1、VSFTP,FTP協(xié)議,FTP概述FTP就是File Transport Protocol文件傳輸協(xié)議的縮寫，F(xiàn)TP服務器能夠在網絡上提供文件傳輸服務。FTP最初與WWW服務和郵件服務一起被列為因特網的三大應用，可見其在網絡應用中的地位舉足輕重。 FTP服務器根據服務對象的不同可分為匿名服務器（Anonymous Ftp Server）和系統(tǒng)FTP服務器。前者是可以讓任何人登錄上去獲取文件的FTP服務器，后者就只能是在FTP服務器上有合法賬號的人才能使用。,FTP協(xié)議,控制連接：主要用來傳送在實際通信過程中需要執(zhí)行的FTP命令以及命令的響應（服務器監(jiān)聽21號端口） 數據連接：用來傳輸用戶的數據

2、。,FTP服務器的設置,目前在UNIX和LINUX下常用的免費FTP服務器軟件主要是Wu-FTP和ProFTP這兩種。Wu-FTP廣泛應用在眾多的Unix和Linux系統(tǒng)中，曾經是RedHat Linux默認的FTP服務器軟件，其全稱是Washington University FTP。 Wu-FTP軟件的特性： 1、讓用戶在下載文件的同時可以對文件做自動的壓縮或解壓縮操作； 2、可以對不同網絡的機器做不同的存取限制和存取時間； 3、可以記錄文件上傳和下載的時間； 4、可以顯示傳輸時的相關信息，以便讓用戶知道目前的傳輸狀態(tài)； 5、可以設定連接的數量限制，以提高工作效率。,FTP服務器的設置,但

3、是，Wu-FTP最致命的弱點是安全性比較差。由于推出的時間比較早，所以在功能上和安全性上，都不能滿足現(xiàn)在的需求。所以，在Red Hat Linux 8.0中，默認的FTP服務器已經改成了vs-ftpd這個軟件 這些功能都適于吞吐量較大的FTP服務器的管理要求。,vsftpd 簡介,vsftpd 是一個基于GPL 發(fā)布的類UNIX 系統(tǒng)上使用的FTP 服務器軟件。其中的vs 是“Very Secure”的縮寫，從此名稱縮寫可以看出，編制者的初衷就是代碼的安全性。,Vsftpd 的特性,安全性是編寫vsftpd 代碼的初衷，除了與生俱來的安全性能之外，高速、穩(wěn)定的性能是vsftpd 的兩個特性。

4、在速度方面：使用ASCII 模式下載數據時，vsftpd 的速度是WU-FTPd 的兩倍；如果Linux的主機使用2.4.X 版本的內核，在千兆以太網上的下載速度可達86Mbytes/sec。 在穩(wěn)定性方面：vsftpd 可以在單機（非集群）上支持4000 個以上的并發(fā)用戶同時連接。據 的數據，vsftpd 可以支持15000 個并發(fā)用戶。 除了安全、高速、穩(wěn)定之外，vsftpd 還具有如下的特性： 支持基于IP 的虛擬FTP 服務器 支持虛擬用戶 支持PAM 或xinetd/tcp_wrappers 的認證方式 支持兩種運行方式：獨立和Xinetd 支持每個虛擬用戶具有獨立的配置 支持帶寬限

5、制等,誰在使用vsftpd,由于vsftpd 具有上述的特性，現(xiàn)在越來越多的FTP 服務器使用vsftpd。例如： ,配置vsftpd,Redhat 8.0自帶了vsftpd，在安裝時如果選擇了FTP服務的話，已經安裝好了如下的部分軟件：vsftpd-1.1.0-1.i386.rpm，anonftp-4.0-12.i386.rpm。 其中： vsftpd包用于創(chuàng)建一個安全的FTP服務器。 anonftp 包用于創(chuàng)建匿名FTP服務器目錄。若要架設匿名FTP服務器就應該安裝此包。ano

6、nftp 包安裝的匿名FTP服務器目錄是/var/ftp，匿名下載目錄為/var/ftp/pub。,vsftpd的配置文件,在RedHat9.0中vsftpd的默認配置文件有三個，分別是： /etc/vsftpd/vsftpd.conf /etc/vsftpd.ftpusers /etc/vsftpd.user_list 其中，/etc/vsftpd.conf 是主配置文件。/etc/vsftpd.ftpusers 中指定了哪些用戶不能訪問FTP服務器。/etc/vsftpd.user_list 中指定的用戶默認情況（ 即在/etc/vsftpd.conf 中設置了userlist_deny=

7、YES）下也不能訪問FTP 服務器，當在/etc/vsftpd.conf 中設置了userlist_deny=NO時，僅僅允許/etc/vsftpd.user_list 中指定的用戶訪問FTP 服務器。,默認配置文件,默認的配置文件如下：,默認配置文件,這個默認的配置文件達到的效果是： （1）允許匿名用戶和本地用戶登錄； （2）匿名用戶的登錄名為ftp 或anonymous，口令為一個Email地址； （3）匿名用戶不能離開匿名服務器目錄/var/ftp，且只能下載不能上傳； （4）本地用戶的登錄名為本地用戶名，口令為此本地用戶的口令； （5）本地用戶可以離開自家目錄切換至有權訪問的其他目錄，

8、并在權限允許的情況下進行上傳/下載； （6）寫在文件/etc/vsftpd.ftpusers 中的本地用戶禁止登錄。,進一步配置vsftpd,啟用ASCII 傳輸方式 默認情況下，vsftpd 為了提高傳輸效率，禁止了ASCII 傳輸方式。雖然在ftp 客戶軟件中可以使用asc命令，但是傳輸文件時仍然使用二進制傳輸方式。 可以分別啟用上傳和下載的ASCII 傳輸方式，方法是編輯/etc/vsftpd 配置文件，將如下兩行前的#去掉即可啟用。 #ascii_upload_enable=YES #ascii_download_enable=YES,進一步配置vsftpd,設置連接服務器后的歡迎信息

9、 為了使用戶連接服務器后顯示信息，vsftpd 提供了兩個選項，分別是： ftpd_banner banner_file 例如：可以設置如下的ftpd_banner 選項的值： ftpd_banner=Welcome to wnt FTP service. 即：用戶連接服務器后顯示信息“Welcome to wnt FTP service.”。 也可以設置如下的banner_file 選項的值： banner_file=/var/vsftpd_banner_file 即：用戶連接服務器后顯示文件/var/vsftpd_banner_file 中的信息。,進一步配置vsftpd,配置基本的性能和

10、安全選項 1. 設置空閑的用戶會話的中斷時間 例如下面的配置： idle_session_timeout=600 將在用戶會話空閑10 分鐘后被中斷。 2. 設置空閑的數據連接的的中斷時間 例如下面的配置： data_connection_timeout=120 將在數據連接空閑2 分鐘后被中斷。 3. 設置客戶端空閑時的自動中斷和激活連接的時間 例如下面的配置： accept_timeout=60 connect_timeout=60 將使客戶端空閑1 分鐘后自動中斷連接，并在中斷1 分鐘后自動激活連接。,進一步配置vsftpd,設置最大傳輸速率限制 例如下面的配置： local_max_r

11、ate=50000 anon_max_rate=30000 將使本地用戶的最大傳輸速率為50kbytes/sec，匿名用戶的傳輸速率為30kbytes/sec。 5. 設置客戶端連接時的端口范圍 例如下面的配置： pasv_min_port=50000 pasv_max_port=60000 將使客戶端連接時的端口范圍在50000 和60000 之間。這提高了系統(tǒng)的安全性。,進一步配置vsftpd,6. 設置chroot 在默認配置中，本地用戶可以切換到自家目錄以外的目錄進行瀏覽，并在權限許可的范圍內進行下載和上傳。這樣的設置對于一個FTP 服務器來說是不安全的。 如果希望用戶登錄后不能切換到

12、自家目錄以外的目錄，則需要設置chroot 選項，涉及如: chroot_local_user chroot_list_enable chroot_list_file 有兩種設置chroot 的方法： （1）設置所有的本地用戶執(zhí)行chroot 只要將chroot_local_user 的值設為YES 即可，即： chroot_local_user=YES （2）設置指定的用戶執(zhí)行chroot 需要如下的設置： chroot_local_user=NO chroot_list_enable=YES chroot_list_file= /etc/vsftpd.chroot_list 這樣，只有/e

13、tc/vsftpd.chroot_list 文件中指定的用戶才執(zhí)行chroot。,進一步配置vsftpd,配置基于本地用戶的訪問控制 要配置基于本地用戶的訪問控制，可以通過修改vsftpd 的主配置文件/etc/vsftpd.conf 來進行，有如下兩種限制方法： 1. 限制指定的本地用戶不能訪問，而其他本地用戶可訪問 例如下面的設置： userlist_enable=YES userlist_deny=YES userlist_file= /etc/vsftpd.user_list 使文件/etc/vsftpd.user_list 中指定的本地用戶不能訪問FTP 服務器，而其他本地用戶可訪問

14、FTP服務器。,進一步配置vsftpd,2. 限制指定的本地用戶可以訪問，而其他本地用戶不可訪問 例如下面的設置： userlist_enable= YES userlist_deny=NO userlist_file= /etc/vsftpd.user_list 使文件/etc/vsftpd.user_list 中指定的本地用戶可以訪問FTP 服務器，而其他本地用戶不可以訪問FTP服務器。,進一步配置vsftpd,配置基于主機的訪問控制 由于vsftpd 有兩種運行方式，即：由xinetd 啟動和獨立啟動。這兩種運行方式的主機訪問控制配置是不同的，下面介紹的是由xinetd 啟動的vsftp

15、d 的主機訪問控制的配置。顯然，要配置這種主機訪問控制，需要修改配置文件/etc/xinetd.d/vsftpd。 1. 只允許指定的主機訪問 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： only_from 例如：only_from 表示只允許網段內的主機訪問。,進一步配置vsftpd,2. 指定不能訪問的主機 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： no_access 例如：no_access 表示網段內的主機不能

16、訪問。 3. 配置每個客戶機的最大連接數 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： per_source = 數值 例如：per_source = 5 表示每個客戶機的最大連接數為5。,進一步配置vsftpd,4. 配置服務器總的并發(fā)連接數 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： instances = 數值 例如：instances = 200 表示FTP 服務器總共支持的最高連接數為200。 5. 配置訪問時間限制 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： access_time

17、= hour:min-hour:min 例如：access_time = 18:00-23:59 表示只有在下午6 點到午夜0 點之前才能訪問此FTP 服務器； 又如：access_time = 8:30-11:30 13:00-18:00 表示只有在上午8 點半到11 點半和下午1 點到下午6 點才能訪問此FTP 服務器。,進一步配置vsftpd,6. 指定連接失敗時顯示的信息 在配置文件/etc/xinetd.d/vsftpd 的中添加如下的配置語句： banner_fail = 文件名 例如：banner_fail = /etc/vsftpd.busy_banner 表示當連接失敗時顯示

18、文件/etc/vsftpd.busy_banner 中的內容。,僅僅更改vsftpd.conf這個主配置文件是不夠的，還要更改/etc/xinetd.d/vsftpd這個文件，來控制vsftpd的一些啟動參數。 rootlinux8 /etc# cat /etc/xinetd.d/vsftpd service ftp disable = no socket_type = stream wait = no user = root server = /usr/sbin/vsftpd nice = 10 per_source = 5 instances = 200 banner_fail = /etc/vsftpd.busy_banner log_on_success += PID HOST DURATION log_on_failure += HOST 這種近乎偏執(zhí)的配置會大大增加FTP服務器的安全性，使得vsftpd可以應用在Internet上而不用擔心其安全性與穩(wěn)定性。,FTP協(xié)議,ftp的典型消息 在用于ftp客戶程序與ftp服務器進行通信時，經常會看到一些由ftp服務器發(fā)送消息，這些消息是ftp協(xié)議所定義的。下面列出典型的ftp消息： 消息號 125:數據連接打開，傳輸開始 200：命令OK 226：數據傳輸完畢 331：用戶名OK 425：