| 導購 | 订阅 | 在线投稿
分享
 
 
 

用Linux系統構建高效FTP服務器

來源:互聯網網民  2008-10-13 23:46:04  評論

在衆多網絡應用中,FTP(文件傳輸協議)有著非常重要的地位。Internet中一個十分重要的資源就是軟件資源,而各種各樣的軟件資源大多數都放在FTP服務器中。與大多數Internet服務一樣,FTP也是一個客戶機/服務器系統。用戶通過一個支持FTP協議的客戶機程序,連接到主機上的FTP服務器程序。用戶通過客戶機程序向服務器程序發出命令,服務器程序執行用戶發出的命令,並將執行結果返回給客戶機。

FTP服務可以根據服務對象的不同分爲兩類:系統FTP服務器只允許系統上的合法用戶使用;匿名FTP服務器(Anonymous FTP Server)允許任何人登錄到FTP服務器去獲取文件。

FTP的數據傳輸模式針對FTP數據連接而言,分爲主動傳輸模式、被動傳輸模式和單端口傳輸模式三種。

1.主動傳輸模式

當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發出PORT命令與服務器進行協商,FTP服務器使用一個標准端口20作爲服務器端的數據連接端口(ftp-data),與客戶建立數據連接。端口20只用于連接源地址是服務器端的情況,並且端口20沒有監聽進程來監聽客戶請求。

在主動傳輸模式下,FTP的數據連接和控制連接方向相反,由服務器向客戶端發起一個用于數據傳輸的連接。客戶端的連接端口由服務器端和客戶端通過協商確定。

2.被動傳輸模式

當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發送PASV命令使服務器處于被動傳輸模式,FTP服務器等待客戶與其聯系。FTP服務器在非20端口的其它數據傳輸端口上監聽客戶請求。

在被動傳輸模式下,FTP的數據連接和控制連接方向一致,由客戶端向服務器發起一個用于數據傳輸的連接。客戶端的連接端口是發起該數據連接請求時使用的端口。當FTP客戶在防火牆之外訪問FTP服務器時,需要使用被動傳輸模式。

3.單端口模式

除上述兩種模式之外,還有一種單端口模式。該模式的數據連接請求由FTP服務器發起。使用該傳輸模式時,客戶端的控制連接端口和數據連接端口一致。因爲這種模式無法在短時間連續輸入數據、傳輸命令,因此並不常用。

Linux下有很多可用的FTP服務器,其中比較流行的有WU-FTP(Washington University FTP)和VSFTP。Red Hat 8.0中自帶了WU-FTP和VSFTP兩個軟件。WU-FTP是一個著名的FTP服務器軟件,它功能強大,能夠很好地運行于衆多Unix操作系統中。不過作爲後起之秀的VSFTP越來越流行,在Red Hat 9.0發行版中就只帶有VSFTP。

VSFTP中VS的意思是「Very Secure」。從名稱可以看出,從一開始,軟件的編寫者就非常注重其安全性。除與生俱來的安全性外,VSFTP還具有高速、穩定的性能特點。在穩定性方面,VSFTP可以在單機(非集群)上支持4000個以上的並發用戶同時連接。據ftp.redhat.com的數據,VSFTP最多可以支持15000個並發用戶。

快速構建FTP服務器

FTP服務器實現的基本功能是上傳下載,下面就分幾個步驟來搭建一個可以實現下載功能的簡易FTP服務器。

1.安裝FTP服務器

如果在安裝系統時沒有選擇安裝FTP服務器,可以通過Red Hat 9.0中的「添加/刪除應用程序」工具進行安裝。具體方法是,選擇「主選單」→「系統設置」→「添加/刪除應用程序」,在彈出的界面中選中FTP服務器,單擊「更新」即可。

如果無法確認是否安裝了該軟件,可以使用以下命令查看:

#rpm -qagrep vsftpd

vsftpd-1.1.3-8

2.啓動FTP服務器

套用Red Hat 9.0的預設範例直接啓動VSFTP。

# /sbin/service vsftpd start

爲vsftpd啓動vsftpd: [確定]

3.在/var/ftp/pub目錄下創建一個名爲test.txt的文件,文件內容爲「This is a test file」。

4.測試

使用FTP客戶端登錄到本地服務器,然後以匿名身份(anonymous)登錄:

# ftp 127.0.0.1

Connected to 127.0.0.1 (127.0.0.1).

220 (vsFTPd 1.1.3)

Name (127.0.0.1:root): anonymous

331 Please specify the password.

Password:

230 Login successful. Have fun.

Remote system type is UNIX.

Using binary mode to transfer files.

這樣就成功地登錄到FTP服務器。可以顯示服務器目錄列表如下:

ftp> ls

227 Entering Passive Mode (127,0,0,1,63,15)

150 Here comes the directory listing.

drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub

226 Directory send OK.

切換到pub目錄下,並顯示目錄內容,可以找到剛才創建的文件test.txt:

ftp> cd pub

250 Directory successfully changed.

ftp> ls

227 Entering Passive Mode (127,0,0,1,232,34)

150 Here comes the directory listing.

-rw-r--r-- 1 0 0 21 Dec 04 01:35 test.txt

226 Directory send OK.

下載test.txt文件:

ftp> mget test.txt

mget test.txt? y

227 Entering Passive Mode (127,0,0,1,186,210)

150 Opening BINARY mode data connection for test.txt (21 bytes).

226 File send OK.

21 bytes received in 0.0108 secs (1.9 Kbytes/sec)

查看本機目錄內容,可以看到test.txt已成功下載到本機。

ftp> !ls

a EIO_Binders initrd mnt proc tftpboot ylg.txt

bin etc lib mymnt root tmp

boot home lost+found myshare sbin usr

dev id_dsas.pub misc opt test.txt var

嘗試上傳名爲ylg.txt的文件,可以看到請求被拒絕了。

ftp> put ylg.txt

local: ylg.txt remote: ylg.txt

227 Entering Passive Mode (127,0,0,1,243,10)

550 Permission denied.

退出登錄:

ftp> bye

221 Goodbye.

由測試可以看出,已經可以下載文件,但不能上傳文件(也不能在服務器上創建目錄和文件)。實際上這是一個專門提供下載服務的匿名FTP服務器。

從上面的步驟可以看出,並不需要做什麽配置就可以完成一個簡易FTP服務器的架設。這是因爲Red Hat已經配置好一個缺省的FTP服務器。不過在實際應用中,大部分情況下這個簡易的服務器並不能滿足需求。

進一步配置FTP服務器

下面將創建一個能夠滿足常用需求的FTP服務器。實際應用中,FTP服務器一般要同時提供上傳和下載功能。此外,出于安全考慮,還需要有用戶身份驗證、用戶權限設置及空間管理等。下面就來搭建這樣一個FTP服務器。

1.創建歡迎語。如果希望使用者在進入目錄時,能夠看到歡迎語或對本目錄的介紹,可以通過以下方法來實現。

確定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES,默認情況下,Red Hat 9.0有此設置。接著,在目錄中新增名爲.message的文件。本例在/home/ylg目錄下創建一個.message文件,其內容爲「歡迎來到我的FTP站點」。

2.更換FTP服務器的默認端口。將預設的21端口改爲2121,這樣做是基于安全的考慮。更改方法爲,使用vi打開/etc/vsftpd/vsftpd.conf:

#vi /etc/vsftpd/vsftpd.conf

在文件最後增加如下一行內容:

listen_port=2121

3.取消anonymous登錄的功能。在vsftpd.conf文件中找到如下一行,並將其值改爲「NO」:

anonymous_enable=YES

4.設定使用者不得更改目錄。這樣做的目的也是基于安全性的考慮。一般情況下,使用者的預設目錄爲/home/username。若是不希望使用者在登錄後能夠切換至上一層目錄/home,則可通過以下設置來實現。在/etc/vsftpd/vsftpd.conf文件中找到以下三行內容:

#chroot_list_enable=YES

# (default follows)

#chroot_list_file=/etc/vsftpd.chroot_list

將其改爲:

chroot_list_enable=YES

# (default follows)

chroot_list_file=/etc/vsftpd/chroot_list

新增一個文件/etc/vsftpd/chroot_list,文件內容爲兩個用戶名:

ylg

user1

5.針對不同的使用者限制不同的速度。假設用戶ylg所能使用的最高速度爲500Kb/s,用戶user1所能使用的最高速度爲250Kb/s,可以通過以下方法設置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行:

user_config_dir=/etc/vsftpd/userconf

增加一個名爲/etc/vsftpd/userconf的目錄:

#mkdir /etc/vsftpd/userconf

在/etc/vsftpd/userconf下新增一個名爲ylg的文件,其內容如下所示:

local_max_rate=500000

在/etc/vsftpd/userconf目錄下新增一個名爲user1的文件,其內容如下所示:

local_max_rate=250000

VSFTP對于速度的限制範圍大概在80%到120%之間,也就是限制最高速度爲100Kb/s,但實際的速度可能在80Kb/s到120Kb/s之間。如果頻寬不足,數值會低于此限制。

6.對于每一個聯機用戶,都以獨立的進程來運行。一般情況下,在啓動VSFTP時,只會看到一個名爲vsftpd的進程在運行。但若是讀者希望每一個聯機用戶都能以獨立的進程來呈現,則可通過在/etc/vsftpd/vsftpd.conf文件中增加以下一行來實現:

setproctitle_enable=YES

7.保存/etc/vsftpd/vsftpd.conf文件,然後重新啓動vsftpd:

#service vsftpd restart

8.測試剛創建的FTP服務器。

以缺省方式登錄會被拒絕,因爲此時的默認端口號已經更改爲2121,所以登錄時需指定端口。

# ftp 127.0.0.1

ftp: connect: Connection refused

此時也不能再使用匿名方式登錄:

# ftp 127.0.0.1 2121

Connected to 127.0.0.1 (127.0.0.1).

220 (vsFTPd 1.1.3)

Name (127.0.0.1:root): anonymous

331 Please specify the password.

Password:

530 Login incorrect.

Login failed.

如果以用戶ylg則可以成功登錄(指定端口2121),並顯示歡迎信息:

# ftp 127.0.0.1 2121

Connected to 127.0.0.1 (127.0.0.1).

220 (vsFTPd 1.1.3)

Name (127.0.0.1:root): ylg

331 Please specify the password.

Password:

230-歡迎來到我的FTP站點

230 Login successful. Have fun.

Remote system type is UNIX.

Using binary mode to transfer files.

因爲在設置中設定了不能切換目錄,所以下列命令無法正確執行:

ftp> cd /home

550 Failed to change directory.

再來測試一下上傳和下載。首先下載服務器目錄中的test.txt文件:

ftp> get test.txt

local: test.txt remote: test.txt

227 Entering Passive Mode (127,0,0,1,243,215)

150 Opening BINARY mode data connection for test.txt (21 bytes).

226 File send OK.

21 bytes received in 0.00308 secs (6.7 Kbytes/sec)

可以通過!ls命令看到本機目錄中已成功下載該文件。然後上傳本機目錄中的ylg.txt文件到服務器:

ftp> put ylg.txt

local: ylg.txt remote: ylg.txt

227 Entering Passive Mode (127,0,0,1,133,248)

150 Ok to send data.

226 File receive OK.

19 bytes sent in 0.0401 secs (0.46 Kbytes/sec)

用ls命令查看服務器目錄,會發現該文件已成功上傳。

爲了測試不同連機用戶使用的是不同進程,可以使用ps -ef指令,顯示如下所示:

# ps -efgrep ftp

root 12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121

nobody 12973 12908 0 13:44 ? 00:00:00 [vsftpd]

ylg 12975 12973 0 13:44 ? 00:00:00 [vsftpd]

user1 13013 13011 0 13:46 ? 00:00:00 [vsftpd]

root 13041 13015 0 13:47 pts/4 00:00:00 grep ftp

到現在爲止,一個基本可以滿足普通使用需求的FTP服務器就已經架設完成。

在實際應用中,有時爲了增加安全性,會將FTP服務器置于防火牆之後。如本文開頭所述,被動傳輸模式適合于帶有防火牆的情況。下面就來創建一個防火牆後的FTP服務器,該服務器FTP端口爲2121,數據傳輸端口爲2020。

執行以下兩行指令,只允許2121和2020端口打開,其余端口關閉:

#iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT

#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

修改/etc/vsftpd/vsftpd.conf文件,在文本最後添加以下兩行:

listen_port=2121

ftp_data_port=2020

重新啓動vsftpd:

#service vsftpd restart

有時希望直接在/etc/hosts.allow中定義允許或拒絕某一源地址,可以通過以下配置來實現。先確保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES,Red Hat 9.0中,這是默認值。重新啓動vsftpd

#service vsftpd restart

假設提供168.192.2.1和210.31.8.1到210.31.8.254的連接,則可對/etc/hosts.allow進行如下設定:

vsftpd : 168.192.2.1 210.31.8. : allow

ALL : ALL : DENY

配置虛擬用戶FTP

上面配置的FTP服務器有一個特點,就是FTP服務器的用戶本身也是系統用戶。這顯然是一個安全隱患,因爲這些用戶不僅能夠訪問FTP,也能夠訪問其它的系統資源。如何解決這個問題呢?答案就是創建一個虛擬用戶的FTP服務器。虛擬用戶的特點是只能訪問服務器爲其提供的FTP服務,而不能訪問系統的其它資源。所以,如果想讓用戶對FTP服務器站內具有寫權限,但又不允許訪問系統其它資源,可以使用虛擬用戶來提高系統的安全性。

在VSFTP中,認證這些虛擬用戶使用的是單獨的口令庫文件(pam_userdb),由可插入認證模塊(PAM)認證。使用這種方式更加安全,並且配置更加靈活。

下面介紹配置過程。

1.生成虛擬用戶口令庫文件。爲了建立此口令庫文件,先要生成一個文本文件。該文件的格式如下,單數行爲用戶名,偶數行爲口令:

#vi account.txt

ylg

1234

zhanghong

4321

gou

5678

2.生成口令庫文件,並修改其權限:

#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db

#chmod 600 /etc/vsftpd/account.db

3.新建一個虛擬用戶的PAM文件。加上如下兩行內容:

#vi /etc/pam.d/vsftp.vu

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account

account required /lib/security/pam_userdb.so db=/etc/vsftpd/account

4.建立虛擬用戶,設置該用戶所要訪問的目錄,並設置虛擬用戶訪問的權限:

#useradd -d /ftpsite virtual_user

#chmod 700 /ftpsite

經過該步驟的設置,/ftpsite就是virtual_user用戶的主目錄,該用戶也是/ftpsite目錄的擁有者。除root用戶之外,只有該用戶具有對該目錄的讀、寫和執行的權限。

5.生成一個測試文件。先切換至virtual_user用戶身份,然後在/ftpsite目錄下創建一個文件:

#su -virtual_user

$vi /ftpsite/mytest

This is a test file.

$su - root

6.編輯/etc/vsftpd/vsftpd.conf文件,使其整個文件內容如下所示(去掉了注釋內容):

anonymous_enable=NO

local_enable=YES

local_umask=022

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

one_process_model=NO

chroot_local_user=YES

ftpd_banner=Welcom to my FTP server.

anon_world_readable_only=NO

guest_enable=YES

guest_username=virtual_user

pam_service_name=vsftp.vu

上面代碼中,guest_enable=YES表示啓用虛擬用戶;guest_username=virtual則是將虛擬用戶映射爲本地用戶,這樣虛擬用戶登錄後才能進入本地用戶virtual的目錄/ftpsite;pam_service_name=vsftp.vu指定PAM的配置文件爲vsftp.vu。

7.重新啓動VSFTP

#service vsftpd restart

8.以虛擬用戶gou(Linux中並無該賬號)進行測試:

# ftp 127.0.0.1

Connected to 127.0.0.1 (127.0.0.1).

220 Welcom to my FTP server.

Name (127.0.0.1:root): gou

331 Please specify the password.

Password:

230 Login successful. Have fun.

Remote system type is UNIX.

Using binary mode to transfer files.

測試下載服務器目錄中的一個文件mytest:

ftp> get mytest

local: mytest remote: mytest

227 Entering Passive Mode (127,0,0,1,159,19)

150 Opening BINARY mode data connection for mytest (21 bytes).

226 File send OK.

21 bytes received in 0.00038 secs (54 Kbytes/sec)

測試上傳本機目錄中的文件vsftpd.conf:

ftp> !ls

account.db chroot_list k mytest userconf vsftpd.conf

ftp> put vsftpd.conf

local: vsftpd.conf remote: vsftpd.conf

227 Entering Passive Mode (127,0,0,1,117,203)

150 Ok to send data.

226 File receive OK.

4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec)

可以看到,使用沒有系統賬號的虛擬用戶可以成功完成上傳、下載的工作。但該FTP虛擬服務器只允許虛擬用戶登錄,其它系統用戶無法登錄,如系統用戶user1不是虛擬用戶,則不能登錄該虛擬服務器。

# ftp 127.0.0.1

Connected to 127.0.0.1 (127.0.0.1).

220 Welcom to my FTP server.

Name (127.0.0.1:root): user1

331 Please specify the password.

Password:

530 Login incorrect.

Login failed.

在虛擬FTP服務器中,也可以對各個用戶的權限進行設置。方法是在/etc/vsftpd.conf文件中添加如下一行:

user_config_dir=用戶配置文件目錄

然後在用戶配置文件目錄下創建相應的用戶配置文件,比如爲上述名爲gou的用戶創建一個配置文件(假設配置文件目錄爲/etc/user_config_dir):

#vi /etc/user_config_dir/gou

write_enable=NO

anono_upload_enable=NO

重啓FTP服務器,這時再使用賬號gou來登錄,就已經沒有上傳的權限了。

 
特别声明:以上内容(如有图片或视频亦包括在内)为网络用户发布,本站仅提供信息存储服务。
 
在衆多網絡應用中,FTP(文件傳輸協議)有著非常重要的地位。Internet中一個十分重要的資源就是軟件資源,而各種各樣的軟件資源大多數都放在FTP服務器中。與大多數Internet服務一樣,FTP也是一個客戶機/服務器系統。用戶通過一個支持FTP協議的客戶機程序,連接到主機上的FTP服務器程序。用戶通過客戶機程序向服務器程序發出命令,服務器程序執行用戶發出的命令,並將執行結果返回給客戶機。 FTP服務可以根據服務對象的不同分爲兩類:系統FTP服務器只允許系統上的合法用戶使用;匿名FTP服務器(Anonymous FTP Server)允許任何人登錄到FTP服務器去獲取文件。 FTP的數據傳輸模式針對FTP數據連接而言,分爲主動傳輸模式、被動傳輸模式和單端口傳輸模式三種。 1.主動傳輸模式 當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發出PORT命令與服務器進行協商,FTP服務器使用一個標准端口20作爲服務器端的數據連接端口(ftp-data),與客戶建立數據連接。端口20只用于連接源地址是服務器端的情況,並且端口20沒有監聽進程來監聽客戶請求。 在主動傳輸模式下,FTP的數據連接和控制連接方向相反,由服務器向客戶端發起一個用于數據傳輸的連接。客戶端的連接端口由服務器端和客戶端通過協商確定。 2.被動傳輸模式 當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發送PASV命令使服務器處于被動傳輸模式,FTP服務器等待客戶與其聯系。FTP服務器在非20端口的其它數據傳輸端口上監聽客戶請求。 在被動傳輸模式下,FTP的數據連接和控制連接方向一致,由客戶端向服務器發起一個用于數據傳輸的連接。客戶端的連接端口是發起該數據連接請求時使用的端口。當FTP客戶在防火牆之外訪問FTP服務器時,需要使用被動傳輸模式。 3.單端口模式 除上述兩種模式之外,還有一種單端口模式。該模式的數據連接請求由FTP服務器發起。使用該傳輸模式時,客戶端的控制連接端口和數據連接端口一致。因爲這種模式無法在短時間連續輸入數據、傳輸命令,因此並不常用。 Linux下有很多可用的FTP服務器,其中比較流行的有WU-FTP(Washington University FTP)和VSFTP。Red Hat 8.0中自帶了WU-FTP和VSFTP兩個軟件。WU-FTP是一個著名的FTP服務器軟件,它功能強大,能夠很好地運行于衆多Unix操作系統中。不過作爲後起之秀的VSFTP越來越流行,在Red Hat 9.0發行版中就只帶有VSFTP。 VSFTP中VS的意思是「Very Secure」。從名稱可以看出,從一開始,軟件的編寫者就非常注重其安全性。除與生俱來的安全性外,VSFTP還具有高速、穩定的性能特點。在穩定性方面,VSFTP可以在單機(非集群)上支持4000個以上的並發用戶同時連接。據[url=ftp://ftp.redhat.com]ftp.redhat.com[/url]的數據,VSFTP最多可以支持15000個並發用戶。 快速構建FTP服務器 FTP服務器實現的基本功能是上傳下載,下面就分幾個步驟來搭建一個可以實現下載功能的簡易FTP服務器。 1.安裝FTP服務器 如果在安裝系統時沒有選擇安裝FTP服務器,可以通過Red Hat 9.0中的「添加/刪除應用程序」工具進行安裝。具體方法是,選擇「主選單」→「系統設置」→「添加/刪除應用程序」,在彈出的界面中選中FTP服務器,單擊「更新」即可。 如果無法確認是否安裝了該軟件,可以使用以下命令查看: #rpm -qa grep vsftpd vsftpd-1.1.3-8 2.啓動FTP服務器 套用Red Hat 9.0的預設範例直接啓動VSFTP。 # /sbin/service vsftpd start 爲vsftpd啓動vsftpd: [確定] 3.在/var/ftp/pub目錄下創建一個名爲test.txt的文件,文件內容爲「This is a test file」。 4.測試 使用FTP客戶端登錄到本地服務器,然後以匿名身份(anonymous)登錄: # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 (vsFTPd 1.1.3) Name (127.0.0.1:root): anonymous 331 Please specify the password. Password: 230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. 這樣就成功地登錄到FTP服務器。可以顯示服務器目錄列表如下: ftp> ls 227 Entering Passive Mode (127,0,0,1,63,15) 150 Here comes the directory listing. drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub 226 Directory send OK. 切換到pub目錄下,並顯示目錄內容,可以找到剛才創建的文件test.txt: ftp> cd pub 250 Directory successfully changed. ftp> ls 227 Entering Passive Mode (127,0,0,1,232,34) 150 Here comes the directory listing. -rw-r--r-- 1 0 0 21 Dec 04 01:35 test.txt 226 Directory send OK. 下載test.txt文件: ftp> mget test.txt mget test.txt? y 227 Entering Passive Mode (127,0,0,1,186,210) 150 Opening BINARY mode data connection for test.txt (21 bytes). 226 File send OK. 21 bytes received in 0.0108 secs (1.9 Kbytes/sec) 查看本機目錄內容,可以看到test.txt已成功下載到本機。 ftp> !ls a EIO_Binders initrd mnt proc tftpboot ylg.txt bin etc lib mymnt root tmp boot home lost+found myshare sbin usr dev id_dsas.pub misc opt test.txt var 嘗試上傳名爲ylg.txt的文件,可以看到請求被拒絕了。 ftp> put ylg.txt local: ylg.txt remote: ylg.txt 227 Entering Passive Mode (127,0,0,1,243,10) 550 Permission denied. 退出登錄: ftp> bye 221 Goodbye. 由測試可以看出,已經可以下載文件,但不能上傳文件(也不能在服務器上創建目錄和文件)。實際上這是一個專門提供下載服務的匿名FTP服務器。 從上面的步驟可以看出,並不需要做什麽配置就可以完成一個簡易FTP服務器的架設。這是因爲Red Hat已經配置好一個缺省的FTP服務器。不過在實際應用中,大部分情況下這個簡易的服務器並不能滿足需求。 進一步配置FTP服務器 下面將創建一個能夠滿足常用需求的FTP服務器。實際應用中,FTP服務器一般要同時提供上傳和下載功能。此外,出于安全考慮,還需要有用戶身份驗證、用戶權限設置及空間管理等。下面就來搭建這樣一個FTP服務器。 1.創建歡迎語。如果希望使用者在進入目錄時,能夠看到歡迎語或對本目錄的介紹,可以通過以下方法來實現。 確定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES,默認情況下,Red Hat 9.0有此設置。接著,在目錄中新增名爲.message的文件。本例在/home/ylg目錄下創建一個.message文件,其內容爲「歡迎來到我的FTP站點」。 2.更換FTP服務器的默認端口。將預設的21端口改爲2121,這樣做是基于安全的考慮。更改方法爲,使用vi打開/etc/vsftpd/vsftpd.conf: #vi /etc/vsftpd/vsftpd.conf 在文件最後增加如下一行內容: listen_port=2121 3.取消anonymous登錄的功能。在vsftpd.conf文件中找到如下一行,並將其值改爲「NO」: anonymous_enable=YES 4.設定使用者不得更改目錄。這樣做的目的也是基于安全性的考慮。一般情況下,使用者的預設目錄爲/home/username。若是不希望使用者在登錄後能夠切換至上一層目錄/home,則可通過以下設置來實現。在/etc/vsftpd/vsftpd.conf文件中找到以下三行內容: #chroot_list_enable=YES # (default follows) #chroot_list_file=/etc/vsftpd.chroot_list 將其改爲: chroot_list_enable=YES # (default follows) chroot_list_file=/etc/vsftpd/chroot_list 新增一個文件/etc/vsftpd/chroot_list,文件內容爲兩個用戶名: ylg user1 5.針對不同的使用者限制不同的速度。假設用戶ylg所能使用的最高速度爲500Kb/s,用戶user1所能使用的最高速度爲250Kb/s,可以通過以下方法設置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行: user_config_dir=/etc/vsftpd/userconf 增加一個名爲/etc/vsftpd/userconf的目錄: #mkdir /etc/vsftpd/userconf 在/etc/vsftpd/userconf下新增一個名爲ylg的文件,其內容如下所示: local_max_rate=500000 在/etc/vsftpd/userconf目錄下新增一個名爲user1的文件,其內容如下所示: local_max_rate=250000 VSFTP對于速度的限制範圍大概在80%到120%之間,也就是限制最高速度爲100Kb/s,但實際的速度可能在80Kb/s到120Kb/s之間。如果頻寬不足,數值會低于此限制。 6.對于每一個聯機用戶,都以獨立的進程來運行。一般情況下,在啓動VSFTP時,只會看到一個名爲vsftpd的進程在運行。但若是讀者希望每一個聯機用戶都能以獨立的進程來呈現,則可通過在/etc/vsftpd/vsftpd.conf文件中增加以下一行來實現: setproctitle_enable=YES 7.保存/etc/vsftpd/vsftpd.conf文件,然後重新啓動vsftpd: #service vsftpd restart 8.測試剛創建的FTP服務器。 以缺省方式登錄會被拒絕,因爲此時的默認端口號已經更改爲2121,所以登錄時需指定端口。 # ftp 127.0.0.1 ftp: connect: Connection refused 此時也不能再使用匿名方式登錄: # ftp 127.0.0.1 2121 Connected to 127.0.0.1 (127.0.0.1). 220 (vsFTPd 1.1.3) Name (127.0.0.1:root): anonymous 331 Please specify the password. Password: 530 Login incorrect. Login failed. 如果以用戶ylg則可以成功登錄(指定端口2121),並顯示歡迎信息: # ftp 127.0.0.1 2121 Connected to 127.0.0.1 (127.0.0.1). 220 (vsFTPd 1.1.3) Name (127.0.0.1:root): ylg 331 Please specify the password. Password: 230-歡迎來到我的FTP站點 230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. 因爲在設置中設定了不能切換目錄,所以下列命令無法正確執行: ftp> cd /home 550 Failed to change directory. 再來測試一下上傳和下載。首先下載服務器目錄中的test.txt文件: ftp> get test.txt local: test.txt remote: test.txt 227 Entering Passive Mode (127,0,0,1,243,215) 150 Opening BINARY mode data connection for test.txt (21 bytes). 226 File send OK. 21 bytes received in 0.00308 secs (6.7 Kbytes/sec) 可以通過!ls命令看到本機目錄中已成功下載該文件。然後上傳本機目錄中的ylg.txt文件到服務器: ftp> put ylg.txt local: ylg.txt remote: ylg.txt 227 Entering Passive Mode (127,0,0,1,133,248) 150 Ok to send data. 226 File receive OK. 19 bytes sent in 0.0401 secs (0.46 Kbytes/sec) 用ls命令查看服務器目錄,會發現該文件已成功上傳。 爲了測試不同連機用戶使用的是不同進程,可以使用ps -ef指令,顯示如下所示: # ps -ef grep ftp root 12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121 nobody 12973 12908 0 13:44 ? 00:00:00 [vsftpd] ylg 12975 12973 0 13:44 ? 00:00:00 [vsftpd] user1 13013 13011 0 13:46 ? 00:00:00 [vsftpd] root 13041 13015 0 13:47 pts/4 00:00:00 grep ftp 到現在爲止,一個基本可以滿足普通使用需求的FTP服務器就已經架設完成。 在實際應用中,有時爲了增加安全性,會將FTP服務器置于防火牆之後。如本文開頭所述,被動傳輸模式適合于帶有防火牆的情況。下面就來創建一個防火牆後的FTP服務器,該服務器FTP端口爲2121,數據傳輸端口爲2020。 執行以下兩行指令,只允許2121和2020端口打開,其余端口關閉: #iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT #iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset 修改/etc/vsftpd/vsftpd.conf文件,在文本最後添加以下兩行: listen_port=2121 ftp_data_port=2020 重新啓動vsftpd: #service vsftpd restart 有時希望直接在/etc/hosts.allow中定義允許或拒絕某一源地址,可以通過以下配置來實現。先確保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES,Red Hat 9.0中,這是默認值。重新啓動vsftpd #service vsftpd restart 假設提供168.192.2.1和210.31.8.1到210.31.8.254的連接,則可對/etc/hosts.allow進行如下設定: vsftpd : 168.192.2.1 210.31.8. : allow ALL : ALL : DENY 配置虛擬用戶FTP 上面配置的FTP服務器有一個特點,就是FTP服務器的用戶本身也是系統用戶。這顯然是一個安全隱患,因爲這些用戶不僅能夠訪問FTP,也能夠訪問其它的系統資源。如何解決這個問題呢?答案就是創建一個虛擬用戶的FTP服務器。虛擬用戶的特點是只能訪問服務器爲其提供的FTP服務,而不能訪問系統的其它資源。所以,如果想讓用戶對FTP服務器站內具有寫權限,但又不允許訪問系統其它資源,可以使用虛擬用戶來提高系統的安全性。 在VSFTP中,認證這些虛擬用戶使用的是單獨的口令庫文件(pam_userdb),由可插入認證模塊(PAM)認證。使用這種方式更加安全,並且配置更加靈活。 下面介紹配置過程。 1.生成虛擬用戶口令庫文件。爲了建立此口令庫文件,先要生成一個文本文件。該文件的格式如下,單數行爲用戶名,偶數行爲口令: #vi account.txt ylg 1234 zhanghong 4321 gou 5678 2.生成口令庫文件,並修改其權限: #db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db #chmod 600 /etc/vsftpd/account.db 3.新建一個虛擬用戶的PAM文件。加上如下兩行內容: #vi /etc/pam.d/vsftp.vu auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account account required /lib/security/pam_userdb.so db=/etc/vsftpd/account 4.建立虛擬用戶,設置該用戶所要訪問的目錄,並設置虛擬用戶訪問的權限: #useradd -d /ftpsite virtual_user #chmod 700 /ftpsite 經過該步驟的設置,/ftpsite就是virtual_user用戶的主目錄,該用戶也是/ftpsite目錄的擁有者。除root用戶之外,只有該用戶具有對該目錄的讀、寫和執行的權限。 5.生成一個測試文件。先切換至virtual_user用戶身份,然後在/ftpsite目錄下創建一個文件: #su -virtual_user $vi /ftpsite/mytest This is a test file. $su - root 6.編輯/etc/vsftpd/vsftpd.conf文件,使其整個文件內容如下所示(去掉了注釋內容): anonymous_enable=NO local_enable=YES local_umask=022 xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=YES write_enable=YES anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES one_process_model=NO chroot_local_user=YES ftpd_banner=Welcom to my FTP server. anon_world_readable_only=NO guest_enable=YES guest_username=virtual_user pam_service_name=vsftp.vu 上面代碼中,guest_enable=YES表示啓用虛擬用戶;guest_username=virtual則是將虛擬用戶映射爲本地用戶,這樣虛擬用戶登錄後才能進入本地用戶virtual的目錄/ftpsite;pam_service_name=vsftp.vu指定PAM的配置文件爲vsftp.vu。 7.重新啓動VSFTP #service vsftpd restart 8.以虛擬用戶gou(Linux中並無該賬號)進行測試: # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 Welcom to my FTP server. Name (127.0.0.1:root): gou 331 Please specify the password. Password: 230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. 測試下載服務器目錄中的一個文件mytest: ftp> get mytest local: mytest remote: mytest 227 Entering Passive Mode (127,0,0,1,159,19) 150 Opening BINARY mode data connection for mytest (21 bytes). 226 File send OK. 21 bytes received in 0.00038 secs (54 Kbytes/sec) 測試上傳本機目錄中的文件vsftpd.conf: ftp> !ls account.db chroot_list k mytest userconf vsftpd.conf ftp> put vsftpd.conf local: vsftpd.conf remote: vsftpd.conf 227 Entering Passive Mode (127,0,0,1,117,203) 150 Ok to send data. 226 File receive OK. 4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec) 可以看到,使用沒有系統賬號的虛擬用戶可以成功完成上傳、下載的工作。但該FTP虛擬服務器只允許虛擬用戶登錄,其它系統用戶無法登錄,如系統用戶user1不是虛擬用戶,則不能登錄該虛擬服務器。 # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 Welcom to my FTP server. Name (127.0.0.1:root): user1 331 Please specify the password. Password: 530 Login incorrect. Login failed. 在虛擬FTP服務器中,也可以對各個用戶的權限進行設置。方法是在/etc/vsftpd.conf文件中添加如下一行: user_config_dir=用戶配置文件目錄 然後在用戶配置文件目錄下創建相應的用戶配置文件,比如爲上述名爲gou的用戶創建一個配置文件(假設配置文件目錄爲/etc/user_config_dir): #vi /etc/user_config_dir/gou write_enable=NO anono_upload_enable=NO 重啓FTP服務器,這時再使用賬號gou來登錄,就已經沒有上傳的權限了。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有