第4章FTP服务器的配置与应用

江苏理工学院计算机工程学院Linux服务器管理与应用史培中spz0812@第4章FTP服务器的配置与应用4.1FTP服务概述4.2vsftpd服务器的安装与配置4.3PureFTPD服务器的安装与配置4.4FTP客户端的配置与访问4.5文件传输命令产生背景：实现信息共享是使用因特网的首要目的，而文件传输是信息共享非常重要的内容之一。以HTTP协议为基础的Web服务功能虽然强大，但对于文件传输来说却略显不足，需要一种专门用作文件传输的服务。FTP服务：文件传输协议（FileTransferProtocol），用于Internet上的控制文件的双向传输，它同时也是一个应用程序。优点：用户通过它可以把自己的PC与所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息，具有更强的文件传输可靠性和更高的传输效率。4.1FTP服务概述4.1.1FTP工作原理FTP协议大大简化了文件传输的复杂性，它能够使文件通过网络从一台主机传送到另外一台计算机上，却不受计算机和操作系统类型的限制。4.1FTP服务概述4.1.2匿名用户访问方式 FTP服务不同于WWW，它首先要求登录到服务器上，然后再进行文件的传输，这对于很多公开提供软件下载的服务器来说十分不方便，于是匿名用户访问就诞生了。匿名用户登录

通过使用一个公用的用户名Anonymous，密码不限的管理策略，让任何用户都可以很方便地从这些服务器上下载软件。4.1FTP服务概述4.1.3FTP服务的传输模式主动传输模式

FTP客户端随机开启一个大于1024的端口N（1025）向服务器的21端口发起连接，然后开放N+1号端口

（1026）进行监听，并向服务器发

出PORT1026命令。

服务器接收到命令后，会用本地的 FTP数据端口（20）来连接客户端

指定的端口1026，进行数据传输。4.1FTP服务概述4.1.3FTP服务的传输模式被动传输模式

FTP客户端随机开启一个大于1024的端口N（1025）向服务器的21号端口发起连接，同时会开启 N+1号端口（1026），然后

向服务器发送PASV命令，通知

服务器自己处于被动模式。服务

器收到命令后，会开放一个大于 1024的端口P（1521）进行监

听，然后用PORTP命令通知客

户端。4.1FTP服务概述4.1.4流行的FTP服务器软件简介Wu-ftpd

发布较早，程序组织比较乱，安全性不太好。Proftpd

容易配置，下载速度比较快，缓冲溢出的错误较少。Vsftpd

RHEL5内置的FTP服务器软件，使用方法简单，安全性高。PureFTPD

它是Linux下一款很著名的FTP服务器软件，在SuSE、Debian中内置，不过在RHEL5中却没有内置。

4.1FTP服务概述RHEL5内置有RedHatContentAcceletatot和vsftpd两款FTP服务器软件。RedHatContentAcceletatot：是一款基于内核的Web服务器，不过它提供了Web和FTP两种服务。VerySecureFTPDaemon：以安全作为第一要素的，稳定性、效率方面表现也不错。4.2vsftpd服务器的安装与配置4.2.1安装vsftpd服务vsftpd服务器的安装很简单，只要安装一个RPM软件包即可

（1）查询是否安装了vsftpd服务

（2）安装vsftpd4.2vsftpd服务器的安装与配置4.2.2vsftpd服务的启动与关闭启动vsFTPd服务

#/etc/rc.d/init.d/vsftpdstart servicevsftpdstart停止vsFTPd服务

#/etc/rc.d/init.d/vsftpdstop servicevsftpdstop重新启动vsFTPd服务

#/etc/rc.d/init.d/vsftpdrestart servicevsftpdrestart自动运行vsFTPd服务

执行“ntsysv”命令启动服务配置程序，在其前面加上“*”号。4.2vsftpd服务器的安装与配置4.2.3vsftpd的配置文件/etc/pam.d/vsftpd

加强vsftpd服务器的用户认证；/etc/vsftpd/vsftpd.conf vsftpd的主配置文件/etc/vsftpd/ftpusers

此文件内的用户不能访问vsftpd服务。/etc/vsftpd/user_list

文件内的用户可能被拒绝，也可能被允许，取决于主配置文件中参数值。/var/ftp

提供服务的文件集散地，它包括一个pub子目录。默认情况下，所有目录都为直读，不过只有root用户有写权限。4.2vsftpd服务器的安装与配置4.2.4监听地址与控制端口用文本编辑器打开/ect/vsftpd/vsftpd.conf文件 #vi/etc/vsftpd/vsftpd.conf在其中添加如下两行 Listen_address= Listen_port=2121

这样，客户端访问就要通过2121端口，而不是默认的21端口进行了。

4.2vsftpd服务器的安装与配置4.2.5FTP模式与数据端口ftp_data_port//定义FTP传输数据的端口；pasv_address//定义vsftpd服务器使用PASV模式时使用IP地址；pasv_enable//默认值为YES，也就是允许使用PASV模式；pasv_min_port//指定PASV模式可以使用的最小（大）端口，默认为0；pasv_promiscuous//设置为YES，可以允许使用FxP功能；port_enable

//允许使用主动传输模式，默认值为YES。4.2vsftpd服务器的安装与配置4.2.6ASCII模式ascii_download_enable

设置是否可用ASCII模式下载。默认值为”NO”;ascii_upload_enable

设置是否可用ASCII模式上传。默认值为“NO”；4.2vsftpd服务器的安装与配置4.2.7超时选项data_connection_timeout

定义数据在传输过程中被阻塞的最长时间（以秒为单位，默认300秒）;idle_session_timeout

定义客户端闲置的最长时间（以秒为单位，默认300秒）;4.2vsftpd服务器的安装与配置4.2.8负载控制anon_max_rate=5000

匿名用户的最大传输速率（单位是bps）;local_max_rate=20000

本地用户的最大传输速率（单位是bps）;4.2vsftpd服务器的安装与配置4.2.9匿名用户anonymous_enable //表示是否启用匿名用户anon_mkdir_write_enable //匿名用户是否可以创建新目录anon_root //匿名登录后，切换到指定目录anon_upload_enable //匿名用户向具备写权限的目录上传文件anon_world_readable_only//代表匿名用户具备下载权限ftp_username //指定匿名用户与本地哪个帐号相对应no_anon_password //匿名用户是否需要输入密码secure_email_list_enable //匿名用户只有采用特定的Email作为密码4.2vsftpd服务器的安装与配置4.2.10本地用户local_enable //是否允许本地用户登录chmod_enable //是否允许通过”SITECHMOD”命令改权限chroot_local_user //是否只能访问到本地用户的主目录chroot_list_enable //是否可以例外的切换到本地用户的主目录以外local_root //指定本地用户登录后切换至的目录local_umask //设置文件创建的权限掩码4.2vsftpd服务器的安装与配置4.2.11虚拟目录guest_enable

当设置为YES时，所有非匿名用户都被映射为一个特定的本地用户。guest_username

设置虚拟用户映射到本地用户，默认值为“ftp”。4.2vsftpd服务器的安装与配置4.2.12用户登录控制banner_file

设置客户端登录之后，服务器显示客户端的信息，保存在该文件；cmds_allowed

设置客户端登录后，客户端可以执行的命令集合；ftpd_banner

设置客户端登录后，客户端显示的欢迎信息或者其他相关信息；userlist_enable userlist_deny设置使用user_list文件来控制用户的访问权限；4.2vsftpd服务器的安装与配置4.2.13目录访问控制dirlist_enabledirmessage_enableForce_dot_filesMessage_fileHide_ids4.2vsftpd服务器的安装与配置4.2.14文件操作控制download_enable

设置是否允许下载。默认为“YES”，即允许下载；chown_uploads

设置匿名用户是否允许上传文件，默认值为“NO”；chown_username

设置匿名用户上传的文件的拥有者。默认值是“root”；write_enable

设置为“YES”时，FTP客户端登录后允许使用删除（DELE）、重命名（RNFR）和断点续传（STOR）命令。4.2vsftpd服务器的安装与配置4.2.15新增文件权限dual_log_enablelog_ftp_protocolsyslog_enablexferlog_enablexferlog_std_format4.2vsftpd服务器的安装与配置4.2.16日志设置Xferlog_std_format

传输日志文件将以标准xferlog的格式书写。此格式的日志文件默认为/var/log/xferlog，也可以通过xferlog_file选项来设定。Xferlog_enable

如果启用将会维护一个日志文件，用于详细记录上传和下载。默认情况下，这个日志文件是/var/log/vsftpd.log4.2vsftpd服务器的安装与配置4.2.17允许匿名用户上传文件第1步[root@localhost~]#vi/etc/vsftpd/vsftpd.conf第2步write_enable=YES

；允许上传；anon_upload_enable=YES ；允许匿名用户上传；anon_mkdir_write_enable=YES ；允许匿名用户创建目录和上传；anon_other_write_enable=NO ；但不允许匿名用户删除和改名；

第3步[root@localhost~]#chmodftp.root/var/ftp/pub第4步[root@localhost~]#servicevsftpdrestart4.2vsftpd服务器的安装与配置4.2.18限制用户目录修改配置文件

打开/etc/vsftpd/vsftpd.conf文件，添加以下行：

chroot_local_user=YES重启vsftpd服务器

执行/etc/init.d/vsftpdrestart重启vsftpd服务器再以本地用户登录

测试只能访问本地用户的主目录4.2vsftpd服务器的安装与配置4.2.19配置高安全级别的匿名FTP服务器第2步，基本安全配置anonymous_enable=YES ；启用匿名访问local_enable=NO ；关闭本地用户访问write_enable=NO ；关闭本地用户的写权限anon_upload_enable=NO ；关闭匿名用户的上传权限anon_mkdir_write_enable=NO ；关闭匿名用户创建目录和写入文件的权限anon_other_write_enable=NO ；关闭匿名用户删除、改名的权限第3步，进一步安全调整anon_world_readable_only=YES ；匿名用户对任何资源最多只有只读权限hide_ids=YES ；隐藏文件夹和目录属主，都以FTP代替pasv_min_port=50000第4步，开启监控xferlog_enable=YES ；打开日志，日志文件为/var/log/vsftpd.logls_recurse_enable=NO ；禁用危险的“ls–R”指令ascii_download_enable=NO ；禁止ASCII模式下载第5步，性能优化one_process_model=YES ；每个IP单一进程模式idle_session_timeout=120 ；删除空闲了两分钟后的用户data_connection_timeout=300 ；删除空闲了五分钟后的下载accept_timeout=60 ；删除挂起了一分钟后的被动连接connect_timeout=60 ；删除挂起了一分钟后的活动连接anon_max_rate=50000 ；匿名用户最大传输速率为50KB/s4.2vsftpd服务器的安装与配置4.2.20实战虚拟用户安装必需的软件创建用户数据库

（1）创建一个临时文件，比如/etc/vsftpd/ftp_pam_db.users；

（2）用db_load命令生成pam_userdb认证所需要的账号文件；

（3）配置PAM信息；

（4）配置vsftpd账号；

（5）创建虚拟用户目录；

（6）按照该配置文件启动服务；

（7）用虚拟用户测试目录权限。4.2vsftpd服务器的