RHEL6版-项目12-vsftpd-FTP服务器的搭建

“十二五”职业教育国家规划教材选题立项

RedHatEnterpriseLinux6.4〔RHEL6.4〕

教材附带的光盘资源Linux网络操作系统配置与管理教材主编：夏笠芹课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案工程12vsftpdFTP效劳器的搭建【职业知识目标】了解:FTP效劳的概念、根本原理；FTP用户类型及登录方式,常用的效劳器端和客户端软件熟悉:FTP效劳的工作过程及根本组成结构;vsftp两种运行模式的区别掌握:匿名用户、本地用户和虚拟用户FTP效劳器的配置；FTP客户机的配置方法【职业能力目标】会安装和启动默认的vsftp效劳；能配置匿名用户访问的FTP效劳器；能配置本地用户访问的FTP效劳器；能配置虚拟用户访问的FTP效劳器；会使用FTP客户端访问FTP效劳器问题提出FTP效劳的作用与系统组成FTP(FileTransferProtocol,文件传输协议)是使网络中的计算机之间实现文件传送的标准协议。FTP主要应用于软件资源的上传与下载和Web站点的维护与更新FTP效劳系统由效劳器软件、客户端软件和FTP通信协议三局部组成12.2工程知识准备培训电影在进行通信时，FTP需要建立两个TCP连接：控制连接：标准端口为21，用于发送FTP命令信息数据连接：标准端口为20，用于上传、下载数据FTP客户端LinuxgFTPMozilla

WindowsIE浏览器flashFTPGuteFTPFTP效劳器端Vsftpd〔RHEL6自带〕Wu-FtpdProFTPD12.2工程知识准备12.2.2vsftpd效劳简介1．vsftpd软件的特点vsftpd的全称是“verysecureFTPdaemon”(非常平安的守护),优点:平安、高速、高稳定性、体积小、可定制强、效率高官方下载地址2．vsftpd数据连接的类型及建立过程FTP的数据连接分为主动和被动两种模式。主动模式(PORT):效劳器主动向客户端发起数据连接。首先由客户端向效劳器的FTP端口(默认是21)发送连接请求,效劳器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉效劳器:“我翻开了XXXX端口,你过来连接我”,当效劳端收到这个PORT命令后就会从20端口向客户端翻开的那个端口发送连接请求,建立一条数据链路来传送数据。被动模式(PASV):在该模式下效劳端在指定范围内的某个端口被动等待客户端发起数据连接。客户端向效劳器的FTP端口(默认是21)发送连接请求,效劳器接受连接,建立一条控制连接。当需要传送数据时,效劳器在命令链路上用PASV命令告诉客户端:“我翻开了XXXX端口,你过来连接我”。当客户端收到这个信息后,就可以向效劳器的XXXX端口发送连接请求,建立一条数据链路来传送数据。12.2工程知识准备12.2工程知识准备3．vsftpd的传输模式文本模式：ASCII模式，以文本序列传输数据二进制模式：Binary模式，以二进制序列传输数据4．vsftpd用户的类型匿名用户：anonymous或ftp本地用户：帐号名称、密码等信息保存在passwd、shadow文件中虚拟用户：使用独立的帐号/密码数据文件8任务12-1vsftpd效劳器安装与测试1.检查是否安装vsFTPd软件#rpm–qa|grepvsftpdRHEL6.4系统自带了vsftpd,默认情况下,vsftpd未安装,假设无任何显示，说明vsFTPd未安装12.3工程实施[root@ftp_server~]#mount/dev/cdrom/mnt[root@ftp_server~]#3．启动vsftpd效劳并查看端口占用情况#netstat-nutap|grepftp4．Linux客户端访问vsftpd效劳器步骤1:在效劳器端设置防火墙,开启FTP效劳端口。步骤2:在RHEL6客户机上安装ftp的客户端软件包步骤3:在客户机上使用ftp命令登录vsftpd效劳器任务12-1vsftpd效劳器安装与测试2.vsftpd效劳的运行管理Vsftpd启动、重启、状态查询、停止等操作。servicevsftpdstart|restare|status|stop设置vsftpd自启动[root@ftp_server~]#chkconfig--level35vsftpdon[root@ftp_server~]#chkconfig--listvsftpdvsftpd0:off1:off2:off3:on4:off5:on6:off10任务12-1vsftpd效劳器安装与测试[root@ftp_client~]#Connectedto1(1).220(vsFTPd2.2.2)Name(1:root):ftp //输入用户名331Pleasespecifythepassword.Password: //输入用户密码230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(172,16,102,61,42,195).150Herecomesthedirectorylisting.drwxr-xr-x2004096Mar022012pub226DirectorysendOK.ftp>mkdirdir1 //在效劳器上创立一个文件夹550Permissiondenied.//权限被拒绝,说明匿名登录在默认配置下不能上传信息ftp>bye221Goodbye.命令格式功能cdremote-directory更改远程计算机上的工作目录pwd显示远程计算机上的当前目录ls|dirremote-directory显示远程目录文件和子目录列表deleteremote-file删除远程计算机上的文件rm|getremote-file[local-file]将远程文件下载到本地计算机put|mputlocal－file[remote－file]将本地文件上传到远程计算机上mkdirremote-directory创建远程目录rmdirremote-directory删除远程目录bye或quit结束与远程计算机的FTP会话并退出ftp任务12-1vsftpd效劳器安装与测试12访问FTP效劳器命令的返回值及含义110重新启动标记应答332登入时需要账号信息120服务在多久时间内ready350请求的操作需要进一部的命令125打开数据连接，传输开始421无法提供服务，关闭控制连接150文件状态正常，开启数据连接端口425无法开启数据链路200命令被接受执行成功426关闭联机，终止传输202命令执行失败450请求的操作未执行211系统状态或是系统求助响应451命令终止：有本地的错误。212目录的状态452未执行命令：磁盘空间不足213文件的状态500格式错误，无法识别命令214求助的讯息501参数语法错误。215名称系统类型502命令执行失败。220新的联机服务就绪。503命令顺序错误。221服务的控制连接关闭，可以注销504命令所接的参数不正确。225数据连结开启，但无传输动作530登录不成功226关闭数据连接端口，请求的文件操作成功532储存文件需要账户登入227进入被动传输状态550未执行请求的操作230使用者登入551请求的命令终止，类型未知。250请求的文件操作完成552请求的文件终止，储存位溢出。257显示目前的路径名称553未执行请求的的命令，名称不正确331用户名称正确，需要密码任务12-1vsftpd效劳器安装与测试设置项说明/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers禁止使用vsftpd的本地用户帐号列表文件（黑名单）/etc/vsftpd/user_list禁止或允许使用vsftpd的用户列表文件/etc/pam.d/vsftpdPAM认证文件（其中file=/etc/vsftpd/ftpusers字段，指明阻止访问的用户来自/etc/vsftpd/ftpusers文件中的用户）

/var/ftp匿名用户主目录/var/ftp/pub匿名用户的下载目录，此目录需赋权根chmod1777pub（1为特殊权限，使上载后无法删除）/etc/logrotate.d/vsftpd.logvsftpd的日志文件任务12-2认识vsftpd的配置文件14主配置文件——/etc/vsftpd/vsftpd.conf可设置：用户登录控制、用户权限控制、超时设置、效劳器功能选项、效劳器性能选项、效劳器响应消息等FTP效劳器的配置。#vi/etc/vsftpd/vsftpd.conf以#号开头是注释行或是被关掉的具有某功能的配置行所有有效配置行有相同的格式为：option=value等号两边不能加空格配置文件的详细帮助信息可查询手册页#manvsftpd.conf在初始的样板文件中，并不包括所有想实现的功能，有些功能的实现要添加配置行。任务12-2认识vsftpd的配置文件15anonymous_enable

=YES/NO是否允许匿名用户登录FTP效劳器，默认值为YES。no_anon_password=YES/NO控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。anon_world_readable_only

=YES/NO

匿名用户是否允许下载可阅读的文档。默认值为YES。#anon_upload_enable

=YES/NO

是否允许匿名用户上传文件，缺省为NO。#anon_mkdir_write_enable

=YES/NO是否允许匿名用户有创立目录的写入权限，默认值为NO1.匿名用户的有关设置任务12-2认识vsftpd的配置文件16anon_other_write_enable=YES/NO

是否允许匿名用户有其他的写入权限，如对文件改名、覆盖及删除文件。默认值为NO。ftp_username=

〔自添〕匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，默认值为ftp。anon_root=/var/ftp〔自添〕设置匿名用户登录后所在的目录〔缺省为/var/ftp〕anon_umask=022〔自添〕匿名用户所上传文件的默认权限掩码值anon_max_rate=200000设置匿名用户的最大传输速度，单位为bytes/sec，值为0表示不限制1.匿名用户的有关设置任务12-2认识vsftpd的配置文件17local_enable=YES|NO是否允许本地用户登录FTP效劳器，默认值为YES。local_umask=022本地用户上传文件的默认权限掩码值local_max_rate=500000设置本地用户的最大传输速度，单位为bytes/sec，值为0时表示不限制local_root=/var/ftp〔自添〕设置本地用户登录后所在目录〔缺省为为用户主目录〕。如：user1用户为：/home/user12.本地用户的设置任务12-2认识vsftpd的配置文件write_enable=YES|NO允许用户访问时,是否允许他们有写入的权限，默认值为YES。listen=YES|NO设置vsftpd效劳器是否以独立〔standalone〕模式运行，默认值为YES，建议不要更改。很多与效劳器运行相关的配置命令，需要此运行模式才有效。假设设置为NO，那么vsftpd不是以独立的效劳运行，要受xinetd效劳的管理控制，功能上会受限制。listen_port=21设置FTP效劳器建立连接所侦听的端口，默认值为21。3.全局设置任务12-2认识vsftpd的配置文件193.全局设置max_clients=0设置FTP效劳器所允许的最大客户端连接数，默认值为0，表示不限制。假设设置为150时，那么同时允许有150个连接，超出的将拒绝建立连接。只有在以standalone模式运行时才有效。max_per_ip=5设置每个IP地址允许与FTP效劳器同时建立连接的数目。默认为0，不受限制。通常可对此配置进行设置，防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效。任务12-2认识vsftpd的配置文件203.全局设置xferlog_enable=YES是否启用日志xferlog_file=var/log/vsftpd.log设置日志文件名及路径。需启用xferlog_enable选项xferlog_std_format=YES

是否用标准格式存储日志pam_service_name=vsftpd

设置PAM认证效劳的配置文件名,该文件位于/etc/pam.d目录下任务12-2认识vsftpd的配置文件213.全局设置——欢送信息ftpd_banner=WelcomeblahFTPservice这边可定义欢送话语的字符串，相较于banner_file

是档案的形式，而ftpd_banner

是字串的格式。预设为无。banner_file

=/etc/vsftpd/banner当使用者登入时，会显示此设定所在的文件的内容，通常为欢送话语或是说明。默认值为无。dirmessage_enable

=YES如果启动这个选项，使用者第一次进入一个目录时，会检查该目录下是否有.message这个档案，假设是有，那么会出现此档案的内容，通常这个档案会放置欢送话语，或是对该目录的说明。默认值为开启。message_file=.message设置目录消息文件。当使用者第一次进入一个目录时，是否显示该目录中的.message文件〔需用编辑器手工创立〕的内容，该文件通常放置欢送话语，或是对该目录的说明信息任务12-2认识vsftpd的配置文件在默认配置下，用户可以使用“cd..”命名切换到上级目录。比方，假设用户登录后所在的目录为/var/ftp，那么在“ftp>”命令行下，执行“cd..”命令后，用户将切换到其上级目录/var，假设继续执行该命令，那么可进入Linux系统的根目录，从而可以对整个Linux的文件系统进行操作。假设设置了write_enable=YES，那么用户还可对根目录下的文件进行改写操作，会给系统带来极大的平安隐患，因此，必须防止用户切换到Linux的根目录，相关的配置项如下：4.控制用户是否允许切换到上级目录

任务12-2认识vsftpd的配置文件〔1〕配置所有登录不能改变自己的FTP根目录chroot_local_user=YES|NO本地用户是否锁定在宿主目录中要对本地用户查看效果，需先设置local_root=/var/ftp〔2〕配置局部账户不允许改变自己的FTP根目录#chroot_list_enable=YES|NO是否启用chroot_list_file配置项指定的用户列表文件#chroot_list_file=/etc/vsftpd/chroot_list此文件需自己建立，被列入此文件的用户，在登录后将不能切换到自己目录以外的其他目录4.控制用户是否允许切换到上级目录

任务12-2认识vsftpd的配置文件chroot_list_enable=YESchroot_local_user=YESchroot_list中的用户未锁定，chroot_list外的用户锁定chroot_list_enable=YESchroot_local_user=NOchroot_list中的用户锁定，chroot_list外的用户未锁定chroot_list_enable=NOchroot_local_user=YES所有用户锁定chroot_list_enable=NOchroot_local_user=NO所有用户未锁定任务12-2认识vsftpd的配置文件5.设置访问控制〔1〕设置允许或不允许访问的主机tcp_wrappers=YES设置vsftpd效劳器是否与tcpwrapper相结合，进行主机的访问控制。默认为YES，vsftpd效劳器会检查/etc/hosts.allow和/etc/hosts.deny中的设置，以决定请求连接的主机是否允许访问该FTP效劳器。这两个文件可以起到简易的防火墙功能。如：假设仅允许～的用户，可以访问连接vsftpd效劳器，那么可在/etc/hosts.allow文件中添加以下内容：vsftpd：：allowall：all：deny任务12-2认识vsftpd的配置文件〔2〕设置允许或不允许访问的用户对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。相关配置命令如下：userlist_enable=YES|NO设置/etc/vsftpd/user_list文件是否启用生效。YES那么生效，NO不生效。userlist_deny=YES|NO设置/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。假设设置为YES，那么/etc/vsftpd/user_list文件中的用户将不允许访问FTP效劳器；假设设置为NO，那么只有vsftpd.user_list文件中的用户，才能访问FTP效劳器。任务12-2认识vsftpd的配置文件用户文件列表/etc/vsftpd/ftpusers指定了不允许访问FTP效劳器的本地用户账号〔黑名单〕，例如root等。这些账号不是普通用户账号，而是在系统中具有较高权限的账号，禁止这些账号进行FTP登录可提高系统的平安性。/etc/vsftpd/user_list指定允许或不允许登陆的用户列表，使用起来比ftpusers更加灵活。需要在主配置文件中进行设置userlist_enable=YESuserlist_deny=YES●ftpusers中用户禁止访问●user_list中用户禁止访问（登录时不会出现密码提示，直接被服务器拒绝）●其他的ftp用户都可以登录userlist_enable=YESuserlist_deny=NO●只允许user_list中的用户访问●其他的ftp用户都不可以登录任务12-2认识vsftpd的配置文件任务12-2认识vsftpd的配置文件userlist_enable=YESftpusers中用户允许访问user_list中用户允许访问userlist_enable=NOftpusers中用户禁止访问user_list中用户允许访问userlist_deny=YESftpusers中用户禁止访问（登录时可以看到密码输入提示，但仍无法访问）

user_list中用户禁止访问userlist_deny=NOftpusers中用户禁止访问user_list中用户允许访问任务12-2认识vsftpd的配置文件6.设置用户配置文件所在的目录在vsftpd效劳器中，不同用户还可使用不同的配置，这要通过用户配置文件来实现。user_config_dir=/etc/vsftpd/userconf用于设置用户配置文件所在的目录。设置了该配置项后，当用户登录FTP效劳器时，系统就会到/etc/vsftpd/userconf目录下读取与当前用户名相同的文件，并根据文件中的配置命令，对当前用户进行更进一步的配置。比方，利用用户配置文件，可实现对不同用户进行访问的速度进行控制，在各用户配置文件中，定义local_max_rate配置，以决定该用户允许的访问速度。任务12-2认识vsftpd的配置文件7.与连接相关的设置listen_address=IP地址设置在指定的IP地址上侦听用户的FTP请求。假设不设置，那么对效劳器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。对于只绑定了一个IP地址的效劳器，不需要配置该项，默认情况下，配置文件中没有该配置项。假设效劳器同时绑定了多个IP地址，那么应通过该配置项，指定在哪个IP地址上提供FTP效劳，即指定FTP效劳器所使用的IP地址。注意：设置此值前后，可以通过netstat-tnl比照端口的监听情况accept_timeout=60设置建立被动〔PASV〕数据连接的超时时间，单位为秒，默认值为60。connect_timeout=60PORT方式下建立数据连接的超时时间，单位为秒。data_connection_timeout=300设置建立FTP数据连接的超时时间，默认为300秒。任务12-2认识vsftpd的配置文件7.与连接相关的设置idle_session_timeout＝600设置多长时间不对FTP效劳器进行任何操作，那么断开该FTP连接，单位为秒，默认为600秒。即设置发呆的逾时时间，在这个时间内，假设没有数据传送或指令的输入，那么会强行断开连接。setproctitle_enable=NO|YES设置每个与FTP效劳器的连接，是否以不同的进程表现出来，默认值为NO，此时只有一个名为vsftpd的进程。假设设置为YES，那么每个连接都会有一个vsftpd进程，使用“ps-ef|grepftp”命令可查看到详细的FTP连接信息。平安起见，建议关闭。任务12-2认识vsftpd的配置文件8.FTP工作方式与效劳端口connect_from_port_20＝YES|NO指定FTP数据传输连接是否使用20端口，默认值为YES。假设设置为NO，那么进行数据连接时，所使用的端口由ftp_data_port指定ftp_data_port=20设置PORT方式下FTP数据连接所使用的端口，默认值为20。pasv_enable=YES|NO假设设置为YES，那么使用PASV工作模式；假设设置为NO，使用PORT模式。默认为YES，即使用PASV模式。pasv_max_port=0设置在PASV工作方式下，数据连接可以使用的端口范围的上界。默认值为0，表示任意端口。pasv_mim_port=0设置在PASV工作方式下，数据连接可以使用的端口范围的下界。默认值为0，表示任意端口。任务12-2认识vsftpd的配置文件9.设置传输模式FTP在传输数据时，可使用二进制〔Binary〕方式，也可使用ASCII模式来上传或下载数据。ascii_download_enable=YES设置是否启用ASCII模式下载数据。默认为NOascii_upload_enable=YES设置是否启用ASCII模式上传数据。默认为NO任务12-2认识vsftpd的配置文件需求：德雅职业学校准备搭建一台功能简单的FTP效劳器，允许所有师生员工上传和下载文件，并允许创立用户自己的目录。分析：允许所有师生员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用户上传功能开启，最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创立目录。任务12-3配置匿名用户访问的FTP

解决方案：步骤1：编辑配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创立目录。[root@ftp_server~]#vim/etc/vsftpd/vsftpd.conf//查找以下4行并修改之,其他配置行保持默认anonymous_enable=YES //12行:允许匿名用户访问write_enable=YES //18行:允许开放写权限anon_upload_enable=YES //27行:允许匿名用户上传文件anon_mkdir_write_enable=YES //31行:允许匿名用户创立目录anon_umask=022 //需要添加此行anon_world_readable_only=NO//需要添加此行且为NO,否那么不能下载//保存退出任务12-3配置匿名用户访问的FTP

解决方案：步骤2:创立一个供上传资源的目录tea_stu,调整该目录的属主或权限,确保匿名用户ftp有权在目录tea_stu中写入文件。配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创立目录。[root@ftp_server~]#mkdir/var/ftp/tea_stu[root@ftp_server~]#ll-dl/var/ftp/tea_studrwxr-xr-x.2rootroot409610月

1318:18/var/ftp/tea_stu[root@ftp_server~]#chownftp/var/ftp/tea_stu[root@ftp_server~]#ll-dl/var/ftp/tea_studrwxr-xr-x.2ftproot409610月

1318:18/var/ftp/tea_stu任务12-3配置匿名用户访问的FTP

步骤3：修改selinux，使selinux支持匿名用户上传使用getsebool-a|grepftp命令可以找到ftp的bool值，其中第一行：allow_ftpd_anon_write的当前值为off，需改为on。[root@ftp_server~]#getsebool-a|grepftp

//显示与ftp相关的所有SElinux的布尔值allow_ftpd_anon_write-->offallow_ftpd_full_access-->off…………[root@ftp_server~]#setsebool-Pallow_ftpd_anon_writeon

//修改指定项的布尔值[root@ftp_server~]#setsebool-Pftp_home_diron[root@ftp_server~]#getsebool-a|grepftpallow_ftpd_anon_write-->on //修改为on后,才允许匿名用户上传连接allow_ftpd_full_access-->off…………任务12-3配置匿名用户访问的FTP

步骤4：修改上下文.使用reboot命令重新启动效劳器[root@ftp_server~]#ll-Zd/var/ftp/tea_studrwxr-xr-xftprootroot:object_r:public_content_t/var/ftp/tea_stu[root@ftp_server~]#chcon-tpublic_content_rw_t/var/ftp/tea_stu[root@ftp_server~]#ll-Zd/var/ftp/tea_studrwxr-xr-xftprootroot:object_r:public_content_rw_t/var/ftp/tea_stu[root@ftp_server~]#reboot步骤5：在3、5级别开启vsftpd效劳自动启动任务12-3配置匿名用户访问的FTP

[root@server1~]#chkconfig--list|grepvsftpdvsftpd0:关闭1:关闭2:关闭3:关闭4:关闭5:关闭6:关闭[root@server1~]#chkconfig--level35vsftpdon[root@server1~]#chkconfig--list|grepvsftpdvsftpd0:关闭1:关闭2:关闭3:启用4:关闭5:启用6:关闭步骤6：启动vsftpd效劳、开启21号端口#servicevsftpdstart#iptables-IINPUT-ptcp--dport21-jACCEPT步骤7:在Windows客户端启动IE浏览器→单击【工具】菜单项→选择【Internet选项】→在翻开的【Internet选项】对话框中单击【高级】标签卡→在【设置】列表框内找到【浏览】节点下的【使用被动FTP(为防火墙和DSL调制解调器兼容性)】配置项并将前面的勾去掉→单击【确定】,如图12-3所示。步骤8:在IE浏览器的地址栏中输入“1”后回车→单击【查看】→选择【在Windows资源管理器中翻开FTP站点】,系统登录FTP效劳器任务12-3配置匿名用户访问的FTP

步骤9:在FTP登录窗口单击“tea_stu”文件夹进入该文件夹→从本地硬盘(如“E:”盘)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传→从ftp登录窗口内拖拽文件(夹)到本地硬盘( E:)的窗口完成下载,如图12-5所示。而试图删除上传的文件(夹)那么不允许,如图12-6所示。任务12-3配置匿名用户访问的FTP

需求：德雅职业学校现有一台FTP和Web效劳器,FTP的功能主要用于维护学校的Web网站内容,包括上传文件、创立目录、更新网页等。学校现有两个部门负责维护任务,并分别使用user1和user2帐号进行管理。先要求仅允许user1和user2帐号登录FTP效劳器,但不能登录本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。分析：将FTP和WEB效劳器做在一起是企业经常采用的方法，这样方便实现对网站的维护，为了增强平安性，首先需要使用仅允许本地用户访问，并禁止匿名用户登录。其次使用chroot功能将user1和user2锁定在/var/www/html目录下。如果需要删除文件那么还需要注意本地权限。任务12-4配置本地用户访问的FTP解决方案：步骤1：建立维护网站内容的本地用户user1和user2并禁止本地登录，然后设置其密码[root@dyzx~]#

useradd-s/sbin/nologinuser1[root@dyzx~]#

useradd-s/sbin/nologinuser2[root@dyzx~]#

passwduser1[root@dyzx~]#

passwduser2[root@dyzx~]##mkdir-p/var/www/html //创立目[root@dyzx~]#ll-d/var/www/html //显示目录属性drwxr-xr-x2rootroot409611-1418:46/var/www/html[root@dyzx~]#chmod-Ro+w/var/www/html //修改目录权限[root@dyzx~]#ll-d/var/www/html//显示目录属性drwxr-xrwx2rootroot409611-1418:46/var/www/html[root@ftp_server~]#echo"thisis'sweb">/var/www/html/index.html步骤2：创立上传根目录，并修改其权限任务12-4配置本地用户访问的FTP步骤3:修改平安上下文,使上传根目录具有写入(上传)的功能。步骤4：配置vsftpd.conf主配置文件并作相应修改[root@ftp_server~]#chcon-tpublic_content_rw_t/var/www/html[root@ftp_server~]#vim/etc/vsftpd/vsftpd.conf//查找或添加以下行并修改之,其他配置行保持默认anonymous_enable=NO //禁止匿名用户登录local_enable=YES //允许本地用户登录write_enable=YESlocal_umask=022local_root=/var/www/html //设置本地用户的根目录为/var/www/htmlchroot_local_user=YESchroot_list_enable=YES //开启能锁定用户的chroot功能chroot_list_file=/etc/vsftpd/chroot_list//设置锁定用户在根目录中的列表文件userlist_enable=YES//保存退出任务12-4配置本地用户访问的FTP步骤5：建立/etc/vsftpd/chroot_list文件，添加user1和user2帐号[root@dyzx~]#

vim/etc/vsftpd/chroot_listUser1user2步骤6：修改SELinux允许本地用户登录。步骤7：重启vsftpd效劳使配置生效、开启21号端口[root@ftp_server~]#getsebool-a|grepftp//查看与ftp有关的所有SElinux的布尔值[root@ftp_server~]#setsebool-Pftp_home_diron[root@ftp_server~]#servicevsftpdrestart[root@ftp_server~]#iptables-IINPUT-ptcp--dport21-jACCEPT任务12-4配置本地用户访问的FTP步骤8：在客户端IE浏览器的地址栏中输入“1”后回车→在翻开的FTP登录窗口中输入用户名和密码→单击【登录】按钮,如图12-7所示。步骤9:从ftp登录窗口内拖拽文件(夹)到本地硬盘(E:)的窗口完成下载,从本地硬盘(E:)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传,如图12-8所示。任务12-4配置本地用户访问的FTP测试2——在物理机的字符界面任务12-4配置本地用户访问的FTPOK,需求目标全部达成~~~任务12-4配置本地用户访问的FTP【例12-3】德雅职业学校为了便于师生员工的教学,方案搭建FTP效劳器。对所有互联网用户开放共享目录,提供相关学习资料的下载,但禁止上传;学校内部的教师能够使用FTP效劳器进行上传和下载,但不可以删除数据。为保证效劳器的稳定性,要对用户访问和下载/上传流量进行控制。分析：根据学校的需求,对于不同用户进行不同的权限限制,FTP效劳器需要实现用户的审核,考虑到效劳器的平安性,关闭本地用户登录,使用虚拟用户验证机制,并对不同虚拟用户设置不同的权限。为了保证效劳器的整体性能,还需要根据用户的等级,限制客户端的连接数及下载速度。任务12-5配置虚拟用户访问的FTP步骤1:建立虚拟用户的用户名、密码列表的文本文件v_user.txt,添加公共账号ftp及教师账号teacher两个虚拟用户。奇数行为帐号名偶数行为上一行中帐号的密码任务12-5配置虚拟用户访问的FTP[root@ftp_server~]#vi/etc/vsftpd/vusers.listftp123teacher456步骤2:安装db_load转换工具,将文本文件v_user.txt转化为数据库文件v_user.db。[root@ftp_server~]#mount/dev/cdrom/mnt[root@ftp_server~]#[root@ftp_server~]#cd/etc/vsftpd/[root@ftp_servervsftpd]#db_load-T-thash-fv_user.txtv_user.db任务12-5配置虚拟用户访问的FTP步骤3：修改数据库文件访问权限。[root@ftp_server~]#chown600/etc/vsftpd/v_user.*步骤4：创立虚拟用户对应的本地用户,并设置用户主目录的访问权限。[root@dyzx~]#useradd-d/var/ftp/share/-s/sbin/nologinftpuser[root@dyzx~]#useradd-d/var/ftp/teacherdir/-s/sbin/nologinftpteacher[root@dyzx~]#chmod-R500/var/ftp/share/[root@dyzx~]#chmod-R700/var/ftp/teacherdir/

[root@ftp_server~]#chcon-tpublic_content_rw_t/var/ftp/share/[root@ftp_server~]#chcon-tpublic_content_rw_t/var/ftp/teacherdir/