1、使用 vsftpd 架设 FTP 服务器,黄瑞琪,2,/查看是否安装了 vsftpd 和 anonftp # rpm -qa|grep vsftpd # rpm -qa|grep anonftp /将 Redhat 8.0 的第 1 张安装光盘放入光驱后挂装 # mount /mnt/cdrom /进入光盘的 RedHat/RPMS 目录 # cd /mnt/cdrom/RedHat/RPMS /安装所需的 RPM 包 # rpm -ivh vsftpd* # rpm -ivh anonftp* /弹出光盘 # cd;eject,3,Redhat 默认 vsftpd 以 xinetd 方式启动
2、 /修改/etc/xinetd.d/vsftpd # vi /etc/xinetd.d/vsftpd /键入 i 进入插入模式 /将 disable = yes /改为 disable = no /按 Esc 键返回编辑模式,再键入命令:wq 存盘退出 vi /重新启动 xinetd 守护进程 # service xinetd restart,4,检验 vsftpd 是否被启动 # telnet 127.0.0.1 21 Trying 127.0.0.1. Connected to 127.0.0.1. Escape character is . 220 ready, dude (vsFTPd
3、 1.1.0: beat me, break me) /从上面的内容可以确认 vsftpd 已经被启动,按 Ctrl+中断会话 /按 q 退出 telnet telnet q Connection closed.,5,查看 vsftpd 的默认主配置文件 # cat /etc/vsftpd.conf|grep =,6,测试 ReHat 8.0 中 vsftpd 的默认配置匿名账号 /生成目录信息文件/var/ftp/pub/.message # echo “Welcome to this Directory.“/var/ftp/pub/.message /同时也可以写入更多的内容,如: /#
4、ls -F /var/ftp/pub/ /var/ftp/pub/.message 等 /使用 FTP 客户端连接本地 FTP 服务器 # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 ready, dude (vsFTPd 1.1.0: beat me, break me),7,使用匿名 FTP 账号(ftp 或 anonymous)登录 Name (127.0.0.1:root): ftp 331 Please specify the password. /输入 Email 地址作为 FTP 匿名账号的口令 Password:
5、230 Login successful. Have fun. Remote system type is UNIX. Using binary mode to transfer files. /列表显示匿名 FTP 服务器目录 ftp ls 227 Entering Passive Mode (127,0,0,1,179,2) 150 Here comes the directory listing. d-x-x-x 2 0 0 4096 Oct 09 08:36 bin d-x-x-x 2 0 0 4096 Oct 09 08:36 etc drwxr-xr-x 2 0 0 4096 Oc
6、t 09 08:36 lib drwxr-sr-x 2 0 50 4096 Mar 09 19:45 pub 226 Directory send OK.,8,/进入匿名 FTP 服务器下载目录 ftp cd pub 250-Welcome to this Directory. /此处显示了.message 文件的内容 250 Directory successfully changed. ftp ls 227 Entering Passive Mode (127,0,0,1,45,163) 150 Here comes the directory listing. -r-xr-xr-x 1
7、0 50 6477959 Mar 09 19:41 webmin-1.000-1.noarch.rpm 226 Directory send OK.,9,/下载文件 webmin-1.000-1.noarch.rpm ftp mget web* mget webmin-1.000-1.noarch.rpm? y 227 Entering Passive Mode (127,0,0,1,37,151) 150 Opening BINARY mode data connection for webmin-1.000-1.noarch.rpm (6477959 bytes). 226 File se
8、nd OK. 6477959 bytes received in 0.794 secs (8e+03 Kbytes/sec) /显示本地文件 ftp !ls anaconda-ks.cfg install.log install.log.syslog webmin-1.000-1.noarch.rpm /确认已经将文件 webmin-1.000-1.noarch.rpm 下载到本地,10,/上传文件 install.log ftp put install.log local: install.log remote: install.log 227 Entering Passive Mode (
9、127,0,0,1,184,207) 550 Permission denied. /上传文件失败,11,测试 ReHat 8.0 中 vsftpd 的默认配置本地账号,/使用本地账号 lrj 登录 # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 ready, dude (vsFTPd 1.1.0: beat me, break me) Name (127.0.0.1:root): lrj 331 Please specify the password. /输入 lrj 用户的口令 Password: 230 Login succ
10、essful. Have fun. /显示远程主机 lrj 自家目录的内容 ftp ls 227 Entering Passive Mode (127,0,0,1,103,231) 150 Here comes the directory listing.,12,/下载文件 cipe-1.4.5-11.i386.rpm ftp get cipe-1.4.5-11.i386.rpm local: cipe-1.4.5-11.i386.rpm remote: cipe-1.4.5-11.i386.rpm 227 Entering Passive Mode (127,0,0,1,136,170) 1
11、50 Opening BINARY mode data connection for cipe-1.4.5-11.i386.rpm (56683 bytes). 226 File send OK. 56683 bytes received in 0.0575 secs (9.6e+02 Kbytes/sec)/显示本地文件 ftp !ls -l total 6428 -rw-r-r- 1 root root 2306 10 月 9 16:57 anaconda-ks.cfg -rw-r-r- 1 root root 56683 3 月 10 04:06 cipe-1.4.5-11.i386.r
12、pm /文件 cipe-1.4.5-11.i386.rpm 已经下载到本地,13,/上传本地文件 install.log,注意此文件的本地权限为 644 ftp put install.log /显示远程主机上的文件 ftp ls 227 Entering Passive Mode (127,0,0,1,136,160) 150 Here comes the directory listing. -rw-r-r- 1 501 501 56683 Nov 23 23:21 cipe-1.4.5-11.i386.rpm /文件 install.log 已经被上传,14,ftp cd tmp 250
13、 Directory successfully changed. ftp ls /下载远程主机/tmp 目录下的文件 ftp mget vm* mget vmware-linux-tools.tar.gz? y /下载成功,15,/上传文件到远程主机的/tmp 目录 ftp put install.log ftp ls /由于使用 write_enable=YES 开放了本地用户的写权限、且远程主机的/tmp 目录的权限为 1777, 所以上传成功,16,# ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 ready, dude (v
14、sFTPd 1.1.0: beat me, break me) /以 root 用户登录 Name (127.0.0.1:root): root 331 Please specify the password. /输入 root 用户口令 Password: 530 Login incorrect. Login failed. /登录失败 ftp bye 221 Goodbye. # cat /etc/vsftpd.ftpusers |grep root root /之所以登录失败,是由于 root 用户写在了/etc/vsftpd.ftpusers 文件中,17,重点: (1)允许匿名用户和
15、本地用户登录; (2)匿名用户的登录名为 ftp 或 anonymous,口令为一个 Email地址; (3)匿名用户不能离开匿名服务器目录/var/ftp,且只能下载不能上传; (4)本地用户的登录名为本地用户名,口令为此本地用户的口令; (5)本地用户可以离开自家目录切换至有权访问的其他目录,并在权限允许的情况下进行上传/下载; (6)写在文件/etc/vsftpd.ftpusers 中的本地用户禁止登录。,18,允许匿名用户上传,为了使匿名用户能够上传,需要在/etc/vsftpd.conf中激活两个配置选项,分别是: anon_upload_enable anon_mkdir_writ
16、e_enable 同时还要配置 anon_world_readable_only=NO 放开匿名用户对整个服务器的浏览权限。,19,配置 vsftpd 允许匿名用户上传,/修改 vsftpd 的主配置文件/etc/vsftpd.conf # vi /etc/vsftpd.conf anon_upload_enable=YES anon_mkdir_write_enable=YES write_enable=YES anon_world_readable_only=NO,20,/创建匿名上传目录 # mkdir /var/ftp/incoming # 修改上传目录的权限 # chmod o+w
17、/var/ftp/incoming/ /重新启动 xinetd # service xinetd restart,21,测试匿名用户上传,/使用匿名用户连接本地 FTP 服务器 # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 ready, dude (vsFTPd 1.1.0: beat me, break me) Name (127.0.0.1:root): ftp 331 Please specify the password. Password:,22,ftp cd incoming ftp !ls anaconda-ks.
18、cfg install.log vmware-linux-tools.tar.gz cipe-1.4.5-11.i386.rpm install.log.syslog webmin-1.000-1.noarch.rpm ftp put install.log /在 incoming 目录中创建目录 ftp mkdir newdir ftp cd newdir ftp put anaconda-ks.cfg ftp mkdir newdir2 257 “/incoming/newdir/newdir2“ created,23,1)匿名用户对/var/ftp/incoming 目录而言是其他用户,
19、所以必须为此目录添加对其他用户的可写权限才可上传,即此目录权限的数字表示是 707。 (2)只有设置anon_world_readable_only=NO 后,才能开放匿名用户的读权限,即:浏览此服务器中全部的内容。,24,配置本地组访问的 FTP 服务器,本地组 softgrp 有三个用户 soft、soft1 和 soft2,其中 soft 对 FTP 有读写(包括列文件目录、上传、下载)权限,而 soft1 和 soft2 对 FTP 只有读(包括列文件目录、下载)的权限。,25,/创建本地组的 FTP 服务器目录 # mkdir -p /var/local-ftp/softgrp /创
20、建本地用户和组 # groupadd softgrp # useradd -G softgrp -d /var/local-ftp/softgrp -M soft # useradd -G softgrp -d /var/local-ftp/softgrp -M soft1 # useradd -G softgrp -d /var/local-ftp/softgrp -M soft2/设置用户口令 # passwd soft # passwd soft1 # passwd soft2,26,/修改/var/local-ftp/softgrp 的属主、属组和权限 # chown soft.sof
21、tgrp /var/local-ftp/softgrp # chmod 750 /var/local-ftp/softgrp # ll -d /var/local-ftp/softgrp drwxr-x- 2 soft softgrp 4096 3 月 12 00:46 /var/local-ftp/softgrp/设置了上面对目录/var/local-ftp/softgrp 的文件系统权限之后 (1)soft 用户是该目录的属主,因此具有读写权限和进入目录的权限 (2)soft1 和 soft2 用户属于 softgrp 组,因此只具有读权限和进入目录的权限,27,测 试,# ftp 127
22、.0.0.1 /以 soft 用户身份登录 Name (127.0.0.1:root): soft /上传文件 ftp put install.log ftp ls /用户 soft 写文件成功,并可以浏览,28,/关闭连接 ftp close /重新连接 ftp open 127.0.0.1 /以 soft1 用户身份登录 Name (127.0.0.1:root): soft1 /显示文件 ftp ls ftp put anaconda-ks.cfg /拒绝用户 soft1 上传,29,上面的配置主要是在系统中的文件系统上进行的,同时 vsftpd的配置文件/etc/vsftpd.conf
23、 中要确保以下选项的配置正确: local_enable=YES write_enable=YES chroot_local_user=YES,30,配置基于 IP 的虚拟 FTP 服务器,主要配置步骤为: 配置虚拟 IP 地址 建立虚拟 FTP 的服务器目录并设置适当的权限 建立虚拟 FTP 的服务器的 xinetd 配置文件 建立虚拟 FTP 的服务器的主配置文件,31,/查看本机现有的 IP 地址 # ifconfig |grep -1 eth0 eth0 Link encap:Ethernet HWaddr 00:50:56:C7:22:DF inet addr:192.168.1.2
24、22 Bcast:192.168.1.255 Mask:255.255.255.0 /可以看出本机的第一个网络接口 eth0 的 IP 为 192.168.1.222,32,/下面配置一个虚拟网络接口 eth0:1 # ifconfig eth0:1 192.168.1.234 up # ifconfig |grep -1 eth0:1 eth0:1 Link encap:Ethernet HWaddr 00:50:56:C7:22:DF inet addr:192.168.1.234 Bcast:192.168.1.255 Mask:255.255.255.0 /可以看出本机的虚拟网络接口
25、eth0:1 的 IP 为 192.168.1.234,33,/下面建立虚拟 FTP 的服务器目录 # mkdir -p /var/ftp2/pub /确保目录具有如下的权限 # ll -d /var/ftp2 drwxr-xr-x 3 root root 4096 3 月 12 03:00 /var/ftp2 # ll -d /var/ftp2/pub drwxr-xr-x 2 root root 4096 3 月 12 03:00 /var/ftp2/pub /在下载目录中生成测试文件 # echo “hello“/var/ftp2/pub/test_file,34,/下面创建此虚拟服务器
26、的匿名用户所映射的本地用户 ftp2 # useradd -d /var/ftp2 -M ftp2,35,/更改现有的配置文件/etc/xinetd.d/vsftpd # vi /etc/xinetd.d/vsftpd / 在此文件的中添加如下的配置语句: / bind = 192.168.1.222 / 将原 FTP 服务绑定到 eth0 接口,之后保存退出 vi,36,/生成新的虚拟 FTP 服务器的配置文件/etc/xinetd.d/vsftpd2 # cp /etc/xinetd.d/vsftpd /etc/xinetd.d/vsftpd2 /更改新的配置文件/etc/xinetd.d
27、/vsftpd2 # vi /etc/xinetd.d/vsftpd2 /在此文件的中添加如下的配置语句: / bind = 192.168.1.234 /将虚拟 FTP 服务绑定到 eth0:1 接口 /另外添加如下的配置语句: / server_args = /etc/vsftpd_site2.conf /使 vsftpd 读取虚拟 FTP 服务器的主配置文件,之后保存退出 vi,37,/生成虚拟 FTP 服务器的主配置文件/etc/vsftpd_site2.conf # cp /etc/vsftpd.conf /etc/vsftpd_site2.conf /修改新的主配置文件 # vi
28、/etc/vsftpd_site2.conf /将如下的配置语句行: / ftpd_banner=This FTP server is anonymous only. /修改为: / ftpd_banner=This is the alternative FTP site. /添加如下的配置语句: / ftp_username=ftp2 /使此虚拟服务器的匿名用户映射到本地用户 ftp2 /这样匿名用户登录后才能进入本地用户 ftp2 的/var/ftp2 目录 /修改后,保存退出 vi /重新启动 xinetd # service xinetd restart,38,测 试,/首先以 127
29、.0.0.1 连接本地 FTP 服务器 # ftp 127.0.0.1 ftp: connect: Connection refused ftp bye /由于配置的两个 FTP 服务器,一个被绑定在192.168.1.222,令一个被绑定在192.168.1.234,所以连接失败,39,/连接原 FTP 服务器 # ftp 192.168.1.222 Connected to 192.168.1.222 (192.168.1.222). 220 This FTP server is anonymous only. /上面显示的是原 FTP 服务器的连接成功后的信息 Name (192.168
30、.1.222:root): ftp 331 Please specify the password. Password:,40,/连接虚拟 FTP 服务器 # ftp 192.168.1.234 Connected to 192.168.1.234 (192.168.1.234). 220 This is the alternative FTP site. /上面显示的是虚拟 FTP 服务器的连接成功后的信息 Name (192.168.1.234:root): ftp 331 Please specify the password. Password:,41,配置独立运行的 vsftpd,这
31、种启动方式将不再需要/etc/xinetd.d 下面的配置文件。要配置独立运行的 vsftpd,很简单,只需要在前面的主配置文件的基础上添加如下的配置即可。 设置 listen=YES 指明 vsftpd 以独立运行方式启动。 为了实现访问控制,需要添加如下的配置项: 设置 max_clients=200 指明服务器总的并发连接数,42,/复制一个新的主配置文件 # cp /etc/vsftpd.conf /etc/vsftpd.standalone.conf /编辑新的配置文件/etc/vsftpd.standalone.conf # vi /etc/vsftpd.standalone.co
32、nf /在文件开始处插入下面的行 /listen=YES /max_clients=200,43,/并将下面的配置语句 /ftpd_banner=This FTP server is anonymous only. /改为: /ftpd_banner=This FTP server is anonymous only, and vsftpd in “standalone“ mode. (注意:要写在一行里) /用:wq 退出 vi,44,/将由 xinetd 启动的配置停用 # vi /etc/xinetd.d/vsftpd /将 disable = no /设为 disable = yes
33、/保存后退出 vi # vi /etc/xinetd.d/vsftpd2 /将 disable = no /设为 disable = yes /保存后退出 vi / 重新启动 xinetd # service xinetd restart,45,/ 启动独立运行的 vsftpd 守护进程 # /usr/sbin/vsftpd /etc/vsftpd.standalone.conf &,46,测 试,# ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 This FTP server is anonymous only, and vsft
34、pd in “standalone“ mode. Name (127.0.0.1:root): ftp 331 Please specify the password. Password:,47,配置独立运行的 vsftpd 在非标准端口下提供服务,为了配置独立运行的 vsftpd 在非标准端口下提供服务需要添加 listen_port 配置语句。/修改独立运行的主配置文件,添加 listen_port 配置语句 # echo “listen_port=10021” /etc/vsftpd.standalone.conf /重新启动 vsftpd 守护进程 # killall vsftpd #
35、 /usr/sbin/vsftpd /etc/vsftpd.standalone.conf &,48,测 试,# ftp 127.0.0.1 10021 Connected to 127.0.0.1 (127.0.0.1). 220 This FTP server is anonymous only, and vsftpd in “standalone“ mode. Name (127.0.0.1:root): ftp 331 Please specify the password. Password: 230 Login successful. Have fun.,49,用 vsftpd 配
36、置独立运行的虚拟 FTP 服务器,为了配置独立运行的虚拟 FTP 服务器需要使用 listen_address 配置语句。/修改原独立运行的服务器配置文件, # vi /etc/vsftpd.standalone.conf /添加 listen_address=192.168.1.222 的配置行 /将原 FTP 服务绑定到 eth0 接口。之后用:wq 退出 vi,50,/由 xinetd 运行的虚拟服务器的配置文件创建一个新的配置文件 # cp /etc/vsftpd_site2.conf /etc/vsftpd.standalone2.conf /修改新的配置文件 # vi /etc/v
37、sftpd.standalone2.conf /在文件开始处插入下面的行 /listen=YES /listen_address=192.168.1.234 将虚拟服务器绑定到 eth0:1 接口 /max_clients=200 /并将下面的配置语句 /ftpd_banner=This is the alternative FTP site. /改为: /ftpd_banner=This is the alternative FTP site, and vsftpd in “standalone“ mode.(注意:要写在一行里) /用:wq 退出 vi,51,/让原 FTP 服务器重新读取
38、配置文件 # ps auxw|grep vsftpd root 7164 0.0 0.2 1424 376 pts/0 S 22:06 0:00 /usr/local/sbin/vsftpd /etc/vsftpd.standalone.conf # kill -HUP 7164 /上面的 7164 是由 ps 命令查得的 PID /启动新的虚拟 FTP 服务器 # /usr/sbin/vsftpd /etc/vsftpd.standalone2.conf &,52,测 试,# ftp 127.0.0.1 ftp: connect: Connection refused ftp bye /由于
39、配置的两个 FTP 服务器,一个被绑定在192.168.1.222,令一个被绑定在192.168.1.234,所以连接失败,53,/以 192.168.222 连接原 FTP 服务器 # ftp 192.168.1.222 ftp: connect: Connection refused ftp bye /由于原服务器的配置已经被修改为监听 10021 端口,所以连接失败,54,/以 10021 端口连接原 FTP 服务器 # ftp 192.168.1.222 10021 Connected to 192.168.1.222 (192.168.1.222). 220 This FTP ser
40、ver is anonymous only, and vsftpd in “standalone“ mode. Name (192.168.1.222:root): ftp 331 Please specify the password. Password: 230 Login successful. Have fun.,55,/连接虚拟 FTP 服务器 # ftp 192.168.1.234 Connected to 192.168.1.234 (192.168.1.234). 220 This is the alternative FTP site, and vsftpd in “stan
41、dalone“ mode. Name (192.168.1.234:root): ftp 331 Please specify the password. Password: 230 Login successful. Have fun.,56,配置虚拟用户的 FTP 服务器,虚拟用户只能访问为其提供的FTP 服务,虚拟用户不能像本地的实用户那样登录系统而访问系统的其他资源。若用户对 FTP服务器站内具有写权限并且不允许访问系统的其他资源,则该用户应该使用虚拟用户才能提高系统的安全性。,57,传统的 FTP 服务器采用如下的方法实现虚拟用户: 在本地建立普通用户账号并设置密码 将其登录 she
42、ll 设为不可登录 由 passwd/shadow 口令系统进行认证 vsftpd 的虚拟用户采用了不与系统账户口令文件合二为一的方法,也就是说,为了认证这些虚拟用户 vsftpd 使用单独的口令库文件(pam_userdb),由可插拔认证模块(PAM)进行认证。使用这种方式更加安全,并且配置更灵活。,58,配置简单的虚拟用户 FTP 服务器,为了配置虚拟用户的 FTP 服务器,其主要配置步骤为: 生成虚拟用户口令库文件 配置生成 vsftpd 的认证文件 建立虚拟用户所要访问的目录并设置相应权限 建立配置文件,59,/生成虚拟用户口令库文件,为了建立此口令库文件,先要生成一个文本文件 # c
43、at logins.txt tom foo fred bar valid lwd dede jy ! # /此文本文件的格式是: /单数行为用户名,偶数行为口令, /即:用户 tom 的口令为 foo;用户 fred 的口令为 bar,60,/下面使用 db_load 命令生成口令库文件 # db_load -T -t hash -f /logins.txt /etc/vsftpd_login.db /修改口令库文件的权限 # chmod 600 /etc/vsftpd_login.db,61,/下面编辑生成虚拟用户所需的 PAM 配置文件 # vi /etc/pam.d/ftp.vu /插入
44、如下两行 /auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login /account required /lib/security/pam_userdb.so db=/etc/vsftpd_login /保存后退出 vi,62,/用户也可以用下面的命令从源代码分发包中复制此文件 / cd /usr/local/src/vsftpd-1.1.3/EXAMPLE/ / cp VIRTUAL_USERS/vsftpd.pam /etc/pam.d/ftp.vu,63,/下面建立虚拟用户所要访问的目录并设置仅 virtual 用户访
45、问的权限 # useradd -d /home/ftpsite virtual # chmod 700 /home/ftpsite/,64,/在目录中生成测试文件 # su - virtual -c “echo hello /home/ftpsite/test_file“,65,/下面生成主配置文件 # vi /etc/vsftpd.standalone.vu.conf /在此文件中插入下面的配置语句 /listen=YES /anonymous_enable=NO /local_enable=YES /write_enable=NO /anon_upload_enable=NO /anon_
46、mkdir_write_enable=NO /anon_other_write_enable=NO /chroot_local_user=YES /guest_enable=YES 启用虚拟用户 /guest_username=virtual 将虚拟用户映射为本地 virtual 用户 这样虚拟用户登录后才能进入本地用户 virtual 的目录/home/ftpsite/,66,/pasv_min_port=30000 /pasv_max_port=30999 /ftpd_banner=This FTP server is virtual user only. /pam_service_nam
47、e=ftp.vu 指定 PAM 配置文件为 ftp.vu 插入完毕,保存退出。,67,/下面先关闭原来的服务,而后启动新的服务 # killall vsftpd # /usr/sbin/vsftpd /etc/vsftpd.standalone.vu.conf & 配置好后,新的口令库中的所有用户就都可以登录此 FTP 服务器了。,68,/以虚拟用户 tom 测试 # ftp 127.0.0.1 Connected to 127.0.0.1 (127.0.0.1). 220 This FTP server is virtual user only. Name (127.0.0.1:root):
48、 tom 331 Please specify the password. /下面输入虚拟用户 tom 的口令 foo Password: 230 Login successful. Have fun.,69,ftp pwd ftp ls 227 Entering Passive Mode (127,0,0,1,120,186) 150 Here comes the directory listing. 226 Transfer done (but failed to open directory). /无法列表显示文件 /这是由于配置语句 anon_world_readable_only 的
49、默认值为 YES。 /这样的设置是最安全的,是建议的配置 /若要虚拟用户口令库中的人都能看到登录目录的内容, /应该在配置文件/etc/vsftpd.standalone.vu.conf 中添加如下配置语句 / anon_world_readable_only=NO,70,ftp size test_file 213 6 /能够显示以存在的文件的大小,71,对不同的虚拟用户进行不同权限的配置,前面讲述了配置本地组访问的 FTP 服务器,即使组长(soft)具有读写(包括列文件目录、上传、下载)权限,组员(soft1 和 soft2)具有只读(包括列文件目录、下载)权限。这是借助在本地文件系统上分配权限来实现的,但是若要让两个用户同时都具有读写权限,则用这种方法就不能实现了。,