《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目五 任務(wù)四 加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御

項(xiàng)目五Linux服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一

加強(qiáng)Linux系統(tǒng)DNS服務(wù)的安全防御任務(wù)二

加強(qiáng)Linux系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三

加強(qiáng)Linux系統(tǒng)Web服務(wù)的安全防御任務(wù)四

加強(qiáng)Linux系統(tǒng)FTP服務(wù)的安全防御任務(wù)五

使用防火墻模塊提升Linux服務(wù)器的安全防御任務(wù)提出FTP是為了共享資源、方便用戶下載文件而開發(fā)的文件傳輸協(xié)議，通過FTP上傳和下載資料必然有對(duì)系統(tǒng)讀寫的權(quán)限，這是整個(gè)FTP服務(wù)器系統(tǒng)的薄弱環(huán)節(jié)，一些攻擊者常常利用FTP作為入侵系統(tǒng)的突破口。他們有時(shí)利用FTP將一些監(jiān)控程序裝入系統(tǒng)，竊取管理員口令；有時(shí)利用FTP獲取系統(tǒng)的passwd文件，從而了解系統(tǒng)的用戶信息；有時(shí)利用FTP的puts和gets功能，增加系統(tǒng)負(fù)擔(dān)，從而導(dǎo)致硬盤塞滿甚至系統(tǒng)崩潰；還有的攻擊者利用FTP服務(wù)器來傳播木馬與病毒等。

為了保障FTP服務(wù)器安全運(yùn)行,需要對(duì)FTP服務(wù)器進(jìn)行安全配置，具體任務(wù)如下：1.禁止系統(tǒng)級(jí)別用戶登錄

為了提高FTP服務(wù)器的安全，系統(tǒng)管理員需要為用戶設(shè)置單獨(dú)的FTP帳戶，不要把系統(tǒng)級(jí)別的帳戶分配給普通用戶使用，否則會(huì)帶來很大的安全隱患，因此需要在FTP服務(wù)器端禁止系統(tǒng)級(jí)別的用戶進(jìn)行登錄。2.加強(qiáng)對(duì)匿名用戶的控制

匿名用戶是指在FTP服務(wù)器中沒有定義的帳戶，它們沒有服務(wù)器的授權(quán)，需要對(duì)它們的權(quán)限加以控制，如限制匿名用戶的上傳和下載功能。3.進(jìn)行目錄控制

在通常情況下，系統(tǒng)管理員需要為每個(gè)用戶設(shè)置不同的根目錄。為了安全起見，需要禁止用戶訪問其他用戶的主目錄，以免用戶之間相互干擾。

4.使用虛擬用戶訪問

虛擬用戶是系統(tǒng)中根本不存在的用戶，它不可以登錄Linux系統(tǒng)，但可以登錄FTP服務(wù)器，對(duì)FTP服務(wù)器進(jìn)行修改等操作，同時(shí)避免使用真實(shí)用戶帶來的密碼泄露等安全性問題。5.進(jìn)行傳輸速率的限制

為了保障FTP服務(wù)器的穩(wěn)定運(yùn)行，需要對(duì)文件上傳和下載的速率進(jìn)行限制，并限制連接數(shù)個(gè)數(shù)。任務(wù)分析1.禁止系統(tǒng)級(jí)別用戶登錄FTP(文件傳輸協(xié)議)，是Internet上使用最廣泛、信息傳輸量最大的應(yīng)用之一。利用它可以從Internet上不同地點(diǎn)的FTP服務(wù)器中共享到大量的信息。VSFTP(VerySafeFTP)是一個(gè)基于GPL發(fā)布的類UNIX系統(tǒng)上使用的FTP服務(wù)器軟件，VSFTP除了與生俱來的安全特性以外，還具有高速和高穩(wěn)定性兩個(gè)重要特點(diǎn)。

在VSFTP服務(wù)器中，可以通過配置文件vsftpd.ftpusers管理登錄帳戶。不過，該帳戶是一個(gè)黑名單，列入該帳戶的人員將無法利用其帳戶登錄FTP服務(wù)器。部署好VSFTP服務(wù)器后，可以利用cat命令來查看這個(gè)配置文件，其中己經(jīng)有了許多默認(rèn)的帳戶，系統(tǒng)的超級(jí)用戶root也在其中。出于安全的考慮，VSFTP服務(wù)器在默認(rèn)情況下是禁止root帳戶登錄FTP服務(wù)器的。

如果系統(tǒng)管理員想讓root等系統(tǒng)帳戶登錄到FTP服務(wù)器，則只需要在這個(gè)配置文件中將root等相關(guān)的用戶名刪除即可。因?yàn)橄到y(tǒng)帳戶登錄FTP服務(wù)器，會(huì)對(duì)其安全造成負(fù)面的影響，因此最好不要?jiǎng)h除這個(gè)文件中的系統(tǒng)帳戶管理員。

如果出于其他的原因，需要把另外一些帳戶也禁用掉，則把帳戶加入到這個(gè)文件中即可。如在服務(wù)器上同時(shí)部署了FTP服務(wù)器與數(shù)據(jù)庫服務(wù)器，為了安全起見，把數(shù)據(jù)庫管理員的帳戶列入這個(gè)黑名中是一不錯(cuò)的做法。2.加強(qiáng)對(duì)匿名用戶的控制

匿名用戶是指那些在FTP服務(wù)器中沒有定義的帳戶，F(xiàn)TP系統(tǒng)管理員為了便于管理，仍然允許它們進(jìn)行登錄，但是它們畢竟沒有服務(wù)器的授權(quán)，為了提高服務(wù)器的安全性，必須要對(duì)它們的權(quán)限加以限制。在VSFTP服務(wù)器上也有很多參數(shù)可以用來控制匿名用戶的權(quán)限，系統(tǒng)管理員需要根據(jù)FTP服務(wù)器的安全級(jí)別來做好相關(guān)的配置工作。需要說明的是，匿名用戶的權(quán)限控制得越嚴(yán)格，F(xiàn)TP服務(wù)器的安全性越高，但是同時(shí)用戶訪問的便利性也會(huì)降低，系統(tǒng)管理員需要在服務(wù)器安全性與便利性之間取得平衡。

總的來說，對(duì)于匿名用戶的控制要遵循權(quán)限最小原則。因?yàn)槟涿脩羰荈TP服務(wù)器沒有授權(quán)的用戶，無法進(jìn)行深級(jí)別的權(quán)限訪問控制，只有通過修改基本參數(shù)來控制匿名用戶。3.進(jìn)行目錄控制

在通常情況下，系統(tǒng)管理員需要為每個(gè)用戶設(shè)置不同的根目錄。為了安全起見，系統(tǒng)管理員需要禁止用戶訪問其他用戶的主目錄，以免用戶之間相互干擾。

有些企業(yè)為每個(gè)部門創(chuàng)建一個(gè)FTP帳戶，以便部門之間共享文件。例如，銷售部門Sales有一個(gè)根目錄sale；倉庫部門有個(gè)根目錄Ware。作為銷售員工來說，他們可以訪問自己主目錄下的任何子目錄和文件，但是無權(quán)訪問倉庫用戶的主目錄Ware。通過限制用戶訪問主目錄以外的目錄，可以防止不同用戶之間相互干擾，提高FTP服務(wù)器上文件的安全性。

為了實(shí)現(xiàn)這個(gè)目的，可以設(shè)置chroot參數(shù)，所有在本地登錄的用戶都不可以進(jìn)入主目錄之外的其他目錄。不過，在配置這項(xiàng)安全控制的時(shí)候，最好設(shè)置一個(gè)大家都可以訪問的目錄，以存放一些公共的文件。4.使用虛擬用戶訪問

使用獨(dú)立的文件保存虛擬用戶，安全性較好，可替代本地用戶。虛擬用戶在本地是沒有用戶身份的，只是虛擬的，所以攻擊者即使竊取到了口令，也根本無法登錄，因?yàn)樵谙到y(tǒng)中根本不存在這些用戶。5.進(jìn)行傳輸速率的限制

為了保障FTP服務(wù)器的穩(wěn)定運(yùn)行，需要對(duì)文件上傳和下載的速率進(jìn)行限制。如在一臺(tái)服務(wù)器上，分別部署了FTP服務(wù)器和郵件服務(wù)器。為了這些應(yīng)用服務(wù)能夠同時(shí)穩(wěn)定運(yùn)行，就需要對(duì)其最大傳輸速率進(jìn)行控制。同一臺(tái)服務(wù)器的帶寬是有最大限制的，若某個(gè)應(yīng)用服務(wù)占用比較大的帶寬，就會(huì)對(duì)其他應(yīng)用服務(wù)產(chǎn)生不利的影響，甚至?xí)?dǎo)致其他應(yīng)用服務(wù)無法正常響應(yīng)用戶的需求。此外，F(xiàn)TP同時(shí)用于備份文件、上傳和下載等。為了提高文件備份的效率、縮短備份時(shí)間，需要對(duì)文件上傳和下載的速率最大值進(jìn)行限制。任務(wù)實(shí)施1.禁止系統(tǒng)級(jí)別用戶登錄

操作步驟如下：

步驟1實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)二知識(shí)點(diǎn)，在VMwareWorkstation中部署兩臺(tái)RedHatEnterpriseLinux6.4系統(tǒng)虛擬機(jī)server和PC，兩個(gè)虛擬機(jī)的IP地址規(guī)劃如表所示，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址serverFTP服務(wù)器RedHatLinux6.4/24PC客戶端RedHatLinux6.40/24步驟2安裝并啟動(dòng)FTP服務(wù)。①在server上安裝并啟動(dòng)FTP服務(wù)。詳細(xì)步驟見項(xiàng)目三任務(wù)二中任務(wù)實(shí)施步驟二。②在客戶端上安裝并啟動(dòng)FTP服務(wù)。詳細(xì)步驟見項(xiàng)目三任務(wù)二中任務(wù)實(shí)施步驟二。步驟3

禁止系統(tǒng)用戶登錄。①添加用戶user1。[root@linuxA~]#useradduser1[root@linuxA~]#passwduser1②在客戶端上使用user1用戶登錄FTP服務(wù)器。③服務(wù)器端設(shè)置禁止user1登錄FTP服務(wù)器。[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user1331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>[root@linuxA~]#vim/etc/vsftpd/ftpusers……user1[root@linuxA~]#systemctlrestartvsftpd④再次在客戶端上測試使用user1用戶登錄FTP服務(wù)器。[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user1331Pleasespecifythepassword.Password:530Loginincorrect.Loginfailed.2.加強(qiáng)對(duì)匿名用戶的控制

步驟4限制匿名用戶的訪問權(quán)限。①創(chuàng)建匿名用戶的目錄和文件。②編輯FTP服務(wù)配置文件。

由于配置文件中已經(jīng)包含anonymous_enable=YES允許匿名用戶訪問和#anon_upload_enable=YES禁止匿名用戶上傳文件的配置，這里再增加關(guān)于匿名用戶的其他相關(guān)配置。[root@linuxA~]#mkdir-p/ftp/anon_dir[root@linuxA~]#echo"anonymouselogintest">/ftp/anon_dir/anon.txt[root@linuxA~]#vim/etc/vsftpd/vsftpd.conf……anon_root=/ftp/anon_dir//設(shè)置匿名用戶登錄后所在的目錄。anon_world_readable_only=YES//設(shè)置允許匿名用戶可以下載可閱讀的文檔。anon_other_write_enable=NO//禁止匿名用戶上傳和建立目錄的權(quán)限，同時(shí)也限制其擁有刪除和更名權(quán)限。anon_mkdir_write_enable=NO//禁止匿名用戶創(chuàng)建目錄。[root@linuxA~]#systemctlrestartvsftpd③在客戶端上使用匿名用戶登錄FTP服務(wù)器。

這里使用匿名用戶ftp，其密碼默認(rèn)為空。[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):ftp331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/"ftp>ls227EnteringPassiveMode(192,168,159,9,149,29).150Herecomesthedirectorylisting.-rw-r--r--10022Aug0901:16anon.txt226DirectorysendOK.

從以上輸出可見，匿名用戶可以查看主目錄中文件列表，不可以上傳文件，但可以下載文件。ftp>!diranaconda-ks.cfginstall.log.syslog模板

圖片

下載

桌面install.log 公共的

視頻

文檔

音樂ftp>putinstall.loglocal:install.logremote:install.log227EnteringPassiveMode(192,168,159,9,39,172).550Permissiondenied.ftp>getanon.txtlocal:anon.txtremote:anon.txt227EnteringPassiveMode(192,168,159,9,134,26).150OpeningBINARYmodedataconnectionforanon.txt(22bytes).226Transfercomplete.22bytesreceivedin8.5e-05secs(258.82Kbytes/sec)ftp>!diranaconda-ks.cfginstall.log 公共的

視頻

文檔

音樂anon.txt install.log.syslog模板

圖片

下載

桌面3.進(jìn)行目錄控制步驟5把用戶限制在主目錄。①創(chuàng)建用戶user2。②客戶端上測試user2是否能離開主目錄。[root@linuxA~]#useradduser2[root@linuxA~]#passwduser2[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user2331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/home/user2"由以上輸出可見，user2用戶可以切換到主目錄，并查看主目錄中的文件。ftp>cd/250Directorysuccessfullychanged.ftp>pwd257"/"ftp>ls227EnteringPassiveMode(192,168,159,9,130,4).150Herecomesthedirectorylisting.dr-xr-xr-x2004096Aug0505:29bin……drwxr-xr-x3004096Aug0508:57www226DirectorysendOK.③在服務(wù)器端編輯配置文件，限制用戶離開主目錄。④將用戶user2加入到chroot_list。⑤在客戶端上重新測試user2是否能離開主目錄。[root@linuxA~]#vim/etc/vsftpd/vsftpd.confchroot_list_enable=YES//將原配置文件中注釋符“#”取消。chroot_list_file=/etc/vsftpd/chroot_list[root@linuxA~]#systemctlrestartvsftpd[root@linuxA~]#vim/etc/vsftpd/chroot_listuser2[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):user2331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.由以上結(jié)果可見，user2被拒絕登錄，并且不再可以查看主目錄中的文件。Connectedto().220(vsFTPd3.0.2)Name(:root):user2331Pleasespecifythepassword.Password:500OOPS:vsftpd:refusingtorunwithwritablerootinsidechroot()Loginfailed.421Servicenotavailable,remoteserverhasclosedconnectionftp>pwdNotconnected.ftp>cd/Notconnected.4.使用虛擬用戶訪問步驟6虛擬用戶登錄FTP服務(wù)器。①創(chuàng)建虛擬用戶口令庫文件。[root@linuxA~]#vim/tmp/logins.txtupload123456download123456admin123456虛擬用戶的口令庫文件中保存的用戶名和密碼是用戶連接FTP服務(wù)器時(shí)，需要輸入的用戶名和密碼，文件可以自己創(chuàng)建，位置無關(guān)緊要，文件格式為：奇數(shù)行為用戶名，偶數(shù)行為密碼。②在目錄/etc/vsftpd/user_conf中創(chuàng)建文件（以用戶名命名）配置用戶權(quán)限。

使upload、download和admin三個(gè)虛擬用戶擁有不同的權(quán)限：a.upload用戶——可以上傳和下載，可以新建文件夾，但不能刪除文件和文件夾，不能重命名原有文件和文件夾。b.download用戶——只能下載。c.admin用戶——管理員可以上傳和下載，可以新建文件夾，可以刪除和更改文件和文件夾名。

三個(gè)用戶都不能登錄系統(tǒng)，并且用FTP連接時(shí)鎖定在自己的目錄中不能進(jìn)入系統(tǒng)文件夾。[root@localhost~]#mkdir-p/etc/vsftpd/user_conf[root@linuxA~]#vim/etc/vsftpd/user_conf/downloadanon_world_readable_only=NO//開放download用戶的下載權(quán)限——只能下載；注意這個(gè)地方不可寫成YES，否則將不能列出文件和目錄。[root@linuxA~]#vim/etc/vsftpd/user_conf/uploadanon_world_readable_only=NO//開放upload用戶的下載權(quán)限。write_enable=YES//增加upload用戶的寫權(quán)限。anon_upload_enable=YES//增加upload用戶的上傳權(quán)限。anon_mkdir_write_enable=YES//增加upload用戶的創(chuàng)建目錄的權(quán)限。[root@linuxA~]#vim/etc/vsftpd/user_conf/adminanon_world_readable_only=NO//開放admin用戶的下載權(quán)限。write_enable=YES//增加admin用戶的寫權(quán)限。anon_upload_enable=YES//增加admin用戶的上傳權(quán)限。anon_mkdir_write_enable=YES//增加admin用戶的創(chuàng)建目錄的權(quán)限。anon_other_write_enable=YES//增加admin用戶的刪除/重命名的權(quán)限。③生成口令數(shù)據(jù)庫。a.

保存虛擬帳號(hào)和密碼的文本文件無法被系統(tǒng)帳號(hào)直接調(diào)用，需要使用db_load命令生成數(shù)據(jù)庫口令。[root@linuxA~]#yuminstall–ydb*[root@linuxA~]#db_load-T-thash-f/tmp/logins.txt/etc/vsftpd/vsftpd_login.dbb.更改數(shù)據(jù)庫口令文件的權(quán)限，使得root帳戶擁有讀寫的權(quán)限。[root@linuxA~]#chmod600/etc/vsftpd/vsftpd_login.db④生成pam對(duì)應(yīng)的數(shù)據(jù)庫文件。

由于安全考慮，不希望vsftpd共享本地系統(tǒng)的用戶認(rèn)證信息，而采用自己獨(dú)立的用戶認(rèn)證數(shù)據(jù)庫來認(rèn)證虛擬用戶。這樣，虛擬用戶和真實(shí)的用戶不必采用相同的用戶名和口令。

與linux中的大多數(shù)需要用戶認(rèn)證的程序一樣，vsftpd也采用PAM作為后端，可插拔的認(rèn)證模塊可以集成各種不同的認(rèn)證方式，這里采用的是獨(dú)立的用戶認(rèn)證數(shù)據(jù)庫——模塊pam_userdb。

在PAM配置文件中，使PAM采用相應(yīng)的認(rèn)證模塊和剛剛建立的用戶數(shù)據(jù)庫。[root@linuxA~]#vim/etc/pam.d/vsftpdauthrequired/lib64/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_loginaccountrequired/lib64/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login/etc/pam.d/vsftpd這個(gè)文件只能有上面兩行代碼有效，其他內(nèi)容請(qǐng)用#號(hào)注釋掉⑤為虛擬用戶創(chuàng)建目錄及文件，文件大小為20MB。

創(chuàng)建一個(gè)與虛擬用戶相映射的本地用戶vuser，所有的虛擬用戶可以使用該身份登錄系統(tǒng)，用戶登錄時(shí)的主目錄為/ftp/vftp，用戶登錄后所使用的shell為/sbin/nologin，虛擬用戶不能像普通用戶一樣登錄系統(tǒng)，只能登錄FTP，保證了系統(tǒng)的安全。使用dd命令為虛擬用戶創(chuàng)建文件，大小為20M。[root@linuxA~]#useradd-d/ftp/vftp-s/sbin/nologinvuser//創(chuàng)建虛擬用戶vuser，虛擬用戶主目錄為/ftp/vftp，不能登錄，只能ftp連接。[root@linuxA~]#chmod777/ftp/vftp[root@linuxA~]#ddif=/dev/zeroof=/ftp/vftp/data.txtbs=1Mcount=20記錄了20+0的讀入記錄了20+0的寫出20971520字節(jié)(21MB)已復(fù)制，0.0465秒，451MB/秒dd命令是用指定大小的塊拷貝一個(gè)文件，并在拷貝的同時(shí)進(jìn)行指定的轉(zhuǎn)換，參數(shù)含義如下：if=文件名：輸入文件名，缺省為標(biāo)準(zhǔn)輸入，即指定源文件。of=文件名：輸出文件名，缺省為標(biāo)準(zhǔn)輸出。即指定目的文件。bs=bytes：同時(shí)設(shè)置讀入/輸出的塊大小為bytes個(gè)字節(jié)。count=blocks：僅拷貝數(shù)據(jù)塊數(shù)目為blocks，塊大小等于bs指定的字節(jié)數(shù)。⑥修改FTP配置文件。在配置文件末尾添加如下命令：重啟FTP服務(wù)，使配置生效。[root@linuxA~]#vim/etc/vsftpd/vsftpd.confguest_enable=YES//啟用虛擬用戶。guest_username=vuser//將虛擬用戶映射為本地vuser用戶。pam_service_name=/etc/vsftpd/vsftpd//指定PAM配置文件的路徑，切記要修改該項(xiàng)的值。user_config_dir=/etc/vsftpd/user_conf//指定不同虛擬用戶配置文件的存放路徑。[root@linuxA~]#systemctlrestartvsftpd⑦在FTP服務(wù)器端分別用虛擬用戶download、upload和admin測試登錄。虛擬用戶無法在服務(wù)器端進(jìn)行登錄。⑧在客戶端分別用虛擬用戶download、upload和admin測試登錄FTP服務(wù)器，并驗(yàn)證各自的權(quán)限設(shè)置。a.在服務(wù)器端創(chuàng)建測試用戶下載的文件。[root@linuxA~]#sudownloadsu:用戶download不存在[root@linuxA~]#suuploadsu:用戶upload不存在[root@linuxA~]#suadminsu:用戶admin不存在[root@linuxA~]#touch/ftp/vftp/data.txt[root@linuxA~]#touch/ftp/vftp/data1.txtb.在客戶端創(chuàng)建測試用戶上傳的文件。c.download用戶登錄及其權(quán)限測試。[root@linuxB~]#mkdir/ceshi[root@linuxB~]#touch/ceshi/123.txt[root@linuxB~]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):download331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls227EnteringPassiveMode(192,168,159,9,168,143).150Herecomesthedirectorylisting.-rw-r--r--10020971520Aug0904:43data.txt226DirectorysendOK.ftp>getdata.txtlocal:data.txtremote:data.txt227EnteringPassiveMode(192,168,159,9,91,133).150OpeningBINARYmodedataconnectionfordata.txt(20971520bytes).226Transfercomplete.20971520bytesreceivedin0.273secs(76866.06Kbytes/sec)ftp>cd/etc550Failedtochangedirectory.ftp>put/ceshi/123.txtlocal:/ceshi/123.txtremote:/ceshi/123.txt227EnteringPassiveMode(192,168,159,9,166,127).550Permissiondenied.ftp>renamedata.txt(to-name)date.txt550Permissiondenied.ftp>deletedata.txt550Permissiondenied.download用戶可以登錄FTP服務(wù)器，查看/ftp/vftp中的文件并進(jìn)行下載，但登錄之后即被鎖定在ftp目錄中，無法切換到系統(tǒng)文件夾及其他目錄中，也不被允許將本地文件進(jìn)行上傳，也不可將FTP服務(wù)器中已有文件進(jìn)行重命名和刪除等操作，即download用戶只有登錄、下載的權(quán)限。d.upload用戶登錄及其權(quán)限測試。[root@linuxB桌面]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):upload331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>put/ceshi/123.txt/ftplocal:/ceshi/123.txtremote:/ftp227EnteringPassiveMode(192,168,159,9,220,129).150Oktosenddata.226Transfercomplete.4bytessentin0.000162secs(24.69Kbytes/sec)ftp>ls227EnteringPassiveMode(192,168,159,9,33,122).150Herecomesthedirectorylisting.-rw-r--r--10020971520Aug0904:43data.txt-rw-r--r--1000Feb0212:19data1.txt-rw-------15035034Feb0212:51ftp226DirectorysendOK.ftp>getdata1.txtlocal:data1.txtremote:data1.txt227EnteringPassiveMode(192,168,159,9,26,155).150OpeningBINARYmodedataconnectionfordata1.txt(0bytes).226Transfercomplete.ftp>mkdirfile1257"/file1"createdftp>renamefile1(to-name)file2550Permissiondenied.ftp>deletefile1550Permissiondenied.ftp>cd/etc550Failedtochangedirectory.upload用戶可以登錄FTP服務(wù)器，查看/ftp/vftp中的文件并進(jìn)行上傳、下載、新建文件夾。但登錄之后即被鎖定在ftp目錄中，無法切換到系統(tǒng)文件夾及其他目錄中，也不被允許將本地文件進(jìn)行上傳，也不可將FTP服務(wù)器中已有文件進(jìn)行重命名和刪除等操作，即upload用戶擁有登錄、上傳、下載、新建文件夾的權(quán)限。[root@linuxB桌面]#ftpConnectedto().220(vsFTPd2.2.2)Name(:root):admin331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>put/ceshi/123.txt/ftp2local:/ceshi/123.txtremote:/ftp2227EnteringPassiveMode(192,168,159,9,74,66).150Oktosenddata.226Transfercomplete.4bytessentin0.000101secs(39.60Kbytes/sec)e.admin用戶登錄及其權(quán)限測試。ftp>ls227EnteringPassiveMode(192,168,159,9,86,89).150Herecomesthedirectorylisting.-rw-r--r--10020971520Aug0904:43data.txt-rw-r--r--1000Feb0212:19data1.txtdrwx------25035034096Feb0213:02file1-rw-------15035034Feb0212:51ftp-rw-------15035034Feb0213:10ftp2226DirectorysendOK.ftp>getdata.txtlocal:data.txtremote:data.txt227EnteringPassiveMode(192,168,159,9,233,197).150OpeningBINARYmodedataconnectionfordata.txt(20971520bytes).226Transfercomplete.20971520bytesreceivedin0.153secs(137391.13Kbytes/sec)ftp>mkdirfile2257"/file2"createdftp>renamefile2(to-name)file20350ReadyforRNTO.250Renamesuccessful.ftp>deletedata1.txt250Deleteoperationsuccessful.ftp>ls227EnteringPassiveMode(192,168,159,9,197,240).150Herecomesthedirectorylisting.-rw-r--r--10020971520Aug0904:43data.txtdrwx------25035034096Feb0213:02file1drwx------25035034096Feb0213:14file20-rw-------15035034Feb0212:51ftp-rw-------15035034Feb0213:10ftp2226DirectorysendOK.admin用戶作為管理員，擁有上傳、下載、新建文件夾、刪除和更改文件及文件名的權(quán)限。⑨測試普通用戶能否登錄。

可知，普通用戶不能訪問FTP服務(wù)器，而匿名用戶可以訪問。原因是在生成pam對(duì)應(yīng)的數(shù)據(jù)庫文件時(shí)，只添加了虛擬用戶，而本地用戶不在數(shù)據(jù)庫里面，所以當(dāng)用本地用戶登錄時(shí)，就會(huì)出現(xiàn)530錯(cuò)誤，登錄失敗。[root@linuxA~]#useradduser3[r