第三部分：網(wǎng)絡(luò)與安全管理

第三部分：網(wǎng)絡(luò)與安全管理第廿二章：FTP服務(wù)器本章目標(biāo)了解FTP服務(wù)的基本概念了解常用的FTP服務(wù)器和FTP客戶端軟件掌握vsftpd服務(wù)器的配置和管理掌握使用ftp命令對FTP服務(wù)器進(jìn)行測試Page2/37FTP服務(wù)器及基本原理FTP服務(wù)的基本概念

FTP:FileTransferProtocol

FTP是用于進(jìn)行文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議 FTP服務(wù)中分為服務(wù)器和客戶機(jī)兩個角色FTP服務(wù)器的傳輸模式 主動模式（PORT）：由服務(wù)器主動連接客戶機(jī)建立數(shù)據(jù)鏈路 被動模式（PASV）：FTP服務(wù)器等待客戶機(jī)建立數(shù)據(jù)鏈路 被動模式被防火墻認(rèn)為不安全，因為會打開高數(shù)字的端口。

FTP服務(wù)器使用的端口 21端口用于與客戶機(jī)建立命令鏈路 在主動模式下服務(wù)器使用20端口向客戶機(jī)建立數(shù)據(jù)鏈路主動連接模式Page4/371：FTP客戶機(jī)由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機(jī)的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器由20端口向FTP客戶機(jī)的N+1端口主動建立數(shù)據(jù)鏈路連接4：FTP客戶機(jī)由N+1端口向FTP服務(wù)器的20端口回應(yīng)，確認(rèn)數(shù)據(jù)鏈路的建立被動連接模式Page5/371：FTP客戶機(jī)由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機(jī)的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器會通過已建立的數(shù)據(jù)鏈路通知客戶機(jī)自己已經(jīng)打開了大于1024的端口M，用于建路數(shù)據(jù)鏈路；當(dāng)需要傳輸數(shù)據(jù)時，F(xiàn)TP客戶機(jī)會通過N+1端口向FTP服務(wù)器的M端口請求建立數(shù)據(jù)鏈路4：FTP服務(wù)器在M端口監(jiān)聽到FTP客戶機(jī)的連接請求后，將從M端口向FTP客戶機(jī)的N+1端口確認(rèn)數(shù)據(jù)鏈路的建立常用FTP服務(wù)器軟件Windows下常用的FTP服務(wù)器軟件 IIS具有FTP服務(wù)器的功能 Serv-U是流行的FTP服務(wù)器軟件Linux下的FTP服務(wù)器 Wu-ftpd出現(xiàn)較早，運(yùn)行穩(wěn)定，安全性稍差 Proftpd在配置文件和安全性方面有很大改進(jìn) vsftpd著重強(qiáng)調(diào)服務(wù)的安全性，運(yùn)行效率也很高vsftpd服務(wù)器是本章學(xué)習(xí)的重點(diǎn)ftp命令（FTP客戶端）ftp命令是最基本的FTP客戶端軟件： 在Linux和Windows系統(tǒng)中都默認(rèn)提供ftp命令 ftp命令的交互環(huán)境中使用命令對FTP服務(wù)器進(jìn)行操作 ftp中很多命令與Bash中的命令類似 binary設(shè)置傳輸二進(jìn)制文件，ascii設(shè)置傳輸文本文件 get命令用于下載文件，put命令用于上傳文件 mget和mput用于一次下載或上傳多個文件 bye命令可退出ftp命令交互環(huán)境FTP客戶端軟件FTP客戶端軟件的特點(diǎn)： 運(yùn)行在圖形環(huán)境下的窗口程序 可使用鼠標(biāo)和通過菜單進(jìn)行操作 用戶界面友好，操作方便常用FTP客戶端軟件： CuteFTP是Windows下流行的商業(yè)軟件 Filezilla是Windows下運(yùn)行的開源軟件 gftp是Linux中GNOME桌面環(huán)境中的FTP客戶端軟件檢查vsftpd的安裝使用如下命令檢查vsftpd服務(wù)的安裝： #rpm-qa|grep“vsftpd" 返回“vsftpd-2.0.1-5”表示已安裝安裝vsftpd服務(wù)：

#rpm-ivhvsftpd-2.0.1-5.i386.rpm查看vsftpd軟件包中的內(nèi)容：

#rpm-qilvsftpd-2.0.1-5啟動和關(guān)閉啟動腳本名稱是vsftpd /etc/rc.d/init.d/vsftpdvsftpd服務(wù)需要設(shè)置在運(yùn)行級別3和5自動啟動 #chkconfig--level35vsftpdon服務(wù)器啟動 #servicevsftpdstart服務(wù)器停止 #servicevsftpdstop服務(wù)器狀態(tài)查詢 #servicevsftpdstatusvsftpd服務(wù)一覽后臺進(jìn)程： vsftpd類型： SystemV服務(wù)使用端口： 20(ftp-data)，21(ftp)配置文件： /etc/vsftpd/vsftpd.conf /etc/vsftpd.ftpusers /etc/pam.d/vsftpd日志文件： /var/log/vsftpd.logvsftpd.conf配置文件vsftpd.conf是vsftpd服務(wù)器的主配置文件 /etc/vsftpd/vsftpd.conf配置文件中所有的配置項都有相同的格式

例如：anonymous_enable=YES配置文件中的注釋行以“#”開始配置文件的詳細(xì)幫助信息可查詢手冊頁 #man5

vsftpd.confvsftpd服務(wù)器缺省配置（一）vsftpd.conf文件中的缺省配置為： anonymous_enable=YES #是否允許匿名訪問 local_enable=YES #是否允許本地/系統(tǒng)用戶訪問 write_enable=YES #是否開放對本地用戶的寫權(quán)限 local_umask=022 #本地用戶的文件生成掩碼 dirmessage_enable=YES

#是否在切換目錄時顯示其下的.message文件內(nèi)容 xferlog_enable=YES

#是否啟用上傳和下載日志vsftpd服務(wù)器缺省配置（二）vsftpd.conf文件中的缺省配置為： connect_from_port_20=YES #是否啟用FTP數(shù)據(jù)端口20的連接請求 xferlog_std_format=YES #是否使用標(biāo)準(zhǔn)的ftpdxferlog日志格式 pam_service_name=vsftpd #設(shè)置PAM認(rèn)證服務(wù)的配置文件名稱 userlist_enable=YES #是否檢查userlist_file設(shè)置文件中指定的用戶是否訪問vsftpd服務(wù)器 listen=YES #是否處于獨(dú)立啟動模式 tcp_wrappers=YES #是否使用tcp_wrappers作為主機(jī)訪問控制方式注意：配置文件中沒有出現(xiàn)的配置項，將使用默認(rèn)配置。并于配置項的默認(rèn)配置請使用：#man5vsftpd.conf進(jìn)行查看vsftpd.ftpusers文件/etc/vsftpd.ftpusers用于保存不允許進(jìn)行FTP登錄的本地用戶帳號文件內(nèi)容： #Usersthatarenotallowedtologinviaftp root bin daemon adm …/etc/vsftpd.ftpusers文件中可禁止高權(quán)限本地用戶登錄FTP服務(wù)器，提高了系統(tǒng)的安全性vsftpd.user_list文件vsftpd.user_list文件具有對vsftpd服務(wù)器更靈活的用戶訪問控制 /etc/vsftpd.user_list使用vsftpd.user_list文件需要在主配置文件中進(jìn)行設(shè)置設(shè)置禁止vsftpd.user_list文件中的用戶登錄 userlist_enable=YES userlist_deny=YES設(shè)置只允許vsftpd.user_list文件中的用戶登錄 userlist_enable=YES userlist_deny=NO匿名用戶登錄vsftpd服務(wù)器提供匿名用戶登錄的功能

anonymous_enable=YES匿名用戶使用的登錄用戶名: anonymous ftp匿名FTP用戶登錄的口令通常是使用用戶的E-mail地址，在vsftpd中輸入任何字符串或直接回車都可以登錄所有匿名用戶都登錄到相同的目錄中 /var/ftpFTP服務(wù)器的匿名登錄可用于構(gòu)建公共的文件下載服務(wù)器不建議公司的FTP文件服務(wù)器提供互聯(lián)網(wǎng)匿名用戶登錄服務(wù)。使用ftp命令登錄FTP服務(wù)器ftp命令登錄FTP服務(wù)器的格式 #ftp匿名登錄 使用用戶名anonymous或ftp 登錄的FTP根目錄為系統(tǒng)目錄“/var/ftp”本地用戶登錄 使用系統(tǒng)用戶帳號和口令登錄ftp服務(wù)器 登錄后進(jìn)入用戶宿主目錄，用戶可轉(zhuǎn)換到其他目錄FTP本地用戶帳號的問題使用FTP本地用戶帳號存在安全性問題（可轉(zhuǎn)換目錄）FTP本地用戶使用Linux系統(tǒng)用戶帳號，存在安全隱患使用虛擬帳號替代本地用戶帳號可以增強(qiáng)系統(tǒng)的安全性本地用戶登錄FTP目錄后可從宿主目錄轉(zhuǎn)換到其他目錄，不是很安全可以設(shè)置將本地用戶禁錮在宿主目錄中設(shè)置使用FTP的本地用戶無法登陸服務(wù)器

方法：使用/sbin/nologin的shell設(shè)置將FTP本地用戶禁錮在宿主目錄中在vsftpd.conf文件中添加設(shè)置項： chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd/vsftpd.chroot_list 列表文件中放置被禁錮的用戶重新啟動vsftpd服務(wù) #servicevsftpdrestart使用ftp客戶端驗證是否成功本地用戶登錄FTP服務(wù)器后，宿主目錄（/etc/passwd文件中設(shè)置的用戶目錄，并非用戶家目錄）將作為根（/）目錄vsftpd中支持的用戶類型匿名用戶：使用公共的用戶帳號進(jìn)行登錄，通常用于提供公共文件下載服務(wù)本地用戶：使用Linux系統(tǒng)用戶帳號登錄，每個用戶都使用各自的宿主目錄虛擬用戶：使用獨(dú)立的文件保存虛擬帳號，安全性較好，可替代本地用戶vsftpd虛擬用戶帳號的設(shè)置步驟建立虛擬用戶口令庫文件生成vsftpd的認(rèn)證文件建立虛擬用戶所需的PAM配置文件建立虛擬用戶所要訪問的目錄并設(shè)置相應(yīng)權(quán)限設(shè)置vsftpd.conf配置文件vsftpd虛擬用戶配置（一）建立虛擬用戶口令庫文件，如:/etc/logins.txt口令庫文件中奇數(shù)行設(shè)置用戶名，偶數(shù)行設(shè)置口令： #catlogins.txt mike pwabcd john pw1234生成vsftpd的認(rèn)證文件 使用db_load命令生成認(rèn)證文件 #db_load-T-thash-f/etc/logins.txt/etc/vsftpd/vsftpd_login.db “db_load”由db4-utils-4.2.52-7.1軟件包安裝設(shè)置認(rèn)證文件只對所有者可讀可寫 #chmod600/etc/vsftpd/vsftpd_login.db

vsftpd虛擬用戶配置（二）建立虛擬用戶所需的PAM配置文件修改文件/etc/pam.d/vsftpd文件，內(nèi)容如下：authrequired/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_loginaccountrequired/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login建立虛擬用戶及要訪問的目錄并設(shè)置相應(yīng)的權(quán)限

建立所有虛擬用戶帳號使用的系統(tǒng)用戶帳號并設(shè)置宿主目錄的權(quán)限 #useradd-d/home/ftpsitevirtual #chmod700/home/ftpsite/vsftpd虛擬用戶配置（三）設(shè)置vsftpd.conf配置文件 在配置文件中添加虛擬用戶的配置內(nèi)容： guest_enable=YES guest_username=virtual pam_service_name=vsftpd重新啟動vsftpd服務(wù)程序 對vsftpd.conf文件修改后需要重新啟動vsftpd服務(wù)程序 #servicevsftpdrestart對虛擬用戶設(shè)置不同的權(quán)限為了系統(tǒng)的安全，缺省配置的虛擬用戶只具有較低權(quán)限（可以下載文件但無法上傳）可通過為虛擬用戶建立獨(dú)立的配置文件增設(shè)用戶的權(quán)限設(shè)置主配置文件： 在vsftpd.conf文件中添加用戶配置文件目錄設(shè)置 user_config_dir=/etc/vsftpd/vsftpd_user_conf建立用戶配置文件目錄 #mkdir/etc/vsftpd/vsftpd_user_conf為虛擬用戶建立單獨(dú)的配置文件 用戶配置文件名稱與用戶名相同，如： /etc/vsftpd/vsftpd_user_conf/user1 /etc/vsftpd/vsftpd_user_conf/user2虛擬用戶配置文件中的配置