1、機(jī)械工業(yè)出版社14架設(shè)FTP服務(wù)器機(jī)械工業(yè)出版社【職業(yè)能力目標(biāo)】1）了解FTP服務(wù)器的工作原理。2）掌握搭建FTP服務(wù)器的方法。Vsftpd /etc/vs /var/ftp / deny user-list deny,permit用戶：三類（匿名用戶（anonymous、ftp）、本地用戶、虛擬用戶）機(jī)械工業(yè)出版社310.1FTP服務(wù)預(yù)備知識(shí)服務(wù)預(yù)備知識(shí)1.FTP簡介FTP（ Protocol），是文件傳輸協(xié)議的簡稱。 FTP協(xié)議需要通過TCP協(xié)議建立兩個(gè)聯(lián)機(jī)通道才能夠順利地傳輸數(shù)據(jù)，一個(gè)是“傳輸控制信息”通道，TCP端口號(hào)為21；另一個(gè)是“傳輸數(shù)據(jù)信息”通道，TCP端口號(hào)為20。 機(jī)械工業(yè)

2、出版社2.主動(dòng)模式與被動(dòng)模式。（1）主動(dòng)模式：Port模式FTP 客戶端首先和FTP服務(wù)器的TCP 21端口建立連接，通過這個(gè)通道發(fā)送命令，客戶端需要接收數(shù)據(jù)的時(shí)候在這個(gè)通道上發(fā)送PORT命令。 PORT命令包含了客戶端用什么端口接收數(shù)據(jù)。在傳送數(shù)據(jù)的時(shí)候，服務(wù)器端主動(dòng)通過自己的TCP 20端口連接至客戶端的指定端口發(fā)送數(shù)據(jù)。 必須和客戶端建立一個(gè)新的連接用來傳送數(shù)據(jù)。 機(jī)械工業(yè)出版社機(jī)械工業(yè)出版社62.主動(dòng)模式與被動(dòng)模式。（2）被動(dòng)模式：被動(dòng)模式在建立控制通道的時(shí)候和主動(dòng)模式類似，但建立連接后發(fā)送的不是Port命令，而是Pasv命令。FTP服務(wù)器收到Pasv命令后，隨機(jī)打開一個(gè)高端端口（端口

3、號(hào)大于1024）并且通知客戶端在這個(gè)端口上傳送數(shù)據(jù)的請(qǐng)求，服務(wù)器被動(dòng)的等待客戶端連接。然后FTP服務(wù)器將通過這個(gè)端口進(jìn)行數(shù)據(jù)的傳送。 機(jī)械工業(yè)出版社機(jī)械工業(yè)出版社810.2任務(wù)任務(wù)1搭建匿名訪問搭建匿名訪問FTP服務(wù)器服務(wù)器 10.2.1需求分析需求分析 任務(wù)景境：任務(wù)景境： 在一局域網(wǎng)中，選擇一臺(tái)主機(jī)做為服務(wù)器，在服務(wù)器上搭建FTP服務(wù)器，用來共享文件。搭建完成后，期望能夠匿名登錄并可以在特定的pub文件夾上傳、下載文件 。 任務(wù)分析：任務(wù)分析：首先要在Linux系統(tǒng)中安裝FTP服務(wù)器及其相關(guān)的組件,安裝方式選擇比較簡便常用的RPM方式，安裝完軟件，對(duì)服務(wù)器進(jìn)行簡單的配置，通過網(wǎng)管工作站匿名

4、登錄FTP服務(wù)器，進(jìn)行上傳、下載測試。機(jī)械工業(yè)出版社910.2.2配置方案配置方案 實(shí)現(xiàn)FTP服務(wù)器基本功能只需安裝一個(gè)vsftpd軟件 ： vsftpd：FTP服務(wù)器軟件。 安裝步驟如下：1. 建立掛載點(diǎn)，掛載光驅(qū)2. 安裝vsftpd軟件包。3. 配置FTP服務(wù)器。4. 從網(wǎng)管工作站匿名登錄FTP服務(wù)器。機(jī)械工業(yè)出版社1010.2.3配置過程配置過程具體配置步驟：1、掛載光驅(qū)#mkdir /mnt/cdrom#mount /dev/cdrom /mnt/cdrom#cd /mnt/cdrom/Server/2、查詢已安裝軟件包#rpm qa |grep vsftpd3、安裝軟件包#rpm

5、ivh vs機(jī)械工業(yè)出版社1110.2.3配置過程配置過程4、配置vsftpd服務(wù)器滿足匿名用戶訪問 anonymous_enable=YES 允許匿名用戶登錄 anon_umask=022 匿名用戶上傳的文檔權(quán)限 anon_upload_enable=YES 允許匿名用戶上傳文件 anon_mkdir_write_enable=YES 允許匿名用戶建立目錄 anon_other_write_enable=YES 允許匿名用戶重名名文件及刪除文件 5、配置匿名用戶對(duì)pub目錄可寫 # chmod R 777 /var/或者：# chown 機(jī)械工業(yè)出版社1210.2.4應(yīng)用測試應(yīng)用測試1、查看

6、已安裝軟件包# rpm -qa|grep vsftpd 2、啟動(dòng)vsftpd服務(wù)，并查看其運(yùn)行狀態(tài) # service vsftpd start # service vsftpd status 3、查看vsftpd服務(wù)器占用端口情況 # netstat -tnlp|grep 214、設(shè)定開機(jī)自動(dòng)啟動(dòng)bind服務(wù)器 # chkconfig -level 3 vsftpd on# chkconfig -list |grep vsftpd機(jī)械工業(yè)出版社1310.2.4應(yīng)用測試應(yīng)用測試5.從網(wǎng)管工作站匿名登錄FTP服務(wù)器 在網(wǎng)管工作站的瀏覽器中輸入服務(wù)器IP，就會(huì)以匿名身份登錄到FTP服務(wù)器上，并有權(quán)

7、在pub目錄下進(jìn)行上傳文件，修改文件，刪除文件（delete）等操作 。機(jī)械工業(yè)出版社1410.3任務(wù)任務(wù)2配置本地用戶登錄配置本地用戶登錄FTP服務(wù)器服務(wù)器 10.3.1需求分析需求分析 任務(wù)情景：任務(wù)情景： 若FTP服務(wù)器的內(nèi)容不希望讓匿名用戶讀取，則可以通過認(rèn)證的方式，讓本地用戶通過輸入用戶名和密碼方能讀取。搭建一個(gè)FTP服務(wù)器，不允許匿名用戶登錄，允許兩個(gè)本地用戶（分別為用戶reader和用戶writer）登錄，用戶reader僅擁有讀權(quán)限，用戶writer擁有讀、寫兩種權(quán)限。 任務(wù)分析：任務(wù)分析： 首先在系統(tǒng)中添加兩個(gè)用戶reader和writer，在主配置文件中，禁用匿名用戶的相關(guān)

8、配置，通過限制，只允許reader和writer兩個(gè)用戶登錄FTP服務(wù)器。機(jī)械工業(yè)出版社1510.3.2配置方案配置方案配置步驟如下：1. 在linux系統(tǒng)中添加兩個(gè)用戶reader和writer。 2. 將FTP服務(wù)器根目錄的權(quán)限賦值給用戶writer，讓用戶writer擁有控制權(quán)。3. 修改主配置文件，增加本地用戶登錄的相關(guān)參數(shù)。4. 為用戶reader和用戶writer分別定制權(quán)限，以達(dá)到預(yù)期的目的。5. 限制系統(tǒng)僅允許用戶reader和用戶writer登錄FTP服務(wù)器。機(jī)械工業(yè)出版社1610.3.3配置過程配置過程1、添加本地用戶reader和用戶writer。#useradd wri

9、ter#passwd writer#useradd reader#passwd reader2、 將FTP服務(wù)器根目錄的控制權(quán)賦值給用戶writer。#chown R writer.writer /var/ftp機(jī)械工業(yè)出版社3、配置本地用戶的相關(guān)參數(shù)。local_enable=YES 允許本地用戶登錄 write_enable=YES 開放本地用戶寫權(quán)限 local_umask=022 本地用戶上傳文檔和建立目錄的權(quán)限 local_root=/var/ftp 指定FTP服務(wù)器根目錄 userlist_enable=YES 激活vsftpd檢查用戶列表 userlist_deny=NO 用戶列

10、表允許登錄，其他用戶不允許登錄 chroot_local_user=YES 鎖定本地用戶 4、編輯user_list文件 輸入想要允許登錄的用戶，每個(gè)用戶占一行：readerwriter機(jī)械工業(yè)出版社1810.3.4應(yīng)用測試應(yīng)用測試1. 驗(yàn)證僅允許用戶reader和writer登錄。 為了體現(xiàn)測試的一般性，這里首先新建一個(gè)用戶upload，分別選用用戶reader和用戶upload作比較。 結(jié)果應(yīng)該是，reader可以登錄，upload不可以登錄。 2、驗(yàn)證用戶reader和writer權(quán)限分配情況 結(jié)果應(yīng)該是，reader只能讀，不能寫入，writer可以讀，可以寫。 機(jī)械工業(yè)出版社1910

11、.4任務(wù)任務(wù)3配置虛擬用戶登錄配置虛擬用戶登錄FTP服務(wù)器服務(wù)器 10.4.1需求分析需求分析 任務(wù)情景：任務(wù)情景：由于FTP協(xié)議在傳輸過程中采用明文傳輸，即傳輸用戶名和密碼不進(jìn)行任何加密，所以用戶名及密碼很容易被嗅探。選用db4數(shù)據(jù)庫存儲(chǔ)用戶名及密碼，在db4數(shù)據(jù)庫中分別建立兩個(gè)用戶vreader和vwriter，分別代表虛擬只讀用戶和虛擬可寫用戶 。 任務(wù)分析：任務(wù)分析：首先查看系統(tǒng)是否已經(jīng)安裝db4數(shù)據(jù)庫，創(chuàng)建一個(gè)存放用戶名密碼的文檔，使用命令生成數(shù)據(jù)庫文件，配置FTP服務(wù)器，禁用本地用戶登錄，僅允許通過數(shù)據(jù)庫中的虛擬用戶進(jìn)行登錄，驗(yàn)證用戶權(quán)限分配情況 。機(jī)械工業(yè)出版社2010.4.2配

12、置方案配置方案1. 查看系統(tǒng)是否已安裝db4數(shù)據(jù)庫。2. 創(chuàng)建一個(gè)存放用戶名密碼的文檔。3. 生成數(shù)據(jù)庫文件。4. 建立認(rèn)證文檔、虛擬用戶。5. 配置FTP服務(wù)器，通過數(shù)據(jù)庫中的虛擬用戶進(jìn)行登錄。機(jī)械工業(yè)出版社2110.4.3配置過程配置過程1、查看系統(tǒng)是否已安裝db4數(shù)據(jù)庫。# rpm qa |grep db4配置虛擬用戶時(shí)需要用到db_load命令，該命令屬于軟件包db4-utils-4.3.29-9.fc6安裝db4-utils：#rpm ivh db4-utils-4.3.29-9.fc6.i386.rpm機(jī)械工業(yè)出版社2210.4.3配置過程配置過程2 、創(chuàng)建一個(gè)存放虛擬用戶名密碼的

13、文檔。 # vi /home/login.txt 輸入下列代碼： vreader /用戶名 vreader /用戶vreader密碼 vwriter /用戶名 vwriter /用戶vwriter密碼3 、生成數(shù)據(jù)庫文件。 # db_load -T -t hash -f /home/login.txt /etc/vs機(jī)械工業(yè)出版社2310.4.3配置過程配置過程4、建立認(rèn)證文檔、虛擬用戶。# vi /etc/pam.d/ftp輸入下列代碼：auth required /lib/security/pam_userdb.so db=/etc/vsaccount required /lib/secu

14、rity/pam_userdb.so db=/etc/vs5、創(chuàng)建一個(gè)用戶vftp并賦予權(quán)限 # useradd -d /home/v /sbin/nologin vftp # chown R v /var/ftp 機(jī)械工業(yè)出版社2410.4.3配置過程配置過程6、配置虛擬用戶的相關(guān)參數(shù)anonymous_enable=NOlocal_enable=YESwrite_enable=NOchroot_local_user=YESguest_enable=YES 允許來賓用戶訪問 guest_username=vftp 指定來賓用戶的名字 virtual_use_local_privs=YES 使

15、虛擬用戶具有本地用戶的權(quán)利 local_root=/var/ftppam_service_name=ftp 指定pam配置文件 user_config_dir=/etc/vs 用戶個(gè)性化配置目錄 機(jī)械工業(yè)出版社2510.4.3配置過程配置過程7、配置虛擬用戶vwriter的個(gè)性參數(shù) # vi /etc/vs 添加如下代碼： write_enable=YES 單獨(dú)為vwriter賦予寫權(quán)限 配置虛擬用戶vreader的個(gè)性參數(shù) # vi /etc/vs 添加如下代碼： write_enable=NO 單獨(dú)為vreader賦予寫權(quán)限機(jī)械工業(yè)出版社2610.4.4應(yīng)用測試應(yīng)用測試1. 驗(yàn)證僅允許用戶vreader和vwriter登錄。 嘗試使用之前的本地用戶reader登錄，與vreader做比較。 結(jié)果應(yīng)該是，reader不可以登錄，vreader可以登錄。 2、驗(yàn)證vreader和vwriter的權(quán)限分配情況 結(jié)果應(yīng)該是，vreader只能讀，不能寫入，vwriter可以讀，可以寫。 機(jī)械工業(yè)出版社2710.5拓展實(shí)驗(yàn)拓展實(shí)驗(yàn) 在任務(wù)3中選用db4數(shù)據(jù)庫存放虛擬用戶的用戶名及密碼，事實(shí)上可以采用mysql數(shù)據(jù)庫來