Linux系统管理及应用项目式教程（RHEL9CentOSStream9）（微课版）（第2版） 课件 项目13 配置FTP服务器（第2版）

项目十三

配置FTP服务器在Linux系统中，使用互联网中的yum仓库安装或升级软件能自动处理软件间的依赖关系，省时、省力，提高工作效率。但是在生产环境中，出于安全方面的考虑，不允许内部计算机与外网连接，因此无法使用互联网中的yum仓‍库。为了便于给公司内部的Linux主机安装软件，大路安排小乔在内网中配置一台基于FTP的私有yum仓库服务器。小乔在公司工作已有较长一段时间，对自己的学习能力和技术水平信心满满，她迫不及待地想借这次机会大显身‍手。了解FTP的工作原‍理掌握FTP服务器的安装和配置学会使用FTP客户端访问服务‍器1了解FTP服务器的工作原理2安装与配置FTP服务器13.1了解FTP服务器的工作原理13.1.1认识FTPFTP是用于在网络上进行文件传输的协议。FTP服务器是基于FTP在网络中提供文件存储和访问服务的服务器。无论是个人还是企业，都可以搭建FTP服务器，用来上传、下载和共享文件。如果用户需要将文件从本机发送到FTP服务器，可以使用FTP上传；反之，用户可以从FTP服务器上将文件下载到本‍机。13.1.2熟悉FTP的工作原理FTP采用客户端/服务器架构，用户通过FTP客户端程序连接到FTP服务器，实现文件传‍输。

一个完整的FTP文件传输过程需要建立两种类型的连接：控制连接：用于在服务器与客户端之间传输控制信息，如用户标识、口令等；数据连接：用于实际传输文件数‍据。13.1.3掌握FTP的数据传输模式数据传输模式分为两种：主动模式（PORT模式）和被动模式（PASV模式）。主动模式被动模式13.1.4了解FTP服务器的用户FTP服务器默认提供3类用户，不同类型的用户有不同的访问权限和操作功‍能。1．匿名用户

如果FTP服务器提供匿名访问功能，则匿名用户可以匿名访问服务器上的某些公开资源。匿名用户访问FTP服务器时，使用anonymous或ftp账号及任意口令登录。2．本地用户

本地用户在FTP服务器上拥有shell登录账号，即本地用户是在/etc/passwd文件中的用户。当该类用户访问FTP服务器上的资源时，可以通过自己的账号和口令授权登录。13.1.4了解FTP服务器的用户3．虚拟用户

虚拟用户是指拥有访问FTP服务器上的资源的专用账号用户，该类用户并不能使用shell登录FTP服务器。由于虚拟用户并非系统中真实存在的用户，仅供FTP服务器认证使用，因此，FTP服务器通过这种方式来保障服务器上其他文件的安全。

基于以上3类用户，FTP服务器提供3种不同的工作模‍式。1了解FTP服务器的工作原理2安装与配置FTP服务器13.2安装与配置FTP服务器13.2安装与配置FTP服务器vsftpd是一款免费、开源的FTP服务器软件。在Linux虚拟机中安装vsftpd，并使用vsftpd配置FTP服务器。

FTP服务器的基本配置参数如下。节点主机名IP地址/子网掩码位数网络工作模式Ftp/24NAT模式13.2.1安装vsftpd软件包1．配置本地yum仓库在Linux虚拟机中配置本地yum仓库。2．安装vsftpd软件包yuminstall-yvsftpd3．启动vsftpd服务，并设置为开机启动systemctlstartvsftpdsystemctlenablevsftpd13.2.2熟悉vsftpd配置文件与配置FTP服务器相关的vsftpd配置文件如下表所‍示。文件名说明/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers黑名单，禁止登录FTP服务器的用户列表/etc/vsftpd/user_list登录控制用户列表，禁止或允许登录FTP服务器的用户列表/etc/vsftpd/chroot_list限制/排除名单，控制用户能否切换到自己的FTP根目录之外13.2.2熟悉vsftpd配置文件1．主配置文件vsftpd的主配置文件是/etc/vsftpd/vsftpd.conf，可对用户登录控制、用户权限控制、超时设置、服务器的功能和性能选项等进行配置。主配置文件以#作为注释符‍号。anonymous_enable=No

#关闭匿名用户登录local_enable=YES #开启本地用户登录write_enable=YES #允许写入local_umask=022 #设置本地用户所创建的文件的umask值为022dirmessage_enable=YES #激活消息目录xferlog_enable=YES #是否启用日志connect_from_port_20=YES #主动模式端口为20xferlog_std_format=YES #将日志格式设置为标准格式listen=NO #不可同时将listen与listen_ipv6的值设置为YESlisten_ipv6=YES #允许IPv4或IPv6客户端的连接pam_service_name=vsftpd #PAM（可插拔认证）服务的名称为vsftpduserlist_enable=YES #允许用户列表生效13.2.2熟悉vsftpd配置文件2．黑名单/etc/vsftpd/ftpusers文件是一个用户列表，所列出的用户都不能登录FTP服务器，因此该文件相当于登录FTP服务器的黑名单。如果FTP服务器要拒绝某个用户登录，将该用户的用户名添加到ftpusers文件中即可。默认情况下，root用户包含在该文件‍中。3．登录控制用户列表/etc/vsftpd/user_list是登录控制用户列表，该文件用于控制“只允许”或“拒绝”在user_list文件中列出的用户登录FTP服务‍器。13.2.2熟悉vsftpd配置文件4．限制/排除名单/etc/vsftpd/chroot_list文件可以作为限制/排除名单使用，控制本地用户能否切换到FTP根目录之‍外。如果作为限制名单，则该名单中的用户只能在FTP根目录中活动。如果作为排除名单，则该名单中的用户不受活动限制，不仅能进入FTP根目录，还能切换到服务器上FTP根目录之外的其他目录‍中。13.2.3配置匿名用户模式FTP服务器使用匿名用户模式的FTP服务器一般用于分享一些不重要的文件，比如软件安装包等。在实际生产环境中，匿名用户模式下一般只允许用户下载文件，本任务中也将在该模式下配置上传文件、创建目录等功‍能。1．关闭SELinux安全子系统setenforce0sed-i's/^SELINUX=.*/SELINUX=disabled/'/etc/selinux/config2．安装vsftpd软件包yuminstall-yvsftpd13.2.3配置匿名用户模式FTP服务器3．配置vsftpd编辑主配置文件/etc/vsftpd/vsftpd.conf，使vsftpd支持匿名访问，开启匿名用户下载文件、上传文件、删除与重命名文件、创建目录等功‍能。找到anonymous_enable参数并将其值修改为YES。anonymous_enable=YES #将anonymous_enable修改为YES（默认值是NO），允许匿名访问在该文件中添加以下3行代码（注意等号两侧不要有空格）。anon_upload_enable=YES

#允许匿名用户上传文件anon_mkdir_write_enable=YES #允许匿名用户创建目录anon_other_write_enable=YES #允许匿名用户有其他的写权限，如删除和重命名文件13.2.3配置匿名用户模式FTP服务器4．配置/var/ftp/pub目录权限需要修改/var/ftp/pub目录的所有者为ftp用户，使匿名用户对pub子目录拥有写权限，以便上传文‍件。chownftp/var/ftp/pub5．在FTP根目录中创建测试文件匿名用户的默认FTP根目录是/var/ftp/，下面在此目录中创建测试文件welcome.txt。13.2.3配置匿名用户模式FTP服务器6．设置防火墙配置防火墙，放行FTP服‍务。firewall-cmd--permanent--add-service=ftpfirewall-cmd--reload7．启动vsftpd服务，并确认vsftpd服务是否正常运‍行systemctlstartvsftpdsystemctlenablevsftpdss-ntlp|grepvsftpd13.2.4访问FTP服务器

无论是使用Windows系统还是Linux系统的计算机，都能作为客户端访问FTP服务‍器。1．使用Windows客户端访问FTP服务器13.2.4访问FTP服务器2．使用Linux客户端访问FTP服务器ftp命令是常用的FTP客户端工具，使用ftp命令在Linux客户端中访问FTP服务‍器。使用ftp命令登录服务器的命令格式如‍下。ftp[主机名|IP地址]13.2.5配置本地用户模式FTP服务器本地用户模式FTP服务器通过Linux系统本地的账号、密码进行认证，相较匿名用户模式更安‍全。下面在Linux虚拟机中安装vsftpd，并使用vsftpd配置一台本地用户模式的FTP服务器，其主要参数配置如‍下。（1）FTP服务器的两个管理账号分别为Linux本地用户user1和user2。（2）FTP服务器仅允许Linux本地用户user1和user2登录，禁止匿名用户登‍录。（3）设置FTP服务器的根目录为/var/www。（4）登录FTP服务器的用户不能切换到FTP根目录之外，即使用chroot功能将本地用户user1和user2限制在/var/www目录‍中。13.2.5配置本地用户模式FTP服务器1．关闭SELinux安全子系统setenforce0sed-i's/^SELINUX=.*/SELINUX=disabled/'/etc/selinux/config2．创建本地用户useradd-s/sbin/nologinuser1useradd-s/sbin/nologinuser2echo123456|passwd--stdinuser1echo123456|passwd--stdinuser2向/etc/shells文件末尾添加以下代‍码。/sbin/nologin13.2.5配置本地用户模式FTP服务器3．创建FTP根目录mkdir-p/var/wwwchmod-Ro+w/var/wwwls-ld/var/www4．安装vsftpd软件包yuminstall-yvsftpd13.2.5配置本地用户模式FTP服务器5．配置vsftpd编辑(1)主配置文件/etc/vsftpd/vsftpd.conf#禁用匿名用户模式（第12行）anonymous_enable=NO#检查是否启用本地用户模式，默认值为YES（第15行）local_enable=YES#检查是否允许本地用户写入，默认值为YES（第18行）write_enable=YES#设置本地用户的FTP根目录为/var/www（添加下面一行配置）local_root=/var/www#启用本地用户的chroot功能，禁止本地用户切换到FTP根目录外（去掉第100行前面的#）chroot_local_user=YES#对用户开放FTP根目录的写权限allow_writeable_chroot=YES#检查是否启用user_list文件，默认值为YES（第126行）userlist_enable=YES#设置只允许user_list文件中列出的用户登录（在文件中添加以下配置）userlist_deny=NO13.2.5配置本地用户模式FTP服务器5．配置vsftpd编辑(2)编辑登录控制用户列表文件/etc/vsftpd/user_list，将user1和user2添加到/etc/vsftpd/user_list文件中。6．设置防火墙firewall-cmd--permanent--add-service=ftpfirewall-cmd--reload7．启动vsftpd服务，并确认vsftpd服务是否正常运‍行systemctlstartvsftpdsystemctlenablevsftpdss-ntlp|grepvsftpd8．使用Linux客户端测试FTP服务器1任务13-1需求分析与规划2任务13-2安装与配置基于FTP的私有yum仓库服务器3任务13-3在客户端中配置私有yum仓库服务器项目实施任务13-1需求分析与规划任务13-1需求分析与规划本项目实施要在公司内网（子网IP地址为/24）中配置一台基于FTP的私有yum仓库服务器，在服务器中存放rpm文件，通过FTP服务将其共享给内网中的计算‍机。任务13-1需求分析与规划在项目实施中，需要使用两台Linux虚拟机。使用一台最小安装的RHEL9.2虚拟机搭建FTP服务器，向网络中的其他Linux主机共享yum仓库中的rpm文件，以另一台虚拟机作为客户端。将所有虚拟机的网络工作模式都设置为NAT模式。虚拟机节点的规划如表所‍示。FTP服务器采用匿名用户模式，基本的参数配置如‍下。（1）配置FTP服务器根目录为/opt/repos。（2）匿名用户仅可下载FTP服务器上的文件，不允许进行上传文件、删除文件等操‍作。（3）服务器的/opt/repos目录中存放BaseOS和AppStream安装源存储库相关文‍件。主机名IP地址/子网掩码位数网络工作模式说明Repo/24NAT模式基于FTP的yum仓库服务器Node13/24NAT模式客户端任务13-2安装与配置基于FTP的私有yum仓库服务器任务13-2安装与配置基于FTP的私有yum仓库服