《linux服務(wù)器配置與管理》課件06-任務(wù)六 FTP 服務(wù)的配置與管理

任務(wù)六：FTP服務(wù)的配置與管理6.1任務(wù)資訊

6.1.1任務(wù)描述1.公司現(xiàn)有多個(gè)部門多個(gè)員工，因工作需要，只允許ftpuser1和ftpuser2這兩個(gè)虛擬用戶具有FTP服務(wù)器的上傳和下載管理，其他用戶只具有瀏覽和下載功能。在CentOS7.4系統(tǒng)字符界面服務(wù)器上實(shí)現(xiàn)。2.在Ubuntu18.04系統(tǒng)字符界面界面配置FTP服務(wù)。6.1.2任務(wù)目標(biāo)

6.2決策指導(dǎo)圖6-1客戶—服務(wù)器（C/S）模型6.3制定計(jì)劃6.3.1配置NFS軟件源具體配置方法可以參考任務(wù)四里的4.3節(jié)內(nèi)容。6.3.2如何實(shí)現(xiàn)情境需要項(xiàng)目實(shí)施情境安裝配置管理vsftp查詢是否安裝命令rpm–qa|grepvsftpdrpm-qlvsftpd安裝命令yuminstallvsftpd-yrpm-ivhvsftpd檢驗(yàn)是否工作命令systemctlstatusvsftpd配置文件目錄vim/etc/vsftpd/vsftpd.conf配置文件詳細(xì)解釋anonymous_enable=NOchroot_local_user=YESallow_writeable_chroot=YESpasv_enable=YESpasv_min_port=25000pasv_max_port=35000優(yōu)化過程systemctlstartvsftpd.servicesystemctlenablevsftpd.service卸載命令yumremovevsftpdapt-getremovevsftpd6.4任務(wù)實(shí)施6.4.1CentOS7.4系統(tǒng)配置FTP服務(wù)2.字符界面配置服務(wù)；在可以聯(lián)網(wǎng)的機(jī)器上使用yum工具安裝，如果未聯(lián)網(wǎng)，則掛載系統(tǒng)光盤進(jìn)行安裝。

yum-yinstallvsftpdftpvsftpd #FTP服務(wù)的主要安裝程序ftp #客戶端軟件，主要提供FTP服務(wù)的登錄服務(wù)開機(jī)默認(rèn)選項(xiàng)FTP服務(wù)器安裝完畢，會生成配置文件目錄/etc/vsftpd/vsftpd.conf。/etc/vsftpd/vsftpd.conf#vsftpd的核心配置文件。

3.生成虛擬用戶口令庫文件#生成虛擬用戶口令庫文件，按照格式編輯口令文件。單數(shù)行為用戶名，偶數(shù)行為用戶口令vilogin.txtftpuser1#用戶名123456#口令ftpuser2#用戶名123456#口令Guest#用戶名Guest#口令:x#存盤退出4.配置生成vsftpd的認(rèn)證文件#使用db_load命令生成口令庫文件db_load–T–thash–flogin.txt/etc/vsftpd/vsftpd_login.db#修改該口令庫文件的權(quán)限chmod600/etc/vsftpd/vsftpd_login.db#編輯虛擬用戶所需的PAM配置文件vi/etc/pam.d/vsftpd#在該文件中加入如下兩行，并且保存后退出authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login.dbaccountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login.db

5.建立虛擬用戶訪問所需要的目錄并且設(shè)定相應(yīng)的訪問權(quán)限useradd–d/home/ftpvirtualchmod700/home/ftp6.對vsftpd的主配置文件進(jìn)行配置#為了保證安全，首先生成該文件的一個(gè)備份，然后進(jìn)行修改cp/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bakvi/etc/vsftpd/vsftpd.conf#配置相關(guān)選項(xiàng)如下所示listen=YEStcp_wrappers=YES//支持tcp_wrappers,限制訪問(/etc/hosts.allow,/etc/hosts.deny)listen=YES的意思是使用standalone啟動vsftpd，而不是superdaemon(xinetd)控制它(vsftpd推薦使用standalone方式)anonymous_enable=NOlocal_enable=YES#PAM方式此處必須為YESwrite_enable=NOanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOchroot_local_user=YESguest_enable=YESguest_username=vsftpd#采用虛擬用戶形式6.4.2

在Ubuntu18.04系統(tǒng)配置FTP服務(wù)1、安裝vsftpdcxg@lcxg:~$sudoaptinstallvsftpd2、啟動服務(wù),如圖6-2所示。cxg@lcxg:~$sudosystemctlstartvsftpd #初始情況下服務(wù)自動開啟，如被禁用可手動開啟服務(wù)cxg@lcxg:~$sudosystemctlenablevsftpd #下次開機(jī)時(shí)能夠自動開啟服務(wù)servicevsftpdstatus#servicevsftpdstart #chkconfig--level35vsftpdon

接下來，如果你在服務(wù)器上啟用了UFW防火墻（默認(rèn)情況下UFW不啟用），則需要打開FTP守護(hù)進(jìn)程端口20和21允許從遠(yuǎn)程機(jī)器訪問FTP服務(wù)，添加新的防火墻規(guī)則，如果禁用了UFW，則跳過以下操作。 $sudoufwallow20/tcp #允許20端口 $sudoufwallow21/tcp #允許20端口 $sudoufwstatus #查看UFW狀態(tài)圖6-2啟動vsftp服務(wù)3、創(chuàng)建用戶（可用已有用戶登錄）cxg@lcxg:~$sudouseradd-mftpuser

4、配置ftp修改ftp配置建議備份之前的默認(rèn)配置，如圖6-3所示。 cxg@lcxg:~$sudovi/etc/vsftpd.conf圖6-3ftp備份之前的默認(rèn)配置默認(rèn)情況下，出于安全原因，VSFTPD不允許chroot目錄具有可寫權(quán)限。增加本行配置可以改變這個(gè)設(shè)置。警告：設(shè)置選項(xiàng)allow_writeable_chroot=YES是很危險(xiǎn)的，特別是如果用戶具有上傳權(quán)限，或者可以shell訪問的時(shí)候，很可能會出現(xiàn)安全問題。只有當(dāng)你確切的知道你在做什么的時(shí)候，才可以使用這個(gè)選項(xiàng)。我們需要注意，這些安全問題不僅會影響到VSFTPD，也會影響讓本地用戶進(jìn)入chroot環(huán)境的FTPdaemon。6、查看ftp狀態(tài)，如果開啟失敗，可能是21端口沒開，如圖6-4所示。cxg@lcxg:~$sudoservicevsftpdstatus#查看狀態(tài)圖6-4查看ftp狀態(tài)6.5任務(wù)檢查6.5.1在CentOS7.4系統(tǒng)按指定要求配置ftp服務(wù)1.在虛擬主機(jī)CentOS中安裝配置vsftpd服務(wù)器必須的包，不允許匿名用戶登錄，用戶連接服務(wù)器后顯示信息為“WelcometoblahFTPservice”。2.設(shè)置用戶端空閑5分鐘后自動中斷連接，并在中斷連接1分鐘后自動激活連接；設(shè)置客戶端連接時(shí)的端口范圍在50000和60000之間，以提高了系統(tǒng)的安全性。3.建立2個(gè)本地用戶：schema、cookie，密碼與用戶名同名，在根目錄下建立與兩個(gè)用戶同名的目錄。本地用戶schema、cookie只能登錄到對應(yīng)的/schema、/cookie目錄，不能切換到指定目錄以外的目錄。4.限制最多3個(gè)用戶登錄ftp服務(wù)，并設(shè)置開機(jī)自動加載該服務(wù)。[注：來自2018年江蘇省職業(yè)學(xué)校信息技術(shù)類技能大賽網(wǎng)絡(luò)組建與管理競賽樣題][root@localhost~]#vim/etc/vsftpd/vsftpd.conf#12行anonymous_enable=no#不允許匿名用戶登陸60行idle_session_timeout=60#會話連接超時(shí)86行ftpd_banner=WelcometoblahFTPservice#FTP服務(wù)器歡迎信息100行chroot_local_user=YES#允許本地用戶登陸最后插入allow_writeable_chroot=yes#允許本地用戶寫入accept_timeout=300#空閑連接超時(shí)pasv_enable=yes#FTP服務(wù)被動連接打開pasv_min_port=50000#連接最小端口pasv_max_port=60000#連接最大端口max_clients=3#登陸FTP服務(wù)器用戶數(shù)圖6-5ftp服務(wù)驗(yàn)證結(jié)果6.5.2在Ubuntu18.04中測試VSFTP服務(wù)器現(xiàn)在，我們通過使用下面展示的useradd命令創(chuàng)建一個(gè)FTP用戶來測試FTP服務(wù)器：$sudouseradd-d/home/cxg-s/bin/bashcxg$sudopasswdcxg然后，我們需要像下面這樣使用echo命令和tee命令來明確地列出文件/etc/vsftpd.userlist中的用戶cxg：$echo"cxg"|sudotee-a/etc/vsftpd.userlist$cat/etc/vsftpd.userlist現(xiàn)在，是時(shí)候來測試上面的配置是否具有我們想要的功能了。我們首先測試匿名登錄；我們可以從下面的輸出中很清楚的看到，在這個(gè)FTP服務(wù)器中是不允許匿名登錄的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:cxg):anonymous530Permissiondenied.Loginfailed.ftp>bye接下來，我們將測試，如果用戶的名字沒有在文件/etc/vsftpd.userlist中，是否能夠登錄。從下面的輸出中，我們看到，這是不可以的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:root):user1530Permissiondenied.Loginfailed.ftp>bye221Goodbye.現(xiàn)在，我們將進(jìn)行最后一項(xiàng)測試，來確定列在文件/etc/vsftpd.userlist文件中的用戶登錄以后，是否實(shí)際處于home目錄。從下面的輸出中可知，是這樣的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:cxg):cxg331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls6.6評估評價(jià)評價(jià)指標(biāo)及評價(jià)內(nèi)容★★★★★★評價(jià)方式基本操作20分安裝VM并