第9章FTP服務(wù)器配置與安全管理

第9章FTP服務(wù)器配置與安全管理9.1FTP服務(wù)概述 1．FTP協(xié)議簡(jiǎn)介互聯(lián)網(wǎng)文件傳輸協(xié)議（FTP）標(biāo)準(zhǔn)是在RFC959中說(shuō)明的。該協(xié)議定義了一個(gè)在遠(yuǎn)程計(jì)算機(jī)系統(tǒng)和本地計(jì)算機(jī)系統(tǒng)之間傳輸文件的標(biāo)準(zhǔn)。FTP是TCP/IP的一種具體應(yīng)用，其工作在OSI模型的第七層，TCP模型的第四層上，即應(yīng)用層。使用TCP傳輸而不是UDP，這樣FTP客戶在和服務(wù)器建立連接前就要經(jīng)過(guò)“三次握手”的過(guò)程，它的意義在于客戶與服務(wù)器之間的連接是可靠的，而且是面向連接，為數(shù)據(jù)的傳輸提供了可靠的保證，用戶不必?fù)?dān)心數(shù)據(jù)傳輸?shù)目煽啃?。FTP主要有如下作用：

從客戶向服務(wù)器發(fā)送一個(gè)文件；

從服務(wù)器向客戶發(fā)送一個(gè)文件；

從服務(wù)器向客戶發(fā)送文件或目錄列表。9.1FTP服務(wù)概述FTP服務(wù)需要使用兩個(gè)端口：一個(gè)是控制連接端口（默認(rèn)是21號(hào)端口），專用于在客戶機(jī)與服務(wù)器之間傳遞指令；另一個(gè)是數(shù)據(jù)傳輸端口（端口號(hào)的選擇依賴于控制連接上的命令），專用于在客戶機(jī)與服務(wù)器之間建立數(shù)據(jù)傳輸通道，上傳下載數(shù)據(jù)。FTP的連接模式有兩種：主動(dòng)模式和被動(dòng)模式，這里都是相對(duì)于服務(wù)器而言的。圖9-1主動(dòng)模式的連接過(guò)程圖9-2被動(dòng)模式的連接過(guò)程9.1FTP服務(wù)概述 3．FTP的常用命令表9-1FTP常用命令說(shuō)明命

令說(shuō)

明ascii設(shè)定以ASCII方式傳送文件（缺省值）binary設(shè)定以二進(jìn)制方式傳送文件cd改變當(dāng)前遠(yuǎn)端主機(jī)的工作目錄,缺省轉(zhuǎn)到當(dāng)前用戶的HOME目錄cdup或cd..將當(dāng)前遠(yuǎn)端主機(jī)的工作目錄切換到上一級(jí)父目錄chmod改變遠(yuǎn)端主機(jī)的文件權(quán)限close終止遠(yuǎn)端的FTP進(jìn)程,返回到FTP命令狀態(tài)delete刪除遠(yuǎn)端主機(jī)中的文件get[remote-file][local-file]或：recvremote-file[local-file]從遠(yuǎn)端主機(jī)中的文件傳送至本地主機(jī)中l(wèi)cd改變當(dāng)前本地主機(jī)的工作目錄，缺省轉(zhuǎn)到當(dāng)前用戶的HOME目錄ls[remote-directory][local-file]或：dir[remote-directory][local-file]列出當(dāng)前遠(yuǎn)端主機(jī)目錄中的文件，并將結(jié)果寫至本地文件mdelete[remote-files]刪除一批文件9.1FTP服務(wù)概述 3．FTP的常用命令續(xù)表命

令說(shuō)

明mget[remote-files]從遠(yuǎn)端主機(jī)接收一批文件至本地主機(jī)mkdirdirectory-name在遠(yuǎn)端主機(jī)中建立目錄mputlocal-files將本地主機(jī)中一批文件傳送至遠(yuǎn)端主機(jī)openhost[port]重新建立一個(gè)新的連接prompt打開/關(guān)閉交互提示模式putlocal-file[remote-file]或：sendlocal-file[remote-file]將本地一個(gè)文件傳送至遠(yuǎn)端主機(jī)中pwd列出當(dāng)前遠(yuǎn)端主機(jī)的工作目錄quit或bye終止主機(jī)FTP進(jìn)程，并退出FTP管理方式rename[from][to]改變遠(yuǎn)端主機(jī)中的文件名rmdirdirectory-name刪除遠(yuǎn)端主機(jī)中的目錄status顯示當(dāng)前FTP的狀態(tài)system顯示遠(yuǎn)端主機(jī)系統(tǒng)類型userusername[password][account]重新以其他的用戶名登錄遠(yuǎn)端主機(jī)?或help[command] 提供關(guān)于所有命令或某個(gè)命令的幫助![shellcommand]在客戶機(jī)上執(zhí)行所用的SHELL命令9.1FTP服務(wù)概述 4．FTP服務(wù)器軟件流行的FTP服務(wù)器軟件有很多種，在Linux環(huán)境下常用的有：

（1）wu-ftpdUnix系統(tǒng)早期流行的匿名自由（免費(fèi)的GNU軟件）FTP服務(wù)器軟件。運(yùn)行穩(wěn)定，效率高，在RedHatLinuxAS4之前，RedHatLinux一直都將wu-ftp作為默認(rèn)安裝的服務(wù)器軟件包。但安全漏洞也很多，因此被逐漸替換掉。

（2）proftpd著重強(qiáng)調(diào)FTP服務(wù)器的功能。在配置文件和安全性方面有了很大改進(jìn)。proftpd使用類似Apache配置文件的格式，在一個(gè)獨(dú)立的配置文件中配置虛擬域以及配置目錄的訪問(wèn)權(quán)限，也可以使用一個(gè)外部文件.ftpaccess分別控制各個(gè)子目錄。（3）vsftpd目前最安全、穩(wěn)定和高效的FTP服務(wù)器，綜合性能最為優(yōu)秀。9.1FTP服務(wù)概述 5．vsftpd支持的用戶類型

（1）匿名用戶

匿名用戶使用的登錄用戶名為anonymous或者ftp，

（2）本地用戶

本地用戶是在FTP服務(wù)器上擁有賬號(hào)的非匿名用戶，該類用戶直接使用自己的賬號(hào)和口令進(jìn)行授權(quán)登錄。

（3）虛擬用戶 vsftpd支持使用虛擬帳號(hào)替代本地用戶帳號(hào)來(lái)增強(qiáng)系統(tǒng)的安全性。

虛擬用戶特別采用單獨(dú)的文件保存用戶賬號(hào)，與系統(tǒng)帳號(hào)（passwd/shadow）相分離，這大大增加了系統(tǒng)的安全性。9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器 9.2.1安裝 1．準(zhǔn)備工作 2．安裝 3．了解軟件包安裝的文件用命令“rpm-qlvsftpd”可以查詢到vsftpd軟件包所生成的文件。主要有： /etc/pam.d/vsftpd：vsftpd用戶的pam認(rèn)證文件 /etc/rc.d/init.d/vsftpd：vsftpd服務(wù)的啟動(dòng)腳本 /etc/vsftpd：vsftpd服務(wù)配置文件的主目錄 /etc/vsftpd/ftpusers：拒絕訪問(wèn)vsftpd服務(wù)器的本地用戶清單（用戶黑名單）9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器 /etc/vsftpd/user_list：拒絕（默認(rèn)）或僅允許訪問(wèn)vsftpd服務(wù)器的本地用戶清單（用戶黑/白名單），需結(jié)合“userlist_enable=YES/NO”和“userlist_deny=YES/NO”語(yǔ)句來(lái)使用 /etc/vsftpd/vsftpd.conf：vsftpd的主配置文件 /etc/vsftpd/vsftpd_conf_migrate.sh：vsftpd操作的一些變量和設(shè)置的腳本 /usr/sbin/vsftpd：可執(zhí)行文件（主程序文件） /var/ftp：默認(rèn)情況下匿名用戶的根目錄 /var/ftp/pub：用于匿名用戶下載文件的公共目錄 /usr/share/doc/vsftpd-2.0.5：說(shuō)明和樣例文件的存放目錄

配置文件是安裝軟件包時(shí)自動(dòng)產(chǎn)生的，可以在啟動(dòng)vsftpd服務(wù)器后直接使用。9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器 4．vsftpd服務(wù)器的默認(rèn)配置說(shuō)明：在vsftpd指令的寫法上還需要注意以下兩項(xiàng)：

每條配置指令應(yīng)該獨(dú)占一行并且指令之前不能有空格；

在“option”、“=”與“value”之間也不能有空格。9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器 9.2.2配置匿名用戶訪問(wèn)FTP服務(wù)器 1．任務(wù)及分析 任務(wù)情境：公司技術(shù)部準(zhǔn)備選擇一臺(tái)主機(jī)（48）搭建一臺(tái)功能簡(jiǎn)單的FTP服務(wù)器，允許所有員工對(duì)服務(wù)器上的特定目錄“/var/ftp/mypub”上傳、下載和重命名文件，并且允許創(chuàng)建用戶自己的目錄。對(duì)于上傳的文件，其所有者自動(dòng)設(shè)置為ftpadmin。當(dāng)用戶切換到“/var/ftp/pub”目錄后，將顯示一段提示信息。 任務(wù)分析：允許所有員工上傳和下載文件，需要設(shè)置成允許匿名用戶登錄。配置服務(wù)器的流程如下： （1）配置本地目錄的權(quán)限和所有者； （2）配置FTP服務(wù)器，開放匿名用戶的各項(xiàng)寫權(quán)限； （3）設(shè)置/var/ftp/pub目錄的提示信息； （4）從網(wǎng)管工作站匿名登錄FTP服務(wù)器，通過(guò)上傳、下載數(shù)據(jù)和切換目錄進(jìn)行測(cè)試。9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器2．配置方案和過(guò)程 （1）創(chuàng)建用戶ftpadmin

（2）建立匿名上傳目錄mypub并設(shè)置權(quán)限

（3）編輯主配置文件“/etc/vsftpd/vsftpd.conf” （4）修改selinux使其支持匿名上傳

（5）設(shè)置/var/ftp/pub目錄的提示信息9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器3．應(yīng)用測(cè)試（1）啟動(dòng)vsftpd服務(wù)并查看器運(yùn)行狀態(tài)（2）查看vsftpd服務(wù)占用端口情況（3）設(shè)定開機(jī)自動(dòng)加載vsftpd服務(wù)（4）從網(wǎng)管工作站匿名登錄FTP服務(wù)器9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器9.2.3配置本地用戶訪問(wèn)FTP服務(wù)器 1．任務(wù)及分析任務(wù)情境：公司內(nèi)部現(xiàn)有一臺(tái)FTP和Web服務(wù)器（IP：48），F(xiàn)TP服務(wù)器主要用于維護(hù)公司的網(wǎng)站，包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁(yè)等。公司現(xiàn)有兩個(gè)部門負(fù)責(zé)維護(hù)任務(wù)，分別使用user1和user2帳號(hào)進(jìn)行管理（這兩個(gè)賬戶但不能登錄本地系統(tǒng)），將它們登錄FTP的根目錄限制為“/var/www/html”，不能進(jìn)入任何其他目錄。

9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器9.2.3配置本地用戶訪問(wèn)FTP服務(wù)器任務(wù)分析：將FTP和Web服務(wù)器做在一起是企業(yè)經(jīng)常采用的方法，便于實(shí)現(xiàn)對(duì)網(wǎng)站的維護(hù)。為了增強(qiáng)安全性，首先需要僅允許本地用戶訪問(wèn)，并禁止匿名登錄。其次使用chroot功能將user1和user2鎖定在“/var/www/html”目錄下。如需刪除文件則還應(yīng)配置本地權(quán)限。配置服務(wù)器的流程如下： （1）在linux系統(tǒng)中添加兩個(gè)用戶user1和user2； （2）在FTP服務(wù)器上設(shè)置目錄“/var/www/html”的權(quán)限，允許user1和 user讀和寫； （3）修改主配置文件，禁用匿名用戶的相關(guān)配置，增加本地用戶登 錄的相關(guān)參數(shù)，設(shè)置本地用戶具有寫權(quán)限，以達(dá)到預(yù)期的目的； （4）對(duì)用戶user1和user2設(shè)置chroot。9.2案例導(dǎo)學(xué)——實(shí)現(xiàn)匿名和本地訪問(wèn)的FTP服務(wù)器2．配置方案和過(guò)程（1）建立維護(hù)網(wǎng)站內(nèi)容的用戶賬號(hào)并禁止本地登錄（2）修改本地權(quán)限（3）編輯主配置文件，設(shè)置用戶權(quán)限（4）設(shè)置本地用戶的chroot（5）開啟禁用SELinux的FTP傳輸審核功能3．應(yīng)用測(cè)試（1）啟動(dòng)vsftpd服務(wù)并查看器運(yùn)行狀態(tài)（2）查看vsftpd服務(wù)占用端口情況（3）設(shè)定開機(jī)自動(dòng)加載vsftpd服務(wù)（4）驗(yàn)證僅允許本地用戶登錄（5）驗(yàn)證用戶user1和user2的chroot功能（6）驗(yàn)證用戶user1和user2的權(quán)限分配情況9.3課堂練習(xí)——配置FTP虛擬主機(jī)1．任務(wù)及分析 任務(wù)情境：在48這臺(tái)Linux主機(jī)上已經(jīng)建立了一個(gè)FTP站點(diǎn)，為了充分利用主機(jī)和帶寬資源，希望在此Linux主機(jī)上再建立一個(gè)允許匿名登錄和下載的FTP站點(diǎn)。 任務(wù)分析：vsftpd不支持基于名字的虛擬主機(jī)，本例中采用基于IP地址的虛擬主機(jī)。基于IP地址的虛擬主機(jī)是以IP地址為單位的，每個(gè)虛擬主機(jī)對(duì)應(yīng)監(jiān)聽一個(gè)IP地址，需要在這臺(tái)Linux主機(jī)上添加新的IP地址。9.3課堂練習(xí)——配置FTP虛擬主機(jī)2．配置方案和過(guò)程（1）為一臺(tái)Linux主機(jī)配置多個(gè)IP地址（2）建立FTP虛擬主機(jī)的根目錄（3）創(chuàng)建FTP虛擬主機(jī)的匿名用戶帳號(hào)（4）建立FTP虛擬主機(jī)的配置文件（5）為原獨(dú)立運(yùn)行的FTP服務(wù)器指定監(jiān)聽的IP地址9.3課堂練習(xí)——配置FTP虛擬主機(jī)3．應(yīng)用測(cè)試（1）啟動(dòng)和測(cè)試FTP虛擬主機(jī)（2）查看vsftpd服務(wù)器進(jìn)程（3）登錄vsftpd虛擬主機(jī)進(jìn)行測(cè)試9.4拓展練習(xí)——vsftpd服務(wù)的安全管理FTP服務(wù)主要面臨如下幾種安全威脅：（1）數(shù)據(jù)泄密（2）匿名訪問(wèn)所引起的安全脆弱性（3）拒絕服務(wù)攻擊9.4拓展練習(xí)——vsftpd服務(wù)的安全管理9.4.1設(shè)置虛擬用戶1．建立虛擬用戶數(shù)據(jù)庫(kù)文件（2）執(zhí)行db_load命令生成虛擬用戶數(shù)據(jù)庫(kù)文件（3）改變虛擬用戶數(shù)據(jù)庫(kù)文件的權(quán)限2．建立虛擬用戶使用的認(rèn)證文件3．建