Vsftp服務(wù)器的基本配置、權(quán)限控制 黑名單/白名單 速度及性能配置 基于IP的虛擬主機(jī)配置 【實(shí)驗(yàn)原理】

端口 21：用來傳輸命令，建立控制連接。 20：是數(shù)據(jù)端口，建立數(shù)據(jù)連接

FTP的數(shù)據(jù)傳輸模式，分為主動(dòng)傳輸模式、被動(dòng)傳輸模式

主動(dòng)傳輸模式（主動(dòng)FTP）：當(dāng)FTP的控制連接建立以后，且客戶提出目錄列表、傳輸文件時(shí)，客戶端發(fā)出PORT命令與服務(wù)器進(jìn)行協(xié)商，F(xiàn)TP服務(wù)器使用一個(gè)標(biāo)準(zhǔn)的端口20作為服務(wù)器端的數(shù)據(jù)連接端口與客戶建立數(shù)據(jù)連接。端口20只適用于連接的源地址是服務(wù)器端的情況，并且在端口20上根本就沒有監(jiān)聽進(jìn)程監(jiān)聽客戶請(qǐng)求。

被動(dòng)傳輸模式（被動(dòng)FTP）：當(dāng)FTP的控制連接建立以后，且客戶提出目錄列表、傳輸文件時(shí)，客戶端發(fā)送PASV命令使服務(wù)器處于被動(dòng)傳輸模式，F(xiàn)TP服務(wù)器等待客戶與其聯(lián)系，F(xiàn)TP服務(wù)器在非20端口的其他數(shù)據(jù)傳輸端口上監(jiān)聽客戶的請(qǐng)求。在被動(dòng)模式下，F(xiàn)TP的數(shù)據(jù)連接和控制連接的方向是一致的，也就是說，是客戶端向服務(wù)器端發(fā)出一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接。客戶端的連接端口是發(fā)起這個(gè)數(shù)據(jù)連接請(qǐng)求時(shí)使用的端口號(hào)。

當(dāng)FTP客戶在包過濾防火墻之后對(duì)外訪問FTP服務(wù)器時(shí)，需要使用被動(dòng)模式。因?yàn)橥ǔＧ闆r下，防火墻允許所有內(nèi)部向外部的連接通過，但是對(duì)于外部向內(nèi)部發(fā)起的連接卻存在很多。在這種情況下，客戶可以正常地和服務(wù)器建立控制連接，而如果使用主動(dòng)模式，

ls、put、get等數(shù)據(jù)傳輸命令就不能成功運(yùn)行，因?yàn)榉阑饓?huì)阻塞從外部服務(wù)器向內(nèi)部客戶發(fā)起的數(shù)據(jù)傳輸連接。而使用被動(dòng)傳輸模式一般可以解決此類問題，因?yàn)樵诒粍?dòng)模式下，數(shù)據(jù)連接是由客戶機(jī)發(fā)起的。

FTP使用者分為三類： ?

本地用戶：如果用戶在遠(yuǎn)程FTP服務(wù)器上擁有帳號(hào)，用戶為本地用戶。本地用戶可以通過輸入自己的帳號(hào)和口令來進(jìn)行授權(quán)登錄。當(dāng)授權(quán)訪問的本地用戶登錄系統(tǒng)后，其登錄目錄為此用戶的自家目錄（/home中），本地用戶即可下載又可上傳 ?

虛擬用戶：如果用戶在遠(yuǎn)程FTP服務(wù)器上擁有帳號(hào)，且此帳號(hào)只能用于文件傳輸服務(wù)，和本地用戶不一樣，它沒有自家目錄。虛擬用戶可以通過輸入自己的帳號(hào)和口令來進(jìn)行授權(quán)登錄。當(dāng)授權(quán)訪問的虛擬用戶登錄系統(tǒng)后，其登錄目錄為其指定目錄，通常情況下虛擬用戶即可下載又可上傳。 ?

匿名用戶：如果用戶在遠(yuǎn)程FTP服務(wù)器上沒有帳號(hào)，則稱此用戶為匿名用戶。若FTP服務(wù)器提供匿名訪問的功能，則匿名用戶可以通過輸入帳號(hào)（anonymouse或ftp）來進(jìn)行登錄。當(dāng)匿名用戶登錄以后，其登錄目錄為匿名FTP服務(wù)器的根目錄（/var/ftp）,一般情況下匿名用戶FTP服務(wù)器只提供下載功能，不提供上傳功能或是上傳受到一定的。一旦控制連接斷開，數(shù)據(jù)連接也會(huì)斷開。 性能和安全選項(xiàng)

idle_session_timeout=600 //將在用戶會(huì)話空閑10分鐘后被中斷 data_connection_timeout=120 //將在數(shù)據(jù)連接空閑2分鐘后被中斷 accept_timeout=60 //客戶端空閑1分鐘后自動(dòng)中斷連接 connect_timeout=60 //并在中斷1分鐘后自動(dòng)激活連接 max_clients=200 //最大用戶數(shù)

max_per_ip=3 //每個(gè)客戶機(jī)的最大連接數(shù)為3

max_clients和max_per_ip，只在啟動(dòng)時(shí)才起作用。使用xinetd啟動(dòng)時(shí)將使用另外的配置方法。

local_max_rate=50000 //本地用戶的最大傳輸速率為50字節(jié)/s anon_max_rate=30000 //匿名用戶的最大傳輸速率為30字節(jié)/s listen_address=192.168.1.1 //設(shè)置在那個(gè)IP上地址進(jìn)行監(jiān)聽 listen_port=2121 //設(shè)置監(jiān)聽端口 pasv_min_port=50000

pasv_max_port=60000 //設(shè)置客戶機(jī)連接時(shí)服務(wù)器響應(yīng)的端口范圍

如果希望用戶登錄以后不能切換到自家以外的目錄，則需設(shè)置chroot選項(xiàng)，涉及如下選項(xiàng)

? chroot_local_user ? chroot_list_enable ? chroot_list_file 有兩種設(shè)置chroot的方法

? 設(shè)置所有的本地執(zhí)行chroot,只要將chroot_local_user=YES ? 設(shè)定指定的用戶執(zhí)行chroot,需要如下的設(shè)置

chroot_local_user=NO chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list //這個(gè)文件是自己創(chuàng)建的

用戶接口（UI） 客戶端協(xié)議解釋器（CPI） 服務(wù)器端協(xié)議解釋器（SPI） 提供了一個(gè)用戶接口并使用客戶端協(xié)議解釋器的服務(wù) 向遠(yuǎn)程服務(wù)器協(xié)議機(jī)發(fā)送命令并驅(qū)動(dòng)客戶數(shù)據(jù)傳輸過程 響應(yīng)客戶協(xié)議機(jī)發(fā)出的命令并驅(qū)動(dòng)服務(wù)器端數(shù)據(jù)傳輸過程 客戶端數(shù)據(jù)傳輸協(xié)議（CDPI） 負(fù)責(zé)完成和服務(wù)器數(shù)據(jù)傳輸過程及客戶端本地文件系統(tǒng)的通信 服務(wù)器端數(shù)據(jù)傳輸協(xié)議（SDPI） 負(fù)責(zé)完成和客戶端數(shù)據(jù)傳輸過程及服務(wù)器端本地文件系統(tǒng)的通信

Vsftpd服務(wù)的主配置文件/etc/vsftpd/vsftpd.conf 黑名單/etc/vsftpd.ftpusers 白名單/etc/vsftpd.user_list Vsftp服務(wù)的默認(rèn)主目錄為/var/ftp Vsftp匿名登錄有兩個(gè)帳號(hào)

用戶名：anonymous 密碼：為空 用戶名：ftp 密碼：ftp 【實(shí)驗(yàn)步驟】

一、查詢vsftpd軟件包是否安裝

[root@localhost ~]# rpm -qa | grep vsftpd vsftpd-2.0.1-5.EL4.3 //已安裝

如未安裝可用命令rpm –ivh vsftpd-2.0.1-5.EL4.3.i386.rpm （第一張光盤） 升級(jí)軟件包 rpm –Uvh vsftpd-2.0.1-5.EL4.3.i386.rpm 卸載軟件包 rpm –ef vsftp-2.0.1

二、查看vsftpd的主配置文件/etc/vsftpd/vsftpd.conf的默認(rèn)配置

anonymous_enable=YES //允許匿名登錄 local_enable=YES //允許本地用戶登錄 write_enable=YES //是否允許上傳

local_umask=022 //設(shè)置本地文件生成的掩碼為022，其實(shí)際權(quán)限為777-022=755 dirmessage_enable=YES //是否啟用目錄消息 xferlog_enable=YES //是否啟用FTP日志文件

connect_from_port_20=YES //啟用FTP數(shù)據(jù)端口的連接請(qǐng)求 xferlog_std_format=YES //使用標(biāo)準(zhǔn)的日志文件格式 pam_service_name=vsftpd //設(shè)置服務(wù)器名稱

userlist_enable=YES //是否啟用用戶名單（黑名單/白名單）控制功能 listen=YES //使vsftpd處于啟動(dòng)模式，而不是由xinetd超級(jí)進(jìn)程來管理 tcp_wrappers=YES //允許使用TCP訪問控制功能

三、Vsftp服務(wù)器的基本配置、權(quán)限控制

1.測(cè)試Vsftp服務(wù)器的默認(rèn)配置----匿名登錄

在默認(rèn)配置下，匿名服務(wù)器的默認(rèn)下載目錄為/var/ftp/pub 在/var/ftp/pub新建三個(gè)文件a b c [root@localhost ~]# cd /var/ftp/pub [root@localhost pub]# touch a b c [root@localhost pub]# ls a b c 啟動(dòng)vsftp服務(wù)

[root@localhost ~]# service vsftpd start ①從Win2K3客戶端下載測(cè)試

C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): anonymous //帳號(hào)為anonymous，也可以用匿名帳號(hào)ftp 來登錄

331 Please specify the password. Password: //密碼為空

230 Login successful. //登錄成功 ftp> cd pub //進(jìn)入默認(rèn)下載目錄

250 Directory successfully changed. ftp> dir //列表顯示服務(wù)器下載目錄中的文件

200 PORT command successful. Consider using PASV. 150 Here comes the directory listing.

-rw-r--r-- 1 0 0 0 Dec 25 07:11 a -rw-r--r-- 1 0 0 0 Dec 25 07:11 b -rw-r--r-- 1 0 0 0 Dec 25 07:11 c. ftp> get a //從服務(wù)器下載文件a

200 PORT command successful. Consider using PASV. //采用的被動(dòng)FTP 150 Opening BINARY mode data connection for a (0 bytes). 226 File send OK. //下載成功，下載到Win2K3的C盤根目錄下 ②.在Win2K3的C盤根目錄下新建一個(gè)文件b.txt,看能否上傳 ftp> put b.txt //上傳b.txt文件

200 PORT command successful. Consider using PASV. 550 Permission denied. //上傳被拒絕

③.修改主配置文件/etc/vsftpd/vsftpd.conf，使匿名用戶也可以上傳

anon_upload_enable=YES //在第27行把前面#號(hào)去掉?？梢宰屇涿脩羯蟼?，但是還是不能上傳到pub目錄。

在/var/ftp下新建一個(gè)目錄bbb,在bbb目錄里面新建三個(gè)文件1 2 3，并賦予bbb目錄的權(quán)限為777

[root@localhost ftp]# mkdir bbb

[root@localhost ftp]# cd bbb [root@localhost bbb]# ls

[root@localhost bbb]# touch 1 2 3 [root@localhost bbb]# ls 1 2 3

[root@localhost ftp]# chmod 777 bbb

[root@localhost ftp]# service vsftpd restart //重新啟動(dòng)vsftpd服務(wù) ④.再在Win2K3做上傳測(cè)試 ftp> put b.txt //上傳b.txt

200 PORT command successful. Consider using PASV. 150 Ok to send data.

226 File receive OK. //上傳完畢

2. 測(cè)試Vsftp服務(wù)器的默認(rèn)配置----本地帳號(hào)登錄

①在Vsftp服務(wù)器上增加一個(gè)leilei帳號(hào)，密碼為：123456 [root@localhost ~]# useradd leilei //增加帳號(hào)leilei [root@localhost ~]# passwd leilei //設(shè)置密碼 Changing password for user leilei. New UNIX password:

BAD PASSWORD: it is too simplistic/systematic Retype new UNIX password:

passwd: all authentication tokens updated successfully. [root@localhost bbb]# cd /home [root@localhost home]# cd leilei [root@localhost leilei]# ls

[root@localhost leilei]# touch 4 //新建一個(gè)文件4 [root@localhost leilei]# ls 4

[root@localhost ~]# service vsftpd restart //重新啟動(dòng)服務(wù) ②在Win2K3客戶機(jī)進(jìn)行上傳下載測(cè)試，在C盤新建一個(gè)文件c.txt C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): leilei //用帳號(hào)leilei登錄 331 Please specify the password. Password:

230 Login successful. ftp> dir

200 PORT command successful. Consider using PASV. 150 Here comes the directory listing.

-rw-r--r-- 1 0 0 0 Dec 25 08:11 4 226 Directory send OK.

ftp: 59 bytes received in 0.00Seconds 59000.00Kbytes/sec. ftp> get 4 //下載4文件

200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for 4 (0 bytes). 226 File send OK. //下載成功 ftp> put c.txt //上傳c.txt文件

200 PORT command successful. Consider using PASV. 150 Ok to send data.

226 File receive OK. //上傳完畢 [root@localhost leilei]# ls 4 c.txt

四、黑名單和白名單

1.查看默認(rèn)的黑名單 root bin daemon adm lp

sync shutdown halt mail news uucp operator games nobody

2.查看默認(rèn)的白名單，

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), 白名單默認(rèn)也拒絕這里面所有的用戶never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers # for users that are denied. root bin daemon adm lp sync shutdown halt mail news uucp operator games nobody

3.默認(rèn)情況下，用黑名單和白名單的用戶去登錄時(shí)，是都不能登錄的。測(cè)試用root帳戶去登錄。

C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): root 530 Permission denied.

Login failed. //可以看出是不允許登錄的。 我們可以修改黑名單，把root帳戶去掉。看能否登錄 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): root 530 Permission denied. Login failed. //還是被拒絕

因?yàn)閞oot帳戶，又在白名單中，又因白名單默認(rèn)又是拒絕里面所有的用戶登錄。所以要把root從白名單中刪除。 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): root 331 Please specify the password. Password:

230 Login successful. //這次可以登錄了

把默認(rèn)的白名單（和黑名單一個(gè)效果）轉(zhuǎn)變?yōu)檎嬲陌酌麊?，可以修改主配置文?etc/vsftpd/vsftpd.conf pam_service_name=vsftpd userlist_enable=YES

userlist_deny=NO //添加這樣一行，把這個(gè)默認(rèn)的YES該為NO listen=YES

也可以這樣做，不加上面的那一行，而是把root從白名單/etc/vsftpd.user_list刪除也可以。

五、配置本地組訪問的FTP服務(wù)器

1.創(chuàng)建本地組的FTP服務(wù)器的目錄

[root@localhost ~]# groupadd netgrp [root@localhost ~]# mkdir -p /var/ftp/netgrp 2.創(chuàng)建本地用戶和組

[root@localhost netgrp]# useradd -G netgrp -d /var/ftp/netgrp -M net1 [root@localhost netgrp]# useradd -G netgrp -d /var/ftp/netgrp -M net2 [root@localhost netgrp]# useradd -G netgrp -d /var/ftp/netgrp -M net 3.設(shè)置用戶口令

[root@localhost netgrp]# passwd net [root@localhost netgrp]# passwd net1 [root@localhost netgrp]# passwd net2 4.修改/var/ftp/netgrp的屬主和權(quán)限

[root@localhost ~]# chown net.netgrp /var/ftp/netgrp [root@localhost ~]# chmod 750 /var/ftp/netgrp 5.在Win2K3中測(cè)試用net用登錄 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): net 530 Permission denied.

Login failed. //登錄被拒絕，因?yàn)榘酌麊我呀?jīng)啟用，而net用戶又不在白名單中，所以要把net、net1、net2添加到白名單中/etc/vsftpd.user_list中。重新啟動(dòng)服務(wù)。 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): net //用net用戶登錄

331 Please specify the password. Password:

230 Login successful. //登錄成功 ftp> put c.txt //上傳文件c.txt

200 PORT command successful. Consider using PASV. 150 Ok to send data.

226 File receive OK. //上傳成功 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): net1 //用net1用戶登錄 331 Please specify the password. Password:

230 Login successful. //登錄成功 ftp> put c.txt //上傳文件c.txt

200 PORT command successful. Consider using PASV.

553 Could not create file. //不能上傳文件c.txt因?yàn)閚et1用沒有寫的權(quán)限。 C:\\>ftp 192.168.13.19

Connected to 192.168.13.19. 220 (vsFTPd 2.0.1)

User (192.168.13.19:(none)): net2 //用net2用戶登錄 331 Please specify the password. Password:

230 Login successful. //登錄成功 ftp> put c.txt

200 PORT command successful. Consider using PASV. 553 Could not create file. //上傳失敗 設(shè)置了上面對(duì)目錄/var/ftp/netgrp的文件系統(tǒng)之后 net用戶是該目錄的屬主，具有讀寫和進(jìn)入的權(quán)限

而net1和net2用戶屬于netgrp組，因此具有讀權(quán)限和進(jìn)入目錄的權(quán)限。

六、特定的使用者不可以變更目錄

1.在vsftp服務(wù)器中新建兩個(gè)用戶aaa和bbb,同時(shí)把這個(gè)兩個(gè)用戶添加到白名單中 2.修改/etc/vsftpd/vsftpd.conf 添加以下兩行

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

新增一個(gè)文檔: /etc/vsftpd/chroot_list 內(nèi)容增加兩行： aaa bbb

重新啟動(dòng)vsftpd service vsftpd restart 3.從Win2K3客戶端訪問

在瀏覽器中ftp://192.168.13.19打開FTP服務(wù)器，然后用aaa用戶登錄，aaa用戶登錄以后，是不可以變更到其他目錄。換用bbb用戶，也是不可登錄到其的目錄，只能在本目錄下操作。

七、配置基于IP的虛擬FTP服務(wù)器 1.配置多個(gè)IP地址

[root@localhost ~]# ifconfig eth0:1 192.168.13.18 netmask 255.255.255.0 [root@localhost ~]# ifconfig | grep inet

inet addr:192.168.13.19 Bcast:192.168.13.255 Mask:255.255.255.0 inet addr:192.168.13.18 Bcast:192.168.13.255 Mask:255.255.255.0 2.建立虛擬FTP服務(wù)器的目錄

[root@localhost ~]# mkdir -p /var/ftp2/pub 3、創(chuàng)建虛擬服務(wù)器的匿名用戶所映射的本地用戶ftp2 [root@localhost ~]# useradd -d /var/ftp2 -M ftp2

4、修改原運(yùn)行的服務(wù)器配置文件/etc/vsftpd/vsftpd.conf 添加主服務(wù)器的ip如下listen_address=ip地址 listen_address=192.168.13.19

5、生成虛擬服務(wù)器的主配置文件/etc/vsftpd/vsftpd2.conf [root@localhost ~]#cd /etc/vsftpd/vsftpd.conf [root@localhost vsftpd]#cp vsftpd.conf vsftd2.conf

6、綁定虛擬服務(wù)器的ip

listen_address=192.168.13.18

使虛擬服務(wù)器的匿名用戶映射到本地用戶ftp2 ftp_username=ftp2 重新啟動(dòng)vsftpd服務(wù) 把ftp2加入白名單 C:\\>ftp 192.168.13.18

Connected to 192.168.13.18. 220 (vsFTPd 2.0.1)

User (192.168.13.18:(none)): anonymous 331 Please specify the password. Password:

230 Login successful. //登錄成功

C:\\>ftp 192.168.13.18

Connected to 192.168.13.18. 220 (vsFTPd 2.0.1)

User (192.168.13.18:(none)): ftp2 //用ftp2登錄 331 Please specify the password. Password:

230 Login successful. //登錄成功

【實(shí)驗(yàn)備注】 【實(shí)驗(yàn)總結(jié)】

一、1.測(cè)試Vsftp服務(wù)器的默認(rèn)配置----匿名登錄

2.測(cè)試Vsftp服務(wù)器的默認(rèn)配置----本地帳號(hào)登錄 通過這兩步，可以看出RedHat AS4.0的默認(rèn)配置： ? ? ?

允許匿名用戶和本地用戶登錄

匿名用戶的登錄的用戶名為ftp或是anonymous，密碼分別為ftp和空密碼 匿名用戶不能離開匿名服務(wù)器目錄/var/ftp,且只能下載不能上傳

? 本地用戶的登錄名為本地用戶名，口令為此本地用戶的口令，在客戶端（Win2K3）用本地帳戶（Linux系統(tǒng)內(nèi)的用戶）登錄之后，可以下載，可以上傳。