文件系统进行工作。但通常不希望他们通过FTP方式远程访问系统。访客用户。只能采用FTP方式使用系统的用户，不能直接使用Shell登录系统，即虚拟用户，访问服务器时需要验证。大多数FTP用户是这类用户。匿名用户。对于公共性质的服务器可以提供匿名用户访问，用户名：anonymous。但在使用匿名用户时，应对其进行尽可能多的限制，权限较低，如：同时连接的用户数量受限，访问的文件数目受限，不能上传文件，允许操作的指令较少，设置匿用户同时登入的最大联机数量等。13.1.3FTP服务器的安装FTP服务器的安装可分为装载，安装，启动服务，设置自启动状态，测试几个步骤。1.装载#mount/dev/cdrom/media在挂载目录下面的Packages目录中可以找到vsftpd-3.0.2-10.el7.x86_64.rpm和ftp-0.17-66.el7.x86_64.rpm软件包，前者是服务器，后者是客户端。可以拷贝到其他目录待安装。2.安装#rpm-ivhvsftpd-3.0.2-10.el7.x86_64.rpm#rpm-ivhftp-0.17-66.el7.x86_64.rpm也可以执行以下命令直接安装（第一步可省略）：#yum-yinstallvsftpd#yum-yinstallftp13.1.3FTP服务器的安装与测试3.启动服务#systemctlstartvsftpd.service4.设置自启动状态#systemctlenablevsftpd.service5.测试使用命令“ftpIP地址”命令登录FTP服务器。初始安装时，可以使用FTP的匿名用户anonymous登录。登录密码为空，如果能登录成功则说明FTP服务器安装成功，登录成功后出现ftp〉提示符。13.1项目一：FTP服务器的安装与启动操作过程：#yum-yinstallvsftpd#yum-yinstallftp#systemctlstartvsftpd.service#systemctlenablevsftpd.service#ftp2Name:ftpPassword:230Loginsuccessfulftp>quit13.2项目二：远程连接与访问FTPFTP软件包成功之后，为了使FTP服务器的使用更加规范和安全，管理员针对公司各个部门对资源共享的需求设置访客账号：为技术部、网络部、行政部和市场部每个部门创建一个访客账号，分别为：techftp、netftp、admftp和markftp，指定默认访问路径为/var/ftp/账号名目录。各部门员工可以在相应路径下完成资源的上传和下载，从而实现资源共享。序号知识点详见章节1对SELinux和Firewall的设置13.2.12FTP账号的创建13.2.23连接FTP服务器13.2.34FTP常用命令13.2.313.2.1设置SELinux和防火墙1.SELinux对FTP服务器的控制SELinux全称SecurityEnhancedLinux，意为安全强化Linux，是强制访问控制系统(MandatoryAccessControl，MAC)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。在SELinux中对FTP作了相应的控制，执行#getsebool-a|grepftp命令可以看到具体的布尔变量设置清单，如下：ftpd_anon_write-->off//不允许上传ftpd_connect_db-->off//不允许FTP连接数据库ftpd_full_access-->off//不允许用户上传下载ftpd_use_cifs-->off//不允许FTP使用Samba文件系统ftpd_use_nfs-->off//不允许FTP使用NFT文件系统httpd_enable_ftp_server-->off//不允许httpd作为FTP服务器13.2.1设置SELinux和防火墙默认情况下，变量都设置为off值，因此为了能让访客用户可以完成FTP的上传和下载功能，需要对相应的变量值做修改。执行命令：#setsebool-Pftpd_full_accesson//将SELinux中的ftpd_full_access设置为on，使得所有通过验证的用户都可以进行上传下载需要注意上述修改变量布尔值的方法立即生效，且永久设置。去掉命令中“-P”参数，则为临时设置。13.2.1设置SELinux和防火墙2.防火墙对FTP服务器的控制防火墙可以防御通过端口号对系统造成的攻击，因此防火墙通常禁止某些远程访问。因此在远程访问FTP服务器时需要对防火墙做相应的设置。最简单的方法是执行#systemctlstopfirewalld.service命令关闭防火墙。如果想在开启防火墙的状态下远程访问FTP服务器，需要执行以下命令：#firewall-cmd--permanent--zone=public--add-service=ftp//永久开放ftp服务#firewall-cmd--reload//重新加载防火墙13.2.2创建FTP账号创建FTP访客账号的命令：#useradd-d/var/ftp/主目录名-s/sbin/nologin-gftp用户名当FTP账号创建后，必须立即创建密码，使用passwd命令，格式如下：#passwd用户名

输入密码两次，注意密码并不回显。13.2.3连接FTP服务器1.字符界面访问FTP字符界面通常叫做“黑色屏幕”方式或对话方式，使用该方式访问时，需要用户掌握FTP的命令，交互过程均以字符体现，对用户要求较高。在使用时，首先要登录FTP服务器，命令的格式：ftpFTP服务器IP地址连接成功后，则出现字符界面显示Name:表示输入用户和密码。当用户和密码输入正确，系统会提示Loginsuccessfully，同时出现ftp>作为提示符。13.2.3连接FTP服务器常用FTP命令如下表：命令说明?查询列出ftp命令pwd显示远程主机上的当前工作目录ls显示当前远程目录下的内容cd切换远程目录lcd切换本地工作目录asc纯文本方式传输bin二进制方式传输get从远程服务器上download一个文件put上传一个文件到远程服务器上mget下载多个文件mput上传多个文件bye断开与服务器的连接quit退出服务器13.2.3连接FTP服务器2.浏览器访问FTP访问FTP还可以使用浏览器，在地址栏目中输入：ftp://用户名:密码@FTP服务器地址如果没有密码或不指定密码，也可以在地址栏中输入：ftp://用户名@FTP服务器地址在接下来的窗口中继续输入密码即可。如果匿名访问FTP服务器可以输入：ftp://FTP服务器地址对于上传来说，操作起来很方便，直接把本地的文件拖入浏览器的窗口中即可。如果下载可以直接将文件从浏览器拖入到本地文件的窗口。文件删除也可以在浏览器窗口中进行，选中被删除文件然后按del键。13.2项目二：远程连接与访问FTP操作过程：#setsebool-Pftpd_full_accesson#firewall-cmd--permanent--zone=public--add-service=ftp#firewall-cmd--reload#useradd-gftp-d/var/ftp/techftp-s/sbin/nologintechftp#passwdtechftp#useradd-gftp-d/var/ftp/netftp-s/sbin/nologinnetftp#passwdnetftp#useradd-gftp-d/var/ftp/admftp-s/sbin/nologinadmftp#passwdadmftp#useradd-gftp-d/var/ftp/markftp-s/sbin/nologinmarkftp#passwdmarkftp13.2项目二：远程连接与访问FTP以techftp账号为例登录测试：#ftp2Name:techftpPassword:230Loginsuccessfulftp>put/tmp/ftpfileftpfileftp>mkdirsourceftp>cdsourceftp>putprojectprojectftp>quit13.3项目三：FTP服务器的配置管理员为了使FTP服务器的使用更加安全和具有个性化，计划对服务器做以下配置：不允许匿名用户登录；设置用户登录信息为“welcometoourhome!”；最大连接上限是30；用户成功连接服务器，无任何操作，空闲时间超过60秒后自动断开。序号知识点详见章节1vsftpd.conf配置文件介绍13.3.12vsftpd.conf配置项介绍13.3.2~13.3.513.3.1vsftpd.conf配置文件介绍vsftpd.conf在/etc/ftp路径下，文件格式非常简单。option=value(选项＝值)需要注意在option、=、value之间不允许有空白符(空格等)，每一个配置项在编译时都有一个默认的设置，可以在配置文件中修改。vsftpd.conf中的配置项很丰富，主要涉及：匿名用户的设置、本地用户的设置、服务相关设置、主动与被动服务设置等。13.3.2匿名用户设置对匿名用户的设置包括是否允许登录，是否具有上传、删除、创建等访问权限，常用配置项如表13.5所示配置项描述可选值anonymous_enable设置是否允许匿名登录yes|noanon_upload_enable设置是否开放上传权限，允许匿名上传yes|noanon_mkdir_write_enable设置是否允许匿名用户创建目录的同时可以在此目录中上传文件

yes|noanon_other_write_enable设置匿名用户是否有删除的权限yes|noanon_world_readable_only若设置为yes，则匿名用户不仅可以上传和建立目录，而且可以删除和更改文件和目录yes|noanon_root设置匿名用户登录后所在的目录默认值：/var/ftp13.3.3本地用户设置表示本地用户对该FTP服务器的访问权限，常用配置项见表所示。配置项描述可选值local_root设置本地用户登录后的目录默认值：/var/ftpwrite_enable设置是否开放本地用户写的权限yes|nolocal_enble设置本地账号是否能够登录。如果设置为yes，/etc/passwd内的账号都可以使用ftp服务登录系统，使用ftp服务上传下载文件资源yes|nouserlist_enable设置user_list文件是否生效yes|nolocal_max_rate设置本地用户所能使用的最大传输速度，单位是B/s，设置为0表示不受速度限制013.3.4服务相关设置服务配置包括对服务器的控制，常用配置项见表所示。配置项描述可选值connect_form_port_20启用FTP数据端口20的数据连接yes|nolisten_port设置FTP服务器监听客户端连接的端口默认值：21listen设置独立的vsftpd服务器yes|nodirmessage_enable设置是否显示目录信息。当切换目录时，显示目录下.message的内容yes|noftpd_banner设置登录欢迎信息anon_max_rate匿名用户所能使用的最大传输速度，单位是B/s。设置为0表示不受速度限制0max_clients表示服务器最多可以连接多少客户端。0表示不限制，具体的数字表示客户端最大的限制数目0max_per_IP表示同一个IP的客户端最多连接数量2accept_timeout表示连接服务器的超时时间，单位是秒data_connection_timeout表示数据传输超时时间，单位是秒idle_session_timeout表示多长时间对服务器没有任何操作后断开服务器连接，单位是秒ascii_download_enable设置是否启用ASCII模式下载数据yes|noascii_upload_enable设置是否启用ASCII模式上传数据yes|no13.3.5主动与被动服务设置FTP服务器的主动与被动服务是从FTP工作方式划分的。主动方式标记为PORTFTP，被动方式标记为PASVFTP。无论主动和被动，服务器首先用21端口接受客户端的连接。接下来传输数据才分主动和被动方式。主动方式是服务器主动采用20端口发送数据给客户端。被动方式是客户端主动接受FTP服务器的数据，这样服务器变成了被动方式。被动方式传输数据使用的端口号通常是一个范围，这个范围使用如下配置：passv_min_prot=65400passv_max_prot=654200同时，具体使用什么端口号是客户端提出的。为了保证客户端提出的端口号与服务器范围相适应，客户端在连接的同时要指定被动方式。13.3项目三：FTP服务器的配置操作过程：#vim/etc/vsftpd/vsftpd.confftpd_banner=welcometoourhome!anonymous_enable=nomax_clients=30idle_session_timeout=60保存退出。#systemctlrestartvsftpd.service#ftp13.4常见问题分析1.使用不同的用户账号登录到FTP服务器，会看到不同的目录。匿名账号登录能够看到techftp目录，pub目录；可是使用techftp账号登录却看不到pub文件，而是进入到了techftp目录里面。这是因为每个FTP账号无论从远程登录还是本地登录，登录后都会进入到账号用户的主目录。匿名用户的主目录可以看做/var/ftp，而techft