1、第第14章章 FTP服务器服务器Linux篇篇4/23/20241p 本讲要点本讲要点内容要求内容要求 安装与启停安装与启停vsftpdvsftpd相关配置文件相关配置文件说明明配置配置vsFTP服服务器器重点重点vsftpd相关配置文件相关配置文件说明明配置配置vsFTP服服务器器难点点配置配置vsFTP服服务器器4/23/202421.安装与启停安装与启停vsftpd安装安装Centos的的时候,需要候,需要选中中vsftp服服务程序安程序安装,方可被安装。也可以通装,方可被安装。也可以通过命令方式命令方式进行行检查和安装和安装vsftpd服服务程序,如程序,如图4/23/20243图14
2、-1 检查是否安装vsftpd和查看包内容如果没有安装,可以使用yum在线安装yum install vsftpdyum install vsftpd启停启停vsftpd服务服务/esystemctl start vsftpd 或或 service vsftpd startsystemctl restart vsftpd 或或 service vsftpd restart/etc/rc.d/init.systemctl stop vsftpd 或或 service vsftpd stop4/23/20244图14-2 设定vsftpd自动运行firewall-cmd-add-service=f
3、tp firewall-cmd-add-service=ftp 防火墙开放端口防火墙开放端口firewall-cmd-add-service=ftp-permanentfirewall-cmd-add-service=ftp-permanent2.vsftpd相关配置文件说明相关配置文件说明 服服务器器vsftpd被安装后,主要相关文件和目被安装后,主要相关文件和目录有:有:(1)/etc/vsftpd/目目录为vsftpd服服务器配置文件主目器配置文件主目录。(2)/etc/vsftpd/vsftpd.conf文件文件为vsftpd服服务器的主配置文件,器的主配置文件,缺省情况下的缺省情况下
4、的ftp主目主目录为/var/ftp,任何配置参数修改需要操作此,任何配置参数修改需要操作此文件,后面将文件,后面将详细介介绍文件中的参数。文件中的参数。(3)/etc/vsftpd.ftpusers定定义哪些用哪些用户不能登不能登录ftp服服务器的用器的用户列表文件。列表文件。(4)/etc/pam.d/vsftpd 定定义vsftpd的的PAM认证文件。文件。(5)/etc/vsftpd.user_list与与/etc/vsftpd.ftpusers一一样,不,不过需要需要主配置文件中的主配置文件中的vsftpd.conf的的“userlist_deny=YES”参数参数选项配合使用。配合
5、使用。(6)/var/ftp目目录为vsftpd服服务器的匿名缺省共享主目器的匿名缺省共享主目录。4/23/20245服服务器器vsftpd被安装后,主要相关文件和目被安装后,主要相关文件和目录有:有:(7)/usr/share/doc/vsftpd-3.0.2目目录下所有的文档作下所有的文档作为vsftpd的帮助文档。的帮助文档。(8)/etc/logrotate.d/vsftpd.log为vsftp运行的日志文运行的日志文件。件。(9)/etc/pam.d/vsftpd为vsftpd指出指出vsftpd进行行PAM认证时,所使用的,所使用的PAM配置文件名,没有配置文件名,没有该文件,将无
6、文件,将无法使本地用法使本地用户登登录FTP服服务器。器。(10)/usr/sbin/vsftpd 为vsftpd服服务器的主程序。器的主程序。(11)/usr/lib/systemd/system/vsftpd.service 为CentOS的的systemd管理管理vsftpd服服务器所运行的配置脚器所运行的配置脚本。本。4/23/20246/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf文件的默认内容如下文件的默认内容如下文件的默认内容如下文件的默认内容如下 anonymous_enable=YESlocal_enable=YESwrite_e
7、nable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpduserlist_enable=YESlisten=YEStcp_wrappers=YES4/23/20247配置配置vsftpd的主配置文件,的主配置文件,应该首先掌握首先掌握该文件中的配置参数文件中的配置参数选项的使用。可以将参的使用。可以将参数数选项分成三分成三类:第第1类是是布布尔型型的参数的参数选项,如表,如表14-1所示;
8、所示;第第2类是是数字型数字型的参数的参数选项,如表,如表14-2所示;所示;第第3类是是字符串型字符串型的参数的参数选项,如表,如表14-3所示。所示。4/23/20248vsftpd.ftpusers文件文件 该文件存放在文件存放在/etc目目录下,属于下,属于vsftpd默默认许可可读取的文件,只用来取的文件,只用来记录哪些用哪些用户“不允不允许”作作为ftp用用户登登录,通常是一些系,通常是一些系统默默认的用的用户,当,当然也可以将某一些非系然也可以将某一些非系统默默认用用户进行禁用行禁用,如:,如:#Users that are not allowed to login via ft
9、prootbindaemonadmlpsyncshutdownhaltmailnewsuucpoperatorgamesnobody4/23/20249vsftpd.user_list文件文件 该文件存放于文件存放于/etc目目录下,与下,与vsftpd.ftpusers的的内容一内容一样,该文件可以用来文件可以用来设置黑白名置黑白名单。但是,。但是,需要在需要在vsftpd.conf主配置文件中主配置文件中设定定“userlist_deny=YES”有效后,有效后,vsftpd.user_list文件才表示被拒文件才表示被拒绝访问ftp的用的用户列表,如果在主配置文件中列表,如果在主配置文件
10、中设定定“userlist_deny=NO”的的时候,文件中的用候,文件中的用户列列表就表示允表就表示允许访问ftp的用的用户。4/23/2024103.配置配置vsFTP服务器服务器(1)匿名用)匿名用户服服务器器(2)虚)虚拟用用户服服务器器(3)真)真实用用户服服务器器 4/23/202411(1)匿名用户服务器)匿名用户服务器与匿名相关的参数与匿名相关的参数/选项及及值可以解可以解释如下:如下:设置置anonymous_enable=YES,控制允,控制允许匿名用匿名用户登登录。设置置ftp_username=ftp,匿名用,匿名用户所使用的系所使用的系统用用户名,默名,默认值为ftp
11、,通常可以不通常可以不设置。置。设置置no_anon_password=YES,要求匿名用,要求匿名用户登入登入时需要密需要密码。设置置deny_email_enable=YES|NO,此参数默,此参数默认值为NO。当。当值为YES时,拒,拒绝使用使用banned_email_file参数指定文件中所列出的参数指定文件中所列出的e-mail地址地址进行登行登录的匿名用的匿名用户,当此参数生效,当此参数生效时,需,需设定定banned_email_file参数参数值为某一个文件,并某一个文件,并编辑该文件。文件。设定定banned_email_file=/etc/vsftpd.banned_em
12、ails,指定包含被拒,指定包含被拒绝的的e-mail地址的文件,默地址的文件,默认文件文件为/etc/vsftpd.banned_emails,并,并编辑文件内容。文件内容。设定定anon_root=/var/ftp/pub,完成,完成设定匿名用定匿名用户的根目的根目录,即匿名用,即匿名用户登登录后,只能被定位到此目后,只能被定位到此目录下。在下。在vsftpd.conf中默中默认无此无此项设置,其置,其默默认值就就为/var/ftp/。设定定anon_world_readable_only=YES,控制只允,控制只允许匿名用匿名用户下下载有有读权限的文件。如果限的文件。如果设定定值为NO,
13、允,允许匿名用匿名用户浏览整个服整个服务器的文件,器的文件,默默认值为YES。4/23/202412设定定anon_upload_enable=YES,允,允许匿名用匿名用户上上传文件,如果文件,如果为NO代表不允代表不允许,默,默认是是NO。除了。除了这个参数外,匿名用个参数外,匿名用户要能要能上上传文件,文件,还需要两个条件:需要两个条件:write_enable=YES;在文件在文件系系统上,上,FTP匿名用匿名用户对该目目录必必须有写有写权限。限。设定定anon_mkdir_write_enable=YES,许可匿名用可匿名用户创建新目建新目录,FTP匿名用匿名用户对该目目录必必须有写
14、有写权限;限;为NO表示不允表示不允许,配,配置文件中不置文件中不给出出该项,默,默认值为NO。设定定anon_other_write_enable=YES,允,允许匿名用匿名用户拥有除了上有除了上传和新建目和新建目录之外的其他之外的其他权限,如限,如删除、更名等;如果除、更名等;如果NO时不不拥有,配置文件中不有,配置文件中不给出出该项设置,默置,默认值为NO。设定定chown_uploads=YES,允,允许修改匿名用修改匿名用户所上所上传文件的所文件的所有有权,所有,所有权对应用用户由由chown_username参数指定。配置文件参数指定。配置文件中不中不给出出该项设置,置,项默默认值
15、为NO。设定定chown_username=teacher,指定,指定拥有匿名用有匿名用户上上传文件所文件所有有权的用的用户为teacher。此参数与。此参数与chown_uploads结合使用,默合使用,默认为ftp用用户。4/23/202413(2)虚拟用户服务器)虚拟用户服务器 vsFTP允允许使用本地用使用本地用户账号登号登录服服务器,但是,器,但是,需要建用需要建用户映射映射为guest用用户,进行行统一管理,一管理,这样就形成了虚就形成了虚拟用用户的的FTP服服务器形式。器形式。与建立虚与建立虚拟用用户FTP服服务器相关的重要器相关的重要选项/参数如下:参数如下:设定定guest_
16、enable=YES,所有的非匿名用,所有的非匿名用户登登录都映射都映射为guest,默,默认值为NO。设定将非匿名用定将非匿名用户映射映射为什么什么guest用用户,设置置guest_username=public,缺省情况下,缺省情况下值为ftp。设定定local_root=/tmp,将本地用的根目,将本地用的根目录定位到定位到/tmp目目录,作,作为根目根目录。此此时,必,必须设定定local_enable=YES,允,允许本地用本地用户登登录设置中,一定要注意要共享的目置中,一定要注意要共享的目录权限。限。4/23/202414(3)真实用户服务器)真实用户服务器 与建立真与建立真实用
17、用户服服务器相关的主要关器相关的主要关键选项如下:如下:设定定local_enable=YES,许可可Linux系系统的真的真实用用户可以登可以登录FTP,默,默认值为NO。可以可以设定所有本地用定所有本地用户的根目的根目录,比如,比如设定定local_root=/tmp,如果要求,如果要求锁定根目定根目录,还需要需要设定定chroot_list_enable=YES的的时候,并且候,并且chroot_list_file设置置值为/etc/vsftpd.chroot_list文件,此文件,此时,文件中的,文件中的用用户为被被约束在根目束在根目录下,根目下,根目录为用用户主目主目录。后面将。后面
18、将举例例说明。明。可以可以为用用户个人配置文件个人配置文件设定所在的目定所在的目录,个人配置文件的格式与,个人配置文件的格式与vsftpd.conf格式相同,比如格式相同,比如设定定user_config_dir=/etc/vsftpd/userconf,主机上有用,主机上有用户特特teacher和和stu,那我,那我们可以在可以在user_config_dir设定的目定的目录下新增加文件下新增加文件为teacher和和stu两个文件。当用两个文件。当用户stu登登录时,vsftpd则会会读取取user_config_dir下下stu这个文件中的个文件中的设定定值,应用于用用于用户stu。默。
19、默认值为无任何无任何设置。置。注注:如果在个人配置文件中加入:如果在个人配置文件中加入chroot_local_user=YES或或chroot_list_enbales=YES是无效的。是无效的。4/23/202415(4)建立虚拟目录建立虚拟目录 建立虚建立虚拟目目录,与,与Windows的的IIS的的FTP建建立概念一立概念一样,需要在共享的主目,需要在共享的主目录下建立下建立一个子目一个子目录,将,将该子目子目录看成虚看成虚拟目目录的的一个一个别名。比如:将名。比如:将/home/public映射到映射到ftp:/主机名主机名/public 的子目的子目录public中,此中,此时访问
20、ftp:/主机名主机名/public就如同就如同访问/home/public。此。此时同同样要注意目要注意目录权限限问题。4/23/202416映射虚拟目录的命令格式如下:映射虚拟目录的命令格式如下:mount -bind 物理的目录物理的目录 别名目录别名目录其中的其中的-bind选项不可缺少,这种建立方式并不是复制内容,选项不可缺少,这种建立方式并不是复制内容,只是映射挂载。如果没有使用该选项,将出现挂载出错,他只是映射挂载。如果没有使用该选项,将出现挂载出错,他会认为会认为“物理的目录物理的目录”不是块文件的错误。实现步骤如下不是块文件的错误。实现步骤如下(与前面的举例对应讲解(与前面的
21、举例对应讲解,注意目录权限):注意目录权限):mkdir m 755 /var/ftp/pub/downloadmount-bind /home/public /var/ftp/pub/download4/23/202417小结小结本章本章节主要主要讲解基于解基于CentOS下的下的vsftpd的安装、启停管理和配置。本章的安装、启停管理和配置。本章节开开头就就详细的的讲解了配置解了配置ftp服服务器注意器注意项,主,主动模式(模式(PORT)和被)和被动模式模式(PASV)解决客)解决客户防火防火墙拦截截问题。通。通过图形和命令方式形和命令方式讲解解vsftpd服服务器器配置完配置完毕后,需
22、要使用启后,需要使用启动或重启或重启动命令命令systemctl restart vsftpd.service或或service vsftp restart使配置生效。使配置生效。最后本章最后本章节重点重点讲解了配置解了配置vsftpd的相关文件、目的相关文件、目录。以主配置文件。以主配置文件vsftpd.conf的的详细选项/参数参数标为指指导,进行分三行分三类讲解:布解:布尔型的型的选项、数字型的数字型的选项和字符串型的和字符串型的选型,通型,通过章章节中得三中得三张表,我表,我们可以清楚地掌可以清楚地掌握配置的具体内容。以匿名握配置的具体内容。以匿名FTP服服务器、虚器、虚拟用用户FTP
23、服服务器和真器和真实用用户的的FTP服服务器所需的主要关器所需的主要关键选项,以及,以及实例例让读者更能理解和巩固知者更能理解和巩固知识,具,具体的内容体的内容请按照按照实际例子例子实践,配置践,配置过程中,需要注意程中,需要注意selinux的的对vsftpd的的限制,可以使用限制,可以使用getsebool-a|grep ftp查看限制情况必要的看限制情况必要的时候可以使用候可以使用setsebool开放限制。开放限制。4/23/2024实践题实践题2如果要求如果要求vsftpd服服务器只器只监听听IP地址地址192.168.1.6(主(主机有多个机有多个IP地址,且地址,且该地址存在),
24、而且只接受地址存在),而且只接受2121端口端口的的连接接访问,数据,数据传输端口固定端口固定为20,如何配置,如何配置vsftpd.conf?3某主机某主机IP地址地址为192.168.1.6,请按照下列要求配置按照下列要求配置vsftpd服服务器:器:(1)只允只允许匿名可以匿名可以访问FTP服服务器;器;(2)FTP服服务器能器能够接受最大的接受最大的连接数接数为100,同一,同一IP的的连接数接数为1;(3)匿名用匿名用户不能上不能上传文件,只可以下文件,只可以下载文件的文件的权限;限;(4)匿名用匿名用户的根目的根目录为/var/ftp/pub;(5)为匿名用匿名用户建立一个虚建立一
25、个虚拟目目录,其,其实际的物理路径的物理路径为/var/www/html;(7)在匿名的根目在匿名的根目录/var/ftpd/pub下的子目下的子目录movie不可以不可以访问和和下下载。4/23/2024194某某Linux主机作主机作为网站的网站的FTP服服务器,需要按照下列要器,需要按照下列要求配置求配置vsftpd服服务器:器:(1)只允只允许匿名和真匿名和真实用用户teacher和和stu可以可以FTP服服务器;器;(2)监听所有地址的听所有地址的21端口;端口;(3)匿名用匿名用户访问与第与第3题一一样;(4)真真实用用户teacher和和stu的根目的根目录均均为/tmp/public,都需要映,都需要映射射为guest用用户,但是,但是,teacher用用户映射映射为ftp1,而,而stu用用户映射映射为ftp2。ftp2用用户可以向可以向/tmp/public/stu上上传文件,但是拒文件,但是拒绝上上传*.mp3的文件;的文件;ftp1用用户可以向可以向/tmp/public/teacher目目录上上传;(5 真真实用用户数据数据传输限定限定为2M左右;左右;(6)服服务器能支持最大器能支持最大连接数接数为200,同一,同一IP只允只允许1个个连接;接;(7)数据数据传输端口都端口都设定定为2020,便于安全管理。,便于安全管理。4/23/202420
