1、第九章 ftp服务器配置与安全管理,FTP是Internet中一种应用非常广泛的服务,用户通过它从服务器获取需要的文档、资料、音频、视频等。Internet出现以来,它就一直是用户使用频率最高的应用服务之一,其重要性仅次于HTTP和SMTP。在Linux系统中,构建安全的FTP服务是一项非常艰巨而且复杂的工作,许多与服务器相关的配置文件以及用户管理都需要着重考虑。因此,本章将对vsftpd这种Linux下最常用的FTP服务器的安全配置和使用进行详细介绍。,第9章 FTP服务器配置与安全管理,9.1 FTP服务概述,9.1.1 FTP协议简介互联网文件传输协议(FTP)标准是在RFC959中说明
2、的。该协议定义了一个在远程计算机系统和本地计算机系统之间传输文件的标准。FTP是TCP/IP的一种具体应用,其工作在OSI模型的第七层,TCP模型的第四层上,即应用层。使用TCP传输。FTP主要有如下作用:从客户向服务器发送一个文件。从服务器向客户发送一个文件。从服务器向客户发送文件或目录列表。,9.1 FTP服务概述,9.1.2 FTP的连接模式FTP协议需要通过TCP协议建立两个联机通道才能够顺利地传输数据,一个是“传输控制信息”通道,TCP端口号为21;另一个是“传输数据信息”通道,TCP端口号为20。 FTP的连接模式有两种:主动模式和被动模式。这里都是相对于服务器而言的。(1)主动模
3、式:即Port模式,由服务器主动连接客户机建立数据链路。如图9-1所示。 (2)被动模式:即PASV模式,FTP服务器等待客户机建立数据链路。如图9-2所示。,图9-1 主动模式的连接过程,9.1 FTP服务概述,图9-2 被动模式的连接过程,9.1 FTP服务概述,9.1.3 FTP的常用命令在Linux和Windows系统中都默认提供ftp命令,它是最基本的FTP客户端软件。在客户端使用命令“ftp 远端主机IP地址 PORT”即可连接到一台FTP服务器,进入ftp命令的交互环境。,表9-1 FTP常用命令说明(1),9.1 FTP服务概述,表9-1 FTP常用命令说明(2),9.1 FT
4、P服务概述,9.1.4 FTP服务器软件,流行的FTP服务器软件有很多种,在Linux环境下常用的有3种。(1)wu-ftpd。(2)proftpd。(3)vsftpd。综合性能最为优秀。非常流行。其优势体现在以下几个方面。安全性高稳定性好速度更快匿名FTP更加简单的配置支持基于IP地址的虚拟主机支持虚拟用户,而且每个虚拟用户可具有独立的配置支持PAM认证方式支持带宽限制支持tcp_wrappers,9.1.5 vsftpd支持的用户类型,(1)匿名用户。(2)本地用户。(3)虚拟用户。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装1. 准备工作使用以下命令来检查系统中是
5、否安装过该软件包:# rpm qa |grep vsftpd2. 安装首先建立挂载点,挂载光驱,然后安装软件包:# cd /mnt/cdrom/Packages# rpm ivh vsftpd*3. 了解软件包安装的文件用命令“rpm -ql vsftpd”可以查询到vsftpd软件包所生成的文件。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装4. Vsftpd服务器的默认配置vsftpd的主配置文件“/etc/vsftpd/vsftpd.conf”默认包含以下的配置语句:,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装4. Vsftpd服务器的默认配
6、置,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装4. Vsftpd服务器的默认配置,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器任务及分析(1)任务情境公司技术部准备选择一台主机(192.168.11.148)搭建一台功能简单的FTP服务器,允许所有员工对服务器上的特定目录“/var/ftp/mypub”上传、下载和重命名文件,并且允许创建用户自己的目录。对于上传的文件,其所有者自动设置为ftpadmin。当用户切换到“/var/ftp/pub”目录后,将显示一段提示信息。(2)任务分析允许所有员工上传和下载文件,需要设置成允
7、许匿名用户登录。此案例是FTP服务器的最基本配置。配置服务器的流程如下:配置本地目录的权限和所有者。配置FTP服务器,开放匿名用户的各项写权限。设置/var/ftp/pub目录的提示信息。从网管工作站匿名登录FTP服务器,通过上传、下载数据和切换目录进行测试。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器2配置方案和过程(1)创建本地用户ftpadmin并设置密码。(2)建立匿名上传目录mypub并设置权限。(3)编辑主配置文件“/etc/vsftpd/vsftpd.conf”。在文件中作如下设置:(4)修改SELinux。(5)设置/var/ft
8、p/pub目录的提示信息。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器3应用测试(1)启动vsftpd服务并查看器运行状态:(2)查看vsftpd服务占用端口情况: (3)设定开机自动加载vsftpd服务: (4)从网管工作站匿名登录FTP服务器。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.3 配置本地用户访问FTP服务器1任务及分析(1)任务情境公司内部现有一台FTP和Web服务器(IP:192.168.11.148),FTP服务器主要用于维护公司的网站,包括上传文件、创建目录、更新网页等。公司现有两个部门负责维护任务,它们分别
9、使用user1和user2账号进行管理(这两个账户但不能登录本地系统),将它们登录FTP的根目录限制为“/var/www/html”,不能进入任何其他目录。(2)任务分析将FTP和Web服务器做在一起是企业经常采用的方法,便于实现对网站的维护。为了增强安全性,首先需要仅允许本地用户访问,并禁止匿名登录。其次使用chroot功能将user1和user2锁定在“/var/www/html”目录下。如需删除文件则还应配置本地权限。配置服务器的流程如下:在Linux系统中添加两个用户user1和user2。在FTP服务器上设置目录“/var/www/html”的权限,允许user1和user读和写。修
10、改主配置文件,禁用匿名用户的相关配置,增加本地用户登录的相关参数,设置本地用户具有写权限,以达到预期的目的。对用户user1和user2设置chroot。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.3 配置本地用户访问FTP服务器2配置方案和过程(1)建立维护网站内容的用户账号并禁止本地登录。(2)修改本地权限。(3)编辑主配置文件,设置用户权限。(4)设置本地用户的chroot。(5)开启禁用SELinux的FTP传输审核功能。3应用测试(1)启动vsftpd服务并查看服务器运行状态。(2)查看vsftpd服务占用端口情况。(3)设定开机自动加载vsftpd服务。(4)验证仅
11、允许本地用户登录。(5)验证用户user1和user2的chroot功能。(6)验证用户user1和user2的权限分配情况。,9.3 课堂练习配置FTP虚拟主机,vsftp支持虚拟主机的功能,在一台机器上向外提供多个FTP站点。9.3.1 任务及分析1任务情境在192.168.11.148这台Linux主机上已经建立了一个FTP站点,为了充分利用主机和带宽资源,希望在此Linux主机上再建立一个允许匿名登录和下载的FTP站点。2任务分析vsftpd不支持基于名字的虚拟主机,因此本例中采用基于IP地址的虚拟主机。显然,基于IP地址的虚拟主机是以IP地址为单位的,每个虚拟主机对应监听一个IP地址
12、,因此,需要在这台Linux主机上添加新的IP地址。,9.3 课堂练习配置FTP虚拟主机,9.3.2 配置方案和过程配置基于IP地址的FTP虚拟主机的步骤如下。1为一台Linux主机配置多个IP地址。2建立FTP虚拟主机的根目录。3创建FTP虚拟主机的匿名用户账号。4建立FTP虚拟主机的配置文件。5为原独立运行的FTP服务器指定监听的IP地址。9.3.3 应用测试1启动和测试FTP虚拟主机。2查看vsftpd服务器进程。3登录vsftpd虚拟主机进行测试。(具体过程略),9.4 拓展练习vsftpd服务的安全管理,作为一种广泛使用和认可的网络服务,FTP主要面临如下几种安全威胁:(1)数据泄密
13、。(2)匿名访问所引起的安全脆弱性。(3)拒绝服务攻击。9.4.1 设置虚拟用户vsftpd采用PAM方式验证虚拟用户。由于虚拟用户的用户名/口令被单独保存,因此在验证时,vsftpd需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证,guest用户就是用于映射虚拟用户的。设置vsftpd虚拟用户账号的过程如下(具体过程略):1建立虚拟用户数据库文件。2建立虚拟用户使用的认证文件。3建立虚拟用户使用的真实账号及其登录的目录,并设置相应的权限。4编辑vsftpd的主配置文件vsftpd.conf。5测试。,9.4.2 主机访问控制可以利用tcp_wrappers实现主机访问控制。t
14、cp_wrappers的配置文件主要有两个:/etc/hosts.allow和/etc/hosts.deny。1例如,在Linux主机192.168.11.148上配置vsftpd服务,允许除192.168.11.145以外的来自192.168.11.0/24网段的所有主机访问此FTP服务器;另外允许来自域的主机访问此FTP服务器。解决方案:利用tcp_wrappers提供的主机访问控制功能来实现。(1)编辑vsftpd的主配置文件以支持tcp_wrappers。其中默认含有如下指令:tcp_wrappers=YES(2)编辑/etc/hosts.allow文件,增加以下内容:vsftpd:1
15、92.168.11.145:DENYvsftpd:192.168.11., (3)测试。在主机192.168.11.145上进行测试: # ftp 192.168.11.148Connected to 192.168.11.148.421 Service not available.ftp,9.4 拓展练习vsftpd服务的安全管理,9.4.2 主机访问控制除了上述基本的主机访问控制功能外,tcp_wrappers还为vsftpd提供了额外的配置文件。2例如:在Linux主机192.168.11.148上配置vsftpd服务,针对来自192.168.11.0/24网段的匿名连接,限制其下载速率
16、为5KB/s,而对来自其他网段的匿名连接,则不做速率限制。解决方案:利用tcp_wrappers提供的特定功能来实现。(1)编辑vsftpd的主配置文件,增加如下指令: anon_max_rate=0 / 设置匿名用户的最高传输速率,“0”表示不限制(2)建立额外的配置文件“/etc/vsftpd/vsftpd_other.conf”,内容如下:anon_max_rate=5000/在额外的配置文件vsftpd_other.conf中仅设置了anon_max_rate指令,其目的就是为了与主配置文件中的相同指令产生“矛盾”。通过后面的测试可以进一步说明哪条指令最终有效。,9.4 拓展练习vsf
17、tpd服务的安全管理,9.4.2 主机访问控制(3)编辑hosts.allow文件,增加相关指令。 为了减少干扰,首先去掉上例中关于vsftpd的设置,然后增加如下指令:vsftpd: 192.168.11. :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_other.conf /这里使用了一个特殊的环境变量“VSFTPD_LOAD_CONF”为vsftpd提供额外的配置文件。其作用是:当来自192.168.11.0网段的主机访问vsftpd服务器时,加载额外的配置文件“/etc/vsftpd/vsftpd_other.conf”。也就是说,当额外配置文
18、件与主配置文件中的相关指令产生矛盾时,以额外配置文件的设置为准。(4)测试。从客户机(192.168.11.145)以匿名方式登录FTP服务器(192.168.11.148),并下载文件“screen.png”到本地“/tmp”目录下。具体过程略。,9.4 拓展练习vsftpd服务的安全管理,9.4.3 用户访问控制vsftpd的用户访问控制分为两类:第一类是传统用户列表文件“/etc/vsftpd/ftpusers”,默认存放黑名单,也就是说其中列出的用户都没有登录此FTP服务器的权限。第二类是改进的用户列表文件“/etc/vsftpd/user_list”,要想让vsftpd检查这个文件中
19、的用户列表,必须将主配置文件中的userlist_enable选项设置为YES。该文件具有对vsftpd服务器更灵活的用户访问控制。其中列出的用户能否登录FTP服务器,由主配置文件中的userlist_deny选项的值来决定。默认userlist_deny=YES,即此文件默认用来存放黑名单。如果要设置该文件为白名单,则需要在主配置文件中添加如下一行: userlist_deny=NO/ 只允许user_list中的用户登录出于安全考虑,黑名单的优先级高。也就是说,用户只要出现在任何一个黑名单中,就是拒绝登录vsftpd服务器的,即使它也同时出现在白名单中。,9.4 拓展练习vsftpd服务的
20、安全管理,9.4.4 配置FTP服务器的资源限制可以限制客户端对FTP服务器中的资源使用,例如,在主配置文件中设置如下指令:max_clients=100/ FTP服务器所允许的最大客户端连接数为100,即最多允许100个客户端同时登录。值为0时表示不限制max_per_ip=5/ 针对同一IP允许的最大客户端连接数为5,即同一IP最多开启5个线程local_max_rate=500000/ 设置本地用户的最大传输速率为500KB,单位为bytes/sec,值为0时表示不限制anon_max_rate=200000/ 设置匿名用户的最大传输速率为200KB,单位为bytes/sec,值为0时表示不限制,9.4 拓展练习vsftpd服务的安全管理,
