第9章 FTP服務(wù)器配置與安全管理

單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,單擊此處編輯母版標(biāo)題樣式,*,第,9,章,FTP,服務(wù)器配置與安全管理,9.1 FTP,服務(wù)概述,1,FTP,協(xié)議簡介,互聯(lián)網(wǎng)文件傳輸協(xié)議（,FTP,）標(biāo)準(zhǔn)是在,RFC959,中說明的。該協(xié)議定義了一個在遠(yuǎn)程計算機(jī)系統(tǒng)和本地計算機(jī)系統(tǒng)之間傳輸文件的標(biāo)準(zhǔn)。,FTP,是,TCP/IP,的一種具體應(yīng)用，其工作在,OSI,模型的第七層，,TCP,模型的第四層上，即應(yīng)用層。使用,TCP,傳輸而不是,UDP,，這樣,FTP,客戶在和服務(wù)器建立連接前就要經(jīng)過“三次握手”的過程，它的意義在于客戶與服務(wù)器之間的連接是可靠的，而且是面向連接，為數(shù)據(jù)的傳輸提供了可靠的保證，用戶不必?fù)?dān)心數(shù)據(jù)傳輸?shù)目煽啃浴?FTP,主要有如下作用：,從客戶向服務(wù)器發(fā)送一個文件；,從服務(wù)器向客戶發(fā)送一個文件；,從服務(wù)器向客戶發(fā)送文件或目錄列表。,9.1 FTP,服務(wù)概述,FTP,服務(wù)需要使用兩個端口：一個是控制連接端口（默認(rèn)是,21,號端口），專用于在客戶機(jī)與服務(wù)器之間傳遞指令；另一個是數(shù)據(jù)傳輸端口（端口號的選擇依賴于控制連接上的命令），專用于在客戶機(jī)與服務(wù)器之間建立數(shù)據(jù)傳輸通道，上傳下載數(shù)據(jù)。,FTP,的連接模式有兩種：主動模式和被動模式，這里都是相對于服務(wù)器而言的。,圖,9-1,主動模式的連接過程,圖,9-2,被動模式的連接過程,9.1 FTP,服務(wù)概述,3,FTP,的常用命令,表,9-1 FTP,常用命令說明,命,令,說,明,ascii,設(shè)定以,ASCII,方式傳送文件（缺省值）,binary,設(shè)定以二進(jìn)制方式傳送文件,cd,改變當(dāng)前遠(yuǎn)端主機(jī)的工作目錄,缺省轉(zhuǎn)到當(dāng)前用戶的,HOME,目錄,cdup,或,cd.,將當(dāng)前遠(yuǎn)端主機(jī)的工作目錄切換到上一級父目錄,chmod,改變遠(yuǎn)端主機(jī)的文件權(quán)限,close,終止遠(yuǎn)端的,FTP,進(jìn)程,返回到,FTP,命令狀態(tài),delete,刪除遠(yuǎn)端主機(jī)中的文件,get remote-file local-file,或：,recv remote-file local-file,從遠(yuǎn)端主機(jī)中的文件傳送至本地主機(jī)中,lcd,改變當(dāng)前本地主機(jī)的工作目錄，缺省轉(zhuǎn)到當(dāng)前用戶的,HOME,目錄,ls remote-directory local-file,或：,dir remote-directory local-file,列出當(dāng)前遠(yuǎn)端主機(jī)目錄中的文件，并將結(jié)果寫至本地文件,mdelete remote-files,刪除一批文件,9.1 FTP,服務(wù)概述,3,FTP,的常用命令,續(xù)表,命,令,說,明,mget remote-files,從遠(yuǎn)端主機(jī)接收一批文件至本地主機(jī),mkdir directory-name,在遠(yuǎn)端主機(jī)中建立目錄,mput local-files,將本地主機(jī)中一批文件傳送至遠(yuǎn)端主機(jī),open host port,重新建立一個新的連接,prompt,打開,/,關(guān)閉交互提示模式,put local-file remote-file,或：,send local-file remote-file,將本地一個文件傳送至遠(yuǎn)端主機(jī)中,pwd,列出當(dāng)前遠(yuǎn)端主機(jī)的工作目錄,quit,或,bye,終止主機(jī),FTP,進(jìn)程，并退出,FTP,管理方式,rename from to,改變遠(yuǎn)端主機(jī)中的文件名,rmdir directory-name,刪除遠(yuǎn)端主機(jī)中的目錄,status,顯示當(dāng)前,FTP,的狀態(tài),system,顯示遠(yuǎn)端主機(jī)系統(tǒng)類型,user username password account,重新以其他的用戶名登錄遠(yuǎn)端主機(jī),?,或,help command,提供關(guān)于所有命令或某個命令的幫助,!shell command,在客戶機(jī)上執(zhí)行所用的,SHELL,命令,9.1 FTP,服務(wù)概述,4,FTP,服務(wù)器軟件,流行的,FTP,服務(wù)器軟件有很多種，在,Linux,環(huán)境下常用的有：,（,1,）,wu-ftpd,Unix,系統(tǒng)早期流行的匿名自由（免費的,GNU,軟件）,FTP,服務(wù)器軟件。運(yùn)行穩(wěn)定，效率高，在,Red Hat Linux AS 4,之前，,Red Hat Linux,一直都將,wu-ftp,作為默認(rèn)安裝的服務(wù)器軟件包。但安全漏洞也很多，因此被逐漸替換掉。,（,2,）,proftpd,著重強(qiáng)調(diào),FTP,服務(wù)器的功能。在配置文件和安全性方面有了很大改進(jìn)。,proftpd,使用類似,Apache,配置文件的格式，在一個獨立的配置文件中配置虛擬域以及配置目錄的訪問權(quán)限，也可以使用一個外部文件,.ftpaccess,分別控制各個子目錄。,（,3,）,vsftpd,目前最安全、穩(wěn)定和高效的,FTP,服務(wù)器，綜合性能最為優(yōu)秀。,9.1 FTP,服務(wù)概述,5,vsftpd,支持的用戶類型,（,1,）匿名用戶,匿名用戶使用的登錄用戶名為,anonymous,或者,ftp,，,（,2,）本地用戶,本地用戶是在,FTP,服務(wù)器上擁有賬號的非匿名用戶，該類用戶直接使用自己的賬號和口令進(jìn)行授權(quán)登錄。,（,3,）虛擬用戶,vsftpd,支持使用虛擬帳號替代本地用戶帳號來增強(qiáng)系統(tǒng)的安全性。,虛擬用戶特別采用單獨的文件保存用戶賬號，與系統(tǒng)帳號（,passwd/shadow,）相分離，這大大增加了系統(tǒng)的安全性。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,9.2.1,安裝,1,準(zhǔn)備工作,2,安裝,3,了解軟件包安裝的文件,用命令“,rpm-ql vsftpd,”可以查詢到,vsftpd,軟件包所生成的文件。主要有：,/etc/pam.d/vsftpd,：,vsftpd,用戶的,pam,認(rèn)證文件,/etc/rc.d/init.d/vsftpd,：,vsftpd,服務(wù)的啟動腳本,/etc/vsftpd,：,vsftpd,服務(wù)配置文件的主目錄,/etc/vsftpd/ftpusers,：拒絕訪問,vsftpd,服務(wù)器的本地用戶清單（用戶黑名單）,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,/etc/vsftpd/user_list,：拒絕（默認(rèn)）或僅允許訪問,vsftpd,服務(wù)器的本地用戶清單（用戶黑,/,白名單），需結(jié)合“,userlist_enable=YES/NO,”和“,userlist_deny=YES/NO,”語句來使用,/etc/vsftpd/vsftpd.conf,：,vsftpd,的主配置文件,/etc/vsftpd/vsftpd_conf_migrate.sh,：,vsftpd,操作的一些變量和設(shè)置的腳本,/usr/sbin/vsftpd,：可執(zhí)行文件（主程序文件）,/var/ftp,：默認(rèn)情況下匿名用戶的根目錄,/var/ftp/pub,：用于匿名用戶下載文件的公共目錄,/usr/share/doc/vsftpd-2.0.5,：說明和樣例文件的存放目錄,配置文件是安裝軟件包時自動產(chǎn)生的，可以在啟動,vsftpd,服務(wù)器后直接使用。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,4,vsftpd,服務(wù)器的默認(rèn)配置,說明：,在,vsftpd,指令的寫法上還需要注意以下兩項：,每條配置指令應(yīng)該獨占一行并且指令之前不能有空格；,在“,option,”、“,=,”與“,value,”之間也不能有空格。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,9.2.2,配置匿名用戶訪問,FTP,服務(wù)器,1,任務(wù)及分析,任務(wù)情境：公司技術(shù)部準(zhǔn)備選擇一臺主機(jī)（,192.168.11.148,）搭建一臺功能簡單的,FTP,服務(wù)器，允許所有員工對服務(wù)器上的特定目錄“,/var/ftp/mypub”,上傳、下載和重命名文件，并且允許創(chuàng)建用戶自己的目錄。對于上傳的文件，其所有者自動設(shè)置為,ftpadmin,。當(dāng)用戶切換到“,/var/ftp/pub”,目錄后，將顯示一段提示信息。,任務(wù)分析：允許所有員工上傳和下載文件，需要設(shè)置成允許匿名用戶登錄。配置服務(wù)器的流程如下：,（,1,）配置本地目錄的權(quán)限和所有者；,（,2,）配置,FTP,服務(wù)器，開放匿名用戶的各項寫權(quán)限；,（,3,）設(shè)置,/var/ftp/pub,目錄的提示信息；,（,4,）從網(wǎng)管工作站匿名登錄,FTP,服務(wù)器，通過上傳、下載數(shù)據(jù)和切換目錄進(jìn)行測試。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,2,配置方案和過程,（,1,）創(chuàng)建用戶,ftpadmin,（,2,）建立匿名上傳目錄,mypub,并設(shè)置權(quán)限,（,3,）編輯主配置文件“,/etc/vsftpd/vsftpd.conf”,（,4,）修改,selinux,使其支持匿名上傳,（,5,）設(shè)置,/var/ftp/pub,目錄的提示信息,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,3,應(yīng)用測試,（,1,）啟動,vsftpd,服務(wù)并查看器運(yùn)行狀態(tài),（,2,）查看,vsftpd,服務(wù)占用端口情況,（,3,）設(shè)定開機(jī)自動加載,vsftpd,服務(wù),（,4,）從網(wǎng)管工作站匿名登錄,FTP,服務(wù)器,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,9.2.3,配置本地用戶訪問,FTP,服務(wù)器,1,任務(wù)及分析,任務(wù)情境：公司內(nèi)部現(xiàn)有一臺,FTP,和,Web,服務(wù)器（,IP,：,192.168.11.148,），,FTP,服務(wù)器主要用于維護(hù)公司的網(wǎng)站，包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁等。公司現(xiàn)有兩個部門負(fù)責(zé)維護(hù)任務(wù)，分別使用,user1,和,user2,帳號進(jìn)行管理（這兩個賬戶但不能登錄本地系統(tǒng)），將它們登錄,FTP,的根目錄限制為“,/var/www/html”,，不能進(jìn)入任何其他目錄。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,9.2.3,配置本地用戶訪問,FTP,服務(wù)器,任務(wù)分析：將,FTP,和,Web,服務(wù)器做在一起是企業(yè)經(jīng)常采用的方法，便于實現(xiàn)對網(wǎng)站的維護(hù)。為了增強(qiáng)安全性，首先需要僅允許本地用戶訪問，并禁止匿名登錄。其次使用,chroot,功能將,user1,和,user2,鎖定在“,/var/www/html”,目錄下。如需刪除文件則還應(yīng)配置本地權(quán)限。配置服務(wù)器的流程如下：,（,1,）在,linux,系統(tǒng)中添加兩個用戶,user1,和,user2,；,（,2,）在,FTP,服務(wù)器上設(shè)置目錄“,/var/www/html”,的權(quán)限，允許,user1,和,user,讀和寫；,（,3,）修改主配置文件，禁用匿名用戶的相關(guān)配置，增加本地用戶登錄的相關(guān)參數(shù)，設(shè)置本地用戶具有寫權(quán)限，以達(dá)到預(yù)期的目的；,（,4,）對用戶,user1,和,user2,設(shè)置,chroot,。,9.2,案例導(dǎo)學(xué)實現(xiàn)匿名和本地訪問的,FTP,服務(wù)器,2,配置方案和過程,（,1,）建立維護(hù)網(wǎng)站內(nèi)容的用戶賬號并禁止本地登錄,（,2,）修改本地權(quán)限,（,3,）編輯主配置文件，設(shè)置用戶權(quán)限,（,4,）設(shè)置本地用戶的,chroot,（,5,）開啟禁用,SELinux,的,FTP,傳輸審核功能,3,應(yīng)用測試,（,1,）啟動,vsftpd,服務(wù)并查看器運(yùn)行狀態(tài),（,2,）查看,vsftpd,服務(wù)占用端口情況,（,3,）設(shè)定開機(jī)自動加載,vsftpd,服務(wù),（,4,）驗證僅允許本地用戶登錄,（,5,）驗證用戶,user1,和,user2,的,chroot,功能,（,6,）驗證用戶,user1,和,user2,的權(quán)限分配情況,9.3,課堂練習(xí),配置,FTP,虛擬主機(jī),1,任務(wù)及分析,任務(wù)情境：在,192.168.11.148,這臺,Linux,主機(jī)上已經(jīng)建立了一個,FTP,站點，為了充分利用主機(jī)和帶寬資源，希望在此,Linux,主機(jī)上再建立一個允許匿名登錄和下載的,FTP,站點。,任務(wù)分析：,vsftpd,不支持基于名字的虛擬主機(jī)，本例中采用基于,IP,地址的虛擬主機(jī)。基于,IP,地址的虛擬主機(jī)是以,IP,地址為單位的，每個虛擬主機(jī)對應(yīng)監(jiān)聽一個,IP,地址，需要在這臺,Linux,主機(jī)上添加新的,IP,地址。,9.3,課堂練習(xí),配置,FTP,虛擬主機(jī),2,配置方案和過程,（,1,）為一臺,Linu