第八章FTP服務(wù)器配置第八章-FTP服務(wù)器配置本章內(nèi)容要點FTP的相關(guān)概念配置vsftpd服務(wù)器2第八章-FTP服務(wù)器配置本章學(xué)習(xí)目標(biāo)理解FTP協(xié)議模型掌握FTP的數(shù)據(jù)傳輸模式及使用場合學(xué)會配置各種FTP服務(wù)器3第八章-FTP服務(wù)器配置FTP協(xié)議文件傳輸協(xié)議（Protocol，F(xiàn)TP）標(biāo)準(zhǔn)是在RFC959說明的。協(xié)議定義了一個在遠(yuǎn)程計算機(jī)系統(tǒng)和本地計算機(jī)系統(tǒng)之間傳輸文件的一個標(biāo)準(zhǔn)。FTP運行在OSI模型的應(yīng)用層，并利用傳輸控制協(xié)議TCP在不同的主機(jī)之間提供可靠的數(shù)據(jù)傳輸。FTP在文件傳輸中還支持?jǐn)帱c續(xù)傳功能，可以大幅度地減小CPU和網(wǎng)絡(luò)帶寬的開銷。4第八章-FTP服務(wù)器配置FTP協(xié)議模型5第八章-FTP服務(wù)器配置FTP協(xié)議模型（續(xù)）用戶接口（UI）：提供了一個用戶接口并使用客戶端協(xié)議解釋器的服務(wù)客戶端協(xié)議解釋器（CPI）：向遠(yuǎn)程服務(wù)器協(xié)議機(jī)發(fā)送命令并且驅(qū)動客戶數(shù)據(jù)傳輸過程服務(wù)端協(xié)議解釋器（SPI）：響應(yīng)客戶協(xié)議機(jī)發(fā)出的命令并驅(qū)動服務(wù)器端數(shù)據(jù)傳輸過程客戶端數(shù)據(jù)傳輸協(xié)議（CDTP）：負(fù)責(zé)完成和服務(wù)器數(shù)據(jù)傳輸過程及客戶端本地文件系統(tǒng)的通信服務(wù)端數(shù)據(jù)傳輸協(xié)議（SDTP）：負(fù)責(zé)完成和客戶數(shù)據(jù)傳輸過程及服務(wù)器端文件系統(tǒng)的通信6第八章-FTP服務(wù)器配置FTP運行原理——兩種連接FTP會話存在有兩個獨立的TCP連接由CPI和SPI使用的，被稱作控制連接（controlconnection）由CDTP和SDTP使用的，被稱作數(shù)據(jù)連接（dataconnection）兩個連接可以選擇不同的合適服務(wù)質(zhì)量。如：對控制連接來說需要更小的延遲時間，對數(shù)據(jù)連接來說需要更大的數(shù)據(jù)吞吐量；而且可以避免實現(xiàn)數(shù)據(jù)流中的命令的通明性及逃逸。7第八章-FTP服務(wù)器配置FTP運行原理——控制連接控制連接主要用來傳送在實際通信過程中需要執(zhí)行的FTP命令以及命令的響應(yīng)?？刂七B接只需要很小的網(wǎng)絡(luò)帶寬。FTP服務(wù)器監(jiān)聽端口號21來等待控制連接建立請求?？刂七B接建立以后并不立即建立數(shù)據(jù)連接，而是服務(wù)器通過一定的方式來驗證客戶的身份，以決定是否可以建立數(shù)據(jù)傳輸。數(shù)據(jù)連接是等到要目錄列表、傳輸文件時才臨時建立的，并且每次客戶端使用不同的端口號來建立數(shù)據(jù)連接。一旦數(shù)據(jù)傳輸完畢，就中斷這條臨時的數(shù)據(jù)連接。在FTP連接期間，控制連接始終保持通暢的連接狀態(tài)。在數(shù)據(jù)連接存在期間內(nèi)，控制連接肯定是存在的；一旦控制連接斷開，數(shù)據(jù)連接會自動關(guān)閉。8第八章-FTP服務(wù)器配置FTP的數(shù)據(jù)傳輸模式（1）主動傳輸模式（ActiveFTP）FTP的數(shù)據(jù)連接和控制連接的方向是相反的。也就是說，是服務(wù)器向客戶端發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接?？蛻舳说倪B接端口是由服務(wù)器端和客戶端通過協(xié)商確定的。FTP客戶端隨機(jī)開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接，然后開放N+1號端口進(jìn)行監(jiān)聽，并向服務(wù)器發(fā)出PORTN+1命令。服務(wù)器接收到命令后，會用其本地的FTP數(shù)據(jù)端口（通常是20）來連接客戶端指定的端口N+1，進(jìn)行數(shù)據(jù)傳輸。9第八章-FTP服務(wù)器配置FTP的數(shù)據(jù)傳輸模式（2）被動傳輸模式（PassiveFTP）FTP的數(shù)據(jù)連接和控制連接的方向是一致的。也就是說，是客戶端向服務(wù)器發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接?？蛻舳说倪B接端口是發(fā)起這個數(shù)據(jù)連接請求時使用的端口號。FTP客戶端隨機(jī)開啟一個大于1024的端口N向服務(wù)器的21號端口發(fā)起連接，同時會開啟N+1號端口。然后向服務(wù)器發(fā)送PASV命令，通知服務(wù)器自己處于被動模式。服務(wù)器收到命令后，會開放一個大于1024的端口P進(jìn)行監(jiān)聽，然后用PORTP命令通知客戶端，自己的數(shù)據(jù)端口是P?？蛻舳耸盏矫詈螅瑫ㄟ^N+1號端后連接服務(wù)器的端口P，然后在兩個端口之間進(jìn)行數(shù)據(jù)傳輸。被動模式的FTP通常用在處于防火墻之后的FTP客戶訪問外界FTP服務(wù)器的情況。10第八章-FTP服務(wù)器配置FTP服務(wù)的使用者（1）本地用戶（real用戶）本地用戶既可以登錄Shell，又可以FTP登錄。本地用戶可以通過輸入自己的賬號和口令來進(jìn)行授權(quán)登錄。當(dāng)授權(quán)訪問的本地用戶登錄系統(tǒng)后，其登錄目錄為用戶自己的家目錄（$HOME）。本地用戶既可以下載又可以上傳。11第八章-FTP服務(wù)器配置FTP服務(wù)的使用者（2）虛擬用戶（guest用戶）如果用戶在遠(yuǎn)程FTP服務(wù)器上擁有賬號，且此賬號只能用于文件傳輸服務(wù)，則稱此用戶為虛擬用戶或Guest用戶。虛擬用戶可以通過輸入自己的賬號和口令來進(jìn)行授權(quán)登錄。當(dāng)授權(quán)訪問的虛擬用戶登錄系統(tǒng)后，其登錄目錄為服務(wù)器為其指定的目錄。通常情況下，虛擬用戶既可以下載又可以上傳。12第八章-FTP服務(wù)器配置FTP服務(wù)的使用者（3）匿名用戶（anonymous用戶）如果用戶在遠(yuǎn)程FTP服務(wù)器上沒有賬號，則稱此用戶為匿名用戶。若FTP服務(wù)器提供匿名訪問功能，則匿名用戶可以通過輸入賬號（anonmous或ftp）和口令（用戶自己的E-Mail地址）來進(jìn)行登錄。當(dāng)匿名用戶登錄系統(tǒng)后，其登錄目錄為匿名FTP服務(wù)器的根目錄（/var/ftp）。一般情況下匿名FTP服務(wù)器只提供下載功能，不提供上傳服務(wù)或者使上傳受到一定的限制。13第八章-FTP服務(wù)器配置Vsftpd簡介是一個安全、高速、穩(wěn)定的FTP服務(wù)器?？稍O(shè)定多個基于IP的虛擬FTP服務(wù)器。匿名FTP服務(wù)更是十分容易。不執(zhí)行任何外部程序，從而減少了安全隱患。支持虛擬用戶，且支持每個虛擬用戶具有獨立的配置?？梢栽O(shè)置為從xinetd啟動，或者是獨立ftp服務(wù)器兩種運行方式。支持PAM或xinetd/tcp_wrappers的認(rèn)證方式。支持帶寬限制等。14第八章-FTP服務(wù)器配置vsftpd的安裝和啟動vsftpd的安裝#yuminstallvsftpdvsftpd的啟動和停止#servicevsftpdstart#servicevsftpdstop#servicevsftpdrestart15第八章-FTP服務(wù)器配置vsftpd服務(wù)概覽類型：系統(tǒng)V（SystemV）管理的服務(wù)軟件包：vsftpd守護(hù)進(jìn)程：/usr/sbin/vsftpd啟動腳本：/etc/init.d/vsftpd端口：21(ftp),20()配置文件主配置文件：/etc/vs用戶訪問控制配置文件：/etc/vsftpd/{,user_list}PAM配置文件：/etc/pam.d/vsftpd日志：/var/log/xferlog相關(guān)軟件包：tcp_wrappers,ip_conntrack_ftp,ip_nat_ftp16第八章-FTP服務(wù)器配置vsftpd默認(rèn)的主配置文件允許匿名用戶和本地用戶登錄匿名用戶的登錄名為ftp或anonymous，口令為一個Email地址匿名用戶不能離開匿名服務(wù)器目錄/var/ftp，且只能下載不能上傳本地用戶的登錄名為本地用戶名，口令為此本地用戶的口令本地用戶可以離開自家目錄切換至有權(quán)訪問的其他目錄，并在權(quán)限允許的情況下進(jìn)行上傳/下載寫在文件/etc/vs中的本地用戶禁止登錄要使用戶在下載文件時能夠續(xù)傳文件，必須保證文件對其他用戶有讀的權(quán)限。否則，當(dāng)續(xù)傳時不能讀取已傳的服務(wù)器上的文件17第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)1設(shè)置空閑的用戶會話的中斷時間idle_session_timeout=600設(shè)置空閑的數(shù)據(jù)連接的的中斷時間data_connection_timeout=120設(shè)置客戶端空閑時的自動中斷/激活連接的時間connect_timeout=60客戶端空閑1分鐘后自動中斷連接accept_timeout=60客戶端中斷1分鐘后自動激活連接18第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)2關(guān)于被動模式的數(shù)據(jù)連接pasv_enable=Yespasv_min_port=50000pasv_max_port=60000設(shè)置用戶類型的訪問local_enable=<YES/NO>guest_enable=<YES/NO>anonymous_enable=<YES/NO>19第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)3設(shè)置chroot設(shè)置所有的本地用戶執(zhí)行chrootchroot_local_user=YES設(shè)置文件/etc/vs中的用戶執(zhí)行chrootchroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vs設(shè)置PAM模塊的名稱pam_service_name=vsftpd20第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)4vsftpd匿名用戶上傳配置anon_upload_enable=Yesanon_mkdir_write_enable=Yesanon_world_readable_only=Noanon_other_write_enable=Yes注意anon_upload_enable=YES僅能上傳。anon_mkdir_write_enable=YES僅能創(chuàng)建目錄。anon_other_write_enable=YES同時開放文件更名、刪除文件等權(quán)限。21第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)5配置最大傳輸速率限制local_max_rateanon_max_rate每客戶和最大的連接數(shù)限制max_per_ipmax_clients22第八章-FTP服務(wù)器配置vsftpd配置文件的常用參數(shù)6限制指定的本地用戶不能訪問，而其他本地用戶可訪問userlist_enable=YESuserlist_deny=YESuserlist_file=/etc/vs限制指定的本地用戶可以訪問，而其他本地用戶不可訪問userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vs23第八章-FTP服務(wù)器配置使用vsftpd的分離配置文件對不同的主機(jī)/網(wǎng)絡(luò)實施不同的配置主配置文件tcp_wrappers=YEStcp_wrappers的配置文件vsftpd:主機(jī)表:setenvVS配置文件表示當(dāng)遇到主機(jī)表中的主機(jī)訪問本服務(wù)器時，修改環(huán)境變量VS的值為指定的配置文件名，其意圖是讓vsftpd守護(hù)進(jìn)程讀取新的配置文件中的配置項來覆蓋主配置文件中的配置。24第八章-FTP服務(wù)器配置配置vsftpd服務(wù)器配置高安全級別的匿名服務(wù)器配置允許匿名用戶上傳的FTP服務(wù)器配置最大傳輸速率限制和每客戶的連接數(shù)限制配置基于本地用戶的訪問控制配置基于主機(jī)的訪問控制對不同的主機(jī)/網(wǎng)絡(luò)的訪問實施不同的配置25第八章-FTP服務(wù)器配置本章思考題簡述FTP的數(shù)據(jù)傳輸模式及使用場合。FT