Red Hat Enterprise Linux AS4.0教改——第11章 FTP 服務(wù)

第十一章FTP服務(wù),RedHatEnterpriseLinuxAS4.0教改課件,內(nèi)容導(dǎo)向,教學(xué)目的與要求：,通過本節(jié)課的學(xué)習(xí)，您應(yīng)會(huì)：掌握FTP服務(wù)器的配置和客戶端的操作熟悉FTP的工作體系了解FTP服務(wù)器作用和傳輸模式,重點(diǎn)：vsftpd服務(wù)器配置重點(diǎn)：掌握如何使用vsftpd軟件包架設(shè)FTP服務(wù)器。關(guān)鍵詞：上傳下載,11-1FTP的基本概念,1.FTPFTP(文件傳輸協(xié)議)是TCP/IP協(xié)議棧所提供的一種子協(xié)議，定義了一個(gè)遠(yuǎn)程計(jì)算機(jī)系統(tǒng)和本地計(jì)算機(jī)系統(tǒng)之間傳輸文件的一個(gè)標(biāo)準(zhǔn)。FTP的作用是唯一的，僅僅是用來傳輸文件；根據(jù)服務(wù)的對(duì)像不同，可是分為：匿名服務(wù)器、與系統(tǒng)FTP服務(wù)器；,2.FTP的工作體系服務(wù)器與客戶機(jī)之間利用TCP的21號(hào)端口建立控制連接；利用20號(hào)端口建立數(shù)據(jù)連接；具體工作過程如下：客戶機(jī)啟動(dòng)客戶端程序，請(qǐng)求建立服務(wù)器的連接服務(wù)器對(duì)客戶機(jī)進(jìn)行身份驗(yàn)證進(jìn)行相應(yīng)目錄操作和數(shù)據(jù)傳輸斷開連接,3.FTP的數(shù)據(jù)傳輸模式主動(dòng)傳輸模式:在這種模式下，服務(wù)器向客戶端發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接，客戶端的連接端口是由服務(wù)器和客戶端通過協(xié)商通過的被動(dòng)傳輸模式:在這種模式下，客戶端向服務(wù)器發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接，客戶端的連接端口是發(fā)起這個(gè)數(shù)據(jù)連請(qǐng)求時(shí)使用的端口號(hào),FTP基本原理,FTP文件傳輸協(xié)議,4.Linux下常見的FTP軟件Vsftpd（相當(dāng)于WIN下的IIS）Proftp（相當(dāng)于Serv-U）Wu-ftp注：RedHatEnterpriseLinuxAS4.0自帶的FTP服務(wù)器程序?yàn)閂sftpd；（特點(diǎn)：安全、高速、穩(wěn)定）,返回首頁,假設(shè)你是一個(gè)機(jī)房的管理人員，打算利用LINUX系統(tǒng)做一臺(tái)FTP服務(wù)器，為每個(gè)班的同學(xué)上傳文件來使用，也可以以班級(jí)為用戶名來進(jìn)行創(chuàng)建,如果想成為一個(gè)合格的機(jī)房管理員,FTP服務(wù)器要會(huì)熟練的進(jìn)行設(shè)置,在FTP服務(wù)中的設(shè)置中最主要的是用戶權(quán)限的設(shè)置,根據(jù)以下要求配置ftp服務(wù)器,具體要求如下:,給出案例,允許匿名用戶登錄和本地用戶登錄禁止匿名用戶上傳允許本地用戶上傳和下載,且鎖定本地用戶主目錄,允許用戶刪除用戶主目錄的文件建立用戶組ftpusers,同時(shí)建立用戶ftp1,ftp2屬于ftpusers組,并設(shè)置用戶的主目錄為/soft設(shè)置/soft目錄允許ftpusers組中的用戶可以寫入,但不能刪除目錄中的非自己擁有的文件本地用戶的文件生成掩碼為022,案例一,空閑的會(huì)話時(shí)間為600秒,空閑數(shù)據(jù)連接時(shí)間為60秒,自動(dòng)中斷時(shí)間為30秒,自動(dòng)激活時(shí)間為10秒本地用戶的最大傳輸速率為50000b/s,匿名用戶的最大傳輸速率為30000b/s客戶端的連接端口為5000-6000（被動(dòng)模式中使用）使用獨(dú)占啟動(dòng)方式,偵聽接口的21號(hào)端口禁止28主機(jī)訪問FTP服務(wù)器并發(fā)連接的客戶數(shù)為300,每臺(tái)客戶機(jī)的最大連接為5,11-2FTP服務(wù)器配置,1安裝FTP服務(wù)的相關(guān)軟件裝載第三張安裝盤vsftpd#用于創(chuàng)建一個(gè)安全的FTP服務(wù)器；檢查是否安裝：#rpmqa|grepvsftpd,與案例有關(guān)的內(nèi)容分析,匿名FTP服務(wù)器目錄是/var/ftp，匿名下載目錄為/var/ftp/pub;,相關(guān)文件：/etc/vsftpd/vsftpd.conf/主配置文件/etc/vsftpd.ftpusers/指定哪些用戶不能訪問FTP服務(wù)器/etc/vsftpd.user_list/文件中指定的用戶是否可以訪問ftp服務(wù)器由vsftpd.conf文件中的userlist_deny的取值來決定。(userlist_deny=yes時(shí)不能訪問FTP服務(wù)器；userlist_deny=no時(shí)，僅僅允許/etc/vsftpd.user_list中指定的用戶訪問FTP服務(wù)器),/etc/vsftpd.ftpusers設(shè)置不允許登錄的用戶名單,/etc/vsftpd.user_list設(shè)置方法同于/etc/vsftpd.ftpusers，根據(jù)vsftpd.conf中userlist_deny的值決定這個(gè)文件的意義,2修改/etc/vsftpd/vsftpd.conf#vi/etc/vsftpd/vsftpd.conf功能：設(shè)置服務(wù)器相關(guān)選項(xiàng)文件格式：#說明語句配置選項(xiàng),默認(rèn)配置:anonymous_enable=YES/允許匿名用戶登錄local_enable=YES/允許本地用戶登錄write_enable=YES/允許本地用戶上傳guest_enable=yes/no/是否允許虛擬用戶登錄；注：虛擬用戶只能登錄FTP服務(wù)器，都對(duì)應(yīng)著一個(gè)本地用戶；,local_mask=022/設(shè)置本地用戶的文件生成掩碼為022,默認(rèn)值為077dirmessage_enable=YES/設(shè)置切換到目錄時(shí)顯示.message隱含文件的內(nèi)容xferlog_enable=YES/激活上傳和下載日志,connect_from_port_20=YES/啟用FTP數(shù)據(jù)端口連接pam_service_name=vsftpd/設(shè)置PAM認(rèn)證服務(wù)的配置文件名稱,該文件存放在/etc/pam.d目錄下userlist_enable=YES/允許vsftpd.user_list文件中的用戶訪問服務(wù)器,userlist_deny=YES/拒絕vsftpd.user_list文件中的用戶訪問服務(wù)器listen=YES/是否使用獨(dú)占啟動(dòng)方式tcp_wrappers=YES/使用tcp_wrappers作為主機(jī)訪問控制方式,默認(rèn)配置文件功能說明：（1）允許匿名用戶登錄/var/ftp，但不能離開主目錄（2）允許本地用戶登錄，且可離開主目錄（3）匿名用戶只能下載，不能上傳,（4）本地用戶允許上傳/下載（5）寫在文件/etc/vsftpd.ftpusers中的本地用戶禁止登錄（6）服務(wù)器使用獨(dú)占方式啟動(dòng)，且無限制連接數(shù),4.啟動(dòng)服務(wù)#servicevsftpdstart,11-3FTP客戶端的操作,1.linux客戶端(1)ftp#ftp服務(wù)器IP地址/名稱ftpftp子命令說明:常用的ftp子命令有以下幾種?|help/顯示ftp內(nèi)部命令的幫助信息,!命令/在本機(jī)中執(zhí)行shell命令后回到ftp環(huán)境中l(wèi)cddir/將本地工作目錄切到dirclose/中斷與遠(yuǎn)程服務(wù)器的FTP會(huì)話,asc/使用ascii類型傳輸方式bin/使用二進(jìn)制文件傳輸方式cddir-name/進(jìn)入遠(yuǎn)程主機(jī)目錄pwd/顯示遠(yuǎn)程主機(jī)的當(dāng)前工作目錄,mkdirdir-name/在遠(yuǎn)程主機(jī)中建立目錄lsdir-name/file-name/顯示遠(yuǎn)程目錄中的內(nèi)容get遠(yuǎn)程文件名本地文件名/下載遠(yuǎn)程主機(jī)的文件mget文件名文件名(或者是目錄名)/下載遠(yuǎn)程主機(jī)上的多個(gè)文件,put本地文件/將本地文件傳送到遠(yuǎn)程FTP服務(wù)器mput本地文件本地文件/將多個(gè)本地文件傳送到遠(yuǎn)程FTP服務(wù)器rename舊文件名新文件名/更改遠(yuǎn)程主機(jī)文件名delete文件名/刪除遠(yuǎn)程主機(jī)中的指定文件,mdelete文件名/刪除遠(yuǎn)程FTP服務(wù)器中的多個(gè)文件rmdirdir-name/刪除遠(yuǎn)程FTP服務(wù)器中的指定目錄quit/bye/退出FTP會(huì)話,2.Windows客戶端方法一：IE方法二：c:/ftp方法三：第三方軟件：CuteFTP注：所訪問的目錄為用戶的主目錄（可以修改）,分組操作點(diǎn)評(píng)、操作演示：.,返回首頁,假設(shè)你是一個(gè)網(wǎng)絡(luò)管理員，以往你們公司的服務(wù)器是用WINDOWS系統(tǒng)做的，而你對(duì)LINUX系統(tǒng)的操作卻非常的熟練，你現(xiàn)在打算把服務(wù)器的系統(tǒng)改為L(zhǎng)INUX，其中服務(wù)中有一個(gè)服務(wù)FTP服務(wù)尤其重要，它作為一臺(tái)文件服務(wù)器應(yīng)用是非常的廣范，你重做服務(wù)器后第一項(xiàng)工作就是利用vsftpd配置一臺(tái)支持匿名用戶和本地用戶登錄為公司里的員工所使用，若給你以下方案，你該如何去實(shí)現(xiàn):,案例二,支持本地用戶和虛擬用戶登錄,不允許匿名用戶登錄允許本地用戶任意寫入鎖定本地用戶的用戶主目錄建立虛擬用戶vftp1,vftp2都對(duì)應(yīng)本地用戶guest,且虛擬用戶在用戶主目錄中可以寫入,但不能刪除設(shè)置客戶端連接時(shí)的端口為5000-6000最大空閑會(huì)話時(shí)間長(zhǎng)度為600秒,設(shè)置空閑數(shù)據(jù)連接的中斷時(shí)間為200秒設(shè)置客戶端空閑時(shí)的自動(dòng)中斷時(shí)間為100秒和激活連接的時(shí)間為30秒本地用戶的最大傳輸速率為2MB/s使用獨(dú)占啟動(dòng)方式,偵聽接口的21號(hào)端口設(shè)置服務(wù)器的并發(fā)連接總數(shù)為200每個(gè)客戶機(jī)的并發(fā)連接總量為5允許/24網(wǎng)段內(nèi)的主機(jī)訪問,11-4vsftpd高級(jí)配置,啟用ASCII傳輸方式（把兩項(xiàng)前的#號(hào)去掉即可）ascii_upload_enble=yesascii_download_enble=yes2.設(shè)置連接服務(wù)器后的歡迎信息ftpd_banner=welcometoftpservice.banner_file=/var/vsftpd_banner_file,與案例有關(guān)的內(nèi)容分析,數(shù)據(jù)模式：1、pasv_enable=yes/no/是否允許被動(dòng)模式傳輸；（默認(rèn)yes,端口為20）2、port_enable=yes/no/是否允許主動(dòng)模式傳輸；(默認(rèn)yes),3.配置基本的性能和安全選項(xiàng)idle_session_timeout=60/限制遠(yuǎn)程的客戶機(jī)連接后，所建立的控制連接，在多長(zhǎng)時(shí)間沒有做任何的操作就會(huì)中斷（秒）data_connection_timeout=120/設(shè)置客戶機(jī)在進(jìn)行數(shù)據(jù)傳輸時(shí)，/設(shè)置空閑的數(shù)據(jù)中斷時(shí)間accept_timeout=60/設(shè)置在多長(zhǎng)時(shí)間后自動(dòng)建立連接connect_timeout=60/設(shè)置數(shù)據(jù)連接的最大激活時(shí)間，多長(zhǎng)時(shí)間斷開，為別人所使用；,max_clients=200/指明服務(wù)器總的客戶并發(fā)連接數(shù)為200max_per_ip=3/指明每個(gè)客戶機(jī)的最大連接數(shù)為3local_max_rate=50000（50kbytes/sec）anon_max_rate=30000/設(shè)置本地用戶和匿名用戶的最大傳輸速率限制pasv_min_port=端口和pasv-max-prot=端口號(hào)；/定義最大與最小端口，為0表示任意端口；為客戶端連接指明端口；listen_address=IP地址/設(shè)置ftp服務(wù)來監(jiān)聽的地址，客戶端可以用哪個(gè)地址來連接；listen_port=端口號(hào)/設(shè)置FTP工作的端口號(hào)，默認(rèn)的為21,4.設(shè)置本地用戶能否chroot：用戶登錄后能否切換到自家目錄以外的目錄；設(shè)置所有的本地用戶可以chrootchroot_local_user=YES設(shè)置指定用戶能夠chrootchroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd.chroot_list（只有/etc/vsftpd.chroot_list中的指定的用戶才能執(zhí)行）,local_root=path/無論哪個(gè)用戶都能登錄的用戶，定義登錄帳號(hào)的主目錄,若沒有指定，則每一個(gè)用戶則進(jìn)入到個(gè)人用戶主目錄；chroot_local_user=yes/no/是否鎖定本地系統(tǒng)帳號(hào)用戶主目錄（所有）；鎖定后，用戶只能訪問用戶的主目錄/home/user,不能利用cd命令向上轉(zhuǎn)；只能向下；chroot_list_enable=yes/no/鎖定指定文件中用戶的主目錄（部分）,文件：/chroot_list_file=path中指定；,5.配置基于本地用戶的訪問控制限制指定的本地用戶不能訪問，其他本地用戶可訪問userlist_enable=YES/NO/是否加載用戶列表文件；userlist_deny=YES/表示上面所加載的用戶是否允許拒絕登錄；userlist_file=/etc/vsftpd.user_list/列表文件（使文件/etc/vsftpd.user_list中指定的本地用戶不能訪問，而其它的本地用戶可以訪問；）,6.匿名用戶的設(shè)置anon_upload_enable=yes/no/設(shè)置是否允許匿名用戶上傳文件；注：虛擬用戶也被看作匿名用戶，也必須用這項(xiàng)進(jìn)行管理；anon_mkdir_write_enabel=yes/no/是否允許匿名用戶在登錄的目錄下進(jìn)行創(chuàng)建文件；anon_other_write_enabe=yes/no/是否允許匿名用戶進(jìn)行其它的操作，如：刪除等；,7、配置基于主機(jī)的訪問控制；設(shè)置hosts.allow文件#vi/etc/hosts.allowvsftpd:28:DENY說明:vsftpd在獨(dú)占啟動(dòng)方式下支持tcp_wrappers主機(jī)訪問控制方式,tcp_wrappers的主要配置文件是/etc/hosts.allow（允許）和/etc/hosts.deny（不允許）,它們的格式都是:守護(hù)進(jìn)程名:主機(jī)表:ALLOW/DENY或守護(hù)進(jìn)程名：主機(jī)表,8、#cp/usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd/etc/xinetd.d/vsftpd#vi/etc/xinetd.d/vsftpd修改：disable=no添加配置訪問的時(shí)間限制（注：與vsftpd.conf中l(wèi)isten=NO相對(duì)應(yīng)）access_time=hour:min-hour:min例如：access_times=8:30-11:3013:00-18:00表示只在這個(gè)時(shí)間段才能訪問的；,添加：只允許指定的主機(jī)訪問only_from如：only_from只允許該網(wǎng)段內(nèi)的主機(jī)訪問：指定不能訪問的主機(jī)no_access,注:啟動(dòng)日志/var/log/message可以讓多個(gè)用戶去訪問同一個(gè)目錄,利用目錄的權(quán)限的粘著位,來設(shè)置每個(gè)用戶都只能刪除自己的文件;,分組操作點(diǎn)評(píng)、操作演示：.,返回首頁,歸納與總結(jié),通過本節(jié)課學(xué)習(xí)我們要掌握以下內(nèi)容：FTP的工作體系FTP服務(wù)器作用和傳輸模式FTP服務(wù)器的配置客戶端的操作,利用VSFTPD配置一臺(tái)支持本地用戶和虛擬用戶登錄的FTP服務(wù)器,具體要求如下:允許匿名用戶登錄和本地用戶登錄禁