网络系统管理@第08章_FTP服务器配置与管理

网络系统管理第08章FTP服务器配置与管理本章内容NETADMIN-C08-01FTP概述NETADMIN-C08-02FTP安装与配置NETADMIN-C08-03FTP客户端配置与访问本章目标1、掌握FTP服务器的配置与使用第01节FTP概述知识点预览#节知识点难点重点应用1NETADMIN-C08-01FTP概述1、FTP服务概述√√2、FTP服务的传输模式√√3、FTP服务器软件简介√√√1、FTP服务概述-1FTP服务概述FTP（FileTransferProtocol，文件传输协议），主要用于Internet上控制文件的双向传输；用户可以通过自己的PC机与世界各地所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息；启动FTP服务从远程计算机拷贝文件时，启动了两个程序：一个是本地机上的FTP客户程序，向FTP服务器提出拷贝文件的请求；另一个是启动在远程计算机上的FTP服务器的程序，它响应用户的请求把指定的文件传送到客户机上；1、FTP服务概述-2FTP服务概述：FTP服务是Internet上最早应用于主机之间进行数据处理传输的基本服务之一，该服务的主要特点是其实现方式独立于操作系统平台。即在UNIX、DOS、Linux、Windows操作系统中都能实现FTP的服务端和客户端服务，而且对于传输文件而言，比其他协议更加有效。其原因在于：FTP的唯一工作是确保文件传输的正确性，除了校验发送和接收的文件是否一致外，不会像HTTP那样停下来翻译文件内容。FTP事务处理是FTP服务器的唯一工作，工作时，计算机处理器的资源被完全投入到FTP事务处理中，不会被其他竞争性工作所分割。1、FTP服务概述-3FTP工作原理：客户端向服务器发出连接请求，同时客户端系统动态打开一个大于1024的端口等候服务器连接（比如1032端口）若FTP服务器在端口21侦听到该请求，则会在客户端1032端口和服务器的21端口之间建立一个FTP会话连接；当需要传输数据时，FTP客户端再动态地打开一个大于1024的端口（比如1033端口）连接到服务器的20端口，并在这两个端口之间进行数据的传输。当数据传输完毕之后，两个端口会自动关闭；当FTP客户端断开与FTP服务器的连接时，客户端上动态分配的端口将自动释放2、FTP服务的传输模式-1FTP服务的传输模式：根据数据连接的建立方式，FTP服务的数据传输可以分为Port（主动）模式和Passive（被动）模式主动模式：FTP服务器向FTP客户端传输数据的默认模式。当FTP客户端请求以主动模式传输数据时，由客户端向服务端发送准备接收数据的IP地址和端口Y，该端口是大于1024的非特权端口。服务端主动发起并建立连接到指定的IP地址和端口20，所以称为主动模式在主动模式中，FTP客户端随机开启一个大于1024的端口X向服务器的21号端口发起控制连接请求，然后开放X+1号端口进行监听；FTP服务器接受请求并建立控制连接会话。如果客户端在控制会话中发送数据连接请求，那么服务器在接收到命令后，会用其本地的FTP数据端口（通常是20）来连接客户端指定的端口X+1进行数据传输2、FTP服务的传输模式-2FTP服务的传输模式：在被动模式下，客户端通过PASV命令获得服务端IP地址和数据端口，然后向服务端发起连接请求，从而建立数据连接。因此，服务器端只是被动地监听在指定端口上的请求，所以称之为被动模式。被动模式的控制连接和数据连接都是由FTP客户端发起的首先FTP客户端随机开启一个大于1024的端口X向服务器的21端口发起连接，同时会开启X+1端口。然后向服务器发送PASV命令，通知服务器自己处于被动模式。服务器收到命令后，会开放一个端口Y(20)进行监听，然后用PORTY命令通知客户端，自己的数据端口是Y。客户端收到命令后，会通过X+1号端口连接服务器的端口Y，然后在两个端口之间进行数据传输。这样就能使防火墙知道用于数据连接的端口号，而使数据连接得以建立。3、FTP服务器软件简介-1FTP服务器软件简介：Wu-ftpd软件：官方站点：wu-ftpd曾经是Internet上最流行的FTP守护程序，功能比较强大，能够架构多种类型的ftp服务；但发布较早，组织比较乱，安全性不太好；特点：能够控制不同网域的用户对于ftp服务器的存取权限和访问时段；使用者在下载文档时，能够自动对其进行压缩和解压工作；能偶记录文档上传和下载的全过程；能够限制最高访问人数；能够暂时关闭ftp服务器，以便进行系统维护；能够支持匿名ftp服务，但需要安装anonftp软件包；支持虚拟ftp主机（VirtualFTPServer）；3、FTP服务器软件简介-2FTP服务器软件简介：Proftpd软件：官方站点：Proftpd容易配置，速度较快，但是干净的源代码导致溢出的错误也较少；特点：单配置文档，其配置指示和Apache有类似之处，容易配置；基于单个目录的.ftpaccess配置文件，类似于Apache的.htaccess文件；能够配置为从inetd启动，或者单独ftp服务器两种运行方式；匿名ftp根目录无需任何特别的目录结构、系统程序或其他系统文件；不执行任何外部程序，减少安全隐患；能够根据文档属主情况或UNIX风格访问控制来隐藏文档件；支持shadow密码，包括支持密码过期机制；3、FTP服务器软件简介-3FTP服务器软件简介：vsftpd软件：官方站点：最受推崇的FTP服务器程序。特点是小巧轻快，安全易用特点：vsftpd是以一般身份启动服务，所以对于Linux系统的使用权限较低，对于Linux系统的危害就相对的减低了。此外，vsftpd亦利用chroot()这个函式进行改换根目录的动作，使得系统工具不会被vsftpd这支服务所误用；任何需要具有较高执行权限的vsftpd指令均以一支特殊的上层程序(parentprocess)所控制，该上层程序享有的较高执行权限功能已经被限制的相当的低，并以不影响Linux本身的系统为准；所有来自clients端，想要使用这支上层程序所提供的较高执行权限之vsftpd指令的需求，均被视为『不可信任的要求』来处理，必需要经过相当程度的身份确认后，方可利用该上层程序的功能。例如chown(),Login的要求等等动作；此外，上面提到的上层程序中，依然使用chroot()的功能来限制使用者的执行权限；第02节FTP安装与配置知识点预览#节知识点难点重点应用2NETADMIN-C08-02FTP安装与配置1、安装vsFTPd服务√√2、vsFTPd服务的启动与关闭√√3、vsFTPd的配置文件√√4、监听地址与控制端口√√√5、FTP模式与数据端口√√√6、用户登录控制√√√7、文件操作控制√√8、匿名用户上传文件1、安装vsftpd服务安装vsftpd服务：查询系统是否安装vsftpd服务：在OracleLinux系统中vsftpd服务默认是不安装的，需要用户通过命令来查看是否安装安装vsftpd服务：如果系统没有安装vsftpd服务，需要通过系统光盘来收到安装vsftpd服务；#rpm-qvsftpd#检测系统是否安装vsftpd服务Vsftp-2.0.5-12.e15#如果出现字样，说明系统已经安装vsftpd服务#rpm-ivh/mnt/cdrom/Server/vsftpd-2.0.5-12.e15.i386.rpm#手动安装vsftpd服务2、vsftpd服务的启动与关闭vsftpd服务的启动与关闭：通过命令来实现vsftpd服务的启动：通过命令来停止vsftpd服务：重新启动vsftpd服务：#/etc/rc.d/init.d/vsftpdstart#启动vsftpd服务器#/etc/rc.d/init.d/vsftpdstop#关闭vsftpd服务器#/etc/rc.d/init.d/vsftpdrestart#重新启动vsftpd服务器3、vsftpd的配置文件-1vsftpd的配置文件：配置文件名称功能介绍/etc/vsftpd/vsftpd.conf主配置文件/usr/sbin/vsftpdVsftpd的主程序/etc/rc.d/init.d/vsftpd启动脚本/etc/pam.d/vsftpdPAM认证文件(文件中file=/etc/vsftpd/ftpuser字段，指明阻止访问的用户来自/etc/vsftpd/ftpusers)文件中的用户/etc/vsftpd/ftpusers禁止使用vsftpd的用户列表文件。记录不允许访问FTP服务器的用户名单，管理员可以把一些对系统安全有威胁的用户账号记录在此文件中，以免用户从FTP登录后获得大于上传下载操作的权利，而对系统造成损坏。3、vsftpd的配置文件-2vsftpd的配置文件：配置文件名称功能介绍/etc/vsftpd/user_list禁止或允许使用vsftpd的用户列表文件。这个文件中指定的用户缺省情况（即在/etc/vsftpd/vsftpd.conf中设置userlist_deny=YES）下也不能访问FTP服务器，在设置了userlist_deny=NO时,仅允许user_list中指定的用户访问FTP服务器。/var/ftp匿名用户主目录；本地用户主目录为：/home/用户主目录，即登录后进入自己家目录/var/ftp/pub匿名用户的下载目录，此目录需赋权根chmod1777pub/etc/logrotate.d/vsftpd.logVsftpd的日志文件3、vsftpd的配置文件-3vsftpd的配置文件：vsftpd的主配置文件/etc/vsftpd/vsftpd.conf说明：#是否允许匿名登录FTP服务器，默认设置为YES允许#用户可使用用户名ftp或anonymous进行ftp登录，口令为用户的E-mail地址。#如不允许匿名访问则设置为NOanonymous_enable=YES#是否允许本地用户(即linux系统中的用户帐号)登录FTP服务器，默认设置为YES允许#本地用户登录后会进入用户主目录，而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub#若只允许匿名用户访问，前面加上#注释掉即可阻止本地用户访问FTP服务器local_enable=YES#是否允许本地用户对FTP服务器文件具有写权限，默认设置为YES允许write_enable=YES。#是否允许匿名用户上传文件，须将全局的write_enable=YES。默认为YES#anon_upload_enable=YES#是否允许匿名用户创建新文件夹#anon_mkdir_write_enable=YES4、监听地址与控制端口监听地址与控制端口：如果不需要使用ftp的默认端口提供服务，测试可以通过修改vsftpd的主配置文件来实现通过文本编辑器来打开/etc/vsftpd/vsftpd.conf：在配置文件中添加如下内容：这样就实现了客户端访问的时候通过2121端口，而不是采用默认的21端口来进行访问。#vi/etc/vsftpd/vsftpd.conf#在系统终端中打开配置文件Listen_address=192.168.0.3Listen_port=21215、FTP模式与数据端口-1FTP模式与数据端口：Vsftpd主配置文件中可以决定ftp采用的模式和数据传输端口：ftp_data_port：当connect_from_port_20被设置为“YES”时，可以用来定义FTP传输数据的端口，默认值是20；pasv_address：定义vsftpd服务器使用PASV模式时使用的IP地址，默认值未设置；pasv_enable：默认值是“YES”，就是允许使用PASV模式；pasv_min