vsFTP服務(wù)及其配置第十二章

vsFTP服務(wù)及其配置第十二章本章提要vsFTP服務(wù)器的安裝和啟動FTP客戶端命令簡介用戶管理文件vsftpd.users和vsftpd.user_list的內(nèi)容主要配置文件sftpd.conf解析FTP（FileTransferProtocol，文件傳輸協(xié)議）服務(wù)器提供Internet文件傳輸服務(wù)。Linux中常用的有WU-FTP、ProFTP、PureFTP及vsFTP等。在Fedora8下自帶的是vsFTP，它是一個小巧、高效、安全的FTP服務(wù)器軟件.本章將介紹vsFTP服務(wù)器的安裝、配置及使用等。vsFTP簡介vsFTP是一種基于GPL的在UNIX/Linux中非常安全且快速的FTP服務(wù)器，其中vs是“VerySecure”的縮寫，具有安全、高速和穩(wěn)定的性能。在速度方面，使用ASCII模式下載數(shù)據(jù)時，速度是WU-FTP的兩倍，如果Linux使用的是2.4.x版本的內(nèi)核，在千兆以太網(wǎng)上的下載速度可達(dá)86Mbps。在穩(wěn)定性方面，在單機(jī)服務(wù)器上支持4000個以上的并發(fā)連接，最高可支持15000個并發(fā)連接。除此之外，vsFTP還具有如下特性：支持基于IP的虛擬FTP服務(wù)器；支持虛擬用戶；支持PAM或xinetd/tcp_wrappers的認(rèn)證方式；支持兩種運行方式：standalone和xinetd方式；支持每個虛擬用戶的獨立配置；支持帶寬限制。vsFTP的運行模式一種是獨立（standalone）運行模式，另外一種是xinetd（eXtendedInternetServicesDaemon，即：擴(kuò)展的Internet服務(wù)守護(hù)進(jìn)程）模式。兩種模式運行機(jī)制是不同的，獨立運行模式適合專業(yè)的FTP服務(wù)器，且FTP總是一直有人訪問，占用資源比較大，如果FTP服務(wù)器總是有人訪問和登入建議采用這種模式。如果FTP服務(wù)器訪問人數(shù)比較少，建議您用xinetd模式。xinetd模式的運行方式一直監(jiān)聽端口，當(dāng)客戶端（Client）有FTP連接請求時，首先會將連接傳至xinetd，xinetd再將此要求傳至vsftpd，啟動相應(yīng)的vsftp服務(wù)進(jìn)程（即：vsftpd）。以下的內(nèi)容主要是介紹獨立模式下的vsftpd啟動和配置方式。vsFTP服務(wù)器的安裝在Fedora8中帶的vsFTP服務(wù)器版本為vsftpd-2.0.5-19.fc8，在安裝之前可用如下命令檢查是否已安裝vsftpd：[root@Candyroot]#rpm–qavsftpd若是在安裝Linux時沒有選擇安裝vsFTP服務(wù)器，可以從Fedora8安裝光盤DVD中的Packages目錄下找出名為vsftpdd-2.0.5-19.fc8.i386.rpm的文件，然后輸入以下指令，系統(tǒng)即將自動完成vsFTP服務(wù)器的安裝：vsFTP服務(wù)器的啟動安裝完成后，系統(tǒng)將會生成一個名為vsftpd的服務(wù)。要啟動vsftpd，最簡單的方式如下：[root@Candyroot]#/etc/rc.d/init.d/vsftpdstartstartingvsftpdforvsftpd：[ok]也可以使用命令：[root@Candyroot]#servicevsftpdstart來啟動vsftpd。自動啟動vsFTP服務(wù)器如果想在圖形界面下啟動vsFTP服務(wù)器，可以選擇“系統(tǒng)”|“管理”|“服務(wù)”選項，在打開“服務(wù)配置”畫面后，選中“vsftpd”項目，然后單擊工具欄中的“開始”按鈕即可啟動vsftpd服務(wù)器，如圖12-1所示。圖12-1“服務(wù)狀態(tài)設(shè)置”設(shè)置畫面測試vsftpd是否已經(jīng)啟動可用telnet檢驗vsftpd是否已經(jīng)啟動：[root@Candyroot]#telnet21Trying...Connectedto.Escapecharacteris'^]'.220(vsFTPd2.0.5)從上面的內(nèi)容可以看出能telnet到本機(jī)的vsftp服務(wù)器的21號端口，確認(rèn)vsftpd已經(jīng)被啟動，按“Ctrl+]”中斷會話^]再按“q”退出telnettelnet>qConnectionclosed.[root@Candyroot]#測試ftp的運行默認(rèn)情況下，安裝好vsftp服務(wù)器后就可以使用匿名用戶anonymous（或ftp）下載文件了。例如，使用匿名用戶下載文件。操作步驟如下：1）生成一個用于測試的文件welcome.txt。默認(rèn)情況下，匿名用戶下載目錄/var/ftp/pub下沒有任何內(nèi)容，為了進(jìn)行測試，可以先生成一個測試文件welcome.txt。[root@Candyroot]#echo“WelcometomyvsFTPServer”>/var/ftp/pub/welcome.txt測試ftp的運行（續(xù)）2）使用匿名用戶（ftp或anonymous）登錄ftp：Connectedto().220(vsFTPd2.0.5)Name(:root):anonymous331Pleasespecifythepassword.Password://輸入Email地址或任意字符串作為anonymous匿名賬號的口令230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.測試ftp的運行（續(xù)）3)列表顯示匿名FTP服務(wù)器目錄并進(jìn)入pub目錄。ftp>ls227EnteringPassiveMode(127,0,0,1,126,111)150Herecomesthedirectorylisting.drwxr-xr-x2004096Oct0319:09pub226DirectorysendOK.ftp>cdpub250Directorysuccessfullychanged.測試ftp的運行（續(xù)）4)顯示/var/ftp/pub目錄下的內(nèi)容并下載welcome.txt文件。ftp>ls227EnteringPassiveMode(127,0,0,1,44,205)150Herecomesthedirectorylisting.-r-xr-xr-x10131Oct0319:09welcome.txt226DirectorysendOK.ftp>getwelcome.txt227EnteringPassiveMode(127,0,0,1,99,247)150OpeningBINARYmodedataconnectionforwelcome.txt(31bytes).226FilesendOK.31bytesreceivedin0.000188secs(1.6e+02Kbytes/sec)ftp>!lsanaconda-ks.cfginstall.loginstall.log.syslogwelcome.txt通過顯示本地文件命令“!ls”確認(rèn)已經(jīng)將文件welcome.txt下載到本地。測試ftp的運行（續(xù)）5)測試是否能上傳文件到/var/ftp/pub目錄。ftp>putinstall.loglocal:install.logremote:install.log227EnteringPassiveMode(127,0,0,1,233,16)550PermissionDenied.從上面信息可以看出上傳文件失敗6)退出FTPftp>bye221Goodbye.FTP客戶端命令簡介要登錄到vsFTP服務(wù)器，在Windows系統(tǒng)中可以使用圖形化的FTP客戶端軟件，如CuteFTP和LeapFTP等，也可以直接在命令行狀態(tài)下使用FTP命令。FTP命令的格式FTP（機(jī)器名、網(wǎng)址或IP地址）若連接成功，系統(tǒng)提示輸入用戶名（Name）及密碼(Password)。進(jìn)入FTP站點后，用戶就可以使用相應(yīng)的命令進(jìn)行各種操作了。常用的FTP命令Help或？Ascii、binary、typebye、quitCd、lcd、pwd、！Dele、renameGet、mget、put、mput、recv、sendLs、dir、mkdir、rmdirOpen、close、disconnect、userverbose、status、bellvsFTP服務(wù)器的配置安裝好vsFTPD后，會在/etc/vsftpd目錄下生成ftpusers和user_list文件，同時會生成vsftpd.conf文件。用戶管理文件ftpusers/etc/vsftpd/ftpusers是vsFTP服務(wù)器中用來管理帳號的配置文件。但需要注意的是：本文件中列出的用戶名是指不允許登錄vsFTP服務(wù)器的用戶，默認(rèn)的文件內(nèi)容如下：[root@Candyetc]#catftpusers#UsersthatarenotallowedtologinviaftpRootBinDaemon……GamesNobody從上面例子可以看出，默認(rèn)情況下，root帳號是不允許登錄vsFTP服務(wù)器的。如希望讓root登錄，只需修改此文件，在“root”前加“#”注釋掉即可。但從安全角度考慮，建議用戶不要使用root登錄FTP。對于此文件中的其它帳號，均為系統(tǒng)帳號，建議不要做任何修改。/etc/vsftpd/user_list文件[root@Candyetc]#cat/etc/vsftpd/user_list#vsftpd.user_list#Ifuserlist_deny=NO,onlyallowusersinthisfile#IFuserlist_deny=YES(default), neverallowusersinthisfile,and#donotevenpromptforapassword.RootBin……GamesNobody此文件中指定的用戶默認(rèn)情況（即在/etc/vsftpd/vsftpd.conf中設(shè)定了userlist_deny=YES）下也不能訪問FTP服務(wù)器，而如果在vsftpd.conf中設(shè)定了userlist_deny=NO，則僅僅允許此文件中指定的用戶訪問FTP服務(wù)器。此方面的例子將在后面介紹。主要配置文件vsftpd.conf/etc/vsftpd/vsftpd.conf是vsftp服務(wù)器的主要配置文件，建議讀者認(rèn)真理解里面的內(nèi)容，以使vsFTP服務(wù)器發(fā)揮最大的效能。此文件的設(shè)置格式如下：參數(shù)＝設(shè)置值若是以“#”開頭的行表示注釋文字，會被服務(wù)器所忽略。下面將分類解釋各參數(shù)的含義：vsftpd.conf匿名用戶選項anonymous_enable=YES|NOftp_username=no_anon_password=YES|NOdeny_email_enable=YES|NObanned_email_file=/etc/vsftpd.banned_emailsanon_root=anon_world_readable_only=YES|NOanon_upload_enable=YES|NOanon_mkdir_write_enable=YES|NOanon_other_write_enable=YES|NOchown_uploads=YES|NOchown_username=local_enable=YES|NOlocal_root=user_config_dir=vsftpd.conf虛擬用戶用戶選項guest_enable=YES|NO若是啟動這項功能，所有的不以匿名登錄的用戶，都視為“guest”類型，而此類用戶的實際權(quán)限就是“guest_username”選項中所指定的帳號。默認(rèn)不啟用此選項。guest_username=定義vsFTPD的guest用戶登錄時在系統(tǒng)中的帳號名稱，默認(rèn)值為ftp。vsftpd.conf連接選項（1）監(jiān)聽地址與控制端口listen_address=ipaddresslisten_port=port_value（2）FTP模式與數(shù)據(jù)端口port_enable=YES|NOConnect_from_port_20=YES|NOftp_data_port=portnumberport_promiscuous=YES|NOpasv_enable=YES|NOpasv_min_port=portnumberpasv_max_port=portnumberpasv_promiscuous=YES|NOpasv_address=（3）ASCII模式ascii_upload_enable=YES|NOascii_download_enable=YES|NOvsftpd.conf性能與負(fù)載控制選項超時選項idle_session_timeout=data_connection_timeout=accept_timeout=numericalvalueconnect_timeout=numericalvalue負(fù)載控制max_clients=numericalvaluemax_per_ip=numericalvalueanon_max_rate=valuelocal_max_rate=value設(shè)置速率舉例設(shè)定系統(tǒng)本地用戶允許的最大數(shù)據(jù)傳輸速率，以Bytes/s為單位。默認(rèn)為0。此選項對所有的用戶都生效。此外，也可以在用戶個人配置文件中使用此選項，以指定特定用戶可獲得的最大數(shù)據(jù)傳輸速率。例如，為特定用戶設(shè)置傳輸速率。操作步驟如下：在/etc/vsftpd/vsftpd.conf中指定用戶個人配置文件所在的目錄，如：user_config_dir=/etc/vsftpd/userconf生成/etc/vsftpd/userconf目錄。[root@Candyroot]mkdir/etc/vsftpd/userconf用戶個人配置文件是在該目錄下，生成與特定用戶同名的文件，如：[root@Candyroot]touch/etc/vsftpd/userconf/user1在用戶user1的個人配置文件中設(shè)置local_max_rate參數(shù)，如：local_max_rate=80000（即為80KB/s）以上步驟設(shè)定FTP用戶user1的最大數(shù)據(jù)傳輸速度為80KBytes/s。vsFTPD對于速度控制的變化范圍大概在80%到120%之間。比如我們限制最高速度為100KBytes/s，但實際的速度可能在80KBytes/s到120KBytes/s之間。當(dāng)然，若是線路帶寬不足時，速率自然會低于此限制。vsftpd.conf安全措施選項(1)用戶登錄控制pam_service_name=vsftpd指出vsFTPD進(jìn)行PAM認(rèn)證時所使用的PAM配置文件名，默認(rèn)值是vsftpd，默認(rèn)PAM配置文件是/etc/pam.d/vsftpd。/etc/vsftpd.ftpusersvsFTPD禁止列在此文件中的用戶登錄FTP服務(wù)器。這個機(jī)制是在/etc/pam.d/vsftpd中默認(rèn)設(shè)置的。userlist_enable=YES|NO若是啟用此功能，vsFTPD將讀取/etc/userlist_file參數(shù)所指定的文件中的用戶列表。當(dāng)列表中的用戶登錄FTP服務(wù)器時，該用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入后，vsFTPD查到該用戶名在列表，vsFTPD就直接禁止該用戶登錄，不會再進(jìn)行詢問密碼等后續(xù)步聚，這可避免明文（ClearText）在網(wǎng)絡(luò)上傳輸。默認(rèn)值為NO。vsftpd.conf安全措施選項（續(xù)）userlist_file=/etc/vsftpd.user_list指出userlist_enable選項生效后，被讀取的包含用戶列表的文件。默認(rèn)值是/etc/vsftpd.user_list。userlist_deny=YES|NO此選項在userlist_enable選項啟動后才生效。決定禁止還是只允許由/etc/userlist_file指定文件中的用戶登錄FTP服務(wù)器。YES，默認(rèn)值，禁止文件中的用戶登錄，同時也不向這些用戶發(fā)出輸入口令的提示。若設(shè)為停用（即為NO），則只允許在文件中的用戶登錄FTP服務(wù)器。tcp_wrappers=YES|NO若值為YES，將在vsFTPD中使用TCP_wrappers遠(yuǎn)程訪問控制機(jī)制，因此可利用/etc/hosts.allow與/etc/hosts.deny文件來定義可聯(lián)機(jī)或是拒絕的來源地址。但默認(rèn)不啟用此選項。vsftpd.conf安全措施選項（續(xù)）(2)目錄訪問控制chroot_list_enable=YES|NOchroot_list_file=/etc/vsftpd/chroot_listchroot_local_users=YES|NOpasswd_chroot_enablevsftpd.conf安全措施選項（續(xù)）(3)文件操作控制hide_ids=YES|NOls_recurse_enable=YES|NOwrite_enable=YES|NOsecure_chroot_dir=vsftpd.conf安全措施選項（續(xù)）(4)新增文件權(quán)限設(shè)定anon_umask=匿名用戶新增文件的umask數(shù)值。默認(rèn)值為077。這表示匿名用戶新增的文件權(quán)限最大為700（777－077＝700）。file_open_mode=表示上傳文件的權(quán)限，與chmod命令所使用的數(shù)值相同。如果希望上傳的文件可以執(zhí)行，設(shè)此值為0777。默認(rèn)值為0666。local_umask=本地用戶新增文件的umask數(shù)值。默認(rèn)值為077（其他大多數(shù)的FTP服務(wù)器都是使用022。您也可以修改為022）。vsftpd.conf提示信息選項ftpd_banner=loginbannerstringbanner_file=/directory/vsftpd_banner_filedirmessage_enable=YES|MOmessage_file=vsftpd.conf日志設(shè)置選項xferlog_enable=YES|NOxferlog_file=xferlog_std_format=YES|NOlog_ftp_protocol=YES|NOvsftpd.conf其他設(shè)置setproctitle_enable=YES|NOtext_userdb_names=YES|NOuser_localtime=YES|NOcheck_shell=YES|NOnopriv_user=pam_service_name=vsFTP服務(wù)器的使用舉例1【例】配置匿名用戶，使之可以上傳/下載文件。操作步驟如下：（1）在/var/ftp/創(chuàng)建一個上傳目錄，并修改權(quán)限。[root@Candyroot]cd/var/ftp//首先進(jìn)入/var/ftp目錄。[root@Candyftp]#mkdir/var/ftp/incoming//創(chuàng)建incoming目錄。[root@Candyftp]#chmod777/var/ftp/incoming//更改incoming目錄的權(quán)限為777。vsFTP服務(wù)器的使用舉例1（續(xù)）（2）編輯/etc/vsftpd/vsftpd.conf文件[root@Candyroot]vi/etc/vsftpd/vsftpd.conf確保anonymous_enabled=YES有效。找到“#anon_upload_enable=YES”行，去掉前面的注釋符號“#”，并在下面添加如下行：chown_uploads=YESanon_umask=077anon_mkdir_write_enable=YESanon_world_readable_only=NO（3）存盤退出。通過前面的配置后，匿名用戶ftp（或anonymous）既可下載文件，又可上傳文件到incoming目錄，也能在incoming目錄下創(chuàng)建新的目錄。vsFTP服務(wù)器的使用舉例2【例】配置vsFTPD，使本地用戶user1具有上傳/下載、user2只具有下載功能，其中user1和user2同屬于students組。操作步驟如下：（1）創(chuàng)建用戶組students和FTP的主目錄[root@Candyroot]groupaddstudents[root@Candyroot]mkdir/var/ftproot[root@Candyroot]useradd-Gstudents–d/var/ftproot–Muser1注：-G：用戶所在的組；-d：表示創(chuàng)建用戶主目錄的位置；-M：不建立默認(rèn)的用戶主目錄，也即在/home下不創(chuàng)建用戶主目錄。[root@Candyroot]useradd–Gstudents–d/var/ftproot–Muser2vsFTP服務(wù)器的使用舉例2（續(xù)）（2）改變目錄的屬主和權(quán)限[root@Candyroot]chownuser1.students/var/ftproot//把/var/students的屬主定為user1。[root@Candyroot]chmod750/var/students即自己具有所有權(quán)限，同組成員只具有讀和執(zhí)行權(quán)限，而其他人不具有任何權(quán)限。（3）修改配置文件/etc/vsftpd/vsftpd.conf設(shè)置local_enable=yes，write_enable=yes和chroot_local_usr=yes三個選項即可。vsFTP服務(wù)器的使用舉例3【例】配置vsftpd通過pam認(rèn)證方式，添加虛擬用戶。操作步驟如下：（1）在/etc/pam.d/目錄中創(chuàng)建一個文件ftp[root@Candyroot]#touch/etc/pam.d/ftp（2）在/etc/pam.d/ftp里面加上如下兩行：authrequired/lib/se