在眾多網(wǎng)絡(luò)應(yīng)用中�,F(xiàn)TP(文件傳輸協(xié)議)有著非常重要的地位����。Internet中一個(gè)十分重要的資源就是軟件資源�,而各種各樣的軟件資源大多數(shù)都放在FTP服務(wù)器中。與大多數(shù)Internet服務(wù)一樣���,F(xiàn)TP也是一個(gè)客戶機(jī)/服務(wù)器系統(tǒng)。用戶通過(guò)一個(gè)支持FTP協(xié)議的客戶機(jī)程序���,連接到主機(jī)上的FTP服務(wù)器程序�。用戶通過(guò)客戶機(jī)程序向服務(wù)器程序發(fā)出命令,服務(wù)器程序執(zhí)行用戶發(fā)出的命令����,并將執(zhí)行結(jié)果返回給客戶機(jī)�。
FTP服務(wù)可以根據(jù)服務(wù)對(duì)象的不同分為兩類:系統(tǒng)FTP服務(wù)器只允許系統(tǒng)上的合法用戶使用;匿名FTP服務(wù)器(Anonymous FTP Server)允許任何人登錄到FTP服務(wù)器去獲取文件����。
FTP的數(shù)據(jù)傳輸模式針對(duì)FTP數(shù)據(jù)連接而言,分為主動(dòng)傳輸模式���、被動(dòng)傳輸模式和單端口傳輸模式三種�����。
1.主動(dòng)傳輸模式
當(dāng)FTP的控制連接建立,客戶提出目錄列表�����、傳輸文件時(shí)�,客戶端發(fā)出PORT命令與服務(wù)器進(jìn)行協(xié)商����,F(xiàn)TP服務(wù)器使用一個(gè)標(biāo)準(zhǔn)端口20作為服務(wù)器端的數(shù)據(jù)連接端口(ftp-data)���,與客戶建立數(shù)據(jù)連接���。端口20只用于連接源地址是服務(wù)器端的情況�,并且端口20沒(méi)有監(jiān)聽(tīng)進(jìn)程來(lái)監(jiān)聽(tīng)客戶請(qǐng)求�。
在主動(dòng)傳輸模式下���,F(xiàn)TP的數(shù)據(jù)連接和控制連接方向相反�����,由服務(wù)器向客戶端發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接���??蛻舳说倪B接端口由服務(wù)器端和客戶端通過(guò)協(xié)商確定。
2.被動(dòng)傳輸模式
當(dāng)FTP的控制連接建立�����,客戶提出目錄列表�、傳輸文件時(shí),客戶端發(fā)送PASV命令使服務(wù)器處于被動(dòng)傳輸模式�����,F(xiàn)TP服務(wù)器等待客戶與其聯(lián)系。FTP服務(wù)器在非20端口的其它數(shù)據(jù)傳輸端口上監(jiān)聽(tīng)客戶請(qǐng)求���。
在被動(dòng)傳輸模式下����,F(xiàn)TP的數(shù)據(jù)連接和控制連接方向一致���,由客戶端向服務(wù)器發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接���?�?蛻舳说倪B接端口是發(fā)起該數(shù)據(jù)連接請(qǐng)求時(shí)使用的端口。當(dāng)FTP客戶在防火墻之外訪問(wèn)FTP服務(wù)器時(shí)�,需要使用被動(dòng)傳輸模式����。
3.單端口模式
除上述兩種模式之外,還有一種單端口模式��。該模式的數(shù)據(jù)連接請(qǐng)求由FTP服務(wù)器發(fā)起。使用該傳輸模式時(shí)��,客戶端的控制連接端口和數(shù)據(jù)連接端口一致�。因?yàn)檫@種模式無(wú)法在短時(shí)間連續(xù)輸入數(shù)據(jù)�����、傳輸命令�,因此并不常用���。
linux下有很多可用的FTP服務(wù)器���,其中比較流行的有WU-FTP(Washington University FTP)和VSFTP����。Red Hat 8.0中自帶了WU-FTP和VSFTP兩個(gè)軟件���。WU-FTP是一個(gè)著名的FTP服務(wù)器軟件�,它功能強(qiáng)大���,能夠很好地運(yùn)行于眾多Unix操作系統(tǒng)中��。不過(guò)作為后起之秀的VSFTP越來(lái)越流行���,在Red Hat 9.0發(fā)行版中就只帶有VSFTP��。
VSFTP中VS的意思是“Very Secure”����。從名稱可以看出�����,從一開(kāi)始����,軟件的編寫(xiě)者就非常注重其安全性���。除與生俱來(lái)的安全性外���,VSFTP還具有高速、穩(wěn)定的性能特點(diǎn)���。在穩(wěn)定性方面�����,VSFTP可以在單機(jī)(非集群)上支持4000個(gè)以上的并發(fā)用戶同時(shí)連接���。據(jù)ftp.redhat.com的數(shù)據(jù),VSFTP最多可以支持15000個(gè)并發(fā)用戶���。
快速構(gòu)建FTP服務(wù)器
FTP服務(wù)器實(shí)現(xiàn)的基本功能是上傳下載�����,下面就分幾個(gè)步驟來(lái)搭建一個(gè)可以實(shí)現(xiàn)下載功能的簡(jiǎn)易FTP服務(wù)器。
1.安裝FTP服務(wù)器
如果在安裝系統(tǒng)時(shí)沒(méi)有選擇安裝FTP服務(wù)器,可以通過(guò)Red Hat 9.0中的“添加/刪除應(yīng)用程序”工具進(jìn)行安裝��。具體方法是�����,選擇“主選單”→“系統(tǒng)設(shè)置”→“添加/刪除應(yīng)用程序”,在彈出的界面中選中FTP服務(wù)器����,單擊“更新”即可���。
如果無(wú)法確認(rèn)是否安裝了該軟件,可以使用以下命令查看:
#rpm -qa grep vsftpd
vsftpd-1.1.3-8
2.啟動(dòng)FTP服務(wù)器
套用Red Hat 9.0的預(yù)設(shè)范例直接啟動(dòng)VSFTP�����。
# /sbin/service vsftpd start
為vsftpd啟動(dòng)vsftpd: [確定]
3.在/var/ftp/pub目錄下創(chuàng)建一個(gè)名為test.txt的文件,文件內(nèi)容為“This is a test file”���。
4.測(cè)試
使用FTP客戶端登錄到本地服務(wù)器���,然后以匿名身份(anonymous)登錄:
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the passWord.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
這樣就成功地登錄到FTP服務(wù)器�?��?梢燥@示服務(wù)器目錄列表如下:
ftp> ls
227 Entering Passive Mode (127,0,0,1,63,15)
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub
226 Directory send OK.
切換到pub目錄下����,并顯示目錄內(nèi)容,可以找到剛才創(chuàng)建的文件test.txt:
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (127,0,0,1,232,34)
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 21 Dec 04 01:35 test.txt
226 Directory send OK.
下載test.txt文件:
ftp> mget test.txt
mget test.txt? y
227 Entering Passive Mode (127,0,0,1,186,210)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.0108 secs (1.9 Kbytes/sec)
查看本機(jī)目錄內(nèi)容��,可以看到test.txt已成功下載到本機(jī)���。
ftp> !ls
a EIO_Binders initrd mnt PRoc tftpboot ylg.txt
bin etc lib mymnt root tmp
boot home lost+found myshare sbin usr
dev id_dsas.pub misc opt test.txt var
嘗試上傳名為ylg.txt的文件,可以看到請(qǐng)求被拒絕了�����。
ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,243,10)
550 Permission denied.
退出登錄:
ftp> bye
221 Goodbye.
由測(cè)試可以看出��,已經(jīng)可以下載文件�����,但不能上傳文件(也不能在服務(wù)器上創(chuàng)建目錄和文件)。實(shí)際上這是一個(gè)專門(mén)提供下載服務(wù)的匿名FTP服務(wù)器����。
從上面的步驟可以看出���,并不需要做什么配置就可以完成一個(gè)簡(jiǎn)易FTP服務(wù)器的架設(shè)。這是因?yàn)镽ed Hat已經(jīng)配置好一個(gè)缺省的FTP服務(wù)器�。不過(guò)在實(shí)際應(yīng)用中��,大部分情況下這個(gè)簡(jiǎn)易的服務(wù)器并不能滿足需求����。
進(jìn)一步配置FTP服務(wù)器
下面將創(chuàng)建一個(gè)能夠滿足常用需求的FTP服務(wù)器�����。實(shí)際應(yīng)用中��,F(xiàn)TP服務(wù)器一般要同時(shí)提供上傳和下載功能��。此外,出于安全考慮���,還需要有用戶身份驗(yàn)證、用戶權(quán)限設(shè)置及空間管理等���。下面就來(lái)搭建這樣一個(gè)FTP服務(wù)器。
1.創(chuàng)建歡迎語(yǔ)�����。如果希望使用者在進(jìn)入目錄時(shí),能夠看到歡迎語(yǔ)或?qū)Ρ灸夸浀慕榻B��,可以通過(guò)以下方法來(lái)實(shí)現(xiàn)����。
確定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES�,默認(rèn)情況下���,Red Hat 9.0有此設(shè)置。接著���,在目錄中新增名為.message的文件�。本例在/home/ylg目錄下創(chuàng)建一個(gè).message文件��,其內(nèi)容為“歡迎來(lái)到我的FTP站點(diǎn)”�����。
2.更換FTP服務(wù)器的默認(rèn)端口�����。將預(yù)設(shè)的21端口改為2121��,這樣做是基于安全的考慮��。更改方法為,使用vi打開(kāi)/etc/vsftpd/vsftpd.conf:
#vi /etc/vsftpd/vsftpd.conf
在文件最后增加如下一行內(nèi)容:
listen_port=2121
3.取消anonymous登錄的功能���。在vsftpd.conf文件中找到如下一行,并將其值改為“NO”:
anonymous_enable=YES
4.設(shè)定使用者不得更改目錄���。這樣做的目的也是基于安全性的考慮�。一般情況下�,使用者的預(yù)設(shè)目錄為/home/username。若是不希望使用者在登錄后能夠切換至上一層目錄/home�����,則可通過(guò)以下設(shè)置來(lái)實(shí)現(xiàn)�����。在/etc/vsftpd/vsftpd.conf文件中找到以下三行內(nèi)容:
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
將其改為:
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
新增一個(gè)文件/etc/vsftpd/chroot_list,文件內(nèi)容為兩個(gè)用戶名:
ylg
user1
5.針對(duì)不同的使用者限制不同的速度��。假設(shè)用戶ylg所能使用的最高速度為500Kb/s,用戶user1所能使用的最高速度為250Kb/s�,可以通過(guò)以下方法設(shè)置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行:
user_config_dir=/etc/vsftpd/userconf
增加一個(gè)名為/etc/vsftpd/userconf的目錄:
#mkdir /etc/vsftpd/userconf
在/etc/vsftpd/userconf下新增一個(gè)名為ylg的文件���,其內(nèi)容如下所示:
local_max_rate=500000
在/etc/vsftpd/userconf目錄下新增一個(gè)名為user1的文件,其內(nèi)容如下所示:
local_max_rate=250000
VSFTP對(duì)于速度的限制范圍大概在80%到120%之間��,也就是限制最高速度為100Kb/s,但實(shí)際的速度可能在80Kb/s到120Kb/s之間�����。如果頻寬不足��,數(shù)值會(huì)低于此限制�����。
6.對(duì)于每一個(gè)聯(lián)機(jī)用戶����,都以獨(dú)立的進(jìn)程來(lái)運(yùn)行。一般情況下�����,在啟動(dòng)VSFTP時(shí)��,只會(huì)看到一個(gè)名為vsftpd的進(jìn)程在運(yùn)行���。但若是讀者希望每一個(gè)聯(lián)機(jī)用戶都能以獨(dú)立的進(jìn)程來(lái)呈現(xiàn),則可通過(guò)在/etc/vsftpd/vsftpd.conf文件中增加以下一行來(lái)實(shí)現(xiàn):
setproctitle_enable=YES
7.保存/etc/vsftpd/vsftpd.conf文件���,然后重新啟動(dòng)vsftpd:
#service vsftpd restart
8.測(cè)試剛創(chuàng)建的FTP服務(wù)器��。
以缺省方式登錄會(huì)被拒絕,因?yàn)榇藭r(shí)的默認(rèn)端口號(hào)已經(jīng)更改為2121���,所以登錄時(shí)需指定端口。
# ftp 127.0.0.1
ftp: connect: Connection refused
此時(shí)也不能再使用匿名方式登錄:
# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
如果以用戶ylg則可以成功登錄(指定端口2121)���,并顯示歡迎信息:
# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): ylg
331 Please specify the password.
Password:
230-歡迎來(lái)到我的FTP站點(diǎn)
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
因?yàn)樵谠O(shè)置中設(shè)定了不能切換目錄,所以下列命令無(wú)法正確執(zhí)行:
ftp> cd /home
550 Failed to change directory.
再來(lái)測(cè)試一下上傳和下載���。首先下載服務(wù)器目錄中的test.txt文件:
ftp> get test.txt
local: test.txt remote: test.txt
227 Entering Passive Mode (127,0,0,1,243,215)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.00308 secs (6.7 Kbytes/sec)
可以通過(guò)!ls命令看到本機(jī)目錄中已成功下載該文件�����。然后上傳本機(jī)目錄中的ylg.txt文件到服務(wù)器:
ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,133,248)
150 Ok to send data.
226 File receive OK.
19 bytes sent in 0.0401 secs (0.46 Kbytes/sec)
用ls命令查看服務(wù)器目錄��,會(huì)發(fā)現(xiàn)該文件已成功上傳。
為了測(cè)試不同連機(jī)用戶使用的是不同進(jìn)程�,可以使用ps -ef指令����,顯示如下所示:
# ps -ef grep ftp
root 12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121
nobody 12973 12908 0 13:44 ? 00:00:00 [vsftpd]
ylg 12975 12973 0 13:44 ? 00:00:00 [vsftpd]
user1 13013 13011 0 13:46 ? 00:00:00 [vsftpd]
root 13041 13015 0 13:47 pts/4 00:00:00 grep ftp
到現(xiàn)在為止�����,一個(gè)基本可以滿足普通使用需求的FTP服務(wù)器就已經(jīng)架設(shè)完成���。
在實(shí)際應(yīng)用中,有時(shí)為了增加安全性�,會(huì)將FTP服務(wù)器置于防火墻之后。如本文開(kāi)頭所述�����,被動(dòng)傳輸模式適合于帶有防火墻的情況。下面就來(lái)創(chuàng)建一個(gè)防火墻后的FTP服務(wù)器��,該服務(wù)器FTP端口為2121�����,數(shù)據(jù)傳輸端口為2020�。
執(zhí)行以下兩行指令���,只允許2121和2020端口打開(kāi),其余端口關(guān)閉:
#iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
修改/etc/vsftpd/vsftpd.conf文件�����,在文本最后添加以下兩行:
listen_port=2121
ftp_data_port=2020
重新啟動(dòng)vsftpd:
#service vsftpd restart
有時(shí)希望直接在/etc/hosts.allow中定義允許或拒絕某一源地址����,可以通過(guò)以下配置來(lái)實(shí)現(xiàn)���。先確保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES,Red Hat 9.0中��,這是默認(rèn)值���。重新啟動(dòng)vsftpd
#service vsftpd restart
假設(shè)提供168.192.2.1和210.31.8.1到210.31.8.254的連接,則可對(duì)/etc/hosts.allow進(jìn)行如下設(shè)定:
vsftpd : 168.192.2.1 210.31.8. : allow
ALL : ALL : DENY
配置虛擬用戶FTP
上面配置的FTP服務(wù)器有一個(gè)特點(diǎn)����,就是FTP服務(wù)器的用戶本身也是系統(tǒng)用戶�。這顯然是一個(gè)安全隱患��,因?yàn)檫@些用戶不僅能夠訪問(wèn)FTP��,也能夠訪問(wèn)其它的系統(tǒng)資源�����。如何解決這個(gè)問(wèn)題呢�?答案就是創(chuàng)建一個(gè)虛擬用戶的FTP服務(wù)器。虛擬用戶的特點(diǎn)是只能訪問(wèn)服務(wù)器為其提供的FTP服務(wù)��,而不能訪問(wèn)系統(tǒng)的其它資源�。所以���,如果想讓用戶對(duì)FTP服務(wù)器站內(nèi)具有寫(xiě)權(quán)限��,但又不允許訪問(wèn)系統(tǒng)其它資源����,可以使用虛擬用戶來(lái)提高系統(tǒng)的安全性�����。
在VSFTP中�����,認(rèn)證這些虛擬用戶使用的是單獨(dú)的口令庫(kù)文件(pam_userdb)�,由可插入認(rèn)證模塊(PAM)認(rèn)證����。使用這種方式更加安全�,并且配置更加靈活��。
下面介紹配置過(guò)程��。
1.生成虛擬用戶口令庫(kù)文件����。為了建立此口令庫(kù)文件,先要生成一個(gè)文本文件�。該文件的格式如下,單數(shù)行為用戶名,偶數(shù)行為口令:
#vi account.txt
ylg
1234
zhanghong
4321
gou
5678
2.生成口令庫(kù)文件���,并修改其權(quán)限:
#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db
#chmod 600 /etc/vsftpd/account.db
3.新建一個(gè)虛擬用戶的PAM文件。加上如下兩行內(nèi)容:
#vi /etc/pam.d/vsftp.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account
account required /lib/security/pam_userdb.so db=/etc/vsftpd/account
4.建立虛擬用戶�����,設(shè)置該用戶所要訪問(wèn)的目錄�����,并設(shè)置虛擬用戶訪問(wèn)的權(quán)限:
#useradd -d /ftpsite virtual_user
#chmod 700 /ftpsite
經(jīng)過(guò)該步驟的設(shè)置���,/ftpsite就是virtual_user用戶的主目錄,該用戶也是/ftpsite目錄的擁有者���。除root用戶之外���,只有該用戶具有對(duì)該目錄的讀����、寫(xiě)和執(zhí)行的權(quán)限���。
5.生成一個(gè)測(cè)試文件。先切換至virtual_user用戶身份���,然后在/ftpsite目錄下創(chuàng)建一個(gè)文件:
#su -virtual_user
$vi /ftpsite/mytest
This is a test file.
$su - root
6.編輯/etc/vsftpd/vsftpd.conf文件,使其整個(gè)文件內(nèi)容如下所示(去掉了注釋內(nèi)容):
anonymous_enable=NO
local_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
one_process_model=NO
chroot_local_user=YES
ftpd_banner=Welcom to my FTP server.
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual_user
pam_service_name=vsftp.vu
上面代碼中���,guest_enable=YES表示啟用虛擬用戶;guest_username=virtual則是將虛擬用戶映射為本地用戶���,這樣虛擬用戶登錄后才能進(jìn)入本地用戶virtual的目錄/ftpsite;pam_service_name=vsftp.vu指定PAM的配置文件為vsftp.vu�。
7.重新啟動(dòng)VSFTP
#service vsftpd restart
8.以虛擬用戶gou(Linux中并無(wú)該賬號(hào))進(jìn)行測(cè)試:
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): gou
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
測(cè)試下載服務(wù)器目錄中的一個(gè)文件mytest:
ftp> get mytest
local: mytest remote: mytest
227 Entering Passive Mode (127,0,0,1,159,19)
150 Opening BINARY mode data connection for mytest (21 bytes).
226 File send OK.
21 bytes received in 0.00038 secs (54 Kbytes/sec)
測(cè)試上傳本機(jī)目錄中的文件vsftpd.conf:
ftp> !ls
account.db chroot_list k mytest userconf vsftpd.conf
ftp> put vsftpd.conf
local: vsftpd.conf remote: vsftpd.conf
227 Entering Passive Mode (127,0,0,1,117,203)
150 Ok to send data.
226 File receive OK.
4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec)
可以看到����,使用沒(méi)有系統(tǒng)賬號(hào)的虛擬用戶可以成功完成上傳、下載的工作�����。但該FTP虛擬服務(wù)器只允許虛擬用戶登錄���,其它系統(tǒng)用戶無(wú)法登錄����,如系統(tǒng)用戶user1不是虛擬用戶,則不能登錄該虛擬服務(wù)器�。
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): user1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
在虛擬FTP服務(wù)器中,也可以對(duì)各個(gè)用戶的權(quán)限進(jìn)行設(shè)置�����。方法是在/etc/vsftpd.conf文件中添加如下一行:
user_config_dir=用戶配置文件目錄
然后在用戶配置文件目錄下創(chuàng)建相應(yīng)的用戶配置文件�����,比如為上述名為gou的用戶創(chuàng)建一個(gè)配置文件(假設(shè)配置文件目錄為/etc/user_config_dir):
#vi /etc/user_config_dir/gou
write_enable=NO
anono_upload_enable=NO
重啟FTP服務(wù)器���,這時(shí)再使用賬號(hào)gou來(lái)登錄,就已經(jīng)沒(méi)有上傳的權(quán)限了���。
