Red-Hat-Enterprise-FTP服務(wù)器配置實(shí)例教程

第5章FTP服務(wù)器第5章FTP服務(wù)器FTP服務(wù)是互聯(lián)網(wǎng)上的常見服務(wù)之一，本章主要介紹了FTP服務(wù)器的工作原理、工作模式和基本應(yīng)用，并且重點(diǎn)講解了在RedHatEnterpriseLinux5下VsFTP服務(wù)器的架構(gòu)。目錄5.1FTP服務(wù)器簡(jiǎn)介5.1.1FTP簡(jiǎn)介5.1.2FTP工作原理5.1.3FTP的兩種操作模式：主動(dòng)模式和被動(dòng)模式5.1.4FTP體系結(jié)構(gòu)5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式5.1.6常用的匿名FTP目錄5.2安裝和配置FTP服務(wù)器5.2.1安裝VsFTPD軟件包5.2.2連接和訪問FTP服務(wù)器5.3FTP服務(wù)器配置實(shí)例5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置5.3.3通過指定賬戶訪問FTP服務(wù)器存在的安全隱患問題5.1FTP服務(wù)器簡(jiǎn)介一般來說，用戶聯(lián)網(wǎng)的首要目的就是實(shí)現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個(gè)內(nèi)容之一。Internet上早期實(shí)現(xiàn)傳輸文件，并不是一件容易的事。我們知道Internet是一個(gè)非常復(fù)雜的計(jì)算機(jī)環(huán)境，有PC機(jī)，工作站，大型機(jī)等。這些計(jì)算機(jī)可能運(yùn)行在不同的操作系統(tǒng)下，有運(yùn)行UNIX的服務(wù)器，也有運(yùn)行DOS、WINDOWS的PC機(jī)和運(yùn)行MacOS的蘋果機(jī)等等。而各種操作系統(tǒng)之間的文件交流問題，需要建立一個(gè)統(tǒng)一的文件傳輸協(xié)議，這就是所謂的FTP。基于不同的操作系統(tǒng)有不同的FTP應(yīng)用程序，而所有這些應(yīng)用程序都遵守同一種協(xié)議，這樣用戶就可以把自己的文件傳送給別人，或者從其它的用戶環(huán)境中獲得文件。5.1.1FTP簡(jiǎn)介

5.1.1FTP簡(jiǎn)介1.FTP定義FTP即文件傳輸協(xié)議，全稱是FileTransferProtocol，顧名思義，它是專門用來傳輸文件的協(xié)議。它支持的FTP功能是網(wǎng)絡(luò)中最重要，用途最廣泛的服務(wù)之一。用戶可以連接到服務(wù)器上下載文件，也可以將自己的文件上傳到FTP服務(wù)器中。以下載文件為例，當(dāng)啟動(dòng)FTP服務(wù)從遠(yuǎn)程計(jì)算機(jī)拷貝文件時(shí)，事實(shí)上啟動(dòng)了兩個(gè)程序：一個(gè)本地機(jī)上的FTP客戶程序，它向FTP服務(wù)器提出拷貝文件的請(qǐng)求；另一個(gè)是啟動(dòng)在遠(yuǎn)程計(jì)算機(jī)上的FTP服務(wù)器程序，它響應(yīng)用戶的請(qǐng)求把指定的文件傳送到客戶機(jī)上5.1.1FTP簡(jiǎn)介2.FTP優(yōu)點(diǎn)FTP可將文件從網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)傳送到另一臺(tái)計(jì)算機(jī)。其突出的優(yōu)點(diǎn)是可在不同類型的計(jì)算機(jī)之間傳送文件和交換文件，比如在WINDOWS和UNIX、LINUX系統(tǒng)上均可傳送。它實(shí)現(xiàn)了服務(wù)器和客戶機(jī)之間的文件傳輸和資源再分配，是普遍采用的資源共享方式之一。FTP服務(wù)管理簡(jiǎn)單，且具備雙向傳輸功能。5.1.1FTP簡(jiǎn)介3.FTP意義FTP是TCP/IP的一種具體應(yīng)用，它工作在OSI模型的第七層，TCP模型的第四層，即應(yīng)用層。它使用TCP協(xié)議傳輸而不是UDP協(xié)議，這樣，F(xiàn)TP客戶端在和服務(wù)器建立連接之前就有一個(gè)“三次握手”的過程。它的意義在于客戶端與服務(wù)器之間的連接是可靠的，而且是面向連接的，為數(shù)據(jù)的傳輸提供了可靠的保證。另外，F(xiàn)TP服務(wù)還有一個(gè)非常重要的特點(diǎn)是：它可以獨(dú)立于平臺(tái)。也就是說，在UNIX,LINUX,WINDOWS等操作系統(tǒng)中都可以實(shí)現(xiàn)FTP的客戶端和服務(wù)器，相互之間可以跨平臺(tái)進(jìn)行文件傳送。

5.1FTP服務(wù)器簡(jiǎn)介

5.1.2FTP工作原理

FTP的工作方式采用客戶/服務(wù)器模式?？蛻舳撕头?wù)器使用TCP進(jìn)行連接。為建立連接，客戶端和服務(wù)器都必須各自打開一個(gè)TCP端口。FTP服務(wù)器預(yù)置兩個(gè)端口：控制端口（端口21）和數(shù)據(jù)端口（端口20）?？刂贫丝跒榭蛻舳撕头?wù)器之間交換命令和應(yīng)答提供通信的通道；而數(shù)據(jù)端口只用來交換數(shù)據(jù)。其中端口21用來發(fā)送和接受FTP的控制消息，一旦建立FTP會(huì)話，端口21的連接在整個(gè)會(huì)話期間就始終保持打開狀態(tài)；端口20用來發(fā)送和接受FTP數(shù)據(jù)，只有在傳輸數(shù)據(jù)時(shí)才打開，一旦傳輸結(jié)束就斷開。5.1.2FTP工作原理FTP使用TCP作為傳輸時(shí)的通信協(xié)議，因此它可以提供較可靠的面向連接的傳輸。FTP服務(wù)器和客戶端計(jì)算機(jī)數(shù)據(jù)交換的過程如下：1．FTP客戶端使用Three-WayHandshake與FTP服務(wù)器建立TCP交談。2．FTP服務(wù)器利用TCP21連接端口以發(fā)送和接收控制信息，這個(gè)連接端口主要是用來傾聽FTP客戶端的連接請(qǐng)求，在交談建立后，這個(gè)連接端口會(huì)在交談時(shí)全程啟動(dòng)。3．FTP服務(wù)器端另外使用TCP20連接端口以發(fā)送和接收FTP文件（ASCII或二進(jìn)制文件），這個(gè)連接端口會(huì)在文件傳輸完立即關(guān)閉。5.1.2FTP工作原理4．FTP客戶端在向FTP服務(wù)器提出連接請(qǐng)求時(shí)會(huì)動(dòng)態(tài)指定一個(gè)連接端口號(hào)碼，通常這些客戶端指定的連接端口號(hào)碼是1024—65535，因?yàn)?—1023端口（稱Well-knownPortNumber）已由IANA（InternetAssignedNumberAuthority）預(yù)先指定給通信協(xié)議或其他的服務(wù)使用。5．當(dāng)FTP交談建立后，客戶端會(huì)啟動(dòng)一個(gè)連接端口以連接到服務(wù)器上的TCP21連接端口6．當(dāng)文件開始傳輸時(shí)，客戶端會(huì)啟動(dòng)另一個(gè)連接端口以連接到服務(wù)器的TCP20連接端口，而且每一次文件傳輸時(shí)，客戶端都會(huì)啟動(dòng)另一個(gè)新的連接端口以發(fā)送文件。5.1.3FTP的兩種操作模式：主動(dòng)模式和被動(dòng)模式根據(jù)FTP數(shù)據(jù)連接建立方法，可將FTP客戶端對(duì)服務(wù)器的訪問分為兩種模式：主動(dòng)模式又稱標(biāo)準(zhǔn)模式（ActiveMode）和被動(dòng)模式(PassiveMode)。一般情況下使用主動(dòng)模式，由FTP客戶端發(fā)起到FTP服務(wù)器的控制連接，F(xiàn)TP服務(wù)器接收到數(shù)據(jù)請(qǐng)求命令后，再由FTP服務(wù)器發(fā)起客戶端的連接。具體的講，客戶機(jī)首先向服務(wù)器的端口21（命令通道）發(fā)送一個(gè)TCP連接請(qǐng)求，然后執(zhí)行l(wèi)ogin、dir等各種命令。一旦用戶請(qǐng)求服務(wù)器發(fā)送數(shù)據(jù)，F(xiàn)TP服務(wù)器就用其20端口（數(shù)據(jù)通道）向客戶的數(shù)據(jù)端口發(fā)起連接。主動(dòng)模式實(shí)際上是一種客戶端管理，F(xiàn)TP客戶端可以在控制連接上給FTP服務(wù)器發(fā)送port命令，要求服務(wù)器使用port命令指定的TCP端口來建立從服務(wù)器上TCP端口21到客戶端的數(shù)據(jù)連接。5.1.3FTP的兩種操作模式：主動(dòng)模式和被動(dòng)模式如果使用被動(dòng)模式，將由FTP客戶端發(fā)起控制和數(shù)據(jù)連接。被動(dòng)模式一般用Web瀏覽器連接FTP服務(wù)器。另外，從網(wǎng)絡(luò)安全的角度看，被動(dòng)模式比主動(dòng)模式安全。被動(dòng)模式實(shí)際上是一種服務(wù)器管理，F(xiàn)TP客戶端發(fā)出Pasv命令后，F(xiàn)TP服務(wù)器通過一個(gè)用作數(shù)據(jù)傳輸（連接）的服務(wù)器動(dòng)態(tài)端口進(jìn)行響應(yīng)，當(dāng)客戶端發(fā)出數(shù)據(jù)連接命令后，F(xiàn)TP服務(wù)器便立即使用動(dòng)態(tài)端口連接客戶端。

FTP服務(wù)器端或FTP客戶端都可設(shè)置這兩種模式。基于IIS的FTP服務(wù)同時(shí)支持主動(dòng)模式和被動(dòng)模式兩種連接，但是究竟采用何種模式，取決于客戶端指定的方法。5.1.4FTP體系結(jié)構(gòu)FTP是一種C/S（客戶端/服務(wù)器）的通信協(xié)議，因此在兩臺(tái)主機(jī)間傳遞文件時(shí)，其中一臺(tái)必須運(yùn)行FTP客戶端程序，如IE6.0或FTP指令。而文件傳遞時(shí)有兩種形式：下載（Downloading/Getting）:文件由服務(wù)器發(fā)送到客戶端。上傳（Uploading/Putting）:文件由客戶端發(fā)送到服務(wù)器。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式1.FTP服務(wù)的相關(guān)軟件

在LINUX下實(shí)現(xiàn)FTP服務(wù)的軟件很多，其中比較有名的有WU-FTPD、ProFTPD、VsFTPD和.Pure-FTPD等等。VsFTPD是UNIX類操作系統(tǒng)上運(yùn)行服務(wù)器的名字，是RedHatEnterpriseLinux5內(nèi)置的FTP服務(wù)器，可以運(yùn)行在LINUX、BSD、Solaris以及HP-UX等上面。它具有非常高的安全性需求、帶寬限制、良好的可伸縮性、創(chuàng)建虛擬用戶的可能性、IPV6支持、中等偏上的性能、分配虛擬IP的可能性等其他FTP服務(wù)器不具備的功能。所以有“秀外慧中”的美稱。通常，F(xiàn)TP訪問服務(wù)器時(shí)需要經(jīng)過驗(yàn)證，只有經(jīng)過了FTP服務(wù)器的相關(guān)驗(yàn)證，用戶才能進(jìn)行訪問和傳輸文件等操作。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式2.VsFTPD提供了以下3種登錄形式（1）anonymous（匿名賬號(hào)）anonymous（匿名賬號(hào)）是應(yīng)用的最廣泛的一種FTP服務(wù)器登錄。如果用戶在FTP服務(wù)器上沒有賬號(hào)，那么用戶可以以anonymous為用戶名，以自己的電子郵件地址為密碼進(jìn)行登錄。當(dāng)匿名用戶登錄FTP服務(wù)器后，其登錄目錄為匿名FTP服務(wù)器的根目錄/var/ftp。為了減輕FTP服務(wù)器的負(fù)載，一般情況下，應(yīng)關(guān)閉匿名賬戶的上傳功能。5.1.5FTP服務(wù)的相關(guān)軟件及登錄形式（2）real（真實(shí)賬戶）real（真實(shí)賬戶）也稱為本地賬號(hào)，就是以真實(shí)的用戶名和密碼進(jìn)行登錄，但前提條件是用戶在FTP服務(wù)器上擁有自己的賬號(hào)。用真實(shí)賬號(hào)登錄后，其登錄的目錄為用戶自己的目錄，該目錄在系統(tǒng)建立賬號(hào)時(shí)就已經(jīng)創(chuàng)建，例如，在RedHatLinux9系統(tǒng)中建立一個(gè)名稱為xxk的用戶，那么它的默認(rèn)目錄就是/home/xxk。真實(shí)用戶可以訪問整個(gè)目錄結(jié)構(gòu)，從而對(duì)系統(tǒng)安全構(gòu)成極大的威脅，所以，應(yīng)盡量避免用戶使用真實(shí)賬號(hào)來訪問FTP服務(wù)器。（3）guest（虛擬賬號(hào)）如果用戶在FTP服務(wù)器上擁有一個(gè)賬號(hào)，但此賬號(hào)只能用于文件傳輸服務(wù)，那么該賬號(hào)就是guest（虛擬賬號(hào)）。guest是真實(shí)賬號(hào)的一種形式，他們的不同之處在于，guest登錄FTP服務(wù)器后，不能訪問除宿主目錄以外的內(nèi)容。5.1.6常用的匿名FTP匿名FTP是這樣一種機(jī)制，用戶可通過它連接到遠(yuǎn)程主機(jī)上，并從其下載文件，而無需成為其注冊(cè)用戶。當(dāng)遠(yuǎn)程主機(jī)提供匿名FTP服務(wù)時(shí)，會(huì)指定某些目錄向公眾開放，允許匿名存取。系統(tǒng)中的其余目錄則處于隱匿狀態(tài)。作為一種安全措施，大多數(shù)匿名FTP主機(jī)都允許用戶從其下載文件，而不允許用戶向其上傳文件。也就是說，用戶可將匿名FTP主機(jī)上的所有文件拷貝到自己的機(jī)器上，但不能將自己機(jī)器上的任何一個(gè)文件拷貝至匿名FTP主機(jī)上。即使有些匿名FTP主機(jī)確實(shí)允許用戶上傳文件，用戶也只能將文件上傳至某一指定上傳目錄中。隨后，系統(tǒng)管理員會(huì)去檢查這些文件，他會(huì)將這些文件移至另一個(gè)公共下載目錄中，供其他用戶下載。利用這種方式，遠(yuǎn)程主機(jī)的用戶得到了保護(hù)，避免了有人上傳有問題的文件，如帶病毒的文件。5.2安裝和配置FTP服務(wù)器FTP服務(wù)器利用文件傳輸協(xié)議實(shí)現(xiàn)文件的上傳與下載服務(wù)。RedHatEnterpriseLinux5自帶VsFTPD服務(wù)軟件包，其名稱為vsftp-2.0.5-10.e15.i386.rpm,可在RedHatEnterpriseLinux5安裝光盤中找到安裝包。VsFTP(verysecurityFTP)意為非常安全的FTP服務(wù)器，vsftpd是VsFTP服務(wù)器的一個(gè)守護(hù)進(jìn)程，用于具體實(shí)現(xiàn)FTP服務(wù)器的功能。5.2.1安裝VsFTPD軟件包1.檢查并安裝VsFTPD軟件包在終端窗口輸入：“rpm-qa|grepvsftpd”命令檢查系統(tǒng)是否安裝了VsFTPD軟件包，如圖5-1所示。圖5-1檢查系統(tǒng)是否安裝了vsftpd軟件包5.2.1安裝VsFTPD軟件包從圖5-1中可以看出，系統(tǒng)已經(jīng)安裝了版本號(hào)為2.0.5-12.el5的VsFTPD軟件包。如果沒有安裝，可以在安裝光盤的Server目錄下找到vsftpd-2.0.5-12.el5.i386.rpm的安裝包文件，然后用命令“rpm–ivhvsftpd-2.0.5-12.el5.i386.rpm”進(jìn)行安裝。VsFTPD在安裝時(shí)會(huì)自動(dòng)創(chuàng)建FTP系統(tǒng)用戶組ftp和屬于該組的FTP系統(tǒng)用戶ftp，該用戶的主目錄為/var/ftp，默認(rèn)作為FTP服務(wù)器的匿名賬戶。執(zhí)行命令“vi/etc/passwd”，可以看到ftp賬戶的基本信息，如圖5-2所示?？梢钥吹?，ftp賬戶的用戶ID號(hào)是14，組ID號(hào)是50，宿主目錄為“/var/ftp”，登陸后的shell為“/sbin/nologin”。5.2.1安裝VsFTPD軟件包圖5-2檢查ftp賬戶的基本信息5.2.1安裝VsFTPD軟件包當(dāng)然，也可以用命令“vi/etc/group”查看ftp組的信息，如圖5-3所示。圖5-3檢查ftp組的基本信息5.2.1安裝VsFTPD軟件包2.設(shè)置VsFTPD服務(wù)的自啟動(dòng)默認(rèn)情況下，該服務(wù)并未啟動(dòng)，可采用以下命令來檢查其啟動(dòng)狀態(tài)：“chkconfig--listvsftpd”，如圖5-4所示。圖5-4查看vsftpd服務(wù)的啟動(dòng)狀態(tài)5.2.1安裝VsFTPD軟件包

若要設(shè)置該服務(wù)在3和5運(yùn)行級(jí)別時(shí)自動(dòng)啟動(dòng)，則設(shè)置命令為：“chkconfig--level35vsftpdon”，如圖5-5所示。圖5-5設(shè)置vsftpd服務(wù)的自啟動(dòng)5.2.1安裝VsFTPD軟件包3.VsFTPD服務(wù)的啟動(dòng)腳本VsFTPD服務(wù)器在/etc/rc.d/init.d目錄下，有一個(gè)名為vsftpd的服務(wù)啟動(dòng)腳本，利用該腳本，可實(shí)現(xiàn)vsftpd服務(wù)器的啟動(dòng)，重啟，狀態(tài)查詢，停止等操作。啟動(dòng)：/etc/rc.d/init.d/vsftpdstart或servicevsftpdstart停止：/etc/rc.d/init.d/vsftpdstop或servicevsftpdstop重啟：/etc/rc.d/init.d/vsftpdrestart或servicevsftpdrestart5.2.1安裝VsFTPD軟件包查詢：/etc/rc.d/init.d/vsftpdstatus或servicevsftpdstatus具體操作如圖5-6所示。圖5-6VsFTPD服務(wù)的啟動(dòng)與停止5.2.1安裝VsFTPD軟件包4.VsFTPD配置文件簡(jiǎn)介/etc/vsftpd/vsftpd.conf。//VsFTPD的主配置文件是。另外還有加強(qiáng)VsFTPD服務(wù)器用戶認(rèn)證的/etc/pam.d/vsftpd。/etc/vsftpd.ftpusers。//禁止訪問VsFTPD的用戶列表文件。凡是該文件中包含的賬戶，都不能訪問VsFTPD服務(wù)。一般處于安全性，常把root、bin和daemon等系統(tǒng)賬戶都寫入該文件中。5.2.1安裝VsFTPD軟件包/etc/vsftpd.user_list。//VsFTPD的用戶列表文件。該文件中包含的用戶可能是拒絕訪問VsFTPD服務(wù)的，也可能是允許訪問的，主要取決于VsFTPD的主配置文件/etc/vsftpd/vsftpd.conf中的userlist_deny參數(shù)是設(shè)置為“Yes”（缺省值）或者“No”。/var/ftp。//VsFTPD提供服務(wù)的文件集散地，它包括一個(gè)pub目錄。在默認(rèn)配置下，所有目錄都是只讀的，只有root用戶具有寫權(quán)限。5.2.2連接和訪問FTP服務(wù)器

1.匿名賬戶訪問FTP服務(wù)器VsFTPD服務(wù)器安裝并啟動(dòng)服務(wù)后，按其默認(rèn)配置，就可以正常工作了。VsFTPD默認(rèn)的匿名用戶賬戶為ftp，密碼也為ftp，且默認(rèn)允許匿名用戶登錄，登錄后所在的FTP站點(diǎn)根目錄為“/var/ftp”目錄。匿名登錄操作如圖5-7所示。5.2.2連接和訪問FTP服務(wù)器

5.2.2連接和訪問FTP服務(wù)器FTP登錄成功后，將出現(xiàn)FTP的命令行提示符ftp>，可以在這里鍵入FTP命令實(shí)現(xiàn)相關(guān)的操作，常見的命令如下：ls//查看當(dāng)前目錄的文件列表pwd//查看當(dāng)前目錄mkdir//建立目錄rm//刪除目錄get或mget//下載文件put或mput//上傳文件5.2.2連接和訪問FTP服務(wù)器cd或lcd//切換服務(wù)器端或本地的目錄quit或exit//退出ftp登錄另外，在ftp>狀態(tài)下鍵入?，可獲得使用的ftp命令幫助。需要注意的是，以匿名身份登錄后是沒有寫權(quán)限和上傳文件的權(quán)限的。另外，在進(jìn)行匿名登錄時(shí)即可用賬戶ftp登錄也可用anonymous，如圖5-8中就是以anonymous身份登陸的。5.2.2連接和訪問FTP服務(wù)器注意，如果在本機(jī)上驗(yàn)證FTP服務(wù)正常，但在其它機(jī)器上驗(yàn)證失效，可將FTP服務(wù)器的防火墻關(guān)閉。5.2.2連接和訪問FTP服務(wù)器關(guān)于匿名賬戶的高級(jí)配置，還需要對(duì)VsFTPD的主配置文件/etc/vsftpd/vsftpd.conf中的相關(guān)參數(shù)進(jìn)行設(shè)置。anonymous_enable//控制是否允許匿名用戶登錄。YES為允許，NO為不允許，默認(rèn)值為YES。no_anno_password//控制匿名用戶登錄時(shí)是否需要密碼。YES為不需要，NO為需要，默認(rèn)值為NO。anon_root//設(shè)置匿名用戶的根目錄。匿名用戶登錄后，將被鎖定到此目錄下。主配置文件中默認(rèn)無此項(xiàng)，默認(rèn)值為“/var/ftp”。5.2.2連接和訪問FTP服務(wù)器anon_world_readable_only//控制是否允許匿名用戶下載可閱讀文檔。當(dāng)值為YES時(shí)，允許用戶下載可閱讀文檔；當(dāng)值為NO時(shí)，只允許匿名用戶瀏覽整個(gè)服務(wù)器的文件系統(tǒng)。默認(rèn)值為YES。anon_upload_enable//控制是否允許匿名用戶上傳文件。YES為允許，NO為不允許，默認(rèn)值為NO。除了這個(gè)參數(shù)外，還需要兩個(gè)條件，即write_enable參數(shù)為YES，以及在文件系統(tǒng)上，F(xiàn)TP匿名用戶對(duì)某個(gè)目錄有寫權(quán)限。anon_mkdir_write_enable//控制是否允許匿名用戶創(chuàng)建新目錄。YES為允許，NO為不允許，默認(rèn)值為NO。在文件系統(tǒng)上，F(xiàn)TP匿名用戶必須對(duì)新目錄的上層目錄擁有寫權(quán)限。anon_other_write_enable//控制匿名用戶是否擁有除了上傳和新建目錄之外的其它權(quán)限，如刪除、更名等。YES為擁有，NO為不擁有，默認(rèn)值為NO。5.2.2連接和訪問FTP服務(wù)器下面我們用vi編輯器打開VsFTPD的主配置文件“/etc/vsftpd/vsftpd.conf”來具體查看一下與匿名用戶相關(guān)的幾個(gè)重要參數(shù)，如圖5-9所示。圖5-9VsFTPD的主配置文件5.2.2連接和訪問FTP服務(wù)器在圖5-9中可以看到，參數(shù)anonymous_enable的值設(shè)置為了YES，即允許匿名用戶訪問。參數(shù)local_enable用來設(shè)置是否允許本地用戶訪問FTP服務(wù)器，默認(rèn)值為YES，表示允許本地賬戶登錄訪問。參數(shù)write_enable是設(shè)置是否允許向FTP服務(wù)器進(jìn)行各種寫入操作，默認(rèn)值為YES，表示允許。參數(shù)anon_upload_enable的值設(shè)置為了YES，即允許匿名用戶上傳文件，但這里被注釋掉了，并未生效。參數(shù)anon_mkdir_write_enable的值設(shè)置為了YES，允許匿名用戶創(chuàng)建新目錄，此參數(shù)默認(rèn)也被“#”號(hào)注釋了。5.2.2連接和訪問FTP服務(wù)器2.指定賬戶訪問FTP服務(wù)器對(duì)于有較高安全性的FTP服務(wù)器一般不允許匿名訪問，更常見的方式是使用本地賬戶來登錄和訪問FTP服務(wù)器。所以，在使用和訪問FTP服務(wù)器之前，應(yīng)根據(jù)需要，先創(chuàng)建好所需的FTP賬戶。另外，作為FTP登錄使用的賬戶，其Shell應(yīng)設(shè)置為“/sbin/nologin”，以使用戶賬戶只能用來登錄FTP，而不能用來登錄Linux系統(tǒng)。補(bǔ)充：Shell是用戶登錄后所使用的一個(gè)命令行界面。輸入的命令由Shell進(jìn)行解釋，并發(fā)送給Linux內(nèi)核，由內(nèi)核進(jìn)行具體操作。Linux系統(tǒng)自帶有許多種Shell，系統(tǒng)默認(rèn)使用的是/bin/bash。若在配置文件中，該字段的值為空，則默認(rèn)使用“/bin/sh”的Shell。查看/etc/目錄下的shells文件，可以看到系統(tǒng)使用的全部Shell列表，如圖5-10所示。5.2.2連接和訪問FTP服務(wù)器圖5-10缺省的shells文件5.2.2連接和訪問FTP服務(wù)器可以根據(jù)不同的需要，將不同賬戶的Shell設(shè)置成不同的值，典型的設(shè)置如下：若要使某個(gè)用戶賬戶不能登錄Linux，只需設(shè)置該用戶所使用的Shell為/sbin/nologin即可，比如對(duì)于FTP賬戶，一般只能用來登錄FTP服務(wù)器，而不能用來登錄Linux操作系統(tǒng)。若要讓某用戶沒有telnet權(quán)限，則應(yīng)設(shè)置該用戶使用的Shell為/bin/true即可。5.2.2連接和訪問FTP服務(wù)器若要讓某用戶沒有telnet和ftp登錄權(quán)限，則應(yīng)設(shè)置該用戶使用的Shell為/bin/false。在“/etc/shells”文件中，若沒有“/bin/true”或“/bin/false”，則可以使用vi編輯器將其添加進(jìn)去，如圖5-11所示。圖5-11修改后的shells文件5.2.2連接和訪問FTP服務(wù)器利用不同賬戶登錄FTP服務(wù)器后，其FTP站點(diǎn)根目錄不同這一特點(diǎn)，可將用戶Web站點(diǎn)根目錄與該用戶的FTP站點(diǎn)根目錄設(shè)置為相同。這樣用戶就可以利用FTP遠(yuǎn)程管理Web站點(diǎn)下的目錄和文件，以實(shí)現(xiàn)對(duì)Web服務(wù)器的遠(yuǎn)程管理。若要求各FTP用戶登錄后，其站點(diǎn)根目錄均為同一個(gè)目錄，比如，用于提供軟件下載的FTP站點(diǎn)，此時(shí)可將各用戶的主目錄都設(shè)置為FTP站點(diǎn)的根目錄即可。5.2.2連接和訪問FTP服務(wù)器3.

登錄和訪問FTP服務(wù)器的方式FTP服務(wù)器啟動(dòng)并創(chuàng)建好FTP賬戶后，登錄和訪問FTP服務(wù)器有2種方法：（1）在Linux的文本模式或Windows平臺(tái)的MS-DOS方式下，利用“ftp服務(wù)器IP地址命令”，以文本方式通過ftp命令來連接和訪問FTP服務(wù)器。（2）在瀏覽器中，利用ftp協(xié)議來訪問FTP服務(wù)器，訪問格式為：ftp://用戶名:用戶密碼@網(wǎng)站域名或ftp://用戶名@網(wǎng)站域名。5.3FTP服務(wù)器配置實(shí)例

宿主機(jī)器WindowsXP的IP地址為：7；虛擬機(jī)VMware下的RedHatEnterpriseLinux5的IP地址為：9。將RedHatEnterpriseLinux5架設(shè)為FTP服務(wù)器，以宿主機(jī)器WindowsXP作為客戶機(jī)進(jìn)行測(cè)試。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置創(chuàng)建一個(gè)名為abc的系統(tǒng)用戶，屬于ftp組，不允許登陸Linux系統(tǒng)，其主目錄為/var/www/abc。利用該賬戶從客戶機(jī)以文本方式登陸FTP服務(wù)器，并查看登錄目錄及當(dāng)前目錄下的文件列表，接著新建一個(gè)名為downloads的目錄，并將本地新建的123.txt文件（內(nèi)容隨意），上傳到downloads目錄中，并查看上傳結(jié)果。分別從Windows和Linux客戶端通過文本方式訪問FTP服務(wù)器，并下載downloads目錄下的123.txt文件到Windows的“E:\”以及Linux的“/”目錄下。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置1.創(chuàng)建用戶和用戶組由于ftp組是已存在的組，因此不再需要?jiǎng)?chuàng)建，下面直接創(chuàng)建用戶賬戶。創(chuàng)建賬戶abc之前，先要?jiǎng)?chuàng)建其宿主目錄“/var/www/abc”，如圖5-12所示。圖5-12創(chuàng)建賬戶abc的宿主目錄5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置接下來使用“useradd”命令創(chuàng)建指定賬戶abc，如圖5-13所示。圖5-13創(chuàng)建賬戶5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置useradd”命令中的參數(shù)說明：-r創(chuàng)建的用戶ID<500-m為賬戶創(chuàng)建主目錄，如果主目錄不存在-g指定組-d創(chuàng)建指定目錄取代/home/username-s指定用戶登錄時(shí)使用的Shell-c注釋5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置下面來為該用戶設(shè)置密碼，并查看賬戶記錄，如圖5-14所示。圖5-14設(shè)置賬戶密碼5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置2.設(shè)置用戶主目錄的所有者，所屬的組和權(quán)限可以使用chown命令來使某個(gè)目錄隸屬于某個(gè)用戶，用chgrp命令使某個(gè)目錄隸屬于某個(gè)組。格式為：chown所屬用戶名目錄名

chgrp所屬組名目錄名當(dāng)然，也可以用“chown所有者.所有組目錄名”來一次性地修改目錄的所有者和所有組。在圖5-15所示的例子中，用命令“chownabc.ftp/var/www/abc”將目錄“/var/www/abc”的所有者和所有組從原來的root用戶和root組修改為了abc用戶和ftp組。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-15修改目錄的所有者和所有組5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置在這里，還要設(shè)置一下宿主目錄的權(quán)限。即只允許本用戶對(duì)其宿主目錄具有最高權(quán)限（讀、寫、執(zhí)行），其它用戶只有讀和執(zhí)行的權(quán)限。所以目錄“/var/www/abc”的權(quán)限碼為755，如果不是，可通過chmod命令修改，如圖5-16所示。圖5-16修改目錄的權(quán)限5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置3.從客戶機(jī)登陸FTP服務(wù)器創(chuàng)建目錄downloads使用ftp命令從客戶機(jī)登錄FTP服務(wù)器，然后進(jìn)行所要求的操作。這里以宿主機(jī)WindowsXP作為客戶機(jī)登錄，效果如圖5-17所示。圖5-17通過指定賬戶登錄FTP服務(wù)器5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置從客戶端登錄到FTP服務(wù)器后，使用“mkdir”命令創(chuàng)建子目錄downloads。如圖5-18所示。圖5-18創(chuàng)建子目錄downloads5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置4.從客戶機(jī)登陸FTP服務(wù)器上傳文件下面就要用put命令進(jìn)行文件的上傳了。這里要特別注意，如果源文件的路徑有誤，或是目標(biāo)路徑不存在，都會(huì)導(dǎo)致上傳文件失敗，所以最簡(jiǎn)單的辦法就是在登錄到FTP服務(wù)器進(jìn)行文件上傳之前，先將目錄定位到欲上傳文件所在的目錄下，然后再登陸FTP服務(wù)器，之后將目錄定位到上傳目標(biāo)路徑下，最后再用“put上傳文件名”的方式完成上傳工作。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置首先在本地的某個(gè)目錄（如E:\aaa）下建立123.txt文件，如圖5-19所示。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置然后通過賬戶abc登錄到FTP服務(wù)器上，用“cd”命令切換到目標(biāo)位置（/var/www/abc/downloads），最后用“put”命令進(jìn)行文件上傳，效果如圖5-20所示。圖5-20上傳文件5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置put用于傳輸單個(gè)文件，mput用于一次傳輸多個(gè)文件，支持“*”和“?”通配符。5.從Windows客戶機(jī)登錄FTP服務(wù)器下載文件要將FTP服務(wù)器發(fā)布的文件下載到客戶端的指定目錄中，最簡(jiǎn)單且不容易出錯(cuò)的方式就是在登陸FTP服務(wù)器之前，先將目錄定位在目標(biāo)位置（即要下載的目標(biāo)目錄），然后再登陸FTP服務(wù)器，用get命令進(jìn)行文件的下載。get用于下載單個(gè)文件，mget用于一次下載多個(gè)文件。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置格式為：get遠(yuǎn)程文件名本地文件名圖5-21是通過Windows客戶端登陸FTP服務(wù)器下載指定文件123.txt的效果圖?？梢钥吹?，在登陸FTP服務(wù)器之前，已將目錄定位到了下載的目標(biāo)目錄，即“E:\”，然后再登陸FTP服務(wù)器下載目標(biāo)文件123.txt。5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-21通過Windows客戶端下載文件5.3.1基于文本訪問方式的指定賬戶的FTP服務(wù)器的配置圖5-22是通過Linux客戶端登陸FTP服務(wù)器下載指定文件123.txt的效果圖?？梢钥吹剑诘顷慒TP服務(wù)器之前，已將目錄定位到了下載的目標(biāo)目錄，即“/”，然后再登陸FTP服務(wù)器下載目標(biāo)文件123.txt。圖5-22通過Linux客戶端下載文件5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

在5.3.1的基礎(chǔ)上，給FTP服務(wù)器（0）注冊(cè)域名；然后在FTP服務(wù)器的發(fā)布目錄（/var/www/abc）中創(chuàng)建一個(gè)文本文件qqq.txt，內(nèi)容隨意；分別從Windows和Linux客戶端通過瀏覽器訪問FTP服務(wù)器，并下載文件qqq.txt；然后再將本地的某個(gè)文件上傳到服務(wù)器的downloads目錄中。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

1.配置DNS服務(wù)器首先配置DNS服務(wù)器，為IP地址0注冊(cè)域名，可參考“第3章DNS服務(wù)器”。圖5-23是在Windows客戶端測(cè)試域名是否暢通。圖5-23在Windwos客戶端測(cè)試域名5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

圖5-24是在Linux客戶端測(cè)試域名是否暢通。圖5-24在Linux客戶端測(cè)試域名2.在FTP服務(wù)器端建立發(fā)布文件qqq.txt

在FTP服務(wù)器的發(fā)布目錄/var/www/abc下建立文本文件qqq.txt，效果如圖5-25所示。圖5-25在發(fā)布目錄下建立文件qqq.txt5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

3.在Windows客戶端通過瀏覽器登錄FTP服務(wù)器測(cè)試在Windows客戶端打開IE瀏覽器，在地址欄中輸入“”，然后回車，這時(shí)會(huì)發(fā)現(xiàn)FTP站點(diǎn)并未提示輸入賬戶名和密碼，而直接登錄成功，如圖5-26所示。這是因?yàn)槟涿脩裟J(rèn)情況下是開啟狀態(tài)，所以如果直接登錄，則認(rèn)為是匿名登陸，這樣一來，只能登錄到匿名用戶的宿主目錄，即/var/ftp下，而無法下載賬戶abc宿主目錄/var/www/abc下的qqq.txt。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

圖5-26匿名登陸5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

解決方法有兩種：一是在瀏覽器的地址欄中訪問FTP站點(diǎn)時(shí)，通過“ftp://用戶名:用戶密碼@網(wǎng)站域名或ftp://用戶名@網(wǎng)站域名”的方式。在IE瀏覽器的地址欄中輸入“ftp://abc@”，系統(tǒng)會(huì)彈出如圖5-27所示的登陸對(duì)話框，輸入賬戶名abc及其密碼abc，然后點(diǎn)擊“登陸”按鈕。圖5-27通過指定賬戶登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

如果賬戶名和密碼正確無誤，瀏覽器就會(huì)成功登錄到FTP服務(wù)器的指定目錄/var/www/abc中，如圖5-28所示。圖5-28在Windows客戶端成功登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

下載文件qqq.txt的操作就變得十分簡(jiǎn)單了。通過快捷菜單下的復(fù)制、粘貼，可將文件qqq.txt粘貼到客戶機(jī)任意位置。上傳文件只需要先將欲上傳的文件復(fù)制，然后直接在FTP服務(wù)器窗口粘貼即可，如圖5-29所示。圖5-29在Windows客戶端上傳文件5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

方法二是禁用匿名賬戶，這在前面的章節(jié)中介紹過，只需要修改FTP服務(wù)器的主配置文件/etc/vsftpd/vsftpd.conf中的anonymous_enable參數(shù)即可，將其由默認(rèn)的YES（允許匿名賬戶登錄）改為NO（不允許）。然后用“servicevsftpdrestart”命令重啟FTP服務(wù)器。這時(shí)，再登錄FTP服務(wù)器，如果不輸入賬戶名和密碼，是無法登錄成功的。只能通過合法的賬戶名方可登錄。5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

4.在Linux客戶端通過瀏覽器登錄FTP服務(wù)器測(cè)試

在Linux客戶端瀏覽器的地址欄中輸入“”，由于前面已經(jīng)禁用了匿名賬戶，所以這里會(huì)自動(dòng)彈出圖5-30所示的登錄界面。圖5-30在Linux客戶端登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置

當(dāng)正確輸入賬戶名和密碼后，會(huì)顯示如圖5-31所示的登錄成功界面。圖5-31在Linux客戶端成功登錄FTP服務(wù)器5.3.2基于圖形訪問方式的指定賬戶的FTP服務(wù)器的配置下載文件qqq.txt，只需要鼠標(biāo)右鍵單擊該文件，在彈出的快捷菜單中選擇“鏈接另存為”就可以下載該文件了，如圖5-32所示。圖5-32在Linux客戶端下載文件如果想上傳文件，在Linux客戶端的瀏覽器中還無法實(shí)現(xiàn)，當(dāng)然，可以利用FTP客戶端軟件來進(jìn)行。5.3.3通過指定賬戶訪問FTP服務(wù)器存在的安全隱患問題

細(xì)心的讀者會(huì)發(fā)現(xiàn)，在通過命令行方式訪問FTP服務(wù)器時(shí)，可以通過“cd”命令切換目錄；在瀏覽器訪問時(shí)由于提供了“向上一層”按鈕，所以也存在相同的問題。這樣就會(huì)給FTP服務(wù)器造成很大的安全隱患。比如，本來限定某賬戶只能對(duì)其宿主目錄下的內(nèi)容進(jìn)行操作，但這時(shí)，如果登錄賬戶可以隨意切換目