1、“十二五”職業(yè)教育國家規(guī)劃教材Red Hat Enterprise Linux 7.3（RHEL 7.3）,Linux網(wǎng)絡(luò)操作系統(tǒng)配置與管理(第三版),主編：夏笠芹,項目13 使用vsftpd傳輸文件資源,項目13 使用vsftpd 傳輸文件資源,【職業(yè)知識目標】 了解:FTP服務(wù)的概念、基本原理；FTP用戶類型及登錄方式,常用的服務(wù)器端和客戶端軟件 熟悉:FTP服務(wù)的工作過程及基本組成結(jié)構(gòu);vsftp 兩種運行模式的區(qū)別 掌握:匿名用戶、本地用戶和虛擬用戶FTP 服務(wù)器的配置；FTP客戶機的配置方法 【職業(yè)能力目標】 會安裝和啟動默認的vsftp 服務(wù)； 能配置匿名用戶訪問的FTP服務(wù)器；

2、能配置本地用戶訪問的FTP服務(wù)器； 能配置虛擬用戶訪問的FTP服務(wù)器； 會使用FTP客戶端訪問FTP服務(wù)器,13.1 項目描述,德雅職業(yè)學(xué)校架設(shè)了自己的Web服務(wù)器和存放師生共享資料的文件服務(wù)器。Web服務(wù)器需要經(jīng)常更新頁面和隨時增加新的消息條目;而文件服務(wù)器是學(xué)校及師生個人的多媒體教學(xué)資源的集中存放地,師生員工,特別是有時在家辦公的教師經(jīng)常需要通過互聯(lián)網(wǎng)從文件服務(wù)器下載資料到本地計算機,也需要從各自的計算機上上傳資料到文件服務(wù)器。這里更新、下載和上傳文檔資料的功能要求,均可通過搭建FTP服務(wù)器來獲得圓滿解決,不僅如此,FTP服務(wù)器還可通過訪問權(quán)限的設(shè)置確保數(shù)據(jù)來源的正確性和數(shù)據(jù)存取的安全性。

3、,13.2.1 FTP服務(wù)的作用與系統(tǒng)組成 FTP(File Transfer Protocol,文件傳輸協(xié)議)是使網(wǎng)絡(luò)中的計算機之間實現(xiàn)文件傳送的標準協(xié)議。 FTP主要應(yīng)用于軟件資源的上傳與下載和Web站點的維護與更新 FTP服務(wù)系統(tǒng)由服務(wù)器軟件、客戶端軟件和FTP通信協(xié)議三部分組成,13.2 項目知識準備,13.2.2 FTP服務(wù)的工作過程 1.主動模式(PORT/standard)的工作過程,13.2 項目知識準備,FTP客戶端從任意的一個非特權(quán)端口N(1024)連接到服務(wù)器的21端口,并發(fā)送用戶名和密碼進行登錄,建立起二者之間的命令連接。當(dāng)需要傳輸數(shù)據(jù)時,客戶端通過命令連接發(fā)出PORT

4、命令告訴服務(wù)器“我開放的數(shù)據(jù)端口是N+1,你來連接我”;服務(wù)器收到PORT命令后,通過自己的20端口主動地發(fā)起與客戶端的N+1端口建立數(shù)據(jù)連接;在數(shù)據(jù)連接通道上,開始傳輸數(shù)據(jù)直至傳輸結(jié)束而終止數(shù)據(jù)連接。如圖13-2所示。,2.被動模式(PASV)的工作過程,13.2.2 FTP服務(wù)的工作過程,FTP客戶端從任意的一個非特權(quán)端口N(1024)連接到服務(wù)器的21端口,發(fā)送用戶名和密碼進行登錄;當(dāng)需要傳輸數(shù)據(jù)時,客戶端發(fā)送PASV命令到服務(wù)器,讓服務(wù)器進入被動模式;服務(wù)器收到PASV命令后,會向客戶端返回一個具有6個字段的字符串,其中,前四個字段是服務(wù)器的IP地址,后兩個字段則是能計算出服務(wù)器端數(shù)據(jù)

5、端口號的兩個參數(shù),然后服務(wù)器和客戶端均會按照“第5個字段*256+第6個字段”的算式計算其值(記為P),服務(wù)器開啟P端口,客戶端則從N+1號端口主動向服務(wù)器的P號端口發(fā)起連接,從而建立起一條數(shù)據(jù)連接通道;在數(shù)據(jù)連接通道上,開始傳輸數(shù)據(jù)直至傳輸結(jié)束而終止數(shù)據(jù)連接。,1vsftpd軟件的特點 vsftpd的全稱是“very secure FTP daemon”(非常安全的守護) 優(yōu)點:安全、高速、高穩(wěn)定性、體積小、可定制強、效率高 官方下載地址: 2 vsftpd的傳輸模式 文本模式:該模式在傳輸文件時使用ASCII字符序列傳輸數(shù)據(jù),只適合傳輸用HTML

6、和文本編輯器編寫的文件。 二進制模式:該模式以二進制序列傳輸數(shù)據(jù),適合傳輸程序、壓縮包、圖片等文件。 3vsftpd用戶的類型 匿名用戶：anonymous或ftp 本地用戶： 帳號名稱、密碼等信息保存在passwd、shadow文件中 虛擬用戶： 使用獨立的帳號/密碼數(shù)據(jù)文件,13.2.3 vsftpd服務(wù)簡介,8,任務(wù)13-1 vsftpd服務(wù)安裝與測試,1.檢查是否安裝vsFTPd軟件,13.3 項目實施,rootftp_server # mount /dev/cdrom /mnt rootftp_server # rpm -ivh /mnt/Packages/vsftpd-3.0.2-

7、10.el7.x86_64.rpm,2. vsftpd服務(wù)的運行管理 (1)Vsftpd啟動、重啟、狀態(tài)查詢、停止等操作。,rootftp_server # rpm qa |grep vsftpd,RHEL7自帶了vsftpd,默認未安裝,若無任何顯示，說明vsFTPd未安裝,systemctl start|stop|restart|reload|status vsftpd.service,(2)設(shè)置vsftpd開機啟動,systemctl enable|disable vsftpd.service,(3)檢查vsftpd進程,# ps -ef | grep ftp,(4)查看端口占用情況,#

8、 ss -nutap | grep ftp,3Linux客戶端訪問vsftpd服務(wù)器 步驟1:在服務(wù)器端設(shè)置防火墻,開啟FTP服務(wù)端口。,任務(wù)13-1 vsftpd服務(wù)安裝與測試,步驟2:在RHEL7客戶機上安裝ftp的客戶端軟件包,rootftp_server # firewall-cmd -permanent -add-service=ftp rootftp_server # firewall-cmd -reload,rootftp_client # mount /dev/cdrom /mnt rootftp_client # rpm -ivh /mnt/Packages/ftp-0.17

9、-66.el7.x86_64.rpm,10,任務(wù)13-1 vsftpd服務(wù)安裝與測試,rootftp_client #ftp Connected to (). 220 (vsFTPd 3.0.2) Name (:root): ftp/輸入用戶名,此處為匿名用戶 331 Please specify the password. Password: /輸入用戶密碼,匿名用戶的密碼為空或任意字符 230 Login successful. Remote system type is UNIX. Using b

10、inary mode to transfer files. ftp ls/顯示用戶登錄后當(dāng)前目錄下的文件清單 227 Entering Passive Mode (192,168,1,1,125,153). 150 Here comes the directory listing. drwxr-xr-x 2 0 0 6 Jun 23 2016 pub 226 Directory send OK. ftp mkdir dir1/在服務(wù)器上的當(dāng)前目錄下創(chuàng)建一個文件夾 550 Permission denied. /權(quán)限被拒絕,表明匿名用戶在默認配置下不能上傳信息 ftp bye 221 Goodb

11、ye.,步驟3:在客戶機上使用ftp命令登錄vsftpd服務(wù)器,任務(wù)13-1 vsftpd服務(wù)安裝與測試,表13-1 常用FTP命令,12,訪問FTP服務(wù)器命令的返回值及含義,任務(wù)13-1 vsftpd服務(wù)安裝與測試,任務(wù)13-2 認識vsftpd的配置文件,表13-2 vsftpd的配置文件及目錄,14,任務(wù)13-2 認識vsftpd的配置文件,表13-3 主配置文件vsftpd.conf常用配置項及功能說明,15,任務(wù)13-2 認識vsftpd的配置文件,表13-3 主配置文件vsftpd.conf常用配置項及功能說明,16,任務(wù)13-2 認識vsftpd的配置文件,表13-3 主配置文件

12、vsftpd.conf常用配置項及功能說明,【例13-1】搭建一臺功能簡單的FTP服務(wù)器,允許所有師生員工使用匿名用戶下載文件,任務(wù)13-3 配置匿名用戶訪問的FTP,rootftp_server # mkdir -p /ftp/share rootftp_server # echo my test file /ftp/share/匿名用戶測試文件.txt,步驟1：創(chuàng)建一個供下載資源的目錄/ftp/share,并在其中添加測試文件。,步驟2：在SELinux開啟的情況下,修改目錄/ftp/share的安全上下文,使匿名用戶能讀取文件或目錄（即能瀏覽、下載文件或目錄）。,rootftp_serv

13、er # ll -Zd /ftp/share drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /ftp/share rootftp_server # chcon -R -t public_content_t /ftp/share rootftp_server # ll -Zd /ftp/share drwxr-xr-x. root root unconfined_u:object_r:public_content_r_t:s0 /ftp/share,步驟3：編輯配置文件vsftpd.conf,允許匿名用戶訪問 。,rootftp

14、_server # vim /etc/vsftpd/vsftpd.conf anonymous_enable=YES /12行:允許匿名用戶訪問 anon_root= /ftp/shar /添加到13行:設(shè)置匿名用戶登錄后的根目錄,任務(wù)13-3 配置匿名用戶訪問的FTP,步驟4：若防火墻開啟則開放ftp服務(wù)。,步驟5：重新啟動vsftpd服務(wù)。,root ftp_server # firewall-cmd -permanent -add-service=ftp root ftp_server # firewall-cmd -reload,rootftp_server # systemctl r

15、estart vsftpd,步驟6：在Windows客戶端啟動IE瀏覽器單擊【工具】菜單項選擇【Internet選項】在打開的【Internet選項】對話框中單擊【高級】選項卡在【設(shè)置】列表框內(nèi)找到【瀏覽】節(jié)點下的【使用被動FTP(為防火墻和DSL調(diào)制解調(diào)器兼容性)】配置項并勾選此項單擊【確定】按鈕,如圖13-3所示。,任務(wù)13-3 配置匿名用戶訪問的FTP,【例13-2】擴展學(xué)校FTP服務(wù)器的功能,使其能維護學(xué)校的Web網(wǎng)站,包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁等。學(xué)校指派了專人專號(user1)予以維護,user1登錄FTP服務(wù)器后直接進入Web網(wǎng)站的根目錄/var/www/web1,且要求不

16、能進入該目錄以外的任何目錄。,任務(wù)13-4 配置本地用戶訪問的FTP,步驟1： 建立用于維護網(wǎng)站的禁止登錄且家目錄為/var/www/web1的用戶user1設(shè)置用戶密碼創(chuàng)建用于測試的文件。,rootftp_server # mkdir -p /var/www/web1 rootftp_server # echo s web/var/www/web1/本地用戶訪問ftp.txt rootftp_server # chmod -R 757 /var/www/web1 rootftp_server # useradd user1 -s /sbin/nologin root

17、ftp_server # passwd user1 rootftp_server # chown -R user1 /var/www/web1,任務(wù)13-4 配置本地用戶訪問的FTP,步驟2:編輯主配置文件vsftpd.conf重啟vsftpd服務(wù)使配置生效。,root ftp_server # vim /etc/vsftpd/vsftpd.conf /查找以下各行并修改之,其他配置行保持默認 local_enable=YES/16行:允許本地用戶登錄 local_root=/var/www/web1/添加至17行:設(shè)置本地用戶登錄后的根目錄 write_enable=YES/19行:允許寫入

18、 local_umask=022/23行:設(shè)定新上傳文件(夾)的權(quán)限掩碼 connect_from_port_20=YES/添加至43 chroot_local_user= NO/100行:是否將所有用戶限制在登錄根目錄內(nèi) chroot_list_enable=YES/101行:開啟鎖定用戶的chroot功能 chroot_list_file=/etc/vsftpd/chroot_list/103行:設(shè)置鎖定用戶的列表文件 root ftp_server # systemctl restart vsftpd,其中:chroot_local_user與chroot_list_enable的組合效

19、果如下：,步驟4:若防火墻開啟,則開放ftp服務(wù)流量。,任務(wù)13-4 配置本地用戶訪問的FTP,步驟3：建立/etc/vsftpd/chroot_list文件,將被鎖定的用戶user1加入其中。,root ftp_server # vim /etc/vsftpd/chroot_list user1,root ftp_server # firewall-cmd -zone=public -permanent -add-service=ftp root ftp_server # firewall-cmd -reload,步驟5:修改SELinux布爾量,允許本地用戶登錄。,root ftp_ser

20、ver # getsebool -a | grep ftp /查看與ftp有關(guān)的所有SElinux的布爾值 root ftp_server # setsebool -P ftpd_full_access on/ /開放ftp訪問 (-P寫入磁盤,永久生效),步驟6:進入Windows客戶端的資源管理器在地址欄中輸入“”后回車若同時允許匿名訪問則會先進入匿名訪問的窗口,在窗口的空白處單擊鼠標右鍵在彈出的快捷菜單中選擇【登錄】菜單項在打開的【登錄身份】對話框中輸入用戶名和密碼單擊【登錄】按鈕,如圖13-7所示。 步驟7:在打開的FTP登錄窗口內(nèi)拖拽文件(夾)到本地硬

21、盤(E:)的窗口完成下載從本地硬盤(E:)窗口內(nèi)將文件(夾)拖拽到FTP登錄窗口完成上傳,如圖13-8所示。,任務(wù)13-4 配置本地用戶訪問的FTP,【例13-3】為了學(xué)校FTP服務(wù)器的安全,不直接使用本地用戶登錄,使用虛擬用戶驗證機制,并對不同虛擬用戶設(shè)置不同的訪問權(quán)限。同時,為了保證服務(wù)器的整體性能,需要對上傳/下載流量進行控制。,任務(wù)13-5 配置虛擬用戶訪問的FTP,任務(wù)13-5 配置虛擬用戶訪問的FTP,rootftp_server # vi /etc/vsftpd/vusers.list zhang3/指定虛擬用戶的名稱 345/指定上一行虛擬用戶的密碼 li4 456,步驟2:創(chuàng)

22、建虛擬用戶名單文件v_user.txt。,步驟1：創(chuàng)建虛擬用戶對應(yīng)的本地用戶,并設(shè)置用戶主目錄的訪問權(quán)限。,rootftp_server # useradd user2 -s /sbin/nologin rootftp_server # mkdir -p /ftp/public/ /var/www/web2 rootftp_server # echo my test file /ftp/public/虛擬用戶1測試文件.txt rootftp_server # echo my test file /var/www/web2/虛擬用戶2測試文件.txt rootftp_server # chow

23、n user2 /ftp/public /var/www/web2 rootftp_server # chmod -R 755 /ftp/public /var/www/web2,任務(wù)13-5 配置虛擬用戶訪問的FTP,步驟3：檢查、安裝db_load轉(zhuǎn)換工具(RHEL7中已默認安裝)將虛擬用戶明文文件v_user.txt轉(zhuǎn)化為數(shù)據(jù)庫文件v_user.db修改數(shù)據(jù)庫文件訪問權(quán)限,以防止被非法用戶盜取。,rootftp_server #rpm -qf /usr/bin/db_load libdb-utils-5.3.21-19.el7.x86_64 root ftp_server vsftpd

24、# db_load -T -t hash -f v_user.txt v_user.db root ftp_server # file /etc/vsftpd/v_user.db/查看密碼數(shù)據(jù)文件 /etc/vsftpd/v_user.db: Berkeley DB (Hash, version 9, native byte-order) rootftp_server # chmod 600 /etc/vsftpd/v_user.*,db_load命令參數(shù)說明: -T允許應(yīng)用程序能夠?qū)⑽谋疚募D(zhuǎn)換并載入數(shù)據(jù)庫文件。 -t hash追加在-T選項后,用來指定轉(zhuǎn)譯載入的數(shù)據(jù)庫類型,常用類型有btr

25、ee、hash、queue和recon等。 -f用于指定用戶名/密碼列表文件。,步驟4：建立用戶登錄時進行身份驗證的PAM認證文件。為了使服務(wù)器能夠使用數(shù)據(jù)庫文件對客戶端進行身份驗證,需要對PAM(Plugable Authentication Module,可插拔認證模塊)認證程序的位置、認證方式和認證對象等進行配置。存放PAM認證文件的目錄為“/etc/pam.d/”,此目錄下保存了與認證有關(guān)的多個配置文件,其中“/etc/pam.d/vsftpd”為vsftpd服務(wù)使用的默認PAM認證文件,用戶可復(fù)制該文件后建立自己的PAM認證配置文件。,rootftp_server #cp -p /e

26、tc/pam.d/vsftpd /etc/pam.d/vuser.v/復(fù)制模板認證配置文件 rootftp_server # vim /etc/pam.d/vuser.vu /在原文件前兩行添加用于控制虛擬用戶的驗證配置行： authsufficient/lib64/security/pam_userdb.sodb=/etc/vsftpd/v_user accountsufficient/lib64/security/pam_userdb.sodb=/etc/vsftpd/v_user /保留以下原文件中所有默認內(nèi)容(用于控制本地用戶的驗證配置行) sessionoptionalpam_key

27、init.so force revoke authrequiredpam_listfile.so tem=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed authrequiredpam_shells.so authincludepassword-auth accountincludepassword-auth sessionrequiredpam_loginuid.so sessionincludepassword-auth,任務(wù)13-5 配置虛擬用戶訪問的FTP,步驟5:修改vsftpd.conf主配置文件,添加對虛擬用戶的支持

28、,設(shè)置符合每個虛擬用戶要求的共同配置。,任務(wù)13-5 配置虛擬用戶訪問的FTP,rootftp_server # vim /etc/vsftpd/vsftpd.conf local_enable=YES /16行:使用虛擬用戶一定要啟用本地用戶 pam_service_name=vuser.vu /125行:指定對虛擬用戶進行PAM認證的文件名vuser.vu guest_enable=YES/128行:啟用虛擬用戶功能,允許虛擬用戶登錄(需添加) guest_username=user2/129行:指定虛擬用戶對應(yīng)的本地用戶(需添加) user_config_dir=/etc/vsftpd/

29、vconfig/130行:指定虛擬用戶的配置文件的存放位置(需添加) virtual_use_local_privs=YES/131行:虛擬用戶和本地用戶有相同的權(quán)限(需添加) allow_writeable_chroot=YES/132行:修復(fù)對用戶家目錄因有寫權(quán)限而使訪問出錯(需添加),步驟6：為虛擬用戶分別建立滿足各自要求的專用配置文件。由于多個虛擬用戶有不同的訪問權(quán)限,若使用同一個配置文件則無法實現(xiàn),需要為每個虛擬用戶建立專屬的配置文件。為此,在user_config_dir指定路徑下,建立與虛擬用戶同名的配置文件,并根據(jù)需要添加相應(yīng)的配置項。,rootftp_server # mkdir /etc/vsftpd/vconfig/ rootftp_server # vim /etc/vsftpd/vconfig/zhang3 /確保配置文件名與虛擬用戶名同名 local_root=/ftp/public/ /指定登錄以后的位