Linux系統(tǒng)管理及應(yīng)用項目式教程（RHEL9CentOSStream9）（微課版）（第2版） 課件 項目13 配置FTP服務(wù)器（第2版）

項目十三

配置FTP服務(wù)器在Linux系統(tǒng)中，使用互聯(lián)網(wǎng)中的yum倉庫安裝或升級軟件能自動處理軟件間的依賴關(guān)系，省時、省力，提高工作效率。但是在生產(chǎn)環(huán)境中，出于安全方面的考慮，不允許內(nèi)部計算機與外網(wǎng)連接，因此無法使用互聯(lián)網(wǎng)中的yum倉?庫。為了便于給公司內(nèi)部的Linux主機安裝軟件，大路安排小喬在內(nèi)網(wǎng)中配置一臺基于FTP的私有yum倉庫服務(wù)器。小喬在公司工作已有較長一段時間，對自己的學(xué)習(xí)能力和技術(shù)水平信心滿滿，她迫不及待地想借這次機會大顯身?手。了解FTP的工作原?理掌握FTP服務(wù)器的安裝和配置學(xué)會使用FTP客戶端訪問服務(wù)?器1了解FTP服務(wù)器的工作原理2安裝與配置FTP服務(wù)器13.1了解FTP服務(wù)器的工作原理13.1.1認識FTPFTP是用于在網(wǎng)絡(luò)上進行文件傳輸?shù)膮f(xié)議。FTP服務(wù)器是基于FTP在網(wǎng)絡(luò)中提供文件存儲和訪問服務(wù)的服務(wù)器。無論是個人還是企業(yè)，都可以搭建FTP服務(wù)器，用來上傳、下載和共享文件。如果用戶需要將文件從本機發(fā)送到FTP服務(wù)器，可以使用FTP上傳；反之，用戶可以從FTP服務(wù)器上將文件下載到本?機。13.1.2熟悉FTP的工作原理FTP采用客戶端/服務(wù)器架構(gòu)，用戶通過FTP客戶端程序連接到FTP服務(wù)器，實現(xiàn)文件傳?輸。

一個完整的FTP文件傳輸過程需要建立兩種類型的連接：控制連接：用于在服務(wù)器與客戶端之間傳輸控制信息，如用戶標識、口令等；數(shù)據(jù)連接：用于實際傳輸文件數(shù)?據(jù)。13.1.3掌握FTP的數(shù)據(jù)傳輸模式數(shù)據(jù)傳輸模式分為兩種：主動模式（PORT模式）和被動模式（PASV模式）。主動模式被動模式13.1.4了解FTP服務(wù)器的用戶FTP服務(wù)器默認提供3類用戶，不同類型的用戶有不同的訪問權(quán)限和操作功?能。1．匿名用戶

如果FTP服務(wù)器提供匿名訪問功能，則匿名用戶可以匿名訪問服務(wù)器上的某些公開資源。匿名用戶訪問FTP服務(wù)器時，使用anonymous或ftp賬號及任意口令登錄。2．本地用戶

本地用戶在FTP服務(wù)器上擁有shell登錄賬號，即本地用戶是在/etc/passwd文件中的用戶。當(dāng)該類用戶訪問FTP服務(wù)器上的資源時，可以通過自己的賬號和口令授權(quán)登錄。13.1.4了解FTP服務(wù)器的用戶3．虛擬用戶

虛擬用戶是指擁有訪問FTP服務(wù)器上的資源的專用賬號用戶，該類用戶并不能使用shell登錄FTP服務(wù)器。由于虛擬用戶并非系統(tǒng)中真實存在的用戶，僅供FTP服務(wù)器認證使用，因此，F(xiàn)TP服務(wù)器通過這種方式來保障服務(wù)器上其他文件的安全。

基于以上3類用戶，F(xiàn)TP服務(wù)器提供3種不同的工作模?式。1了解FTP服務(wù)器的工作原理2安裝與配置FTP服務(wù)器13.2安裝與配置FTP服務(wù)器13.2安裝與配置FTP服務(wù)器vsftpd是一款免費、開源的FTP服務(wù)器軟件。在Linux虛擬機中安裝vsftpd，并使用vsftpd配置FTP服務(wù)器。

FTP服務(wù)器的基本配置參數(shù)如下。節(jié)點主機名IP地址/子網(wǎng)掩碼位數(shù)網(wǎng)絡(luò)工作模式Ftp/24NAT模式13.2.1安裝vsftpd軟件包1．配置本地yum倉庫在Linux虛擬機中配置本地yum倉庫。2．安裝vsftpd軟件包yuminstall-yvsftpd3．啟動vsftpd服務(wù)，并設(shè)置為開機啟動systemctlstartvsftpdsystemctlenablevsftpd13.2.2熟悉vsftpd配置文件與配置FTP服務(wù)器相關(guān)的vsftpd配置文件如下表所?示。文件名說明/etc/vsftpd/vsftpd.conf主配置文件/etc/vsftpd/ftpusers黑名單，禁止登錄FTP服務(wù)器的用戶列表/etc/vsftpd/user_list登錄控制用戶列表，禁止或允許登錄FTP服務(wù)器的用戶列表/etc/vsftpd/chroot_list限制/排除名單，控制用戶能否切換到自己的FTP根目錄之外13.2.2熟悉vsftpd配置文件1．主配置文件vsftpd的主配置文件是/etc/vsftpd/vsftpd.conf，可對用戶登錄控制、用戶權(quán)限控制、超時設(shè)置、服務(wù)器的功能和性能選項等進行配置。主配置文件以#作為注釋符?號。anonymous_enable=No

#關(guān)閉匿名用戶登錄local_enable=YES #開啟本地用戶登錄write_enable=YES #允許寫入local_umask=022 #設(shè)置本地用戶所創(chuàng)建的文件的umask值為022dirmessage_enable=YES #激活消息目錄xferlog_enable=YES #是否啟用日志connect_from_port_20=YES #主動模式端口為20xferlog_std_format=YES #將日志格式設(shè)置為標準格式listen=NO #不可同時將listen與listen_ipv6的值設(shè)置為YESlisten_ipv6=YES #允許IPv4或IPv6客戶端的連接pam_service_name=vsftpd #PAM（可插拔認證）服務(wù)的名稱為vsftpduserlist_enable=YES #允許用戶列表生效13.2.2熟悉vsftpd配置文件2．黑名單/etc/vsftpd/ftpusers文件是一個用戶列表，所列出的用戶都不能登錄FTP服務(wù)器，因此該文件相當(dāng)于登錄FTP服務(wù)器的黑名單。如果FTP服務(wù)器要拒絕某個用戶登錄，將該用戶的用戶名添加到ftpusers文件中即可。默認情況下，root用戶包含在該文件?中。3．登錄控制用戶列表/etc/vsftpd/user_list是登錄控制用戶列表，該文件用于控制“只允許”或“拒絕”在user_list文件中列出的用戶登錄FTP服務(wù)?器。13.2.2熟悉vsftpd配置文件4．限制/排除名單/etc/vsftpd/chroot_list文件可以作為限制/排除名單使用，控制本地用戶能否切換到FTP根目錄之?外。如果作為限制名單，則該名單中的用戶只能在FTP根目錄中活動。如果作為排除名單，則該名單中的用戶不受活動限制，不僅能進入FTP根目錄，還能切換到服務(wù)器上FTP根目錄之外的其他目錄?中。13.2.3配置匿名用戶模式FTP服務(wù)器使用匿名用戶模式的FTP服務(wù)器一般用于分享一些不重要的文件，比如軟件安裝包等。在實際生產(chǎn)環(huán)境中，匿名用戶模式下一般只允許用戶下載文件，本任務(wù)中也將在該模式下配置上傳文件、創(chuàng)建目錄等功?能。1．關(guān)閉SELinux安全子系統(tǒng)setenforce0sed-i's/^SELINUX=.*/SELINUX=disabled/'/etc/selinux/config2．安裝vsftpd軟件包yuminstall-yvsftpd13.2.3配置匿名用戶模式FTP服務(wù)器3．配置vsftpd編輯主配置文件/etc/vsftpd/vsftpd.conf，使vsftpd支持匿名訪問，開啟匿名用戶下載文件、上傳文件、刪除與重命名文件、創(chuàng)建目錄等功?能。找到anonymous_enable參數(shù)并將其值修改為YES。anonymous_enable=YES #將anonymous_enable修改為YES（默認值是NO），允許匿名訪問在該文件中添加以下3行代碼（注意等號兩側(cè)不要有空格）。anon_upload_enable=YES

#允許匿名用戶上傳文件anon_mkdir_write_enable=YES #允許匿名用戶創(chuàng)建目錄anon_other_write_enable=YES #允許匿名用戶有其他的寫權(quán)限，如刪除和重命名文件13.2.3配置匿名用戶模式FTP服務(wù)器4．配置/var/ftp/pub目錄權(quán)限需要修改/var/ftp/pub目錄的所有者為ftp用戶，使匿名用戶對pub子目錄擁有寫權(quán)限，以便上傳文?件。chownftp/var/ftp/pub5．在FTP根目錄中創(chuàng)建測試文件匿名用戶的默認FTP根目錄是/var/ftp/，下面在此目錄中創(chuàng)建測試文件welcome.txt。13.2.3配置匿名用戶模式FTP服務(wù)器6．設(shè)置防火墻配置防火墻，放行FTP服?務(wù)。firewall-cmd--permanent--add-service=ftpfirewall-cmd--reload7．啟動vsftpd服務(wù)，并確認vsftpd服務(wù)是否正常運?行systemctlstartvsftpdsystemctlenablevsftpdss-ntlp|grepvsftpd13.2.4訪問FTP服務(wù)器

無論是使用Windows系統(tǒng)還是Linux系統(tǒng)的計算機，都能作為客戶端訪問FTP服務(wù)?器。1．使用Windows客戶端訪問FTP服務(wù)器13.2.4訪問FTP服務(wù)器2．使用Linux客戶端訪問FTP服務(wù)器ftp命令是常用的FTP客戶端工具，使用ftp命令在Linux客戶端中訪問FTP服務(wù)?器。使用ftp命令登錄服務(wù)器的命令格式如?下。ftp[主機名|IP地址]13.2.5配置本地用戶模式FTP服務(wù)器本地用戶模式FTP服務(wù)器通過Linux系統(tǒng)本地的賬號、密碼進行認證，相較匿名用戶模式更安?全。下面在Linux虛擬機中安裝vsftpd，并使用vsftpd配置一臺本地用戶模式的FTP服務(wù)器，其主要參數(shù)配置如?下。（1）FTP服務(wù)器的兩個管理賬號分別為Linux本地用戶user1和user2。（2）FTP服務(wù)器僅允許Linux本地用戶user1和user2登錄，禁止匿名用戶登?錄。（3）設(shè)置FTP服務(wù)器的根目錄為/var/www。（4）登錄FTP服務(wù)器的用戶不能切換到FTP根目錄之外，即使用chroot功能將本地用戶user1和user2限制在/var/www目錄?中。13.2.5配置本地用戶模式FTP服務(wù)器1．關(guān)閉SELinux安全子系統(tǒng)setenforce0sed-i's/^SELINUX=.*/SELINUX=disabled/'/etc/selinux/config2．創(chuàng)建本地用戶useradd-s/sbin/nologinuser1useradd-s/sbin/nologinuser2echo123456|passwd--stdinuser1echo123456|passwd--stdinuser2向/etc/shells文件末尾添加以下代?碼。/sbin/nologin13.2.5配置本地用戶模式FTP服務(wù)器3．創(chuàng)建FTP根目錄mkdir-p/var/wwwchmod-Ro+w/var/wwwls-ld/var/www4．安裝vsftpd軟件包yuminstall-yvsftpd13.2.5配置本地用戶模式FTP服務(wù)器5．配置vsftpd編輯(1)主配置文件/etc/vsftpd/vsftpd.conf#禁用匿名用戶模式（第12行）anonymous_enable=NO#檢查是否啟用本地用戶模式，默認值為YES（第15行）local_enable=YES#檢查是否允許本地用戶寫入，默認值為YES（第18行）write_enable=YES#設(shè)置本地用戶的FTP根目錄為/var/www（添加下面一行配置）local_root=/var/www#啟用本地用戶的chroot功能，禁止本地用戶切換到FTP根目錄外（去掉第100行前面的#）chroot_local_user=YES#對用戶開放FTP根目錄的寫權(quán)限allow_writeable_chroot=YES#檢查是否啟用user_list文件，默認值為YES（第126行）userlist_enable=YES#設(shè)置只允許user_list文件中列出的用戶登錄（在文件中添加以下配置）userlist_deny=NO13.2.5配置本地用戶模式FTP服務(wù)器5．配置vsftpd編輯(2)編輯登錄控制用戶列表文件/etc/vsftpd/user_list，將user1和user2添加到/etc/vsftpd/user_list文件中。6．設(shè)置防火墻firewall-cmd--permanent--add-service=ftpfirewall-cmd--reload7．啟動vsftpd服務(wù)，并確認vsftpd服務(wù)是否正常運?行systemctlstartvsftpdsystemctlenablevsftpdss-ntlp|grepvsftpd8．使用Linux客戶端測試FTP服務(wù)器1任務(wù)13-1需求分析與規(guī)劃2任務(wù)13-2安裝與配置基于FTP的私有yum倉庫服務(wù)器3任務(wù)13-3在客戶端中配置私有yum倉庫服務(wù)器項目實施任務(wù)13-1需求分析與規(guī)劃任務(wù)13-1需求分析與規(guī)劃本項目實施要在公司內(nèi)網(wǎng)（子網(wǎng)IP地址為/24）中配置一臺基于FTP的私有yum倉庫服務(wù)器，在服務(wù)器中存放rpm文件，通過FTP服務(wù)將其共享給內(nèi)網(wǎng)中的計算?機。任務(wù)13-1需求分析與規(guī)劃在項目實施中，需要使用兩臺Linux虛擬機。使用一臺最小安裝的RHEL9.2虛擬機搭建FTP服務(wù)器，向網(wǎng)絡(luò)中的其他Linux主機共享yum倉庫中的rpm文件，以另一臺虛擬機作為客戶端。將所有虛擬機的網(wǎng)絡(luò)工作模式都設(shè)置為NAT模式。虛擬機節(jié)點的規(guī)劃如表所?示。FTP服務(wù)器采用匿名用戶模式，基本的參數(shù)配置如?下。（1）配置FTP服務(wù)器根目錄為/opt/repos。（2）匿名用戶僅可下載FTP服務(wù)器上的文件，不允許進行上傳文件、刪除文件等操?作。（3）服務(wù)器的/opt/repos目錄中存放BaseOS和AppStream安裝源存儲庫相關(guān)文?件。主機名IP地址/子網(wǎng)掩碼位數(shù)網(wǎng)絡(luò)工作模式說明Repo/24NAT模式基于FTP的yum倉庫服務(wù)器Node13/24NAT模式客戶端任務(wù)13-2安裝與配置基于FTP的私有yum倉庫服務(wù)器任務(wù)13-2安裝與配置基于FTP的私有yum倉庫服