《RHEL6版-项目12vsftpdFTP服务器的搭建.ppt》由会员分享,可在线阅读,更多相关《RHEL6版-项目12vsftpdFTP服务器的搭建.ppt(55页珍藏版)》请在三一办公上搜索。
1、“十二五”职业教育国家规划教材选题立项Red Hat Enterprise Linux 6.4(RHEL6.4)教材附带的光盘资源,Linux网络操作系统配置与管理,教材主编:夏笠芹,课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案,项目12 vsftpd FTP服务器的搭建,【职业知识目标】了解:FTP服务的概念、基本原理;FTP用户类型及登录方式,常用的服务器端和客户端软件熟悉:FTP服务的工作过程及基本组成结构;vsftp 两种运行模式的区别掌握:匿名用户、本地用户和虚拟用户FTP 服务器
2、的配置;FTP客户机的配置方法【职业能力目标】会安装和启动默认的vsftp 服务;能配置匿名用户访问的FTP服务器;能配置本地用户访问的FTP服务器;能配置虚拟用户访问的FTP服务器;会使用FTP客户端访问FTP服务器,问题提出,FTP服务的作用与系统组成 FTP(File Transfer Protocol,文件传输协议)是使网络中的计算机之间实现文件传送的标准协议。FTP主要应用于软件资源的上传与下载和Web站点的维护与更新FTP服务系统由服务器软件、客户端软件和FTP通信协议三部分组成,12.2 项目知识准备,培训,电影,在进行通信时,FTP需要建立两个TCP连接:控制连接:标准端口为2
3、1,用于发送FTP命令信息数据连接:标准端口为20,用于上传、下载数据,FTP客户端LinuxgFTPMozilla WindowsIE浏览器flashFTPGuteFTP,FTP服务器端Vsftpd(RHEL 6自带)Wu-FtpdProFTPD,12.2 项目知识准备,12.2.2 vsftpd服务简介1vsftpd软件的特点vsftpd的全称是“very secure FTP daemon”(非常安全的守护),优点:安全、高速、高稳定性、体积小、可定制强、效率高官方下载地址2vsftpd数据连接的类型及建立过程FTP的数据连接分为主动和被动两种模式。主动模式(PORT):服务器主动向客户
4、端发起数据连接。首先由客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”,当服务端收到这个PORT命令后就会从20端口向客户端打开的那个端口发送连接请求,建立一条数据链路来传送数据。被动模式(PASV):在该模式下服务端在指定范围内的某个端口被动等待客户端发起数据连接。客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条控制连接。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。当
5、客户端收到这个信息后,就可以向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。,12.2 项目知识准备,12.2 项目知识准备,3vsftpd的传输模式文本模式:ASCII模式,以文本序列传输数据二进制模式:Binary模式,以二进制序列传输数据4vsftpd用户的类型匿名用户:anonymous或ftp本地用户:帐号名称、密码等信息保存在passwd、shadow文件中虚拟用户:使用独立的帐号/密码数据文件,8,任务12-1 vsftpd服务器安装与测试,1.检查是否安装vsFTPd软件#rpm qa|grep vsftpdRHEL6.4系统自带了vsftpd,默认情况下,vs
6、ftpd未安装,若无任何显示,说明vsFTPd未安装,12.3 项目实施,rootftp_server#mount/dev/cdrom/mntrootftp_server#,3启动vsftpd服务并查看端口占用情况#netstat-nutap|grep ftp4Linux客户端访问vsftpd服务器步骤1:在服务器端设置防火墙,开启FTP服务端口。步骤2:在RHEL6客户机上安装ftp的客户端软件包步骤3:在客户机上使用ftp命令登录vsftpd服务器,任务12-1 vsftpd服务器安装与测试,2.vsftpd服务的运行管理Vsftpd启动、重启、状态查询、停止等操作。service vsf
7、tpd start|restare|status|stop设置vsftpd自启动,rootftp_server#chkconfig-level 35 vsftpd onrootftp_server#chkconfig-list vsftpd vsftpd 0:off 1:off 2:off 3:on 4:off 5:on 6:off,10,任务12-1 vsftpd服务器安装与测试,rootftp_client#Connected to 172.16.102.61(172.16.102.61).220(vsFTPd 2.2.2)Name(172.16.102.61:root):ftp/输入用户
8、名331 Please specify the password.Password:/输入用户密码230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp ls227 Entering Passive Mode(172,16,102,61,42,195).150 Here comes the directory listing.drwxr-xr-x 2 0 0 4096 Mar 02 2012 pub226 Directory send OK.ftp mkdir dir1/在服
9、务器上创建一个文件夹550 Permission denied./权限被拒绝,表明匿名登录在默认配置下不能上传信息ftp bye221 Goodbye.,任务12-1 vsftpd服务器安装与测试,12,访问FTP服务器命令的返回值及含义,任务12-1 vsftpd服务器安装与测试,任务12-2 认识vsftpd的配置文件,14,主配置文件/etc/vsftpd/vsftpd.conf 可设置:用户登录控制、用户权限控制、超时设置、服务器功能选项、服务器性能选项、服务器响应消息等FTP服务器的配置。#vi/etc/vsftpd/vsftpd.conf以#号开头是注释行或是被关掉的具有某功能的配
10、置行 所有有效配置行有相同的格式为:option=value等号两边不能加空格配置文件的详细帮助信息可查询手册页#man vsftpd.conf在初始的样板文件中,并不包括所有想实现的功能,有些功能的实现要添加配置行。,任务12-2 认识vsftpd的配置文件,15,anonymous_enable=YES/NO是否允许匿名用户登录FTP服务器,默认值为YES。no_anon_password=YES/NO 控制匿名用户登入时是否需要密码,YES不需要,NO需要。默认值为NO。anon_world_readable_only=YES/NO匿名用户是否允许下载可阅读的文档。默认值为YES。#an
11、on_upload_enable=YES/NO是否允许匿名用户上传文件,缺省为NO。#anon_mkdir_write_enable=YES/NO是否允许匿名用户有创建目录的写入权限,默认值为NO,1.匿名用户的有关设置,任务12-2 认识vsftpd的配置文件,16,anon_other_write_enable=YES/NO是否允许匿名用户有其他的写入权限,如对文件改名、覆盖及删除文件。默认值为NO。ftp_username=(自添)匿名用户所使用的系统用户名。默认下,此参数在配置文件中不出现,默认值为ftp。anon_root=/var/ftp(自添)设置匿名用户登录后所在的目录(缺省为
12、/var/ftp)anon_umask=022(自添)匿名用户所上传文件的默认权限掩码值anon_max_rate=200000 设置匿名用户的最大传输速度,单位为bytes/sec,值为0表示不限制,1.匿名用户的有关设置,任务12-2 认识vsftpd的配置文件,17,local_enable=YES|NO 是否允许本地用户登录FTP服务器,默认值为YES。local_umask=022本地用户上传文件的默认权限掩码值local_max_rate=500000设置本地用户的最大传输速度,单位为bytes/sec,值为0时表示不限制local_root=/var/ftp(自添)设置本地用户登
13、录后所在目录(缺省为为用户主目录)。如:user1用户为:/home/user1,2.本地用户的设置,任务12-2 认识vsftpd的配置文件,write_enable=YES|NO允许用户访问时,是否允许他们有写入的权限,默认值为YES。listen=YES|NO设置vsftpd服务器是否以独立(standalone)模式运行,默认值为YES,建议不要更改。很多与服务器运行相关的配置命令,需要此运行模式才有效。若设置为NO,则vsftpd不是以独立的服务运行,要受xinetd服务的管理控制,功能上会受限制。listen_port=21设置FTP服务器建立连接所侦听的端口,默认值为21。,3.
14、全局设置,任务12-2 认识vsftpd的配置文件,19,3.全局设置max_clients=0 设置FTP服务器所允许的最大客户端连接数,默认值为0,表示不限制。若设置为150时,则同时允许有150个连接,超出的将拒绝建立连接。只有在以standalone模式运行时才有效。max_per_ip=5设置每个IP地址允许与FTP服务器同时建立连接的数目。默认为0,不受限制。通常可对此配置进行设置,防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效。,任务12-2 认识vsftpd的配置文件,20,3.全局设置xferlog_enable=YES是否启用日志xferlog_
15、file=var/log/vsftpd.log 设置日志文件名及路径。需启用xferlog_enable选项xferlog_std_format=YES是否用标准格式存储日志pam_service_name=vsftpd设置PAM认证服务的配置文件名,该文件位于/etc/pam.d目录下,任务12-2 认识vsftpd的配置文件,21,3.全局设置欢迎信息,ftpd_banner=Welcome blah FTP service这边可定义欢迎话语的字符串,相较于banner_file是档案的形式,而ftpd_banner是字串的格式。预设为无。banner_file=/etc/vsftpd/b
16、anner当使用者登入时,会显示此设定所在的文件的内容,通常为欢迎话语或是说明。默认值为无。dirmessage_enable=YES如果启动这个选项,使用者第一次进入一个目录时,会检查该目录下是否有.message这个档案,若是有,则会出现此档案的内容,通常这个档案会放置欢迎话语,或是对该目录的说明。默认值为开启。message_file=.message设置目录消息文件。当使用者第一次进入一个目录时,是否显示该目录中的.message文件(需用编辑器手工创建)的内容,该文件通常放置欢迎话语,或是对该目录的说明信息,任务12-2 认识vsftpd的配置文件,在默认配置下,用户可以使用“cd.
17、”命名切换到上级目录。比如,若用户登录后所在的目录为/var/ftp,则在“ftp”命令行下,执行“cd.”命令后,用户将切换到其上级目录/var,若继续执行该命令,则可进入Linux系统的根目录,从而可以对整个Linux的文件系统进行操作。若设置了write_enable=YES,则用户还可对根目录下的文件进行改写操作,会给系统带来极大的安全隐患,因此,必须防止用户切换到Linux的根目录,相关的配置项如下:,4.控制用户是否允许切换到上级目录,任务12-2 认识vsftpd的配置文件,(1)配置所有登录不能改变自己的FTP根目录chroot_local_user=YES|NO 本地用户是否
18、锁定在宿主目录中要对本地用户查看效果,需先设置 local_root=/var/ftp(2)配置部分账户不允许改变自己的FTP根目录#chroot_list_enable=YES|NO是否启用chroot_list_file配置项指定的用户列表文件#chroot_list_file=/etc/vsftpd/chroot_list 此文件需自己建立,被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录,4.控制用户是否允许切换到上级目录,任务12-2 认识vsftpd的配置文件,chroot_list_enable=YESchroot_local_user=YESchroot_list
19、中的用户未锁定,chroot_list外的用户锁定chroot_list_enable=YESchroot_local_user=NOchroot_list中的用户锁定,chroot_list外的用户未锁定chroot_list_enable=NOchroot_local_user=YES所有用户锁定chroot_list_enable=NOchroot_local_user=NO所有用户未锁定,任务12-2 认识vsftpd的配置文件,5.设置访问控制,(1)设置允许或不允许访问的主机tcp_wrappers=YES设置vsftpd服务器是否与tcp wrapper相结合,进行主机的访问控制
20、。默认为YES,vsftpd服务器会检查/etc/hosts.allow和/etc/hosts.deny中的设置,以决定请求连接的主机是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。如:若仅允许的用户,可以访问连接vsftpd服务器,则可在/etc/hosts.allow文件中添加以下内容:vsftpd:allowall:all:deny,任务12-2 认识vsftpd的配置文件,(2)设置允许或不允许访问的用户对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。相关配置命令如下:userlist_enable=
21、YES|NO 设置/etc/vsftpd/user_list文件是否启用生效。YES则生效,NO不生效。userlist_deny=YES|NO设置/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。若设置为YES,则/etc/vsftpd/user_list文件中的用户将不允许访问FTP服务器;若设置为NO,则只有vsftpd.user_list文件中的用户,才能访问FTP服务器。,任务12-2 认识vsftpd的配置文件,用户文件列表/etc/vsftpd/ftpusers 指定了不允许访问FTP服务器的本地用户账号(黑名单),例如root等。这些账号不是普通用
22、户账号,而是在系统中具有较高权限的账号,禁止这些账号进行FTP登录可提高系统的安全性。/etc/vsftpd/user_list 指定允许或不允许登陆的用户列表,使用起来比ftpusers更加灵活。需要在主配置文件中进行设置,任务12-2 认识vsftpd的配置文件,任务12-2 认识vsftpd的配置文件,任务12-2 认识vsftpd的配置文件,6.设置用户配置文件所在的目录 在vsftpd服务器中,不同用户还可使用不同的配置,这要通过用户配置文件来实现。user_config_dir=/etc/vsftpd/userconf用于设置用户配置文件所在的目录。设置了该配置项后,当用户登录FT
23、P服务器时,系统就会到/etc/vsftpd/userconf目录下读取与当前用户名相同的文件,并根据文件中的配置命令,对当前用户进行更进一步的配置。比如,利用用户配置文件,可实现对不同用户进行访问的速度进行控制,在各用户配置文件中,定义local_max_rate配置,以决定该用户允许的访问速度。,任务12-2 认识vsftpd的配置文件,7.与连接相关的设置listen_address=IP地址设置在指定的IP地址上侦听用户的FTP请求。若不设置,则对服务器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。对于只绑定了一个IP地址的服务器,不需要配置该项,默认情况
24、下,配置文件中没有该配置项。若服务器同时绑定了多个IP地址,则应通过该配置项,指定在哪个IP地址上提供FTP服务,即指定FTP服务器所使用的IP地址。注意:设置此值前后,可以通过netstat-tnl对比端口的监听情况accept_timeout=60设置建立被动(PASV)数据连接的超时时间,单位为秒,默认值为60。connect_timeout=60PORT方式下建立数据连接的超时时间,单位为秒。data_connection_timeout=300 设置建立FTP数据连接的超时时间,默认为300秒。,任务12-2 认识vsftpd的配置文件,7.与连接相关的设置idle_session_
25、timeout600设置多长时间不对FTP服务器进行任何操作,则断开该FTP连接,单位为秒,默认为600秒。即设置发呆的逾时时间,在这个时间内,若没有数据传送或指令的输入,则会强行断开连接。setproctitle_enable=NO|YES 设置每个与FTP服务器的连接,是否以不同的进程表现出来,默认值为NO,此时只有一个名为vsftpd的进程。若设置为YES,则每个连接都会有一个vsftpd进程,使用“ps-ef|grep ftp”命令可查看到详细的FTP连接信息。安全起见,建议关闭。,任务12-2 认识vsftpd的配置文件,8.FTP工作方式与服务端口connect_from_port
26、_20YES|NO指定FTP数据传输连接是否使用20端口,默认值为YES。若设置为NO,则进行数据连接时,所使用的端口由ftp_data_port指定ftp_data_port=20 设置PORT方式下FTP数据连接所使用的端口,默认值为20。pasv_enable=YES|NO 若设置为YES,则使用PASV工作模式;若设置为NO,使用PORT模式。默认为YES,即使用PASV模式。pasv_max_port=0设置在PASV工作方式下,数据连接可以使用的端口范围的上界。默认值为0,表示任意端口。pasv_mim_port=0设置在PASV工作方式下,数据连接可以使用的端口范围的下界。默认值
27、为0,表示任意端口。,任务12-2 认识vsftpd的配置文件,9.设置传输模式FTP在传输数据时,可使用二进制(Binary)方式,也可使用ASCII模式来上传或下载数据。ascii_download_enable=YES设置是否启用ASCII模式下载数据。默认为NOascii_upload_enable=YES设置是否启用ASCII模式上传数据。默认为NO,任务12-2 认识vsftpd的配置文件,需求:德雅职业学校准备搭建一台功能简单的FTP服务器,允许所有师生员工上传和下载文件,并允许创建用户自己的目录。分析:允许所有师生员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用
28、户上传功能开启,最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。,任务12-3 配置匿名用户访问的FTP,解决方案:步骤1:编辑配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创建目录。,rootftp_server#vim/etc/vsftpd/vsftpd.conf/查找以下4行并修改之,其他配置行保持默认anonymous_enable=YES/12行:允许匿名用户访问write_enable=YES/18行:允许开放写权限anon_upload_enable=YES/27行:允许匿名用户上传文件anon_mkdir_write_
29、enable=YES/31行:允许匿名用户创建目录anon_umask=022/需要添加此行anon_world_readable_only=NO/需要添加此行且为NO,否则不能下载/保存退出,任务12-3 配置匿名用户访问的FTP,解决方案:步骤2:创建一个供上传资源的目录tea_stu,调整该目录的属主或权限,确保匿名用户ftp有权在目录tea_stu中写入文件。配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创建目录。,rootftp_server#mkdir/var/ftp/tea_sturootftp_server#ll-dl/var/ftp/tea_studrwx
30、r-xr-x.2 root root 4096 10月 13 18:18/var/ftp/tea_sturootftp_server#chown ftp/var/ftp/tea_sturootftp_server#ll-dl/var/ftp/tea_studrwxr-xr-x.2 ftp root 4096 10月 13 18:18/var/ftp/tea_stu,任务12-3 配置匿名用户访问的FTP,步骤3:修改selinux,使selinux支持匿名用户上传使用getsebool-a|grep ftp 命令可以找到ftp的bool值,其中第一行:allow_ftpd_anon_write
31、的当前值为off,需改为on。,rootftp_server#getsebool-a|grep ftp/显示与ftp相关的所有SElinux的布尔值allow_ftpd_anon_write-offallow_ftpd_full_access-offrootftp_server#setsebool-P allow_ftpd_anon_write on/修改指定项的布尔值rootftp_server#setsebool-P ftp_home_dir on rootftp_server#getsebool-a|grep ftpallow_ftpd_anon_write-on/修改为on后,才允许匿
32、名用户上传连接allow_ftpd_full_access-off,任务12-3 配置匿名用户访问的FTP,步骤4:修改上下文.使用reboot命令重新启动服务器,rootftp_server#ll-Zd/var/ftp/tea_studrwxr-xr-x ftp root root:object_r:public_content_t/var/ftp/tea_sturootftp_server#chcon-t public_content_rw_t/var/ftp/tea_sturootftp_server#ll-Zd/var/ftp/tea_studrwxr-xr-x ftp root ro
33、ot:object_r:public_content_rw_t/var/ftp/tea_sturootftp_server#reboot,步骤5:在3、5级别开启vsftpd服务自动启动,任务12-3 配置匿名用户访问的FTP,rootserver1#chkconfig-list|grep vsftpdvsftpd 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭rootserver1#chkconfig-level 35 vsftpd onrootserver1#chkconfig-list|grep vsftpdvsftpd 0:关闭 1:关闭 2:关闭 3:启用 4:
34、关闭 5:启用 6:关闭,步骤6:启动vsftpd服务、开启21号端口#service vsftpd start#iptables-I INPUT-p tcp-dport 21-j ACCEPT,步骤7:在Windows客户端启动IE浏览器单击【工具】菜单项选择【Internet选项】在打开的【Internet选项】对话框中单击【高级】标签卡在【设置】列表框内找到【浏览】节点下的【使用被动FTP(为防火墙和DSL调制解调器兼容性)】配置项并将前面的勾去掉单击【确定】,如图12-3所示。,步骤8:在IE浏览器的地址栏中输入“ftp:/172.16.102.61”后回车单击【查看】选择【在Wind
35、ows资源管理器中打开FTP站点】,系统登录FTP服务器,任务12-3 配置匿名用户访问的FTP,步骤9:在FTP登录窗口单击“tea_stu”文件夹进入该文件夹从本地硬盘(如“E:”盘)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传从ftp登录窗口内拖拽文件(夹)到本地硬盘(E:)的窗口完成下载,如图12-5所示。而试图删除上传的文件(夹)则不允许,如图12-6所示。,任务12-3 配置匿名用户访问的FTP,需求:德雅职业学校现有一台FTP和Web服务器,FTP的功能主要用于维护学校的Web网站内容,包括上传文件、创建目录、更新网页等。学校现有两个部门负责维护任务,并分别使用user1和u
36、ser2帐号进行管理。先要求仅允许user1和user2帐号登录FTP服务器,但不能登录本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。分析:将FTP和WEB服务器做在一起是企业经常采用的方法,这样方便实现对网站的维护,为了增强安全性,首先需要使用仅允许本地用户访问,并禁止匿名用户登录。其次使用chroot功能将user1和user2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限。,任务12-4 配置本地用户访问的FTP,解决方案:,步骤1:建立维护网站内容的本地用户user1和user2并禁止本地登录,然后设置其密
37、码,rootdyzx#useradd-s/sbin/nologin user1rootdyzx#useradd-s/sbin/nologin user2rootdyzx#passwd user1rootdyzx#passwd user2,rootdyzx#mkdir-p/var/www/html/创建目rootdyzx#ll-d/var/www/html/显示目录属性 drwxr-xr-x 2 root root 4096 11-14 18:46/var/www/htmlrootdyzx#chmod-R o+w/var/www/html/修改目录权限rootdyzx#ll-d/var/www/
38、html/显示目录属性drwxr-xrwx 2 root root 4096 11-14 18:46/var/www/htmlrootftp_server#echo this is www.dyzx.edu s web/var/www/html/index.html,步骤2:创建上传根目录,并修改其权限,任务12-4 配置本地用户访问的FTP,步骤3:修改安全上下文,使上传根目录具有写入(上传)的功能。,步骤4:配置vsftpd.conf主配置文件并作相应修改,rootftp_server#chcon-t public_content_rw_t/var/www/html,rootftp_ser
39、ver#vim/etc/vsftpd/vsftpd.conf/查找或添加以下行并修改之,其他配置行保持默认anonymous_enable=NO/禁止匿名用户登录local_enable=YES/允许本地用户登录write_enable=YESlocal_umask=022local_root=/var/www/html/设置本地用户的根目录为/var/www/htmlchroot_local_user=YESchroot_list_enable=YES/开启能锁定用户的chroot功能chroot_list_file=/etc/vsftpd/chroot_list/设置锁定用户在根目录中的列
40、表文件userlist_enable=YES/保存退出,任务12-4 配置本地用户访问的FTP,步骤5:建立/etc/vsftpd/chroot_list文件,添加user1和user2帐号,rootdyzx#vim/etc/vsftpd/chroot_listUser1user2,步骤6:修改SELinux允许本地用户登录。,步骤7:重启vsftpd服务使配置生效、开启21号端口,rootftp_server#getsebool-a|grep ftp/查看与ftp有关的所有SElinux的布尔值rootftp_server#setsebool-P ftp_home_dir on,rootft
41、p_server#service vsftpd restartrootftp_server#iptables-I INPUT-p tcp-dport 21-j ACCEPT,任务12-4 配置本地用户访问的FTP,步骤8:在客户端IE浏览器的地址栏中输入“ftp:/172.16.102.61”后回车在打开的FTP登录窗口中输入用户名和密码单击【登录】按钮,如图12-7所示。步骤9:从ftp登录窗口内拖拽文件(夹)到本地硬盘(E:)的窗口完成下载,从本地硬盘(E:)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传,如图12-8所示。,任务12-4 配置本地用户访问的FTP,测试2在物理机的字符界
42、面,任务12-4 配置本地用户访问的FTP,OK,需求目标全部达成,任务12-4 配置本地用户访问的FTP,【例12-3】德雅职业学校为了便于师生员工的教学,计划搭建FTP服务器。对所有互联网用户开放共享目录,提供相关学习资料的下载,但禁止上传;学校内部的教师能够使用FTP服务器进行上传和下载,但不可以删除数据。为保证服务器的稳定性,要对用户访问和下载/上传流量进行控制。分析:根据学校的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核,考虑到服务器的安全性,关闭本地用户登录,使用虚拟用户验证机制,并对不同虚拟用户设置不同的权限。为了保证服务器的整体性能,还需要根据用户的等级
43、,限制客户端的连接数及下载速度。,任务12-5 配置虚拟用户访问的FTP,步骤1:建立虚拟用户的用户名、密码列表的文本文件v_user.txt,添加公共账号ftp及教师账号teacher两个虚拟用户。奇数行为帐号名 偶数行为上一行中帐号的密码,任务12-5 配置虚拟用户访问的FTP,rootftp_server#vi/etc/vsftpd/vusers.listftp123teacher456,步骤2:安装db_load转换工具,将文本文件v_user.txt转化为数据库文件v_user.db。,rootftp_server#mount/dev/cdrom/mntrootftp_server#
44、rootftp_server#cd/etc/vsftpd/root ftp_server vsftpd#db_load-T-t hash-f v_user.txt v_user.db,任务12-5 配置虚拟用户访问的FTP,步骤3:修改数据库文件访问权限。,rootftp_server#chown 600/etc/vsftpd/v_user.*,步骤4:创建虚拟用户对应的本地用户,并设置用户主目录的访问权限。,rootdyzx#useradd-d/var/ftp/share/-s/sbin/nologin ftpuserrootdyzx#useradd-d/var/ftp/teacherdir
45、/-s/sbin/nologin ftpteacherrootdyzx#chmod-R 500/var/ftp/share/rootdyzx#chmod-R 700/var/ftp/teacherdir/rootftp_server#chcon-t public_content_rw_t/var/ftp/share/rootftp_server#chcon-t public_content_rw_t/var/ftp/teacherdir/,步骤5:建立支持虚拟用户的PAM认证文件,rootdyzx#vim/etc/pam.d/vuser.vu/配置文件的名称可以自行定义#%PAM-1.0aut
46、h required pam_userdb.so db=/etc/vsftpd/v_useraccount required pam_userdb.so db=/etc/vsftpd/v_user,对应于第1步中建立的v_users.db文件,任务12-5 配置虚拟用户访问的FTP,步骤6:修改/etc/vsftpd/vsftpd.conf主配置文件,rootftp_server#vim/etc/vsftpd/vsftpd.conf anonymous_enable=NOlocal_enable=YES/使用虚拟用户一定要启用本地用户chroot_local_user=YES/将所有本地用户限
47、制在家目录中(需添加)guest_enable=YES/启用用户映射功能,允许虚拟用户登录(需添加)pam_service_name=vuser.vu/指定对虚拟用户进行PAM认证的文件名vuser.vuuser_config_dir=/etc/vsftpd/vconfig/指定虚拟用户的配置文件的位置(需添加),步骤7:为虚拟用户ftp、techer建立各自独立的配置文件,rootftp_server#mkdir/etc/vsftpd/vconfig/rootftp_server#vim/etc/vsftpd/vconfig/ftp/确保配置文件名与虚拟用户名同名guest_username
48、=ftpuser/设置ftp对应的本地用户为ftpuserlocal_root=/var/ftp/share/用户登录后所在的目录anon_world_readable_only=NO/允许浏览和下载anon_max_rate=500000/限定传输速率为500KB/s/保存退出rootftp_server#vim/etc/vsftpd/vconfig/teacherguest_username=ftpteacherlocal_root=/var/ftp/teacherdir anon_world_readable_only=NO write_enable=YES/允许写入anon_uploa
49、d_enable=YES/允许上传anon_mkdir_write_enable=YES/允许创建文件夹anon_max_rate=1000000/限定传输速度为1000KB/s/保存退出,任务12-5 配置虚拟用户访问的FTP,步骤8:修改SELinux允许本地用户登录和匿名用户具有写入权限,重新加载vsftpd服务,使配置生效,任务12-5 配置虚拟用户访问的FTP,rootftp_server#setsebool-P ftp_home_dir onrootftp_server#setsebool-P allow_ftpd_anon_write onrootftp_server#servi
50、ce vsftpd reload,步骤9:使用虚拟用户访问FTP的测试分别用ftp、teacher用户登录FTP服务器进行下载、上传测试,应得到以下结果:ftp用户可以登录,并可以浏览、下载文件(夹),但无法上传。teacher用户可以登录,并可以浏览、下载文件(夹),也可以上传文件(夹)。匿名用户或其他系统用户不能登录vsftpd服务器。,55,项目小结,项目知识准备FTP工作原理FTP服务系统的组成及工作过程vsftpd服务简介项目实施任务12-1 vsftpd服务器的安装任务13-2 认识vsftpd.conf主配置文件任务12-3 配置匿名用户访问的FTP任务12-4 配置本地用户访问
