第十四章FTP服务

第十四章FTP服务本章导读14.2.1

vsftpd简介14.2.2安装vsftpd软件包14.2.3

vsftpd服务的配置文件14.2.4控制vsftpd服务14.2.5检查vsftpd服务启动情况14.2.6

vsftpd服务的日志信息14.2.7访问FTP服务14.1

FTP概述FTP是文件传输协议（FileTransportProtocol）的英文缩写FTP服务器根据服务对象的不同可分为匿名服务器和系统FTP服务器UNIX与Linux下常用的FTP软件：Wu-FTPvsftpdFTP服务器FTP（FileTransportProtoco）服务的基本概念FTP是用于进行文件传输的\络协议FTP服务中分为服务器和客户机两个角色FTP服务器的传输模式主动模式：由服务器主动连接客户机建立数据链路被动模式：FTP服务器等待客户机建立数据链路FTP服务器使用的端口21端口用于与客户机建立命令链路在主动模式下服务器使用20端口向客户机建立数据链路主动模式的连接过程1：FTP客户机由大于1024的N端口向FTP服务器的21端口发出请求建立命令链路2：FTP服务器由21端口向FTP客户机的N端口回应，确认建立命令链路3：FTP服务器由20端口向FTP客户机的N+1端口主动建立数据链路连接4：FTP客户机由N+1端口向FTP服务器的20端口回应，确认数据链路的建立被动模式的连接过程1：FTP客户机由大于1024的N端口向FTP服务器的21端口发出请求建立命令链路2：FTP服务器由21端口向FTP客户机的N端口回应，确认建立命令链路3：FTP服务器会通过已建立的数据链路通知客户机自己已经打开了大于1024的端口M，用于建路数据链路；当需要传输数据时，FTP客户机会通过N+1端口向FTP服务器的M端口请求建立数据链路4：FTP服务器在M端口监听到FTP客户机的连接请求后，将从M端口向FTP客户机的N+1端口确认数据链路的建立常用FTP服务器软件Windows下常用的FTP服务器软件IIS具有FTP服务器的功能Serv-U是流行的FTP服务器软件Linux下的FTP服务器Wu-ftpd出现较早，运行稳定，安全性稍差Proftpd在配置文件和安全性方面有很大改进vsftpd着重强调服务的安全性，运行效率也很高vsftpd服务器是本章学习的重点14.2.2安装vsftpd软件包vsftpd软件包名vsftpd-2.0.5-10.el5.i386.rpm14.2.3

vsftpd服务的配置文件/etc/vsftpd/vsftpd.confvsftpd服务的主配置文件，定义功能及操作方法/etc/vsftpd/ftpusers指定哪些用户不能访问FTP服务器/etc/vsftpd/user_list在这个文件中指定的用户默认情况下不能访问FTP服务器是否使用该文件取决于vsftpd.conf中userlist_enable的配置该文件中所列用户的访问权限取决于vsftpd.conf中userlist_deny的配置anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=YESpam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YES#Usersthatarenotallowedtologinviaftprootbindaemonadmlpsyncshutdownhaltmail……以下略……#vsftpduserlist#Ifuserlist_deny=NO,onlyallowusersinthisfile#Ifuserlist_deny=YES(default),neverallowusersinthisfile,and#donotevenpromptforapassword.#Notethatthedefaultvsftpdpamconfigalsochecks/etc/vsftpd/ftpusers#forusersthataredenied.rootbindaemon……以下略……vsftpd服务器的缺省配置vsftpd.conf文件中的缺省配置为：anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpduserlist_enable=YESlisten=YEStcp_wrappers=YESanonymous_enable设置为“YES”时FTP服务器允许匿名登录local_enable设置为“YES”时允许本地用户登录

write_enable设置为“YES”时FTP服务器开放对本地用户的写权限local_umask设置项设置本地用户的文件生成掩码dirmessage_enable设置为“YES”时当切换到FTP服务器中的某个目录时，将显示该目录下的.message隐含文件的内容xferlog_enable设置为“YES”时FTP服务器将启用上传和下载日志需要开启下面的flrlog_file=connect_from_port_20设置为“YES”时FTP服务器将启用FTP数据端口的连接请求xferlog_std_format设置为“YES”时FTP服务器将使用标准的ftpdxferlog日志格式pam_service_name设置PAM认证服务的配置文件名称userlist_enable设置为“YES”时FTP服务器将检查userlist_file设置文件中指定的用户是否可以访问vsftpd服务器listen设置为“YES”时FTP服务器将处于独立启动模式

tcp_wrappers设置为“YES”时FTP服务器将使用tcp_wrappers作为主机访问控制方式

/etc/hosts.allow,/etc/hosts.deny

vsftpd中支持的用户类型匿名用户使用公共的用户帐号进行登录，通常用于提供公共文件下载服务本地用户使用Linux系统用户帐号登录，每个用户都使用各自的宿主目录虚拟用户使用独立的文件保存虚拟帐号，安全性较好，可替代本地用户14.2.4控制vsftpd服务启动服务：#servicevsftpdstart停止服务：#servicevsftpdstop14.2.5检查vsftpd服务启动情况检查进程#psax|grepvsftpd3154?Ss0:00/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf检查端口#netstat-nat|grep21tcp00:21:*LISTEN14.2.6

vsftpd服务的日志信息vsftpd服务日志记录保存在/var/log/xferlogTueSep2514:23:242007

1

0

/pub/install.log

b

_

o

a

?

ftp

0

*

iTueSep2514:23:562007125092/home/user01/install.logb_iruser01ftp0*ccurrent-time

本次传输发生的时间，表示为当前系统时间transfer-time

文件传输所消耗的时间，以秒为单位remote-host

远程客户机的IP地址file-size

传输文件的大小。单位为字节filename

传输文件的名字transfer-type

传输类型。可用的值有“a”和“b”，“a”代表使用ascii方式传送，“b”为使用 binary方式传输special-action-flag

特殊的活动标记。如果为“C”表示传输时进行了压缩操作，如果为“U”则 为在传输时进行了解压缩操作。多数情况下为“_”表示无动作direction

文件传输的方向。“o”为下载，“i”为上传access-mode

登录用户的类型。“a”为匿名用户，“r”为本地（系统）用户username

登录用户的名称service-name

本次传输调用的服务名称。显示为ftpauthentication-method

验证方法。一般为数字“0”，如果为“1”时使用了RFC931定义的验证方法authenticated-user-id

如果未使用RFC931定义的验证方法，则这部分显示“*”。否则返回用户IDcompletion-status

完成状态。“c”表示本次传输成功完成，“i”则说明这次传输没有完成， 可能被意外地中断了14.2.7访问FTP服务#ftpConnectedto.220(vsFTPd2.0.5)530PleaseloginwithUSERandPASS.530PleaseloginwithUSERandPASS.KERBEROS_V4rejectedasanauthenticationtypeName(:root):ls 列出远程主机上的当前目录cd

在远程主机上改变工作目录lcd

在本地主机上改变工作目录close

终止当前的ftp会话hash 动态显示传输的进度。每传输2048字节就显示一个“#”get 从远程主机上获取指定的文件到本地主机put

从本地主机上传送指定的文件到远程主机open

连接远程ftp站点quit

断开与远程主机的连接并退出ftp命令的交互界面passive

打开或关闭被动传输模式?

显示本地帮助信息!

将提示符切换到当前shell14.3

vsftpd服务的配置实例实例一创建一台FTP服务器，并满足以下需求；⑴创建账户user01、user02。允许user01用户登录，禁止user02用户登录。并为用户创建一个虚拟的根目录⑵创建匿名账户，但只提供浏览和下载的权限⑶限制每类用户的下载速度。本地用户为50KB/s，匿名用户为10KB/s⑷限制服务器的最大连接数为100，每个IP地址最多使用2个线程与服务器连接⑸配置FTP服务器的默认连接模式为被动模式⑹打开FTP服务器的详细日志输出开关14.3实例一的配置需求⑴。首先需要在服务器中创建user01、user02这两个用户，并赋予登录密码。随后，在ftpusers配置文件中添加用户user02： #echouser02>>/etc/vsftpd/ftpusers在/etc/vsftpd/vsftpd.conf文件中添加下面的内容，将用户的访问范围固定在自己的宿主目录中： chroot_local_user=YES需求⑵。在/etc/vsftpd/vsftpd.conf文件中开启下面这条语句： anonymous_enable=YES14.3实例一的配置（续）需求⑶。在/etc/vsftpd/vsftpd.conf文件中添加如下