天天看點

Linux全攻略--FTP伺服器配置與管理

  FTP的全稱是File Transfer Protocol(檔案傳輸協定),就是專門用來傳輸檔案的協定.它工作在OSI模型的第七層,即是應用層,使用TCP傳輸而不是UDP.這樣FTP用戶端和伺服器建立連接配接前就要經過一個"三次握手"的過程.FTP服務還有一個非常重要的特點是它可以獨立于平台.

     LINUX下實作FTP服務的軟體很多,最常見的有vsftpd,Wu-ftpd和Proftp等.Red Hat Enterprise Linux中預設安裝的是vsftpd.

    通常,通路FTP伺服器時需要經過驗證,隻有經過了FTP伺服器的相關驗證,使用者才能通路和傳輸檔案.vsftpd提供了3種ftp登入形式:

   (1)anonymous(匿名帳号)

使用anonymous是應用廣泛的一種FTP伺服器.如果使用者在FTP伺服器上沒有帳号,那麼使用者可以以anonymous為使用者名,以自己的電子郵件位址為密碼進行登入.當匿名使用者登入FTP伺服器後,其登入目錄為匿名FTP伺服器的根目錄/var/ftp.為了減輕FTP伺服器的負載,一般情況下,應關閉匿名帳号的上傳功能.

  (2)real(真實帳号)

real也稱為本地帳号,就是以真實的使用者名和密碼進行登入,但前提條件是使用者在FTP伺服器上擁有自己的帳号.用真實帳号登入後,其登入的目錄為使用者自己的目錄,該目錄在系統建立帳号時系統就自動建立.

  (3)guest(虛拟帳号)

如果使用者在FTP伺服器上擁有帳号,但此帳号隻能用于檔案傳輸服務,那麼該帳号就是guest,guest是真實帳号的一種形式,它們的不同之處在于,geust登入FTP伺服器後,不能通路除宿主目錄以外的内容.

下面就對其詳細介紹.

一.安裝與啟動vsftpd

先使用指令檢視是否安裝.

可看到安裝了版本為2.0.1.如果沒有安裝可在桌面上選擇"應用程式"/"系統設定"添加/删除應用程式"指令.來安裝FTP軟體包.

    安裝和配置好vsftpd軟體包後,需要啟動FTP伺服器才能使用.啟動方法有以下兩種:

1.使用圖形化方式啟動,選擇"應用程式"/系統設定/伺服器設定/服務.可看到vsftpd,打上勾,開始啟動.

2.在終端視窗用指令進行啟動.

還可以使用service指令.

二.FTP相關配置檔案說明

其相關配置檔案有/etc/vsftpd/vsftpd.conf,  /etc/vsftpd.ftpusers,  /etc/vsftpd.user_list,在配置FTP伺服器時,主要是修改這些檔案中的相關語句.

    1.vsftpd.conf檔案說明

# Example config file /etc/vsftpd/vsftpd.conf

#

# The default compiled in settings are fairly paranoid. This sample file

# loosens things up a bit, to make the ftp daemon more usable.

# Please see vsftpd.conf.5 for all compiled in defaults.

# READ THIS: This example file is NOT an exhaustive list of vsftpd options.

# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's

# capabilities.

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).

anonymous_enable=YES  //是否允許anonymous登入FTP伺服器,預設是允許的.

# Uncomment this to allow local users to log in.

local_enable=YES //是否允許本地使用者登入FTP伺服器,預設是允許

# Uncomment this to enable any form of FTP write command.

write_enable=YES  //是否允許使用者具有在FTP伺服器檔案中執行寫的權限,預設是允許

# Default umask for local users is 077. You may wish to change this to 022,

# if your users expect that (022 is used by most other ftpd's)

local_umask=022 //設定本地使用者的檔案生成掩碼為022,預設是077

# Uncomment this to allow the anonymous FTP user to upload files. This only

# has an effect if the above global write enable is activated. Also, you will

# obviously need to create a directory writable by the FTP user.

#anon_upload_enable=YES

# Uncomment this if you want the anonymous FTP user to be able to create

# new directories.

#anon_mkdir_write_enable=YES  //是否允許匿名賬戶在FTP伺服器中建立目錄

# Activate directory messages - messages given to remote users when they

# go into a certain directory.

dirmessage_enable=YES //激活目錄資訊,當遠端使用者更改目錄時,将出現提示資訊

# Activate logging of uploads/downloads.

xferlog_enable=YES  //啟用上傳和下載下傳日志功能

# Make sure PORT transfer connections originate from port 20 (ftp-data).

connect_from_port_20=YES   //啟用FTP資料端口的連接配接請求

# If you want, you can arrange for uploaded anonymous files to be owned by

# a different user. Note! Using "root" for uploaded files is not

# recommended!

#chown_uploads=YES

#chown_username=whoever

# You may override where the log file goes if you like. The default is shown

# below.

#xferlog_file=/var/log/vsftpd.log  //設定日志檔案的檔案名和存儲路徑,這是預設的

# If you want, you can have your log file in standard ftpd xferlog format

xferlog_std_format=YES//是否使用标準的ftpd xferlog日志檔案格式

# You may change the default value for timing out an idle session.

#idle_session_timeout=600  //設定空閑的使用者會話中斷時間,預設是10分鐘

# You may change the default value for timing out a data connection.

#data_connection_timeout=120//設定資料連接配接逾時時間,預設是120秒.

# It is recommended that you define on your system a unique user which the

# ftp server can use as a totally isolated and unprivileged user.

#nopriv_user=ftpsecure

# Enable this and the server will recognise asynchronous ABOR requests. Not

# recommended for security (the code is non-trivial). Not enabling it,

# however, may confuse older FTP clients.

#async_abor_enable=YES

# By default the server will pretend to allow ASCII mode but in fact ignore

# the request. Turn on the below options to have the server actually do ASCII

# mangling on files when in ASCII mode.

# Beware that turning on ascii_download_enable enables malicious remote parties

# to consume your I/O resources, by issuing the command "SIZE /big/file" in

# ASCII mode.

# These ASCII options are split into upload and download because you may wish

# to enable ASCII uploads (to prevent uploaded scripts etc. from breaking),

# without the DoS risk of SIZE and ASCII downloads. ASCII mangling should be

# on the client anyway..

#ascii_upload_enable=YES

#ascii_download_enable=YES //是否允許使用ASCII格式來上傳和下載下傳檔案

# You may fully customise the login banner string:

#ftpd_banner=Welcome to blah FTP service.//在FTP伺服器中設定歡迎登入的資訊.

# You may specify a file of disallowed anonymous e-mail addresses. Apparently

# useful for combatting certain DoS attacks.

#deny_email_enable=YES

# (default follows)

#banned_email_file=/etc/vsftpd.banned_emails

# You may specify an explicit list of local users to chroot() to their home

# directory. If chroot_local_user is YES, then this list becomes a list of

# users to NOT chroot().

#chroot_list_enable=YES //如果希望使用者登入後不能切換到自己目錄以外的其它目錄,需要設定該項,如果設定chroot_list_enable=YES,那麼隻允許/etc/vsftpd.chroot_list中列出的使用者具有該功能.如果希望所有的本地使用者都執行者chroot,可以增加一行:chroot_local_user=YES

#chroot_list_file=/etc/vsftpd.chroot_list

# You may activate the "-R" option to the builtin ls. This is disabled by

# default to avoid remote users being able to cause excessive I/O on large

# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume

# the presence of the "-R" option, so there is a strong case for enabling it.

#ls_recurse_enable=YES

pam_service_name=vsftpd  //設定PAM認證服務的配置檔案名稱,該檔案存放在/etc/pam.d/目錄下.

userlist_enable=YES //使用者清單中的使用者是否允許登入FTP伺服器,預設是不允許

#enable for standalone mode

listen=YES  //使vsftpd 處于獨立啟動模式

tcp_wrappers=YES  //使用tcp_wrqppers作為主機通路控制方式

2.vsftpd.ftpusers檔案說明

這個檔案是用來記錄"不允許"登入到FTP伺服器的使用者,通常是一些系統預設的使用者.

下面是該檔案中預設的不允許登入的名單:

# Users that are not allowed to login via ftp

root //預設情況下,root和它以下的使用者是不允許登入FTP伺服器的.可以将不允許登入的使用者添加到這裡來.但切記每個使用者都要單獨占用一行.

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

3.vsftpd.user_list檔案說明

其實它的内容跟上面那個檔案内容一樣,隻是在系統對檔案vsftpd.conf 進行檢測時,會檢測到"userlist_deny=YES",是以這個檔案必須存在.下面是這個檔案的内容.

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers

# for users that are denied.

root

三.配置FTP伺服器

下面具體分兩類來進行詳細介紹,一類是匿名帳号伺服器的各種設定方法,另一類是在FTP服務咕嘟上擁有真實帳号的FTP伺服器的各種配置方法.

1.匿名帳号伺服器

1)配置一個簡單的匿名帳号伺服器

為了防止配置過程中出現錯誤,一般應把原配置檔案/etc/vsftpd/vsftpd.conf複制一份到别的目錄中,一旦配置後出現問題解決不了,還可以把原配置檔案複制回來.

下面修改檔案/etc/vsftpd/vsftpd.conf如下:

設定允許anonymous登入FTP伺服器,允許本地帳号登入,允許本地帳号有寫權限.

使用者清單裡的使用者不允許登入FTP伺服器.

配置好後,需要重新啟動vsftpd

匿名帳号可以是ftp或anonymous,密碼一個E-Mail位址.

這裡可看到有個預設的FTP目錄.

下面進行測試

可看到匿名帳号輸入錯誤時是不能登入的.輸入一個電子郵件位址作為密碼也是不能登入.

更改使用者名,然後輸入一個電子郵件位址作為密碼.,登入成功.

檢視一下FTP帳号在FTP伺服器上的目錄,然後登出.

用匿名帳号登入,并輸入一個電子郵件位址作為密碼.登入成功.

列出匿名帳号在FTP伺服器上的目錄,然後更改到pub目錄下.

這是pud目錄下的内容.

可看到匿名帳号可以下載下傳檔案.

同樣可以下載下傳

可看到剛才下載下傳的兩個檔案吧.我是在本機上測試的,是以這裡在是root目錄下的内容.

可看到不允許匿名帳号上傳檔案,正驗證了配置檔案的正确性

也不允許匿名帳号建立檔案目錄.

可看到用使用者清單裡的使用者登入,是不成功的.

現在用本地的帳号yang 登入,可見是登入成功的.

2.配置匿名帳号上傳功能

隻需要修改下面即可:

就是去掉前面的#,其它配置現簡單匿名帳号配置是相同的.

注意了,因為上傳檔案和目錄的同時,也就是在FTP伺服器的本地目錄建立檔案和目錄,是以必須為上傳目錄指定寫權限.

(1)在/var/ftp中建立一個新目錄"ding".

(2)改變目錄"ding"的權限

因為這裡建立的是匿名伺服器,是以檔案所有者屬于"ftp-FTP User",檔案組群屬于"ftp".

(3)建立相應的上傳目錄後,重新啟動FTP伺服器,測試如下:

匿名登入

可看到剛才建立的ding目錄

更改到ding目錄,在目錄中建立目錄yangming,可見建立成功.

現在上傳檔案到目錄ding中,可看到上傳成功.

現在來上傳檔案到目錄ftp中,可見失敗.因為匿名帳号對目錄ftp沒有寫權限,我們沒有設定.

現在切換現建立的yangmin目錄下,一開始是不能打開,原因也是沒有寫權限,

然後設定寫權限就可看到檢視成功.即755

可看到上傳檔案成功

3.設定連接配接伺服器的最在并發連接配接數和使用者的最線上程數.

  作為FTP伺服器,必然要為衆多使用者擔任服務,如果在同一時段登入FTP伺服器的使用者過多或下載下傳資料過量,則會影響伺服器的性能,是以,在建立FTP伺服器時,一定要設定連接配接伺服器的最大并發使用者數和每一使用者并發下載下傳檔案的最線上程數.修改配置檔案/etc/vsftpd/vsftpd.conf添加如下語句

看最後兩句,并發使用者為100.線程數為2,即同時隻能下載下傳兩個檔案.

4.設定匿名使用者的最大傳輸速率

下載下傳速率對FTP伺服器的性能影響也很大,限制使用者的最大傳輸速率可以平均配置設定網絡帶寬,增強網絡的流暢性,避免網絡阻塞.可在配置檔案/etc/vsftpd/vsftpd.conf中,添加如下語句:

看最後兩行,設定匿名使用者的最在傳輸速率為20Kbps,為本地使用者的最大傳輸速率為1Mbps

5.禁止某些IP段的匿名使用者通路FTP伺服器.

有些時候,FTP伺服器不想對某些主機開放,但它們又處在同一個網絡或VLAN中,這時可以限制某些主機通路FTP伺服器.方法看下面:

(1)确認配置檔案/etc/vsftpd/vsftpd.conf中有如下語句:

即最後一句

(2)修改檔案/etc/hosts.allow如下

限制IP位址為192.168.0.5的主機通路FTP伺服器.

(5)下面進行測試

可看到可以PING通伺服器,但是登入時被拒絕了.

(6)隻允許匿名使用者通路

如果隻允許匿名帳号通路FTP伺服器,那麼就要限制本地帳号通路.可以修改配置檔案/etc/vsftpd/vsftpd.conf , 把下面兩行語句注釋掉即可:

測試如下:

可看到匿名登入成功

用本地帳号登入失敗,也可看到錯誤資訊,隻允許匿名登入.

清單内的帳号也禁止登入了.

7.設定用ASCII方式傳送資料

一般情況下,利用FTP伺服器傳輸資料的時候都是使用ASCII傳輸方式,是以,有必要對FTP伺服器傳輸資料的格式進行設定.同樣修改配置檔案/etc/vsftpd/vsftpd.conf.

8.設定各種歡迎資訊.

設定通路FTP伺服器的歡迎資訊,可以讓使用者通路FTP伺服器時感到很親切.同樣配置檔案/etc/vsftpd/vsftpd.conf.

可以看到登入的資訊了吧.

9.設定資料傳輸中斷的時間間隔

如果使用者和FTP伺服器之間已經停止了資料的傳輸,而使用者卻一直連線在FTP伺服器,則會占用網絡帶寬和FTP伺服器的最大使用者數限制等資源.修改,配置檔案/etc/vsftpd/vsftpd.conf.

2.真實帳号伺服器

1)使用者清單内的使用者不能通路FTP伺服器.而其它不在清單内的使用者可以通路.修改配置檔案/etc/vsftpd/vsftpd.conf.

同時把不允許通路FTP伺服器的使用者帳号加入到vsftpd.user_list檔案中.

這裡把pudding加進去.

測試結果如下:

root帳号不允許通路

pudding也不允許通路.可見配置成功

用本機上的另一個帳戶就可以通路了.

(2)更改FTP伺服器預設的端口号

一般情況下,FTP伺服器預設的端口号是21,所有的使用者在登入FTP伺服器時都需要輸入伺服器預設的端口号,但是,有時候出于安全的考慮,有必要為FTP伺服器指定特定的端口号,在一定程度上增大黑客攻擊伺服器的難度.

在配置檔案/etc/vsftpd/vsftpd.conf.中添加如下語句:

可見沒有填寫端口号時通路失敗.

填寫端口号就通路成功了.

(3)設定組方式通路FTP伺服器

為了設定不同的安全級别和管理友善,有時候可以采用使用者組群方式通路FTP伺服器,這樣可以設定不同使用者對同一個目錄具有不同的通路權限.例如組建test有3個使用者test1,test2和test3,要求使用者test1對目錄/home/test 具有讀,寫和執行權限(即浏覽,下載下傳,上傳和建立目錄和檔案的權限),使用者test2和test3對目錄/home/test 隻具有讀和執行權即浏覽和下載下傳權限)

1)使用圖形化方式建立目錄/home/test

建立使用者,同樣建立test2,test3, 并且去掉預設的勾.

可看到建立好了3個使用者.

在主目錄裡輸入如圖路徑.

其它兩個使用者也一樣.

并把使用者加入組test,這是在之前就已經建立好的組.其它兩個使用者同樣操作.

可看下三個使用者.

3)設定目錄/home/test的所有者和權限.

這樣便可以了.即滿足了各使用者通路的權限.test1讀寫執行都有,test2,test3對目錄有讀執行權限.

用test1登入成功.

顯示test目錄的内容,目前是空的,然後建立目錄,成功

上傳檔案到目錄test中,成功.

使用者test2登入.

建立目錄失敗,上傳檔案也失敗.

4)限制使用者通路的目錄.

預設情況下,使用者登入到FTP伺服器,可以通路伺服器中自己目錄外的檔案,為了增加安全性.有必要進行對使用者通路目錄的限制.在配置檔案/etc/vsftpd/vsftpd.conf中添加下面的語句.

登入成功,檢視本地目錄顯示正常.

目錄更改成功,但顯示的卻還是yang目錄下的檔案,并不是根下的目錄.

OK,到這裡有關FTP的全部介紹完畢.

     本文轉自yangming1052 51CTO部落格,原文連結:http://blog.51cto.com/ming228/112083,如需轉載請自行聯系原作者

繼續閱讀