Linux操作系统安全配置 课件 项目7　FTP服务安全配置

单击此处编辑母版标题样式

FTP工作过程学习内容企业需求0102FTP服务器的功能03FTP服务器的工作模式04FTP服务器的用户分类05总结

企业需求1某公司在某校校园网建设的需求调查中，师生反映使用Web服务器上传下载教学资料很不方便。公司决定在校园网中搭建一个FTP服务器，集中存放师生的教学资料，供师生更新、下载和上传文档资料；并设置访问权限确保数据来源的正确性和数据存取的安全性。

企业需求1FTP服务拓扑FTP客户端0/24FTP移动客户端FTP客户端上传下载

FTP服务器的功能21.FTP服务的作用（1）FTP(FileTransferProtocol,文件传输协议)是使网络中的计算机之间实现文件传送的标准协议。（2）FTP主要应用于文件及软件资源的上传与下载和Web站点的维护与更新

FTP服务器的功能22.FTP的系统组成FTP服务系统由服务器软件、客户端软件和FTP通信协议三部分组成。FTP服务器软件常见的有vsftpd、wu-ftpd、Proftpd、微软IISFTP、Serv-U等。本教程介绍的是vsftpd（verysecureFTPdaemon）。

FTP服务器的功能23.FTP服务的工作过程一个完整的FTP文件传输需要建立两种类型的连接，一种为文件传输下命令，称为控制连接，另一种实现真正的文件传输，称为数据连接。（1）控制连接客户端希望与FTP服务器建立上传下载的数据传输时，它首先向服务器的TCP21端口发起一个建立连接的请求，FTP服务器接受来自客户端的请求，完成连接的建立过程，这样的连接就称为FTP控制连接。（2）数据连接FTP控制连接建立之后，即可开始传输文件，传输文件的连接称为FTP数据连接。FTP数据连接就是FTP传输数据的过程，它有两种传输模式:主动模式(PORT/standard)和被动模式(PASV)。

FTP服务器的工作模式3（1）主动模式（PORT/Standard）Ftp客户机Ftp服务器(1)随机开放端口N（N>1024)21端口(2)向服务器的21端口发出连接请求(3)登录FTP服务器(4)输入正确的FTP用户名、密码(5)登录成功(6)开入侦听端口N+1(7)发送：PORTN+1命令，请求通过N+1端口建立数据连接20端口(8)连接客户端N+1端口(9)数据连接建立，开始传输数据控制连接数据连接

FTP服务器的工作模式3（2）被动模式（PASV）Ftp客户机Ftp服务器(1)随机开放端口N（N>1024)21端口(2)向服务器的21端口发出连接请求(3)登录FTP服务器(4)输入正确的FTP用户名、密码(5)登录成功(6)开入侦听端口N+1(7)发送PASV命令：通知服务器处于被动模式P端口(9)连接服务器P端口，建立数据连接(10)传输数据控制连接数据连接(8)开启侦听端口P（P>1024），等待客户端建立数据连接

FTP服务器的用户分类4

vsftpd用户的类型（1）匿名用户：anonymous或ftp，通常用于公共文件的下载服务。（2）本地用户：使用Linux系统用户登录，帐号名称、密码等信息保存在passwd、shadow文件中，每个用户都使用各自的宿主目录。（3）虚拟用户：使用独立的文件保存虚拟帐号，安全性较好，可替代本地用户总结5FTP服务器的功能FTP服务器的工作模式FTP服务器的用户分类单击此处编辑母版标题样式

FTP配置本地用户学习内容企业需求0102配置本地用户访问家目录03配置本地用户访问公共目录04配置本地用户访问限定目录05总结

企业需求1某公司在校园网中使用vsftpd搭建了一个FTP服务器，为了供服务器维护及教师下载、上传资料，决定将此服务器中每个教师帐号既可以在自己的用户目录中上传和下载资料，又可以在公用目录public中上传和下载资料，Web管理员用户只能访问指定目录上传和下载。

企业需求1FTP服务拓扑FTP客户端0/24FTP移动客户端FTP客户端上传下载配置本地用户访问家目录21.新建本地用户[root@server~]#useraddteacher1[root@server~]#passwdteacher1[root@server~]#touch/home/teacher1/test1.txt//建立测试文件配置本地用户访问家目录22.客户端测试[root@localhost~]#touchtest2.txt//建立测试文件[root@localhost~]#ftp0……Name(0:root):teacher1//用户登录Password:230Loginsuccessful.……ftp>ls-rw-r--r--1000Oct0604:30test1.txt//用户登录默认目录为家目录……配置本地用户访问家目录22.客户端测试ftp>gettest1.txt……226Transfercomplete.//下载文件ftp>mkdirabc257“/home/teacher1/abc”created//新建目录ftp>cdabcftp>puttest2.txt……226Transfercomplete.//上传文件配置本地用户访问公共目录21.新建公共目录[root@server~]#mkdir/var/ftp/public[root@server~]#chmodo+w/var/ftp/public[root@server~]#chcon-tpublic_content_rw_t/var/ftp/public//修改/var/ftp/share目录的安全上下文属性[root@server~]#setsebool-Pftpd_full_accesson//修改布尔值状态,开放ftp访问[root@server~]#getsebool-a|grepftp//过滤与FTP相关的布尔值信息……ftpd_full_access-->on……配置本地用户访问公共目录22.客户端测试[root@localhost~]#ftp0……Name(0:root):teacher1//用户登录……ftp>cd/var/ftp/public//访问公共目录ftp>mkdirteacher1//新建目录ftp>cdteacher1ftp>puttest2.txt//上传文件……226Transfercomplete.配置本地用户访问限定目录32.修改主配置文件[root@server~]#vim/etc/vsftpd/vsftpd.conf//查找以下各行并修改之,其他配置行保持默认local_root=/var/www/web1 //添加至17行:设置本地用户登录后的根目录allow_writeable_chroot=YES//添加至20行:使限定用户具有写权限chroot_local_user=NO //100行:不将所有用户限制在登录根目录内chroot_list_enable=YES //101行:开启锁定用户的chroot功能chroot_list_file=/etc/vsftpd/chroot_list //103行:设置锁定用户的列表文件配置本地用户访问限定目录33.建立/etc/vsftpd/chroot_list文件,将被锁定的用户adminweb加入其中。[root@server~]#vim/etc/vsftpd/chroot_listadminweb4.修改SELinux布尔量,允许本地用户登录。[root@ftp_server~]#getsebool-a|grepftp//查看与ftp有关的所有SElinux的布尔值[root@ftp_server~]#setsebool-Pftpd_full_accesson//开放ftp访问配置本地用户访问限定目录35.客户端测试[root@localhost~]#ftp0……Name(0:root):adminweb//用户登录……ftp>cd/home/adminweb550Failedtochangedirectory.//目录被限定，不能访问其他目录ftp>mkdirabc//新建目录ftp>cdabcftp>puttest2.txt//上传文件……226Transfercomplete.总结4本地用户的家目录访问指定目录权限及存在的问题：不能针对不同用户进行不同的权限设置，安全性无法保障，所以要设置虚拟用户单击此处编辑母版标题样式

FTP虚拟用户配置学习内容应用需求0102FTP虚拟用户配置03FTP客户端配置04终结

应用需求1某学校需要在Linux平台上架设基于vsftp的FTP服务器，为保障服务器的安全，采用虚拟账户的形式，虚拟账户名分别为vuser01、vuser02，虚拟用户不允许登录Linux操作系统，并将其锁定在指定目录/var/ftp/vdirectory内，不能进入其他目录，无文件上传权限。

应用需求1根据应用需求，主要包括以下内容完成FTP服务器的架设：vsftp软件包的安装、虚拟用户数据库的建立、PAM文件的配置、虚拟用户对应系统用户的建立、vsftp服务配置文件的修改等工作。

FTP虚拟用户配置2在Linux服务器上安装vsftpd软件包，启动vsftpd服务，并设置vsftpd开机自动运行[root@localhost~]#yuminstallvsftpd[root@localhost~]#systemctlenablevsftpd[root@localhost~]#systemctlstartvsftpd

FTP虚拟用户配置2配置SELinux，允许vsftpd访问所有文件和目录，包括用户家目录和其他系统目录。[root@localhost~]#setsebool-Pftpd_full_accesson

FTP虚拟用户配置2防火墙firewalld放行ftp流量[root@localhost~]#firewall-cmd--permanent--add-service=ftp[root@localhost~]#firewall-cmd--reload

FTP虚拟用户配置2在/vaccount目录下创建用户数据文件vaccount.txt[root@localhost~]#mkdir/vaccount[root@localhost~]#touch/vaccount/vaccount