1、XX大學(xué)大學(xué)XX系系 XXX2022年年3月月6日日本章提要本章提要vvsFTP服務(wù)器的安裝和啟動vFTP客戶端命令簡介v用戶管理文件和的內(nèi)容v主要配置文件解析vFTP（File Transfer Protocol，文件傳輸協(xié)議）服務(wù)器提供Internet文件傳輸服務(wù)。Linux中常用的有WU-FTP、ProFTP、PureFTP及vsFTP等。在Fedora 8下自帶的是vsFTP，它是一個(gè)小巧、高效、安全的FTP服務(wù)器軟件.本章將介紹vsFTP服務(wù)器的安裝、配置及使用等。 vsFTP簡介簡介v vsFTP是一種基于GPL的在UNIX/Linux中非常安全且快速的FTP服務(wù)器，其中vs是“V

2、ery Secure”的縮寫，具有安全、高速和穩(wěn)定的性能。在速度方面，使用ASCII模式下載數(shù)據(jù)時(shí)，速度是WU-FTP的兩倍，如果Linux使用的是版本的內(nèi)核，在千兆以太網(wǎng)上的下載速度可達(dá)86Mbps。在穩(wěn)定性方面，在單機(jī)服務(wù)器上支持4000個(gè)以上的并發(fā)連接，最高可支持15000個(gè)并發(fā)連接。除此之外，vsFTP還具有如下特性：v 支持基于IP的虛擬FTP服務(wù)器；v 支持虛擬用戶；v 支持PAM或xinetd/tcp_wrappers的認(rèn)證方式；v 支持兩種運(yùn)行方式：standalone和xinetd方式；v 支持每個(gè)虛擬用戶的獨(dú)立配置；v 支持帶寬限制。vsFTP的運(yùn)行模式的運(yùn)行模式v一種是獨(dú)

3、立（standalone）運(yùn)行模式，另外一種是xinetd（eXtended Internet Services Daemon，即：擴(kuò)展的Internet服務(wù)守護(hù)進(jìn)程）模式。兩種模式運(yùn)行機(jī)制是不同的，獨(dú)立運(yùn)行模式適合專業(yè)的FTP服務(wù)器，且FTP總是一直有人訪問，占用資源比較大，如果FTP服務(wù)器總是有人訪問和登入建議采用這種模式。如果FTP服務(wù)器訪問人數(shù)比較少，建議您用xinetd模式。xinetd模式的運(yùn)行方式一直監(jiān)聽端口，當(dāng)客戶端（Client）有FTP連接請求時(shí)，首先會將連接傳至xinetd，xinetd再將此要求傳至vsftpd，啟動相應(yīng)的vsftp服務(wù)進(jìn)程（即：vsftpd）。以下的內(nèi)

4、容主要是介紹獨(dú)立模式下的vsftpd啟動和配置方式。vsFTP服務(wù)器的安裝服務(wù)器的安裝v在Fedora 8中帶的vsFTP服務(wù)器版本為，在安裝之前可用如下命令檢查是否已安裝vsftpd：rootCandy root#rpm qa vsftpdv若是在安裝Linux時(shí)沒有選擇安裝vsFTP服務(wù)器，可以從Fedora 8安裝光盤DVD中的Packages目錄下找出名為的文件，然后輸入以下指令，系統(tǒng)即將自動完成vsFTP服務(wù)器的安裝： rootCandy root#rpm ivhvsFTP服務(wù)器的啟動服務(wù)器的啟動v安裝完成后，系統(tǒng)將會生成一個(gè)名為vsftpd的服務(wù)。要啟動vsftpd，最簡單的方式如

5、下：rootCandy root# /etc/ start starting vsftpd for vsftpd： ok v 也可以使用命令：rootCandy root#service vsftpd start 來啟動vsftpd。自動啟動自動啟動vsFTP服務(wù)器服務(wù)器v如果想在圖形界面下啟動vsFTP服務(wù)器，可以選擇“系統(tǒng)”|“管理”|“服務(wù)”選項(xiàng)，在打開“服務(wù)配置”畫面后，選中“vsftpd”項(xiàng)目，然后單擊工具欄中的“開始”按鈕即可啟動vsftpd服務(wù)器，如圖12-1所示。v圖12-1 “服務(wù)狀態(tài)設(shè)置”設(shè)置畫面測試測試vsftpd是否已經(jīng)啟動是否已經(jīng)啟動v 可用telnet檢驗(yàn)vsftp

6、d是否已經(jīng)啟動： rootCandy root# telnet 21 Trying . Connected to . Escape character is . 220 (vsFTPd 2.0.5) v 從上面的內(nèi)容可以看出能telnet到本機(jī)的vsftp服務(wù)器的21號端口，確認(rèn)vsftpd已經(jīng)被啟動，按“Ctrl+”中斷會話 v v 再按“q”退出telnet v telnet q Connection closed. rootCandy root# 測試測試ftp的運(yùn)行的運(yùn)行v 默認(rèn)情況下，安裝好vsftp服務(wù)器后就可以使用匿名用戶a

7、nonymous（或ftp）下載文件了。例如，使用匿名用戶下載文件。操作步驟如下：v 1）生成一個(gè)用于測試的文件。v 默認(rèn)情況下，匿名用戶下載目錄/var/ftp/pub下沒有任何內(nèi)容，為了進(jìn)行測試，可以先生成一個(gè)測試文件。 rootCandy root#echo “Welcome to my vsFTP Server” /測試測試ftp的運(yùn)行（續(xù)）的運(yùn)行（續(xù)）v 2）使用匿名用戶（ftp或anonymous）登錄ftp： rootCandy root#ftpConnected to ().220 (vsFTPd 2.0.5)Name (

8、:root): anonymous 331 Please specify the password.Password: /輸入Email地址或任意字符串作為anonymous匿名賬號的口令230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. 測試測試ftp的運(yùn)行（續(xù)）的運(yùn)行（續(xù)）v3) 列表顯示匿名FTP服務(wù)器目錄并進(jìn)入pub目錄。vftp ls 227 Entering Passive Mode (127,0,0,1,126,111) 150 Here comes the

9、directory listing. drwxr-xr-x 2 0 0 4096 Oct 03 19:09 pub 226 Directory send OK. vftp cd pub 250 Directory successfully changed. 測試測試ftp的運(yùn)行（續(xù)）的運(yùn)行（續(xù)）v 4) 顯示/var/ftp/pub目錄下的內(nèi)容并下載文件。v ftp ls 227 Entering Passive Mode (127,0,0,1,44,205) 150 Here comes the directory listing. -r-xr-xr-x 1 0 1 31 Oct 03 19

10、:09 226 Directory send OK. v ftp get 227 Entering Passive Mode (127,0,0,1,99,247) 150 Opening BINARY mode data connection for (31bytes). 226 File send OK. 31 bytes received in 0.000188 secs (1.6e+02 Kbytes/sec) v ftp !ls anaconda- v 通過顯示本地文件命令“!ls”確認(rèn)已經(jīng)將文件下載到本地。測試測試ftp的運(yùn)行（續(xù)）的運(yùn)行（續(xù)）v5) 測試是否能上傳文件到/var/f

11、tp/pub目錄。vftp put local: remote: 227 Entering Passive Mode(127,0,0,1,233,16)550 Permission Denied.從上面信息可以看出上傳文件失敗v6) 退出FTP vftp bye 221 Goodbye. FTP客戶端命令簡介客戶端命令簡介v要登錄到vsFTP服務(wù)器，在Windows系統(tǒng)中可以使用圖形化的FTP客戶端軟件，如CuteFTP和LeapFTP等，也可以直接在命令行狀態(tài)下使用FTP命令。FTP命令的格式命令的格式vFTP（機(jī)器名、網(wǎng)址或IP地址）v若連接成功，系統(tǒng)提示輸入用戶名（Name）及密碼(Pa

12、ssword)。進(jìn)入FTP站點(diǎn)后，用戶就可以使用相應(yīng)的命令進(jìn)行各種操作了。常用的常用的FTP命令命令vHelp或？ vAscii、binary、typevbye、quitvCd、lcd、pwd、！vDele、renamevGet、mget、put、mput、recv、sendvLs、dir、mkdir、rmdirvOpen、close、disconnect、uservverbose、status、bellvsFTP服務(wù)器的配置服務(wù)器的配置v安裝好vsFTPD后，會在/etc/vsftpd目錄下生成ftpusers和user_list文件，同時(shí)會生成文件。用戶管理文件用戶管理文件ftpusers

13、v /etc/vsftpd/ftpusers是vsFTP服務(wù)器中用來管理帳號的配置文件。但需要注意的是：本文件中列出的用戶名是指不允許登錄vsFTP服務(wù)器的用戶，默認(rèn)的文件內(nèi)容如下：rootCandy etc#cat ftpusers#Users that are not allowed to login via ftpRootBinDaemonGamesNobodyv 從上面例子可以看出，默認(rèn)情況下，root帳號是不允許登錄vsFTP服務(wù)器的。如希望讓root登錄，只需修改此文件，在“root”前加“#”注釋掉即可。但從安全角度考慮，建議用戶不要使用root登錄FTP。對于此文件中的其它帳號

14、，均為系統(tǒng)帳號，建議不要做任何修改。/etc/vsftpd/user_list文件文件rootCandy etc#cat /etc/vsftpd/user_list#If userlist_deny=NO,only allow users in this file#IF userlist_deny=YES(default), never allow users in this file,and#do not even prompt for a password.RootBinGamesNobodyv 此文件中指定的用戶默認(rèn)情況（即在/etc/中設(shè)定了userlist_deny=YES）下也不能

15、訪問FTP服務(wù)器，而如果在中設(shè)定了userlist_deny=NO，則僅僅允許此文件中指定的用戶訪問FTP服務(wù)器。此方面的例子將在后面介紹。主要配置文件主要配置文件v/etc/是vsftp服務(wù)器的主要配置文件，建議讀者認(rèn)真理解里面的內(nèi)容，以使vsFTP服務(wù)器發(fā)揮最大的效能。此文件的設(shè)置格式如下：v參數(shù)設(shè)置值 v若是以“#”開頭的行表示注釋文字，會被服務(wù)器所忽略。下面將分類解釋各參數(shù)的含義：匿名用戶選項(xiàng)匿名用戶選項(xiàng) v anonymous_enable=YES|NO v ftp_username= v no_anon_password=YES|NO v deny_email_enable=YES

16、|NO v banned_email_file=/etc/ v anon_root= v anon_world_readable_only=YES|NO v anon_upload_enable=YES|NO v anon_mkdir_write_enable=YES|NO v anon_other_write_enable=YES|NO v chown_uploads=YES|NO v chown_username=v local_enable=YES|NO v local_root= v user_config_dir= 虛擬用戶用戶選項(xiàng)虛擬用戶用戶選項(xiàng)vguest_enable=YES|

17、NO 若是啟動這項(xiàng)功能，所有的不以匿名登錄的用戶，都視為“guest”類型，而此類用戶的實(shí)際權(quán)限就是“guest_username”選項(xiàng)中所指定的帳號。默認(rèn)不啟用此選項(xiàng)。 vguest_username= 定義vsFTPD的guest用戶登錄時(shí)在系統(tǒng)中的帳號名稱，默認(rèn)值為ftp。 連接選項(xiàng)連接選項(xiàng)v （1）監(jiān)聽地址與控制端口 listen_address=ip address listen_port=port_value v （2）FTP模式與數(shù)據(jù)端口 port_enable=YES|NO Connect_from_port_20=YES|NO ftp_data_port=port numbe

18、r port_promiscuous=YES|NO pasv_enable=YES|NO pasv_min_port=port number pasv_max_port=port number pasv_promiscuous=YES|NO pasv_address= v （3）ASCII模式 ascii_upload_enable=YES|NO ascii_download_enable=YES|NO 性能與負(fù)載控制選項(xiàng)性能與負(fù)載控制選項(xiàng)v超時(shí)選項(xiàng) idle_session_timeout= data_connection_timeout= accept_timeout=numerical

19、value connect_timeout=numerical value v負(fù)載控制 max_clients=numerical value max_per_ip=numerical value anon_max_rate=value local_max_rate=value 設(shè)置速率舉例設(shè)置速率舉例v 設(shè)定系統(tǒng)本地用戶允許的最大數(shù)據(jù)傳輸速率，以Bytes/s為單位。默認(rèn)為0。此選項(xiàng)對所有的用戶都生效。此外，也可以在用戶個(gè)人配置文件中使用此選項(xiàng)，以指定特定用戶可獲得的最大數(shù)據(jù)傳輸速率。 v 例如，為特定用戶設(shè)置傳輸速率。v 操作步驟如下： v 在/etc/中指定用戶個(gè)人配置文件所在的目錄，如

20、：v user_config_dir=/etc/vsftpd/userconf v 生成/etc/vsftpd/userconf目錄。 rootCandy rootmkdir /etc/vsftpd/userconfv 用戶個(gè)人配置文件是在該目錄下，生成與特定用戶同名的文件，如： rootCandy roottouch /etc/vsftpd/userconf/user1 v 在用戶user1的個(gè)人配置文件中設(shè)置local_max_rate參數(shù)，如：local_max_rate=80000 （即為80KB/s）v 以上步驟設(shè)定FTP用戶user1的最大數(shù)據(jù)傳輸速度為80KBytes/s。 v

21、vsFTPD 對于速度控制的變化范圍大概在80%到120%之間。比如我們限制最高速度為100KBytes/s， 但實(shí)際的速度可能在80KBytes/s 到120KBytes/s 之間。當(dāng)然，若是線路帶寬不足時(shí)，速率自然會低于此限制。 安全措施選項(xiàng)安全措施選項(xiàng)v (1) 用戶登錄控制 v pam_service_name=vsftpd 指出vsFTPD進(jìn)行PAM認(rèn)證時(shí)所使用的PAM配置文件名，默認(rèn)值是vsftpd，默認(rèn)PAM配置文件是/etc/。 v /etc/ vsFTPD禁止列在此文件中的用戶登錄FTP服務(wù)器。這個(gè)機(jī)制是在/etc/中默認(rèn)設(shè)置的。v userlist_enable=YES|N

22、O 若是啟用此功能，vsFTPD將讀取/etc/userlist_file參數(shù)所指定的文件中的用戶列表。當(dāng)列表中的用戶登錄FTP服務(wù)器時(shí)，該用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入后，vsFTPD查到該用戶名在列表，vsFTPD就直接禁止該用戶登錄，不會再進(jìn)行詢問密碼等后續(xù)步聚，這可避免明文（Clear Text）在網(wǎng)絡(luò)上傳輸。默認(rèn)值為NO。 安全措施選項(xiàng)（續(xù)）安全措施選項(xiàng)（續(xù)）vuserlist_file=/etc/vsftpd.user_list 指出userlist_enable選項(xiàng)生效后，被讀取的包含用戶列表的文件。默認(rèn)值是/etc/。 vuserlist_deny=YES|N

23、O 此選項(xiàng)在userlist_enable 選項(xiàng)啟動后才生效。決定禁止還是只允許由/etc/userlist_file指定文件中的用戶登錄FTP服務(wù)器。YES，默認(rèn)值，禁止文件中的用戶登錄，同時(shí)也不向這些用戶發(fā)出輸入口令的提示。若設(shè)為停用（即為NO），則只允許在文件中的用戶登錄FTP服務(wù)器。 vtcp_wrappers=YES|NO 若值為YES，將在vsFTPD中使用TCP_wrappers遠(yuǎn)程訪問控制機(jī)制， 因此可利用/etc/與/etc/文件來定義可聯(lián)機(jī)或是拒絕的來源地址。但默認(rèn)不啟用此選項(xiàng)。安全措施選項(xiàng)（續(xù)）安全措施選項(xiàng)（續(xù)）v(2) 目錄訪問控制 chroot_list_enable

24、=YES|NO chroot_list_file=/etc/vsftpd/chroot_list chroot_local_users=YES|NO passwd_chroot_enable 安全措施選項(xiàng)（續(xù)）安全措施選項(xiàng)（續(xù)）v(3) 文件操作控制 hide_ids=YES|NO ls_recurse_enable=YES|NO write_enable=YES|NO secure_chroot_dir= 安全措施選項(xiàng)（續(xù)）安全措施選項(xiàng)（續(xù)）v(4) 新增文件權(quán)限設(shè)定 vanon_umask= 匿名用戶新增文件的umask 數(shù)值。默認(rèn)值為077。 這表示匿名用戶新增的文件權(quán)限最大為700（7

25、77077700）。vfile_open_mode= 表示上傳文件的權(quán)限，與chmod命令所使用的數(shù)值相同。如果希望上傳的文件可以執(zhí)行，設(shè)此值為0777。默認(rèn)值為0666。 vlocal_umask= 本地用戶新增文件的umask 數(shù)值。默認(rèn)值為077（其他大多數(shù)的FTP服務(wù)器都是使用022。您也可以修改為022）。提示信息選項(xiàng)提示信息選項(xiàng)vftpd_banner=login banner string vbanner_file=/directory/vsftpd_banner_file vdirmessage_enable=YES|MO vmessage_file= 日志設(shè)置選項(xiàng)日志設(shè)置選項(xiàng)

26、vxferlog_enable=YES|NO vxferlog_file= vxferlog_std_format=YES|NO vlog_ftp_protocol=YES|NO 其他設(shè)置其他設(shè)置 vsetproctitle_enable=YES|NO vtext_userdb_names=YES|NOvuser_localtime=YES|NO vcheck_shell=YES|NO vnopriv_user= vpam_service_name= vsFTP服務(wù)器的使用舉例服務(wù)器的使用舉例1【例】配置匿名用戶，使之可以上傳/下載文件。v 操作步驟如下：（1）在/var/ftp/創(chuàng)建一個(gè)上傳

27、目錄，并修改權(quán)限。rootCandy rootcd /var/ftp /首先進(jìn)入/var/ftp目錄。rootCandy ftp# mkdir /var/ftp/incoming /創(chuàng)建incoming目錄。rootCandy ftp#chmod 777 /var/ftp/incoming /更改incoming目錄的權(quán)限為777。vsFTP服務(wù)器的使用舉例服務(wù)器的使用舉例1（續(xù)）（續(xù)）（2）編輯/etc/文件 rootCandy rootvi /etc/ 確保 anonymous_enabled=YES有效。v 找到“# anon_upload_enable=YES”行，去掉前面的注釋符號“

28、#”，并在下面添加如下行：chown_uploads=YESanon_umask=077anon_mkdir_write_enable=YESanon_world_readable_only=NO（3）存盤退出。v 通過前面的配置后，匿名用戶ftp（或anonymous）既可下載文件，又可上傳文件到incoming目錄，也能在incoming目錄下創(chuàng)建新的目錄。vsFTP服務(wù)器的使用舉例服務(wù)器的使用舉例2【例】配置vsFTPD，使本地用戶user1具有上傳/下載、user2只具有下載功能，其中user1和user2同屬于students組。v 操作步驟如下：（1）創(chuàng)建用戶組 students和

29、FTP的主目錄rootCandy rootgroupadd studentsrootCandy rootmkdir /var/ftprootrootCandy rootuseradd -G students d /var/ftproot M user1v 注：-G：用戶所在的組；v -d：表示創(chuàng)建用戶主目錄的位置；v -M：不建立默認(rèn)的用戶主目錄，也即在/home下不創(chuàng)建用戶主目錄。rootCandy rootuseradd G students d /var/ftproot M user2vsFTP服務(wù)器的使用舉例服務(wù)器的使用舉例2（續(xù)）（續(xù)）（2）改變目錄的屬主和權(quán)限r(nóng)ootCandy r

30、ootchown user1.students /var/ftproot /把/var/students的屬主定為user1。rootCandy rootchmod 750 /var/students 即自己具有所有權(quán)限，同組成員只具有讀和執(zhí)行權(quán)限，而其他人不具有任何權(quán)限。（3）修改配置文件/etc/ 設(shè)置local_enable=yes，write_enable=yes和chroot_local_usr=yes三個(gè)選項(xiàng)即可。vsFTP服務(wù)器的使用舉例服務(wù)器的使用舉例3v 【例】配置vsftpd通過pam認(rèn)證方式，添加虛擬用戶。v 操作步驟如下：（1）在/etc/目錄中創(chuàng)建一個(gè)文件ftp rootCandy root# touch /etc/ftp（2）在/etc