用Linux系統構建高效FTP服務器

2024-09-09 20:58:41

字體：大中小

來源：轉載

供稿：網友

在眾多網絡應用中，FTP（文件傳輸協議）有著非常重要的地位。Internet中一個十分重要的資源就是軟件資源，而各種各樣的軟件資源大多數都放在FTP服務器中。與大多數Internet服務一樣，FTP也是一個客戶機/服務器系統。用戶通過一個支持FTP協議的客戶機程序，連接到主機上的FTP服務器程序。用戶通過客戶機程序向服務器程序發出命令，服務器程序執行用戶發出的命令，并將執行結果返回給客戶機。

FTP服務可以根據服務對象的不同分為兩類：系統FTP服務器只允許系統上的合法用戶使用；匿名FTP服務器（Anonymous FTP Server）允許任何人登錄到FTP服務器去獲取文件。

FTP的數據傳輸模式針對FTP數據連接而言，分為主動傳輸模式、被動傳輸模式和單端口傳輸模式三種。

1．主動傳輸模式

當FTP的控制連接建立，客戶提出目錄列表、傳輸文件時，客戶端發出PORT命令與服務器進行協商，FTP服務器使用一個標準端口20作為服務器端的數據連接端口（ftp-data），與客戶建立數據連接。端口20只用于連接源地址是服務器端的情況，并且端口20沒有監聽進程來監聽客戶請求。

在主動傳輸模式下，FTP的數據連接和控制連接方向相反，由服務器向客戶端發起一個用于數據傳輸的連接。客戶端的連接端口由服務器端和客戶端通過協商確定。

2．被動傳輸模式

當FTP的控制連接建立，客戶提出目錄列表、傳輸文件時，客戶端發送PASV命令使服務器處于被動傳輸模式，FTP服務器等待客戶與其聯系。FTP服務器在非20端口的其它數據傳輸端口上監聽客戶請求。

在被動傳輸模式下，FTP的數據連接和控制連接方向一致，由客戶端向服務器發起一個用于數據傳輸的連接?？蛻舳说倪B接端口是發起該數據連接請求時使用的端口。當FTP客戶在防火墻之外訪問FTP服務器時，需要使用被動傳輸模式。

3．單端口模式

除上述兩種模式之外，還有一種單端口模式。該模式的數據連接請求由FTP服務器發起。使用該傳輸模式時，客戶端的控制連接端口和數據連接端口一致。因為這種模式無法在短時間連續輸入數據、傳輸命令，因此并不常用。

linux下有很多可用的FTP服務器，其中比較流行的有WU-FTP（Washington University FTP）和VSFTP。Red Hat 8.0中自帶了WU-FTP和VSFTP兩個軟件。WU-FTP是一個著名的FTP服務器軟件，它功能強大，能夠很好地運行于眾多Unix操作系統中。不過作為后起之秀的VSFTP越來越流行，在Red Hat 9.0發行版中就只帶有VSFTP。

VSFTP中VS的意思是“Very Secure”。從名稱可以看出，從一開始，軟件的編寫者就非常注重其安全性。除與生俱來的安全性外，VSFTP還具有高速、穩定的性能特點。在穩定性方面，VSFTP可以在單機（非集群）上支持4000個以上的并發用戶同時連接。據ftp.redhat.com的數據，VSFTP最多可以支持15000個并發用戶。

快速構建FTP服務器

FTP服務器實現的基本功能是上傳下載，下面就分幾個步驟來搭建一個可以實現下載功能的簡易FTP服務器。

1．安裝FTP服務器

如果在安裝系統時沒有選擇安裝FTP服務器，可以通過Red Hat 9.0中的“添加/刪除應用程序”工具進行安裝。具體方法是，選擇“主選單”→“系統設置”→“添加/刪除應用程序”，在彈出的界面中選中FTP服務器，單擊“更新”即可。

如果無法確認是否安裝了該軟件，可以使用以下命令查看：

#rpm -qa　grep vsftpd
vsftpd-1.1.3-8

2．啟動FTP服務器

套用Red Hat 9.0的預設范例直接啟動VSFTP。

# /sbin/service vsftpd start

為vsftpd啟動vsftpd： [確定]

3．在/var/ftp/pub目錄下創建一個名為test.txt的文件，文件內容為“This is a test file”。

4．測試

使用FTP客戶端登錄到本地服務器，然后以匿名身份（anonymous）登錄：

# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the passWord.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.

這樣就成功地登錄到FTP服務器。可以顯示服務器目錄列表如下：

ftp> ls
227 Entering Passive Mode (127,0,0,1,63,15)
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub
226 Directory send OK.

切換到pub目錄下，并顯示目錄內容，可以找到剛才創建的文件test.txt：

ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (127,0,0,1,232,34)
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 21 Dec 04 01:35 test.txt
226 Directory send OK.

下載test.txt文件：

ftp> mget test.txt
mget test.txt? y
227 Entering Passive Mode (127,0,0,1,186,210)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.0108 secs (1.9 Kbytes/sec)

查看本機目錄內容，可以看到test.txt已成功下載到本機。

ftp> !ls
a    EIO_Binders initrd     mnt     PRoc     tftpboot ylg.txt
bin etc         lib        mymnt   root     tmp
boot home        lost+found myshare sbin     usr
dev id_dsas.pub misc       opt     test.txt var

嘗試上傳名為ylg.txt的文件，可以看到請求被拒絕了。

ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,243,10)
550 Permission denied.

退出登錄：

ftp> bye
221 Goodbye.

由測試可以看出，已經可以下載文件，但不能上傳文件（也不能在服務器上創建目錄和文件）。實際上這是一個專門提供下載服務的匿名FTP服務器。

從上面的步驟可以看出，并不需要做什么配置就可以完成一個簡易FTP服務器的架設。這是因為Red Hat已經配置好一個缺省的FTP服務器。不過在實際應用中，大部分情況下這個簡易的服務器并不能滿足需求。

進一步配置FTP服務器

下面將創建一個能夠滿足常用需求的FTP服務器。實際應用中，FTP服務器一般要同時提供上傳和下載功能。此外，出于安全考慮，還需要有用戶身份驗證、用戶權限設置及空間管理等。下面就來搭建這樣一個FTP服務器。

1．創建歡迎語。如果希望使用者在進入目錄時，能夠看到歡迎語或對本目錄的介紹，可以通過以下方法來實現。

確定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES，默認情況下，Red Hat 9.0有此設置。接著，在目錄中新增名為.message的文件。本例在/home/ylg目錄下創建一個.message文件，其內容為“歡迎來到我的FTP站點”。

2．更換FTP服務器的默認端口。將預設的21端口改為2121，這樣做是基于安全的考慮。更改方法為，使用vi打開/etc/vsftpd/vsftpd.conf：

#vi /etc/vsftpd/vsftpd.conf

在文件最后增加如下一行內容：

listen_port=2121

3．取消anonymous登錄的功能。在vsftpd.conf文件中找到如下一行，并將其值改為“NO”：

anonymous_enable=YES

4．設定使用者不得更改目錄。這樣做的目的也是基于安全性的考慮。一般情況下，使用者的預設目錄為/home/username。若是不希望使用者在登錄后能夠切換至上一層目錄/home，則可通過以下設置來實現。在/etc/vsftpd/vsftpd.conf文件中找到以下三行內容：

#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list

將其改為：

chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list

新增一個文件/etc/vsftpd/chroot_list，文件內容為兩個用戶名：

ylg
user1

5．針對不同的使用者限制不同的速度。假設用戶ylg所能使用的最高速度為500Kb/s，用戶user1所能使用的最高速度為250Kb/s，可以通過以下方法設置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行：

user_config_dir=/etc/vsftpd/userconf

增加一個名為/etc/vsftpd/userconf的目錄：

#mkdir /etc/vsftpd/userconf

在/etc/vsftpd/userconf下新增一個名為ylg的文件，其內容如下所示：

local_max_rate=500000

在/etc/vsftpd/userconf目錄下新增一個名為user1的文件，其內容如下所示：

local_max_rate=250000

VSFTP對于速度的限制范圍大概在80％到120％之間，也就是限制最高速度為100Kb/s，但實際的速度可能在80Kb/s到120Kb/s之間。如果頻寬不足，數值會低于此限制。

6．對于每一個聯機用戶，都以獨立的進程來運行。一般情況下，在啟動VSFTP時，只會看到一個名為vsftpd的進程在運行。但若是讀者希望每一個聯機用戶都能以獨立的進程來呈現，則可通過在/etc/vsftpd/vsftpd.conf文件中增加以下一行來實現：

setproctitle_enable=YES

7．保存/etc/vsftpd/vsftpd.conf文件，然后重新啟動vsftpd：

#service vsftpd restart

8．測試剛創建的FTP服務器。

以缺省方式登錄會被拒絕，因為此時的默認端口號已經更改為2121，所以登錄時需指定端口。

# ftp 127.0.0.1
ftp: connect: Connection refused

此時也不能再使用匿名方式登錄：

# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

如果以用戶ylg則可以成功登錄（指定端口2121），并顯示歡迎信息：

# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): ylg
331 Please specify the password.
Password:
230-歡迎來到我的FTP站點
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.

因為在設置中設定了不能切換目錄，所以下列命令無法正確執行：

ftp> cd /home
550 Failed to change directory.

再來測試一下上傳和下載。首先下載服務器目錄中的test.txt文件：

ftp> get test.txt
local: test.txt remote: test.txt
227 Entering Passive Mode (127,0,0,1,243,215)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.00308 secs (6.7 Kbytes/sec)

可以通過!ls命令看到本機目錄中已成功下載該文件。然后上傳本機目錄中的ylg.txt文件到服務器：

ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,133,248)
150 Ok to send data.
226 File receive OK.
19 bytes sent in 0.0401 secs (0.46 Kbytes/sec)

用ls命令查看服務器目錄，會發現該文件已成功上傳。

為了測試不同連機用戶使用的是不同進程，可以使用ps -ef指令，顯示如下所示：

# ps -ef　grep ftp
root    12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121
nobody 12973 12908 0 13:44 ?      00:00:00 [vsftpd]
ylg     12975 12973 0 13:44 ?      00:00:00 [vsftpd]
user1   13013 13011 0 13:46 ?      00:00:00 [vsftpd]
root    13041 13015 0 13:47 pts/4 00:00:00 grep ftp

到現在為止，一個基本可以滿足普通使用需求的FTP服務器就已經架設完成。

在實際應用中，有時為了增加安全性，會將FTP服務器置于防火墻之后。如本文開頭所述，被動傳輸模式適合于帶有防火墻的情況。下面就來創建一個防火墻后的FTP服務器，該服務器FTP端口為2121，數據傳輸端口為2020。

執行以下兩行指令，只允許2121和2020端口打開，其余端口關閉：

#iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

修改/etc/vsftpd/vsftpd.conf文件，在文本最后添加以下兩行：

listen_port=2121
ftp_data_port=2020

重新啟動vsftpd：

#service vsftpd restart

有時希望直接在/etc/hosts.allow中定義允許或拒絕某一源地址，可以通過以下配置來實現。先確保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES，Red Hat 9.0中，這是默認值。重新啟動vsftpd

#service vsftpd restart

假設提供168.192.2.1和210.31.8.1到210.31.8.254的連接，則可對/etc/hosts.allow進行如下設定：

vsftpd : 168.192.2.1 210.31.8. : allow
ALL : ALL : DENY

配置虛擬用戶FTP

上面配置的FTP服務器有一個特點，就是FTP服務器的用戶本身也是系統用戶。這顯然是一個安全隱患，因為這些用戶不僅能夠訪問FTP，也能夠訪問其它的系統資源。如何解決這個問題呢？答案就是創建一個虛擬用戶的FTP服務器。虛擬用戶的特點是只能訪問服務器為其提供的FTP服務，而不能訪問系統的其它資源。所以，如果想讓用戶對FTP服務器站內具有寫權限，但又不允許訪問系統其它資源，可以使用虛擬用戶來提高系統的安全性。

在VSFTP中，認證這些虛擬用戶使用的是單獨的口令庫文件（pam_userdb），由可插入認證模塊（PAM）認證。使用這種方式更加安全，并且配置更加靈活。

下面介紹配置過程。

1．生成虛擬用戶口令庫文件。為了建立此口令庫文件，先要生成一個文本文件。該文件的格式如下，單數行為用戶名，偶數行為口令：

#vi account.txt
ylg
1234
zhanghong
4321
gou
5678

2．生成口令庫文件，并修改其權限：

#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db
#chmod 600 /etc/vsftpd/account.db

3．新建一個虛擬用戶的PAM文件。加上如下兩行內容：

#vi /etc/pam.d/vsftp.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account
account required /lib/security/pam_userdb.so db=/etc/vsftpd/account

4．建立虛擬用戶，設置該用戶所要訪問的目錄，并設置虛擬用戶訪問的權限：

#useradd -d /ftpsite virtual_user
#chmod 700 /ftpsite

經過該步驟的設置，/ftpsite就是virtual_user用戶的主目錄，該用戶也是/ftpsite目錄的擁有者。除root用戶之外，只有該用戶具有對該目錄的讀、寫和執行的權限。

5．生成一個測試文件。先切換至virtual_user用戶身份，然后在/ftpsite目錄下創建一個文件：

#su -virtual_user
$vi /ftpsite/mytest
This is a test file.
$su - root

6．編輯/etc/vsftpd/vsftpd.conf文件，使其整個文件內容如下所示（去掉了注釋內容）：

anonymous_enable=NO
local_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
one_process_model=NO
chroot_local_user=YES
ftpd_banner=Welcom to my FTP server.
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual_user
pam_service_name=vsftp.vu

上面代碼中，guest_enable=YES表示啟用虛擬用戶；guest_username=virtual則是將虛擬用戶映射為本地用戶，這樣虛擬用戶登錄后才能進入本地用戶virtual的目錄/ftpsite；pam_service_name=vsftp.vu指定PAM的配置文件為vsftp.vu。

7．重新啟動VSFTP

#service vsftpd restart

8．以虛擬用戶gou（Linux中并無該賬號）進行測試：

# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): gou
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.

測試下載服務器目錄中的一個文件mytest：

ftp> get mytest
local: mytest remote: mytest
227 Entering Passive Mode (127,0,0,1,159,19)
150 Opening BINARY mode data connection for mytest (21 bytes).
226 File send OK.
21 bytes received in 0.00038 secs (54 Kbytes/sec)

測試上傳本機目錄中的文件vsftpd.conf：

ftp> !ls
account.db chroot_list k mytest userconf vsftpd.conf
ftp> put vsftpd.conf
local: vsftpd.conf remote: vsftpd.conf
227 Entering Passive Mode (127,0,0,1,117,203)
150 Ok to send data.
226 File receive OK.
4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec)

可以看到，使用沒有系統賬號的虛擬用戶可以成功完成上傳、下載的工作。但該FTP虛擬服務器只允許虛擬用戶登錄，其它系統用戶無法登錄，如系統用戶user1不是虛擬用戶，則不能登錄該虛擬服務器。

# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): user1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

在虛擬FTP服務器中，也可以對各個用戶的權限進行設置。方法是在/etc/vsftpd.conf文件中添加如下一行：

user_config_dir=用戶配置文件目錄

然后在用戶配置文件目錄下創建相應的用戶配置文件，比如為上述名為gou的用戶創建一個配置文件（假設配置文件目錄為/etc/user_config_dir）：

#vi /etc/user_config_dir/gou
write_enable=NO
anono_upload_enable=NO

重啟FTP服務器，這時再使用賬號gou來登錄，就已經沒有上傳的權限了。

上一篇：Linux Enterprise 5.0 ftp/ssh配置問題

下一篇：Ubuntu自帶的FTP服務器vsftpd技巧