《Linux服務(wù)器配置與管理》課件項(xiàng)目8 FTP服務(wù)器配置與管理

【項(xiàng)目描述】公司為方便內(nèi)部信息的交流，需要一臺FTP服務(wù)器實(shí)現(xiàn)公司內(nèi)部文件的上傳下載功能。同時，公司的Web服務(wù)器也要借助FTP服務(wù)來實(shí)現(xiàn)網(wǎng)站資源的更新。本項(xiàng)目中我們來完成FTP服務(wù)器的配置與管理任務(wù)。【學(xué)習(xí)目標(biāo)】（1）了解FTP服務(wù)器在網(wǎng)絡(luò)中的作用。（2）掌握FTP服務(wù)器的安裝過程。（3）掌握匿名訪問FTP服務(wù)器的配置方法。（4）掌握具名訪問FTP服務(wù)器的配置方法。（5）掌握FTP服務(wù)器的安全管理方法。預(yù)備知識認(rèn)識FTP服務(wù)器FTP的工作原理以HTTP為基礎(chǔ)的WWW服務(wù)功能雖然強(qiáng)大，但對于文件傳輸來說卻略顯不足。一種專門用于文件傳輸?shù)腇TP服務(wù)應(yīng)運(yùn)而生。FTP（FileTransferProtocol）即文件傳輸協(xié)議，F(xiàn)TP服務(wù)是用于文件傳輸?shù)姆?wù)，相對于WWW服務(wù)，具有更高的可靠性和效率。FTP極大簡化了文件傳輸?shù)膹?fù)雜性，能夠使文件通過網(wǎng)絡(luò)從一臺主機(jī)傳送到另一臺主機(jī)卻不受計算機(jī)和操作系統(tǒng)類型的限制。無論是PC、服務(wù)器、大型機(jī)，還是Linux、Windows操作系統(tǒng)，只要雙方都支持FTP協(xié)議，就可以方便、可靠地進(jìn)行文件的傳送。FTP的工作原理FTP服務(wù)的具體工作過程如圖所示。FTP的傳輸模式1）主動傳輸模式在主動傳輸模式下，F(xiàn)TP客戶端隨機(jī)開啟一個大于1024的端口（1024+X）向服務(wù)器的21號端口發(fā)起連接，然后開放(1024+X+1)號端口進(jìn)行監(jiān)聽，并向服務(wù)器發(fā)出“PORT1024+X+1”命令。服務(wù)器接收到命令后，會用其本地的FTP數(shù)據(jù)端口（通常是20）來連接客戶端指定的端口(1024+X+1)，進(jìn)行數(shù)據(jù)傳輸。FTP的傳輸模式2）被動傳輸模式在被動傳輸模式下，F(xiàn)TP客戶端隨機(jī)開啟一個大于1024的端口（1024+X）向服務(wù)器的21號端口發(fā)起連接，同時會開啟（1024+X+1）號端口，然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動模式。服務(wù)器收到命令后，會開放一個大于1024的端口（1024+Y）進(jìn)行監(jiān)聽，然后用“PORT1024+Y”命令通知客戶端，自己的數(shù)據(jù)端口是1024+Y?？蛻舳私邮盏矫詈?，會通過（1024+X+1）號端口連接服務(wù)器的1024+Y端口，然后在兩個端口之間進(jìn)行數(shù)據(jù)傳輸。任務(wù)一安裝FTP服務(wù)器任務(wù)提出要想使FTP服務(wù)器順利運(yùn)行，首先需要安裝好所需要的軟件包。本次任務(wù)主要安裝FTP服務(wù)器所需要的軟件包vsftpd。任務(wù)分析FTP可以通過很多軟件實(shí)現(xiàn)，linux中最常用的FTP服務(wù)器軟件是vsftpd。vsftpd是一個基于GPL發(fā)布的FTP服務(wù)器軟件。其中的vs是“VerySecure”的縮寫，由此名稱縮寫可以看出，該服務(wù)器的初衷就是服務(wù)的安全性。RHEL7.3中的vsftpd主程序軟件包是vsftpd-3.0.2-21.el7.x86_64.rpm，我們需要安裝此軟件包。任務(wù)實(shí)施——查看系統(tǒng)中是否已經(jīng)安裝vsftpd軟件包如果主程序包沒有安裝，則需要安裝主程序包。任務(wù)實(shí)施——安裝主程序包步驟1掛載光盤。任務(wù)實(shí)施——安裝主程序包步驟2使用YUM安裝軟件包。任務(wù)總結(jié)本次任務(wù)主要完成了FTP服務(wù)器軟件的安裝。由于使用了YUM工具，在安裝過程中所依賴的軟件包都會自動安裝，使我們的安裝過程輕松了很多。同步訓(xùn)練檢查當(dāng)前系統(tǒng)中是否安裝了vsftpd的軟件包，如果沒有，請安裝此軟件包。任務(wù)二配置匿名訪問FTP服務(wù)器任務(wù)提出公司部門內(nèi)部搭建一臺FTP服務(wù)器，采用的IP地址為00，允許部門員工匿名訪問上傳和下載文件。任務(wù)分析vsftpd服務(wù)器的配置文件為/etc/vsftpd/vsftpd.conf。與匿名用戶有關(guān)的常用配置選項(xiàng)有：（1）anonymous_enable：該項(xiàng)設(shè)置為yes時，表示啟用匿名用戶。（2）anon_mkdir_write_enable：該項(xiàng)設(shè)置為yes時，表示匿名用戶可以在一個具備寫權(quán)限的目錄中創(chuàng)建新目錄。（3）anon_upload_enable：該項(xiàng)設(shè)置為yes時，表示匿名用戶可以向具備寫權(quán)限的目錄中上傳文件。所謂匿名訪問，并不是不需要用戶名，而是所有用戶共用同一個用戶名，該用戶名為ftp或anonymous。匿名訪問時默認(rèn)使用的目錄是/var/ftp/pub目錄。任務(wù)實(shí)施步驟1修改配置文件/etc/vsftpd/vsftpd.conf。任務(wù)實(shí)施步驟2啟動服務(wù)。任務(wù)實(shí)施步驟3測試。所有匿名用戶默認(rèn)使用/var/ftp/pub目錄存放文件。我們在此目錄中創(chuàng)建一個測試文件，用于文件下載測試。任務(wù)實(shí)施步驟3測試。1）在Windows資源管理器進(jìn)行測試打開Windows資源管理器，在地址欄中輸入00，即可登錄FTP服務(wù)器，看到共享文件夾pub，任務(wù)實(shí)施步驟3測試。1）在Windows命令行中測試任務(wù)總結(jié)在此任務(wù)中，我們配置FTP服務(wù)器使其可以提供匿名用戶上傳和下載文件的功能，并在Windows的資源管理器和命令行界面進(jìn)行了測試。同步訓(xùn)練配置自己的FTP服務(wù)器實(shí)現(xiàn)匿名用戶上傳和下載文件的功能，并進(jìn)行測試。任務(wù)三配置具名訪問FTP服務(wù)器任務(wù)提出公司的FTP服務(wù)器在運(yùn)行了一段時間后發(fā)現(xiàn)讓用戶匿名訪問非常不安全，用戶無法管理自己的文件，經(jīng)常有文件被其他用戶誤刪除的情況，還存在用戶上傳病毒和木馬程序的風(fēng)險。因此，公司決定將FTP服務(wù)器配置成需要用戶名和密碼登錄才能訪問的具名訪問的形式。為測試該功能，我們創(chuàng)建了user123用戶，使其能登錄并訪問FTP服務(wù)器。任務(wù)分析在vsftpd中只要將匿名訪問的功能關(guān)閉，具名訪問的功能就開啟了。因此，我們只需要將【任務(wù)二】中所有匿名訪問的功能全部關(guān)閉即可。在具名訪問過程中，需要用戶具有自己的用戶名和密碼才能登錄到vsftpd服務(wù)器。FTP服務(wù)使用系統(tǒng)賬戶作為自己的用戶賬戶，也即登錄FTP服務(wù)器的用戶必須在Linux系統(tǒng)中具有一個賬戶。而我們在很多時候只想讓用戶登錄FTP服務(wù)器，并不想讓用戶登錄Linux系統(tǒng)。為此，我們在創(chuàng)建用戶賬戶時，可以將用戶的Shell設(shè)置為/sbin/nologin，這樣用戶就無法利用該賬戶登錄Linux系統(tǒng)了。用戶用自己的賬戶登錄FTP服務(wù)器后，會直接進(jìn)入自己的家目錄，在自己家目錄中上傳的文件，不會被其他用戶刪除。任務(wù)實(shí)施步驟1修改配置文件，將原有的匿名登錄功能關(guān)閉。anonymous_enable=NO#此處必須寫NO,加注釋也不能關(guān)閉匿名訪問功能#anon_upload_enable=YES#此行前加上注釋即可#anon_mkdir_write_enable=YES

#此行前加上注釋即可anon_other_write_enable=YES

#此行刪掉或加上注釋任務(wù)實(shí)施步驟2創(chuàng)建登錄FTP服務(wù)器的賬戶。任務(wù)實(shí)施步驟3重啟服務(wù)。任務(wù)實(shí)施步驟4測試服務(wù)。在Windows命令行進(jìn)行測試。任務(wù)總結(jié)本次任務(wù)中，我們配置了FTP服務(wù)器的具名訪問，用戶通過輸入自己的賬戶和密碼登錄到FTP服務(wù)器，進(jìn)入自己的家目錄中，實(shí)現(xiàn)對自己文件的管理，保證了文件的安全性。同步訓(xùn)練公司內(nèi)部的Web服務(wù)器和FTP服務(wù)器在同一臺服務(wù)器上?，F(xiàn)在想通過FTP服務(wù)器來維護(hù)Web服務(wù)器的網(wǎng)站，實(shí)現(xiàn)網(wǎng)站內(nèi)容的更新。請配置FTP服務(wù)器實(shí)現(xiàn)該功能。任務(wù)四FTP服務(wù)器訪問控制任務(wù)提出為了提高公司FTP服務(wù)器的安全性，需要禁止用戶user111訪問FTP服務(wù)器，且所有用戶都只能訪問其家目錄下的文件，不能訪問家目錄以外的文件。請配置這兩項(xiàng)訪問控制功能。任務(wù)分析——用戶登錄限制在配置文件中，userlist_enable和userlist_deny兩個選項(xiàng)用來控制用戶登錄vsftpd服務(wù)器。當(dāng)userlist_enable=YES時，userlist_deny的設(shè)置才生效。userlist_deny使用/etc/vsftpd/user_list文件來控制用戶的登錄訪問。userlist_deny=YES時,user_list文件中列出的用戶都不能登錄vsftpd服務(wù)器；userlist_deny=NO時，只有user_list文件中列出的用戶才能登錄vsftpd服務(wù)器。任務(wù)分析——用戶訪問目錄限制配置文件中chroot_local_user和chroot_list_enable選項(xiàng)可以實(shí)現(xiàn)限制用戶只能訪問其家目錄以下的目錄的功能。當(dāng)chroot_local_user=YES時，啟用“限定用戶只能訪問其家目錄下的目錄”功能。此時當(dāng)chroot_list_enable=YES時，不在chroot_list_file后面定義的文件中列出的用戶都被啟用該功能，而在此文件中的用戶不啟用該功能。當(dāng)chroot_list_enable=NO時,在chroot_list_file后面定義的文件中列出的用戶都啟用該功能，而不在此文件中的用戶不啟用該功能。任務(wù)實(shí)施——用戶登錄限制步驟1修改配置文件。userlist_enable=YES#此行在配置文件里默認(rèn)已經(jīng)存在，位于文件末尾userlist_deny=YES#此行是文件的默認(rèn)選項(xiàng)，不寫也可以userlist_file=/etc/vsftpd/user_list#此行需要添加上，指定哪些用戶禁止登錄任務(wù)實(shí)施——用戶登錄限制步驟2重啟服務(wù)。任務(wù)實(shí)施——用戶登錄限制步驟3測試。（1）創(chuàng)建user111用戶。任務(wù)實(shí)施——用戶登錄限制步驟3測試。（2）將user111加入/etc/vsftpd/user_list文件中。任務(wù)實(shí)施——用戶登錄限制步驟3測試。（3）使用user111登錄ftp服務(wù)器，會提示登錄失敗。任務(wù)實(shí)施——用戶訪問目錄限制步驟1修改配置文件。chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list#去掉以上三行前面的注釋符“#”allow_writeable_chroot=YES#添加此行，否則在登錄時會報錯任務(wù)實(shí)施——用戶訪問目錄限制步驟2創(chuàng)建chroot