第2章ftp服务的配置与应用.ppt

LINUX 服务器配置与应用,2,2,第02章 ftp服务器配置与管理,FTP的工作原理 VSFTPD的简介 VSFTPD的安装 VSFTPD的配置 VSFTPD服务故障实例分析 FTP客户端的使用,3,3,FTP的工作原理,FTP是目前Internet上最流行的数据传送方法之一。利用FTP协议，可以在服务器和客户机之间进行双向数据传输，而且可以一次传输一个或多个文件夹和文件。当一个网站在本地编辑完成后，一般都是通过FTP方式传送到服务器上的。,文件传输协议服务器（FTP）,1. FTP协议概述 FTP是TCP/IP的一种具体应用，FTP工作在OSI模型的第七层，TCP模型的第四层上，即应用层，FTP使用的是传输层的TCP传输而不是UDP，这样FTP客户在和服务器建立连接前就要经过一个被广为熟知的“三次握手”的过程，其意义在于客户与服务器之间的连接是可靠的，为数据的传输提供了可靠的保证。,2. 什么是FTP协议,FTP 是 TCP/IP 协议族中的一个协议，是英文File Transfer Protocol的缩写。该协议定义的是一个在远程计算机系统和本地计算机系统之间传输文件的一个标准，是Internet文件传送的基础。,3. FTP的基本工作原理,（1）打开熟知端口（端口号为21），使客户进程能连接上； （2）等待客户进程发起连接建立请求； （3）启动从属进程来处理客户进程发来的请求。从属进程对客户进程的请求处理完毕后即终止，但从属进程在运行期间根据需要还可能创建其他一些子进程。 （4）回到等待状态，继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地进行。,4. FTP用户授权,FTP地址如下： ftp:/用户名：密码FTP服务器IP或域名：FTP命令端口/路径/文件名 上面的参数除了FTP服务器IP（或域名）为必要项外，其他项都是可有可无的。如以下地址都是有效FTP地址： ftp:/ftp.whpu.edu.cn ftp:/lb:123456 ftp.whpu.edu.cn ftp:/ lb:123456 ftp.whpu.edu.cn ftp:/lb:123456 ftp.whpu.edu.cn:2003/soft/demo.doc,互连网中大多数FTP 服务器都支持“匿名”（Anonymous）登录。这类服务器的目的是向公众提供文件拷贝服务，不要求用户事先在该服务器进行登记注册，也不用取得FTP服务器的授权。,5. FTP的传输模式,（1）ASCII传输方式 （2）二进制传输模式,Linux环境下的FTP服务器,1. Wu-ftpd 2. ProFTPD 3. vsftpd,12,12,VSFTPD的简介,vsFTPd是目前Linux最好的FTP服务器工具之一，其中的vs就是“Very Secure”(很安全)的缩写，它的最大优点就是安全。,13,13,VSFTPD的简介,VSFTP的优点 体积小 93K Apr 23 2004 vsftpd-1.2.1-3.i386.rpm 可定制强 可配置各种应用类型，匿名、虚拟、独立等。 效率高 在百兆网络里经过测试可达80多兆的传输速率。 安全性好 安全选项比较多，且自身安全性较好。,FTP服务器的启动与配置,1. FTP服务器的安装与启动 在进行DNS服务器配置之前，首先要检查系统中是否安装了BIND域名服务器，检查的方法可使用下面的命令： # rpm qa | grep vsftpd 如未安装vsftpd，则可以使用下面的命令安装： # rpm ivh vsftpd-2.0.5-16.el5_4.1.i386.rpm,6.2.3 FTP服务器的启动与配置,可使用下面的命令来进行BIND域名服务器的启动和停止。 # service vsftpd start # service vsftpd stop # service vsftpd restart 下面的命令是用来检查vsftpd是否被启动： # pstree | grep vsftpd,16,16,VSFTPD的配置,VSFTPD的重要文件和目录 /etc/rc.d/init.d/vsftpd 启动脚本 /etc/vsftpd/ftpusers 配置文件(禁止用户列表) /etc/vsftpd.user_list 配置文件(同上) /etc/vsftpd/vsftpd.conf 主配置文件 /usr/sbin/vsftpd 守候进程 /usr/share/doc/vsftpd-1.2.1 文档目录 /var/ftp/pub 匿名FTP目录,2. vsftpd的默认配置文件,#是否允许匿名ftp,如否则选择NO anonymous_enable=YES # 是否允许本地用户登录 local_enable=YES # 是否开放本地用户的写权限 write_enable=YES # 设置本地用户的文件的掩码是022,默认值是077 local_umask=022 #是否允许匿名用户上传文件 #anon_upload_enable=YES # # 是否允许匿名用户创建新的文件夹,2. vsftpd的默认配置文件,#anon_mkdir_write_enable=YES # # 是否显示目录说明文件,默认是YES但需要手工创建.message文件 dirmessage_enable=YES # # 激活上传下载日志 xferlog_enable=YES # # 启用FTP数据端口的连接请求(ftp-data). connect_from_port_20=YES #,2. vsftpd的默认配置文件,# 是否改变上传文件的属主,如果是需要输入一个系统用户名,可以把上传的文件都改成root属主 #chown_uploads=YES #chown_username=whoever # # 传输日志的路径和名字默认是/var/log/vsftpd.log #xferlog_file=/var/log/vsftpd.log # # 是否使用标准的ftp xferlog模式 xferlog_std_format=YES # #设置默认的断开不活跃session的时间 #idle_session_timeout=600 #,2. vsftpd的默认配置文件,# 设置数据传输超时时间 #data_connection_timeout=120 #运行vsftpd需要的非特权系统用户默认是nobody #nopriv_user=ftpsecure # 是否使用ascii码方式上传和下载文件 #ascii_upload_enable=YES #ascii_download_enable=YES # 定制欢迎信息 #ftpd_banner=Welcome to blah FTP service. # # 是否允许禁止匿名用户使用某些邮件地址，如果是，输入禁止的邮件地址的路径和文件名 #deny_email_enable=YES #banned_email_file=/etc/vsftpd.banned_emails #,2. vsftpd的默认配置文件,#是否将系统用户限止在自己的home目录下,如果选择了yes那么chroot_list_file=/etc/vsftpd/chroot_list中列出的是不chroot的用户的列表 #chroot_list_enable=YES #chroot_list_file=/etc/vsftpd/chroot_list # 设置PAM认证服务的配置文件名称，该文件存放在/etc/pam.d/目录下 pam_service_name=vsftpd #由于默认情况下userlist_deny=YES,所以/etc/vsftpd.user_list文件中 #所列出的用户不允许访问vsftpd服务器。 userlist_enable=YES #使vsftpd处于独立启动模式 listen=YES #使用tcp_wrappers作为主机的访问控制方式 tcp_wrappers=YES,22,22,VSFTPD配置实例一,配置一个高安全级别的匿名服务器 配置要求： 仅仅允许匿名用户访问 不允许本地用户访问 关闭所有写权限 不允许匿名用户上传 设置匿名用户最大传输速率 配置每个主机的最大连接数 设置最大并发连接数 配置安全日志,23,23,VSFTPD配置实例一,编辑/etc/vsftpd/vsftpd.conf # vi /etc/vsftpd/vsftpd.conf anonymous_enable=YES local_enable=NO write_enable=NO local_umask=022 anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO anon_world_readable_only=YES anon_max_rate=50000 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES ftpd_banner=Welcome to my anonymous FTP service. pam_service_name=vsftpd userlist_enable=YES listen=YES tcp_wrappers=YES,24,24,VSFTPD配置实例一,启动VSFTPD服务 # service vsftpd start 测试VSFTPD服务 # ftp localhost Connected to gdlc-gongguan. 220 Welcome to my anonymous FTP service. 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (localhost:root): root 530 This FTP server is anonymous only. Login failed.拒绝本地用户认证,25,25,VSFTPD配置实例一,测试VSFTPD服务 ftp user anonymous 匿名用户登陆 331 Please specify the password. Password: 匿名用户口令 230 Login successful. ftp pwd 当前路径 257 “/“ ftp ls 227 Entering Passive Mode (127,0,0,1,97,158) 150 Here comes the directory listing. drwxr-xr-x 2 0 0 4096 Apr 06 2004 pub 226 Directory send OK. ftp mkdir test 尝试新建目录 550 Permission denied. 操作不被允许 ftp cd pub 改变目录 250 Directory successfully changed. ftp ls 目录可读，文件可浏览 227 Entering Passive Mode (127,0,0,1,71,151) 150 Here comes the directory listing. -rw-r-r- 1 0 0 0 Mar 25 01:07 mytest 226 Directory send OK.,26,26,FTP客户端的使用,Linux下命令行方式使用 #ftp 192.168.2.202 使用格式 Connected to 192.168.2.202. 220 (vsFTPd 1.2.1) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (192.168.2.202:root): admin 登陆用户名 331 Please specify the password. Password： 登陆密码 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files.,27,27,FTP客户端的使用,Linux下命令行方式使用 ftp ? Commands may be abbreviated. Commands are: ! cr mdir proxy send $ delete mget sendport site account debug mkdir put size append dir mls pwd status ascii disconnect mode quit struct bell form modtime quote system binary get mput recv sunique bye glob newer reget tenex case hash nmap rstatus trace ccc help nlist rhelp type cd idle ntrans rename user cdup image open reset umask chmod lcd passive restart verbose clear ls private rmdir ? close macdef prompt runique cprotect mdelete protect safe ftp,28,28,FTP客户端的使用,Linux下命令行方式使用 ftp ? ls ls list contents of remote directory ftp ? ! ! escape to the shell ftp ? mget mget get multiple files ftp ? chmod chmod change file permissions of remote file ftp ? put put send one file ftp ? mput mput send multiple files ftp ? rmdir rmdir remove directory on the remote machine,29,29,FTP客户端的使用,Windows下的FTP客户端软件 CuteFTP pro 6.0 LeapFTP 2.75 用IE 直接访问,30,30,VSFTPD配置实例二,配置带流量控制和性能控制的高安全服务器 配置要求： 允许本地用户和匿名用户访问 允许本地用户写 不允许匿名用户上传 配置安全日志 设置本地用户chroot 设置最大传输速率 设置客户端连接时的端口范围 设置最大并发连接数及每个主机的最大连接数 设置空闲用户会话的中断时间 设置空闲的数据连接的中断时间 设置客户端空闲时的自动中断和激活连接的时间,31,31,VSFTPD配置实例二,编辑/etc/vsftpd/vsftpd.conf # vi /etc/vsftpd/vsftpd.conf anonymous_enable=YES local_enable=YES write_enable=YES local_umask=022 anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO anon_world_readable_only=YES dirmessage_enable=YES connect_from_port_20=YES xferlog_enable=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES ftpd_banner=Welcome to my anonymous FTP service.,32,32,VSFTPD配置实例二,pam_service_name=vsftpd userlist_enable=YES listen=YES tcp_wrappers=YES chroot_local_user=YES local_max_rate=200000 anon_max_rate=50000 pasv_min_port=40000 pasv_max_port=50000 max_clients=200 max_per_ip=2 idle_session_timeout=300 data_connection_timeout=120 accept_timeout=60 connect_timeout=60,33,33,VSFTPD配置实例二,重启FTP服务 # service vsftpd restart 测试 # ftp 127.0.0.1 分别用匿名用户和本地用户登陆,34,34,课后作业：实验一,配置一个高安全级别的匿名FTP服务器 实现功能： 1、仅仅允许匿名用户访问 2、不允许本地用户访问 3、关闭所有写权限,不允许匿名用户上传 4、设置匿名用户最大传输速率 5、设置最大并发连接数,配置每个主机的最大连接数,35,35,课后作业：实验二,配置带流量控制和性能控制的高安全服务器 配置要求： 允许本地用户和匿名用户访问 允许本地用户写 不允许匿名用户上传 配置安全日志 设置本地用户chroot 设置最大传输速率 设置客户端连接时的端口范围 设置最大并发连接数及每个主机的最大连接数 设置空闲用户会话的中断时间 设置空闲的数据连接的中断时间 设置客户端空闲时的自动中断和激活连接的时间,