linux下配置FTP服務(wù)器步驟.doc

一、創(chuàng)建匿名FTP服務(wù)器的方法1.增加新用戶ftp,設(shè)置其主目錄對任何用戶都無寫權(quán)限；2.新建立一個(gè)組anonymou，它只能被匿名ftp使用；3.在ftp用戶的主目錄下創(chuàng)建一個(gè)bin目錄，它屬于root用戶，而且對任何用戶都不能寫；4.在ftp用戶主目錄下創(chuàng)建一個(gè)etc目錄，它屬于root用戶，而且對任何用戶都不能寫；5.在ftp用戶主目錄下創(chuàng)建一個(gè)public目錄，它屬于ftp用戶，而且對任何用戶都能寫。如果由 于安全等原因，您不允許其他用戶在您的計(jì)算機(jī)上具有存儲能力，那么您可以將其權(quán)限設(shè)置成555；6.將ls程序放到已創(chuàng)建的bin目錄下，并將其修改成111方式，即對任何用戶只能執(zhí)行；7.在已創(chuàng)建的etc目錄下，創(chuàng)建passwd和group兩個(gè)文件，并將它們設(shè)置成444方式（只讀）。二、創(chuàng)建匿名FTP-在Unix下用root登錄，然后按下列步驟逐步建立FTP服務(wù)器。1.建立新組anonymou-#mkgroupanonymou2.建立新用戶ftp，且ftp用戶屬于anonymou組-#mkuserpgrp=nonymouhome= /u/anonymouftp3.在用戶目錄下建立相關(guān)的目錄#cd/u/anonymou#mkdiretc#mkdirbin#mkdirpublic4.將ls拷貝到/usr/anonymou/bin下，并設(shè)置其讀寫屬性#cp/bin/ls./bin#chmod111./bin/ls5.創(chuàng)建/u/anonymou/etc/group文件-在該文件中增加一行：anonymou:!:201:6.創(chuàng)建/u/anonymou/etc/passwd文件-在該文件中增加一行：ftp:*:213:201:/u/anonymou:/bin/ksh7.修改/u/anonymou/etc/group文件和/u/anonymou/etc/passwd文件的屬性#chmod444/u/anonymou/etc/passwd-#chmod444/u/anonymou/etc/group8.設(shè)置主目錄下每個(gè)子目錄的讀寫方式#chownftppublic#chmod555public#chmod555bin#chmod555etc#cd.#chmod555anonymou三、匿名FTP服務(wù)的應(yīng)用實(shí)例-利用匿名服務(wù)，用戶可以很方便地使用存放在public子目錄下的公用信息，如：公用軟件包、軟件工具、各種信息管理系統(tǒng)軟件等，這減少了企業(yè)因購買軟件而需的重復(fù)投入。下面舉例說明匿名FTP的使用。-在任何能啟動FTP應(yīng)用的前端機(jī)上，DOS或Windows下鍵入以下一系列命令，即可實(shí)現(xiàn)FTP的功能。C:ftp.exe（假設(shè)文件ftp.exe位于根目錄下）ftpopenzxserver（服務(wù)器名為zxserver）ConnectedtoZXSERVER.220zxserverFTPserver(Version4.1SatNov2312:52:09CST1991)ready.User（ZXSERVER:(none)）:ftp（輸入用戶名ftp）331Guestloginok,sendidentaspassword.Password:（直接回車）230Guestloginok,accessrestrictionsapply.ftpbinary（以二進(jìn)制方式傳輸數(shù)據(jù)）200TypesettoI.ftpcdpublic250CWDcommandsuccessfulftpgethomeface（取文件homeface）200Portcommandsuccessful150Openingdataconnectionforhomeface226Transfercomplete 3300Bytesreceivedin0.05secondslinux下配置FTP服務(wù)器步驟 來源： 作者： 發(fā)布時(shí)間：2007-08-07 （閱讀次數(shù)： 108） 查看更多關(guān)于： 配置linux FTP服務(wù)器 的文章 前言： 在眾多的網(wǎng)絡(luò)應(yīng)用中，F(xiàn)TP（File Transfer porotocol）有著非常重要的地位。在Internet中一個(gè)十分重要的資源就是軟件資源。而各種各樣的軟件資源大多數(shù)都是放在FTP服務(wù)器中的?？梢哉f，F(xiàn)TP與WEB服務(wù)幾乎占據(jù)了整個(gè)Internet應(yīng)用的80%以上。 FTP服務(wù)可以根據(jù)服務(wù)對象的不同分為兩類：一類是系統(tǒng)FTP服務(wù)器，它只允許系統(tǒng)上的合法用戶使用；另一類是匿名FTP服務(wù)器，Anonymous FTP Server，它使用任何人都可以登錄到FTP服務(wù)器上去獲取文件。 so.bitsCN.com網(wǎng)管資料庫任你搜一、選擇和安裝FTP服務(wù)器軟件 如果你在安裝LINUX系統(tǒng)的時(shí)候，在選擇啟動進(jìn)程的時(shí)候選擇了“ftpd”這一項(xiàng)的話，安裝完LINUX系統(tǒng)后，它已經(jīng)將一個(gè)默認(rèn)的FTP服務(wù)器安裝到系統(tǒng)中去了。我們已經(jīng)可以利用它來實(shí)現(xiàn)系統(tǒng)FTP服務(wù)器的功能了。我們只需在此基礎(chǔ)上根據(jù)我們的需要進(jìn)行一些個(gè)性化設(shè)定就可以了。 在絕大多數(shù)的LINUX發(fā)行版本中都選用的是WashingtonUniversity FTP，它是一個(gè)著名的FTP服務(wù)器軟件，一般簡稱為wu-ftp。它功能強(qiáng)大，能夠很好地運(yùn)行于眾多的UNIX操作系統(tǒng)，例如：IBM AIX、FreeBSD、HP-UX、NeXTstep、Dynix、SunOS、Solaris等。所以Internet上的FTP服務(wù)器，一大半以上采用了它。wu-ftp擁有許多強(qiáng)大的功能，很適于吞吐量較大的FTP服務(wù)器的管理要求： bitsCN全力打造網(wǎng)管學(xué)習(xí)平臺1） 可以在用戶下載文件的同時(shí)對文件做自動的壓縮或解壓縮操作； 2） 可以對不同網(wǎng)絡(luò)上的機(jī)器做不同的存取限制； 3） 可以記錄文件上載和下載時(shí)間； 4） 可以顯示傳輸時(shí)的相關(guān)信息，方便用戶及時(shí)了解目前的傳輸動態(tài)； 5） 可以設(shè)置最大連接數(shù)，提高了效率，有效地控制了負(fù)載。 二、wu-ftp的組成 安裝了wu-ftp后，你將在/bin目錄下看到以下五個(gè)可執(zhí)行文件： ftpd FTP服務(wù)器程序 ftpshut 用于關(guān)閉FTP服務(wù)器程序 ftpcount 顯示目前在線人數(shù) ftpwho 查看目前FTP服務(wù)器的連接情況 ckconfig 檢查FTP服務(wù)器的設(shè)置是否正確 so.bitsCN.com網(wǎng)管資料庫任你搜除了這些可執(zhí)行文件以外，它還在/etc和/var目錄下生成了七個(gè)配置文件： /etc/ftpusers /etc/ftpaccess /var/run/ftp.pids /etc/ftpconversions /var/log/xferlog /etc/ftpgroups /etc/ftphosts 系統(tǒng)安裝了wu-ftp后，會建立一個(gè)特殊的用戶ftp，并在/home目錄下建立了一個(gè)ftpd目錄，當(dāng)用戶以匿名登錄上來時(shí)，將會自動定位于這個(gè)目錄下。在這個(gè)目錄下一般會建立幾個(gè)子目錄。 /home/ftpd/bin 存放一些供FTP用戶使用的可執(zhí)行文件 /home/ftpd/etc 存放一些供FTP用戶使用的配置文件 /home/ftpd/pub 存放供下載的信息 /home/ftpd/incoming 存放供上載信息的空間 三、wu-ftp的配置 1. 查看、修改/etc/inetd.conf文件 /etc/inetd.conf文件是LINUX系統(tǒng)的超級服務(wù)器inetd的配置文件。它負(fù)責(zé)監(jiān)聽多個(gè)TCP/IP端口。當(dāng)它收到請求，就根據(jù)配置文件派生一個(gè)相應(yīng)的服務(wù)器。通過使用超級服務(wù)器，其他服務(wù)就可以只在需要時(shí)才派生，從而大大節(jié)省了系統(tǒng)資源。而wu-ftp就是利用超極服務(wù)器inetd來監(jiān)聽請求的。當(dāng)超級服務(wù)器inetd收到了客戶端的Tags： 配置linux FTP服務(wù)器FTP請求時(shí)，就根據(jù)配置文件打開一個(gè)FTP服務(wù)進(jìn)程。所以我們?nèi)绻褂脀u-ftp，就必須確認(rèn)在超級服務(wù)器inetd的配置文件inetd.conf中有這樣一句： 國內(nèi)最早的網(wǎng)管網(wǎng)站 ftp stream tcp nowait root /usr/sbin/tcpd wu.ftpd 以便當(dāng)超級服務(wù)器收到FTP請求的時(shí)候，能夠派生一個(gè)wu-ftp的FTP服務(wù)進(jìn)程。（注：要確認(rèn)是否有這樣一行時(shí)，可以使用文件內(nèi)容查找命令來確認(rèn)： cat /etc/inetd.conf | grep ftp 如果沒有，則用手工加入或手工修改。 2. wu-ftpd的命令選項(xiàng) wu-ftpd就是wu-ftp的服務(wù)進(jìn)程。它可以不帶參數(shù)執(zhí)行，也可以帶參數(shù)執(zhí)行。下面簡單介紹一下wu-ftpd的執(zhí)行參數(shù)。 -d 當(dāng)FTP服務(wù)器出錯(cuò)時(shí)，將錯(cuò)誤入系統(tǒng)的syslog中； -l 將每次FTP客戶端進(jìn)行連接的入系統(tǒng)的syslog中； -t 設(shè)置FTP客戶端連接幾分鐘無操作就切斷連接； -a 使wu-ftp使用/etc/ftpaccess的設(shè)定； bbs.bitsCN.com國內(nèi)最早的網(wǎng)管論壇 -A 使wu-ftp不使用/etc/ftpaccess的設(shè)定； -L 將FTP客戶端連線后所執(zhí)行的程序記錄在系統(tǒng)的syslog中； -I 將FTP客戶端上載文件的日志記錄在/usr/adm.xferlog文件中； -o 將FTP客戶端下載文件的日志記錄在/usr/adm/xferlog文件中。 通過對以上參數(shù)的理解，我們建議，將上面系統(tǒng)安裝時(shí)的那條默認(rèn)配置改為： ftp stream tcp nowait root /usr/sbin/tcpd wu.ftpd a I 3.提供自動壓縮、解壓縮的功能 如果想讓FTP服務(wù)器有自動壓縮、解壓縮的功能，必須先將一些壓縮、解壓縮的命令文件如tar、gzip、gunzip、compress、uncompress等命令文件拷貝到/home/ftpd/bin目錄下。 4. 關(guān)于/etc/ftpaccess的設(shè)置 這個(gè)配置文件是FTP服務(wù)器上最重要的配置文件，它直接關(guān)系到你的FTP服務(wù)器能否正常工作，還有許多權(quán)限上的設(shè)置。下面是一個(gè)典型的配置實(shí)例。 需要什么來搜一搜吧so.bitsCN.comloginfails 3 class local real * class remote anonymous guest * limit remote 100 Any /etc/ftpd/toomany.msg message /etc/ftpd/welcome.msg login compress yes local remote tar yes local remote private yes passwd-check rfc822 warn log commands real log transfer anonymous guest inbound outbound log transfer real inbound shutdown /etc/ftpd/shut.msg delete no anonymous,guest overwrite no anonymous,guest rename no anonymous chmod no anonymous,guest umask no anonymous upload /home/ftpd * no upload /home/ftpd /bin no upload /home/ftpd /etc no upload /home/ftpd /pub yes real 0644 dirs upload /home/ftpd /incoming yes real guest anonymous 0644 dirs alias in /incoming email email deny *.com.tw /etc/ftpd/deny.msg 下面我們逐句進(jìn)行講解，并給出每條設(shè)置的含義，以便大家觸類旁通，以便根據(jù)自己FTP服務(wù)器的具體情況進(jìn)行合理的設(shè)置。 需要什么來搜一搜吧so.bitsCN.com1 格式：loginfails 次數(shù) 功能：設(shè)定當(dāng)用戶登錄到FTP服務(wù)器時(shí)，允許用戶輸錯(cuò)密碼的次數(shù)。 實(shí)例：loginfails 3：密碼輸入錯(cuò)誤三次就切斷連接。 2 格式：class 類名 real/guest/anonymous IP地址 功能：這個(gè)指令的功能設(shè)定FTP服務(wù)器上用戶的類別。并可對客戶端的IP地址進(jìn)行限制，允許某部分的IP地址或全部的IP地址訪問。而在FTP服務(wù)器上的用戶基本上可以分為以下三類： real 在該FTP服務(wù)器有合法帳號的用戶； guest 有記錄的匿名用戶； anonymous 權(quán)限最低的匿名用戶 實(shí)例：class local real *：定義一個(gè)名為local的類，它包含了在任何地方登錄(*代表所有IP地址）的real用戶。 Tags： 配置linux FTP服務(wù)器 bitsCN全力打造網(wǎng)管學(xué)習(xí)平臺 class remote anonymous guest *:定義一個(gè)名為remote的類，它包含了在任何地方登錄的anonymous用戶和guest用戶。 3 格式：limit 類別 人數(shù) 時(shí)間 文件名 功能：這個(gè)指令的功能為設(shè)置指定的時(shí)間內(nèi)指定的類別允許連接的指定人數(shù)上限。當(dāng)達(dá)到人數(shù)上限的時(shí)候，顯示指定文件的內(nèi)容。 實(shí)例：limit remote 100 Any /etc/ftpd/toomany.msg：在任何時(shí)間內(nèi)，remote類的訪問用戶達(dá)到100人時(shí)，將不再允許無法產(chǎn)生新的連接，當(dāng)?shù)?01位客戶要連接時(shí)，連接將失敗，并象用戶出示文件/etc/ftpd/toomany.msg的內(nèi)容。 4 格式：message 文件名稱 指令 功能：當(dāng)用戶執(zhí)行所指定的指令時(shí)，系統(tǒng)將指定的文件內(nèi)容顯示出來。 實(shí)例：message /etc/ftpd/welcome.msg login：當(dāng)用戶執(zhí)行l(wèi)ogin命令時(shí)，也就是登錄到FTP服務(wù)器上的時(shí)候，系統(tǒng)將顯示文件/etc/ftpd/welcome.msg的內(nèi)容。 5 格式：compress yes/no 類別 功能：設(shè)置哪一個(gè)類別的用戶可以使用compress（壓縮）功能。 實(shí)例：compress yes local remote：允許local和remote兩個(gè)類別的用戶都能使用 compress(壓縮)功能。 bitsCN.com中國網(wǎng)管聯(lián)盟 6 格式：tar yes/no 類別 功能：設(shè)置哪一個(gè)類別的用戶可以使用tar（歸檔）功能。 實(shí)例：tar yes local remote：允許local和remote兩類的用戶都能使用tar功能。 7 格式：private yes/no 功能：設(shè)定是否支持群組對文件的取用。 實(shí)例：private yes：支持群組對文件的取用。 8 格式：passwd-check none/trivial/rfc822 enforce/warn 功能：設(shè)定對匿名用戶anonymous的密碼使用方式。 none 表示不做密碼驗(yàn)證，任何密碼都可以登錄； trival 表示只要輸入的密碼中含有字符“”就可以登錄； rfc822 表示密碼一定要符合RFC822中所規(guī)定的E-Mail格式才能登錄； enfore 表示輸入的密碼不符合以上指定的格式就不讓登錄； warn 表示密碼不符合規(guī)定時(shí)只出現(xiàn)警告信息，仍然能夠登錄。 實(shí)例：passwd-check rfc822 warn：希望能夠得到符合規(guī)定的E-Mail作為密碼，但如果不是，也允許登錄。 9 格式：log command real/guest/anonymous 功能：設(shè)置哪些用戶登錄后的操作記錄在文件/usr/adm/xferlog中。Tags： 配置linux FTP服務(wù)器RedHat9-vsftp配置大全3.2 VSFTP安全與效能兼?zhèn)涞膄tp 服務(wù)器3.2.1 VSFTP 概述FTP，file transfer protocol，這是檔案傳輸?shù)耐ㄓ崊f(xié)議，也是一般最常用來傳送檔案的方式。讀者在使用RedHat9 的時(shí)候，可能會感受到ftp server 有一些改變：第一，就是ftp server 只剩下vsftp，原有的wuftp 等都沒放入第二，就是vsftp 從XINETD 中獨(dú)立出來，并將設(shè)定檔從/etc/vsftpd.conf 之中移到/etc/vsftpd/vsftpd.conf。為什么做這樣的改變？可以想見的是vsftp 已有獨(dú)立運(yùn)作的能力，不需要XINETD 來做更進(jìn)一步的管控，并且類似sendmail、httpd、ssh、samba 等，將設(shè)定文件的放入/etc 下獨(dú)立的目錄。FTP 分為兩類，一種為PORT FTP，也就是一般的FTP 另一類是PASVFTP，分述如下： PORT FTP這是一般形式的FTP，首先會建立控制頻道，默認(rèn)值是port 21，也就是跟port 21 建立聯(lián)機(jī)，并透過此聯(lián)機(jī)下達(dá)指令。第二，由FTP server 端會建立數(shù)據(jù)傳輸頻道，默認(rèn)值為20，也就是跟port 20 建立聯(lián)機(jī)，并透過port 20 作數(shù)據(jù)的傳輸。PASV FTP跟PORT FTP 類似，首先會建立控制頻道，默認(rèn)值是port 21，也就是跟port 21 建立聯(lián)機(jī)，并透過此聯(lián)機(jī)下達(dá)指令。第二，會由client 端做出數(shù)據(jù)傳輸?shù)恼埱?，包括?shù)據(jù)傳輸port 的數(shù)字。這兩者的差異為何？PORT FTP 當(dāng)中的數(shù)據(jù)傳輸port 是由FTP server 指定，而PASV FTP 的數(shù)據(jù)傳輸port 是由FTP client 決定。通常我們使用PASV FTP，是在有防火墻的環(huán)境之下，透過client 與server 的溝通，決定數(shù)據(jù)傳輸?shù)膒ort。3.2.2 范例3.2.1. 直接啟動VSFTP 服務(wù)這個(gè)范例是套用RedHat 的預(yù)設(shè)范例,直接啟動vsftp。rootrelay vsftpd# /sbin/service vsftpd startStarting vsftpd for vsftpd: OK 3.2.2. 更換port 提供服務(wù)：將預(yù)設(shè)的port 21 更換為2121為了安全，或是以port 來區(qū)隔不同的ftp 服務(wù)，我們可能會將ftp port 改為21 之外的port，那么，可參考以下步驟。Step1. 修改/etc/vsftpd/vsftpd.conf新增底下一行l(wèi)isten_port=2121Step2. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 3.2.3. 特定使用者peter、john 不得變更目錄使用者的預(yù)設(shè)目錄為/home/username，若是我們不希望使用者在ftp 時(shí)能夠切換到上一層目錄/home，則可參考以下步驟。Step1. 修改/etc/vsftpd/vsftpd.conf將底下三行#chroot_list_enable=YES# (default follows)#chroot_list_file=/etc/vsftpd.chroot_list改為chroot_list_enable=YES# (default follows)chroot_list_file=/etc/vsftpd/chroot_listStep2. 新增一個(gè)檔案: /etc/vsftpd/chroot_list內(nèi)容增加兩行：peterjohnStep3. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 若是peter 欲切換到根目錄以外的目錄，則會出現(xiàn)以下警告：ftp cd /home550 Failed to change directory.3.2.4. 取消anonymous 登入若是讀者的主機(jī)不希望使用者匿名登入，則可參考以下步驟。Step1. 修改/etc/vsftpd/vsftpd.conf將anonymous_enable=YES改為anonymous_enable=NOStep2. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 3.2.5. 安排歡迎話語若是我們希望使用者在登入時(shí)，能夠看到歡迎話語，可能包括對該主機(jī)的說明，或是目錄的介紹，可參考以下步驟。首先確定在/etc/vsftpd/vsftpd.conf 當(dāng)中是否有底下這一行dirmessage_enable=YESRedHat9 的默認(rèn)值是有上面這行的。接著，在各目錄之中，新增名為.message 的檔案，再這邊假設(shè)有一個(gè)使用者test1，且此使用者的根目錄下有個(gè)目錄名為abc，那首先我們在/home/test1之下新增.message，內(nèi)容如下：Hello Welcome to the home directoryThis is for test only.接著，在/home/test1/abc 的目錄下新增.message，內(nèi)容如下：Welcome to abcs directoryThis is subdir.那么，當(dāng)使用者test1 登入時(shí)，會看到以下訊息：230- Hello Welcome to the home directory230-230- This is for test only.230-若是切換到abc 的目錄，則會出現(xiàn)以下訊息：250- Welcome to abcs directory250-250- This is subdir .3.2.6. 對于每一個(gè)聯(lián)機(jī)，以獨(dú)立的process 來運(yùn)作一般啟動vsftp 時(shí)，我們只會看到一個(gè)名為vsftpd 的process 在運(yùn)作，但若是讀者希望每一個(gè)聯(lián)機(jī)，都能以獨(dú)立的process 來呈現(xiàn)，則可執(zhí)行以下步驟。Step1. 修改/etc/vsftpd/vsftpd.conf新增底下一行setproctitle_enable=YESStep2. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 使用ps -ef 的指令，可以看告不同使用者聯(lián)機(jī)的情形，如下圖所示：roothome vsftpd# ps -ef|grep ftproot 2090 1 0 16:41 pts/0 00:00:00 vsftpd: LISTENERnobody 2120 2090 0 17:18 ? 00:00:00 vsftpd: 44:connectedtest1 2122 2120 0 17:18 ? 00:00:00 vsftpd: 44/test1:IDLEnobody 2124 2090 0 17:19 ? 00:00:00 vsftpd: 44:connectedtest2 2126 2124 0 17:19 ? 00:00:00 vsftpd: 44/test2:IDLEroot 2129 1343 0 17:20 pts/0 00:00:00 grep ftproothome vsftpd#3.2.7. 限制傳輸檔案的速度：本機(jī)的使用者最高速度為200KBytes/s，匿名登入者所能使用的最高速度為50KBytes/sStep1. 修改/etc/vsftpd/vsftpd.conf新增底下兩行anon_max_rate=50000local_max_rate=200000Step2. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 在這邊速度的單位為Bytes/s，其中anon_max_rate 所限制的是匿名登入的使用者，而local_max_rate 所限制的是本機(jī)的使用者。VSFTPD 對于速度的限制，范圍大概在80%到120%之間，也就是我們限制最高速度為100KBytes/s，但實(shí)際的速度可能在80KBytes/s 到120KBytes/s 之間，當(dāng)然，若是頻寬不足時(shí)，數(shù)值會低于此限制。3.2.8. 針對不同的使用者限制不同的速度：假設(shè)test1 所能使用的最高速度為250KBytes/s，test2 所能使用的最高速度為500KBytes/s。Step1. 修改/etc/vsftpd/vsftpd.conf新增底下一行user_config_dir=/etc/vsftpd/userconfStep2. 新增一個(gè)目錄：/etc/vsftpd/userconfmkdir /etc/vsftpd/userconfStep3. 在/etc/vsftpd/userconf 之下新增一個(gè)名為test1 的檔案內(nèi)容增加一行：local_max_rate=250000Step4. 在/etc/vsftpd/userconf 之下新增一個(gè)名為test2 的檔案內(nèi)容增加一行：local_max_rate=500000Step5. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 3.2.9-1. 建置一個(gè)防火墻下的ftp server，使用PORT FTP mode：預(yù)設(shè)的ftpport:21 以及ftp data port:20啟動VSFTPD 之后執(zhí)行以下兩行指令，只允許port 21 以及port 20 開放，其它關(guān)閉。iptables -A INPUT -p tcp -m multiport -dport 21,20 -j ACCEPTiptables -A INPUT -p tcp -j REJECT -reject-with tcp-reset3.2.9-2. 建置一個(gè)防火墻下的ftp server，使用PORT FTP mode：ftp port:2121以及ftp data port:2020Step1. 執(zhí)行以下兩行指令，只允許port 2121 以及port 2020 開放，其它關(guān)閉。iptables -A INPUT -p tcp -m multiport -dport 2121,2020 -j ACCEPTiptables -A INPUT -p tcp -j REJECT -reject-with tcp-resetStep2. 修改/etc/vsftpd/vsftpd.conf新增底下兩行l(wèi)isten_port=2121ftp_data_port=2020Step3. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 在這邊要注意，8、9 兩個(gè)例子中，ftp client（如cuteftp）的聯(lián)機(jī)方式不能夠選擇passive mode，否則無法建立數(shù)據(jù)的聯(lián)機(jī)。也就是讀者可以連上ftpserver，但是執(zhí)行l(wèi)s、get 等等的指令時(shí)，便無法運(yùn)作。3.2.10. 建置一個(gè)防火墻下的ftp server，使用PASS FTP mode：ftp port:2121以及ftp data port 從9981 到9986。Step1. 執(zhí)行以下兩行指令，只允許port 2121 以及port 9981-9990 開放，其它關(guān)閉。iptables -A INPUT -p tcp -m multiport -dport2121,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPTiptables -A INPUT -p tcp -j REJECT -reject-with tcp-resetStep2. 修改/etc/vsftpd/vsftpd.conf新增底下四行l(wèi)isten_port=2121pasv_enable=YESpasv_min_port=9981pasv_max_port=9986Step3. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK 在這邊要注意，在10 這個(gè)例子中，ftp client（如cuteftp）的聯(lián)機(jī)方式必須選擇passive mode，否則無法建立數(shù)據(jù)的聯(lián)機(jī)。也就是讀者可以連上ftpserver，但是執(zhí)行l(wèi)s,get 等等的指令時(shí)，便無法運(yùn)作。8.2.11. 將vsftpd 與TCP_wrapper 結(jié)合若是讀者希望直接在/etc/hosts.allow 之中定義允許或是拒絕的來源地址，可執(zhí)行以下步驟。這是簡易的防火墻設(shè)定。Step1. 確定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的設(shè)定為YES，如下圖所示：tcp_wrappers=YES這是RedHat9 的默認(rèn)值，基本上不需修改。Step2. 重新啟動vsftpdroothome vsftpd# /sbin/service vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK Step3. 設(shè)定/etc/hosts.allow，譬如提供 以及 到54 連線，則可做下圖之設(shè)定：vsftpd : 10.1.1. : allowALL : ALL : DENY8.2.12. 將vsftpd 并入XINETD若是讀者希望將vsftpd 并入XINETD 之中，也就是7.x 版的預(yù)設(shè)設(shè)定，那么讀者可以執(zhí)行以下步驟。Step1. 修改/etc/vsftpd/vsftpd.conf將listen=YES改為listen=NOStep2. 新增一個(gè)檔案： /etc/xinetd.d/vsftpd內(nèi)容如下：service vsftpddisable = nosocket_type = streamwait = nouser = rootserver = /usr/sbin/vsftpdport = 21log_on_success += PID HOST DURATIONlog_on_failure += HOSTStep3. 重新啟動xinetdroothome vsftpd# /sbin/service xinetd restartStopping xinetd: OK Starting xinetd: OK 3.2.3 設(shè)定檔說明在范例中，有些省略的設(shè)定可以在這邊找到，譬如聯(lián)機(jī)的總數(shù)、同一個(gè)位址的聯(lián)機(jī)數(shù)、顯示檔案擁有者的名稱等等，希望讀者細(xì)讀后，可以做出最適合自己的設(shè)定。格式vsftpd.conf 的內(nèi)容非常單純，每一行即為一項(xiàng)設(shè)定。若是空白行或是開頭為#的一行，將會被忽略。內(nèi)容的格式只有一種，如下所示option=value要注意的是，等號兩邊不能加空白，不然是不正確的設(shè)定。ascii 設(shè)定ascii_download_enable管控是否可用ASCII 模式下載。默認(rèn)值為NO。ascii_upload_enable管控是否可用ASCII 模式上傳。默認(rèn)值為NO。個(gè)別使用者設(shè)定chroot_list_enable如果啟動這項(xiàng)功能，則所有的本機(jī)使用者登入均可進(jìn)到根目錄之外的數(shù)據(jù)夾，除了列在/etc/vsftpd.chroot_list 之中的使用者之外。默認(rèn)值為NO。userlist_enable用法：YES/NO若是啟動此功能，則會讀取/etc/vsftpd.user_list 當(dāng)中的使用者名稱。此項(xiàng)功能可以在詢問密碼前就出現(xiàn)失敗訊息，而不需要檢驗(yàn)密碼的程序。默認(rèn)值為關(guān)閉。userlist_deny用法：YES/NO這個(gè)選項(xiàng)只有在userlist_enable 啟動時(shí)才會被檢驗(yàn)。如果將這個(gè)選項(xiàng)設(shè)為YES，則在/etc/vsftpd.user_list 中的使用者將無法登入 若設(shè)為NO ， 則只有在/etc/vsftpd.user_list 中的使用者才能登入。而且此項(xiàng)功能可以在詢問密碼前就出現(xiàn)錯(cuò)誤訊息，而不需要檢驗(yàn)密碼的程序。user_config_dir定義個(gè)別使用者設(shè)定文件所在的目錄，例如定義user_config_dir=/etc/vsftpd/userconf，且主機(jī)上有使用者test1,test2，那我們可以在user_config_dir 的目錄新增文件名為test1 以及test2。若是test1 登入，則會讀取user_config_dir 下的test1 這個(gè)檔案內(nèi)的設(shè)定。默認(rèn)值為無。歡迎語設(shè)定dirmessage_enable如果啟動這個(gè)選項(xiàng)，使用者第一次進(jìn)入一個(gè)目錄時(shí)，會檢查該目錄下是否有.message這個(gè)檔案，若是有，則會出現(xiàn)此檔案的內(nèi)容，通常這個(gè)檔案會放置歡迎話語，或是對該目錄的說明。默認(rèn)值為開啟。banner_file當(dāng)使用者登入時(shí)，會顯示此設(shè)定所在的檔案內(nèi)容，通常為歡迎話語或是說明。默認(rèn)值為無。ftpd_banner這邊可定義歡迎話語的字符串，相較于banner_file 是檔案的形式，而ftpd_banner 是字串的格式。預(yù)設(shè)為無。特殊安全設(shè)定chroot_local_user如果設(shè)定為YES，那么所有的本機(jī)的使用者都可以切換到根目錄以外的數(shù)據(jù)夾。預(yù)設(shè)值為NO。hide_ids如果啟動這項(xiàng)功能，所有檔案的擁有者與群組都為ftp，也就是使用者登入使用ls -al之類的指令，所看到的檔案擁有者跟群組均為ftp。默認(rèn)值為關(guān)閉。ls_recurse_enable若是啟動此功能，則允許登入者使用ls -R 這個(gè)指令。默認(rèn)值為NO。write_enable用法：YES/NO這個(gè)選項(xiàng)可以控制FTP 的指令是否允許更改file system，譬如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。預(yù)設(shè)是關(guān)閉。setproctitle_enable用法：YES/NO啟動這項(xiàng)功能，vsftpd 會將所有聯(lián)機(jī)的狀況已不同的process 呈現(xiàn)出來，換句話說，使用ps -ef 這類的指令就可以看到聯(lián)機(jī)的狀態(tài)。默認(rèn)值為關(guān)閉。tcp_wrappers用法：YES/NO如果啟動，則會將vsftpd 與tcp wrapper 結(jié)合，也就是可以在/etc/hosts.allow 與/etc/hosts.deny 中定義可聯(lián)機(jī)或是拒絕的來源地址。pam_servi