14.9 元
下载资源

RHEL6版-项目12vsftpdFTP服务器的搭建.ppt

上传人:za****8 文档编号:2956532 上传时间:2019-12-05 格式:PPT 页数:55 大小:1.36MB
返回 下载 相关 举报
RHEL6版-项目12vsftpdFTP服务器的搭建.ppt_第1页
第1页 / 共55页
RHEL6版-项目12vsftpdFTP服务器的搭建.ppt_第2页
第2页 / 共55页
RHEL6版-项目12vsftpdFTP服务器的搭建.ppt_第3页
第3页 / 共55页
点击查看更多>>
资源描述
“十二五”职业教育国家规划教材选题立项 Red Hat Enterprise Linux 6.4 (RHEL6.4) 教材附带的光盘资源,Linux网络操作系统配置与管理,教材主编:夏笠芹,课程标准(教学大纲) 教学设计方案(教案) PPT电子课件 教材习题参考答案 模拟试卷及参考答案(4套) IT认证+全国技能大赛资料 知识拓展&网络工程解决方案,项目12 vsftpd FTP服务器的搭建,【职业知识目标】 了解:FTP服务的概念、基本原理;FTP用户类型及登录方式,常用的服务器端和客户端软件 熟悉:FTP服务的工作过程及基本组成结构;vsftp 两种运行模式的区别 掌握:匿名用户、本地用户和虚拟用户FTP 服务器的配置;FTP客户机的配置方法 【职业能力目标】 会安装和启动默认的vsftp 服务; 能配置匿名用户访问的FTP服务器; 能配置本地用户访问的FTP服务器; 能配置虚拟用户访问的FTP服务器; 会使用FTP客户端访问FTP服务器,问题提出,12.2.1 FTP服务的作用与系统组成 FTP(File Transfer Protocol,文件传输协议)是使网络中的计算机之间实现文件传送的标准协议。 FTP主要应用于软件资源的上传与下载和Web站点的维护与更新 FTP服务系统由服务器软件、客户端软件和FTP通信协议三部分组成,12.2 项目知识准备,培训,电影,在进行通信时,FTP需要建立两个TCP连接: 控制连接:标准端口为21,用于发送FTP命令信息 数据连接:标准端口为20,用于上传、下载数据,FTP客户端 Linux gFTP Mozilla Windows IE浏览器 flashFTP GuteFTP,FTP服务器端 Vsftpd(RHEL 6自带) Wu-Ftpd ProFTPD,12.2 项目知识准备,12.2.2 vsftpd服务简介 1vsftpd软件的特点 vsftpd的全称是“very secure FTP daemon”(非常安全的守护), 优点:安全、高速、高稳定性、体积小、可定制强、效率高 官方下载地址:ftp:/vsftpd.beasts.org 2vsftpd数据连接的类型及建立过程 FTP的数据连接分为主动和被动两种模式。 主动模式(PORT):服务器主动向客户端发起数据连接。首先由客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”,当服务端收到这个PORT命令后就会从20端口向客户端打开的那个端口发送连接请求,建立一条数据链路来传送数据。 被动模式(PASV):在该模式下服务端在指定范围内的某个端口被动等待客户端发起数据连接。客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条控制连接。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。当客户端收到这个信息后,就可以向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。,12.2 项目知识准备,12.2 项目知识准备,3vsftpd的传输模式 文本模式:ASCII模式,以文本序列传输数据 二进制模式:Binary模式,以二进制序列传输数据 4vsftpd用户的类型 匿名用户:anonymous或ftp 本地用户: 帐号名称、密码等信息保存在passwd、shadow文件中 虚拟用户: 使用独立的帐号/密码数据文件,8,任务12-1 vsftpd服务器安装与测试,1.检查是否安装vsFTPd软件 # rpm qa |grep vsftpd RHEL6.4系统自带了vsftpd,默认情况下,vsftpd未安装,若无任何显示,说明vsFTPd未安装,12.3 项目实施,rootftp_server # mount /dev/cdrom /mnt rootftp_server # rpm -ivh /mnt/Packages/vsftpd-2.2.2-11.el6.i686.rpm,3启动vsftpd服务并查看端口占用情况 # netstat -nutap | grep ftp 4Linux客户端访问vsftpd服务器 步骤1:在服务器端设置防火墙,开启FTP服务端口。 步骤2:在RHEL6客户机上安装ftp的客户端软件包 步骤3:在客户机上使用ftp命令登录vsftpd服务器,任务12-1 vsftpd服务器安装与测试,2. vsftpd服务的运行管理 Vsftpd启动、重启、状态查询、停止等操作。 service vsftpd start |restare| status | stop 设置vsftpd自启动,rootftp_server # chkconfig -level 35 vsftpd on rootftp_server # chkconfig - list vsftpd vsftpd 0:off 1:off 2:off 3:on 4:off 5:on 6:off,10,任务12-1 vsftpd服务器安装与测试,rootftp_client # ftp 172.16.102.61 Connected to 172.16.102.61 (172.16.102.61). 220 (vsFTPd 2.2.2) Name (172.16.102.61:root): ftp /输入用户名 331 Please specify the password. Password: /输入用户密码 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp ls 227 Entering Passive Mode (172,16,102,61,42,195). 150 Here comes the directory listing. drwxr-xr-x 2 0 0 4096 Mar 02 2012 pub 226 Directory send OK. ftp mkdir dir1 /在服务器上创建一个文件夹 550 Permission denied. /权限被拒绝,表明匿名登录在默认配置下不能上传信息 ftp bye 221 Goodbye.,任务12-1 vsftpd服务器安装与测试,12,访问FTP服务器命令的返回值及含义,任务12-1 vsftpd服务器安装与测试,任务12-2 认识vsftpd的配置文件,14,主配置文件/etc/vsftpd/vsftpd.conf 可设置:用户登录控制、用户权限控制、超时设置、服务器功能选项、服务器性能选项、服务器响应消息等FTP服务器的配置。 # vi /etc/vsftpd/vsftpd.conf 以#号开头是注释行或是被关掉的具有某功能的配置行 所有有效配置行有相同的格式为:option=value 等号两边不能加空格 配置文件的详细帮助信息可查询手册页 # man vsftpd.conf 在初始的样板文件中,并不包括所有想实现的功能,有些功能的实现要添加配置行。,任务12-2 认识vsftpd的配置文件,15,anonymous_enable =YES/NO 是否允许匿名用户登录FTP服务器,默认值为YES。 no_anon_password =YES/NO 控制匿名用户登入时是否需要密码,YES不需要,NO需要。默认值为NO。 anon_world_readable_only =YES/NO 匿名用户是否允许下载可阅读的文档。默认值为YES。 # anon_upload_enable =YES/NO 是否允许匿名用户上传文件,缺省为NO。 # anon_mkdir_write_enable =YES/NO 是否允许匿名用户有创建目录的写入权限,默认值为NO,1. 匿名用户的有关设置,任务12-2 认识vsftpd的配置文件,16,anon_other_write_enable=YES/NO 是否允许匿名用户有其他的写入权限,如对文件改名、覆盖及删除文件。默认值为NO。 ftp_username= (自添) 匿名用户所使用的系统用户名。默认下,此参数在配置文件中不出现,默认值为ftp。 anon_root=/var/ftp (自添) 设置匿名用户登录后所在的目录(缺省为/var/ftp) anon_umask=022 (自添) 匿名用户所上传文件的默认权限掩码值 anon_max_rate=200000 设置匿名用户的最大传输速度,单位为bytes/sec,值为0表示不限制,1. 匿名用户的有关设置,任务12-2 认识vsftpd的配置文件,17,local_enable=YES|NO 是否允许本地用户登录FTP服务器,默认值为YES。 local_umask=022 本地用户上传文件的默认权限掩码值 local_max_rate=500000 设置本地用户的最大传输速度,单位为bytes/sec,值为0时表示不限制 local_root=/var/ftp (自添) 设置本地用户登录后所在目录(缺省为为用户主目录)。如:user1用户为:/home/user1,2.本地用户的设置,任务12-2 认识vsftpd的配置文件,write_enable=YES|NO 允许用户访问时,是否允许他们有写入的权限,默认值为YES。 listen=YES|NO 设置vsftpd服务器是否以独立(standalone)模式运行 ,默认值为YES,建议不要更改。很多与服务器运行相关的配置命令,需要此运行模式才有效。若设置为NO,则vsftpd不是以独立的服务运行,要受xinetd服务的管理控制,功能上会受限制。 listen_port=21 设置FTP服务器建立连接所侦听的端口,默认值为21。,3. 全局设置,任务12-2 认识vsftpd的配置文件,19,3. 全局设置 max_clients=0 设置FTP服务器所允许的最大客户端连接数,默认值为0,表示不限制。若设置为150时,则同时允许有150个连接,超出的将拒绝建立连接。只有在以standalone模式运行时才有效。 max_per_ip=5 设置每个IP地址允许与FTP服务器同时建立连接的数目。默认为0,不受限制。通常可对此配置进行设置,防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效。,任务12-2 认识vsftpd的配置文件,20,3. 全局设置 xferlog_enable=YES 是否启用日志 xferlog_file=var/log/vsftpd.log 设置日志文件名及路径。需启用xferlog_enable选项 xferlog_std_format=YES 是否用标准格式存储日志 pam_service_name=vsftpd 设置PAM认证服务的配置文件名,该文件位于/etc/pam.d目录下,任务12-2 认识vsftpd的配置文件,21,3. 全局设置欢迎信息,ftpd_banner=Welcome blah FTP service 这边可定义欢迎话语的字符串,相较于banner_file 是档案的形式,而ftpd_banner 是字串的格式。预设为无。 banner_file =/etc/vsftpd/banner 当使用者登入时,会显示此设定所在的文件的内容,通常为欢迎话语或是说明。默认值为无。 dirmessage_enable =YES 如果启动这个选项,使用者第一次进入一个目录时,会检查该目录下是否有.message这个档案,若是有,则会出现此档案的内容,通常这个档案会放置欢迎话语,或是对该目录的说明。默认值为开启。 message_file=.message 设置目录消息文件。当使用者第一次进入一个目录时,是否显示该目录中的.message文件(需用编辑器手工创建)的内容,该文件通常放置欢迎话语,或是对该目录的说明信息,任务12-2 认识vsftpd的配置文件,在默认配置下,用户可以使用“cd”命名切换到上级目录。比如,若用户登录后所在的目录为/var/ftp,则在“ftp”命令行下,执行“cd”命令后,用户将切换到其上级目录/var,若继续执行该命令,则可进入Linux系统的根目录,从而可以对整个Linux的文件系统进行操作。 若设置了write_enable=YES,则用户还可对根目录下的文件进行改写操作,会给系统带来极大的安全隐患,因此,必须防止用户切换到Linux的根目录,相关的配置项如下:,4. 控制用户是否允许切换到上级目录,任务12-2 认识vsftpd的配置文件,(1)配置所有登录不能改变自己的FTP根目录 chroot_local_user=YES|NO 本地用户是否锁定在宿主目录中 要对本地用户查看效果,需先设置 local_root=/var/ftp (2)配置部分账户不允许改变自己的FTP根目录 #chroot_list_enable=YES|NO 是否启用chroot_list_file配置项指定的用户列表文件 #chroot_list_file=/etc/vsftpd/chroot_list 此文件需自己建立,被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录,4. 控制用户是否允许切换到上级目录,任务12-2 认识vsftpd的配置文件,chroot_list_enable=YES chroot_local_user=YES chroot_list中的用户未锁定, chroot_list外的用户锁定 chroot_list_enable=YES chroot_local_user=NO chroot_list中的用户锁定, chroot_list外的用户未锁定 chroot_list_enable=NO chroot_local_user=YES 所有用户锁定 chroot_list_enable=NO chroot_local_user=NO 所有用户未锁定,任务12-2 认识vsftpd的配置文件,5. 设置访问控制,(1)设置允许或不允许访问的主机 tcp_wrappers=YES 设置vsftpd服务器是否与tcp wrapper相结合,进行主机的访问控制。默认为YES,vsftpd服务器会检查/etc/hosts.allow和/etc/hosts.deny中的设置,以决定请求连接的主机是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。 如:若仅允许192.168.168.1192.168.168.254的用户,可以访问连接vsftpd服务器,则可在/etc/hosts.allow文件中添加以下内容: vsftpd:192.168.168.0/255.255.255.0 :allow all:all:deny,任务12-2 认识vsftpd的配置文件,(2)设置允许或不允许访问的用户 对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。 相关配置命令如下: userlist_enable=YES | NO 设置/etc/vsftpd/user_list文件是否启用生效。YES则生效,NO不生效。 userlist_deny=YES | NO 设置/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。 若设置为YES,则/etc/vsftpd/user_list文件中的用户将不允许访问FTP服务器; 若设置为NO,则只有vsftpd.user_list文件中的用户,才能访问FTP服务器。,任务12-2 认识vsftpd的配置文件,用户文件列表 /etc/vsftpd/ftpusers 指定了不允许访问FTP服务器的本地用户账号(黑名单) ,例如root等。这些账号不是普通用户账号,而是在系统中具有较高权限的账号,禁止这些账号进行FTP登录可提高系统的安全性。 /etc/vsftpd/user_list 指定允许或不允许登陆的用户列表,使用起来比ftpusers更加灵活。需要在主配置文件中进行设置,任务12-2 认识vsftpd的配置文件,任务12-2 认识vsftpd的配置文件,任务12-2 认识vsftpd的配置文件,6.设置用户配置文件所在的目录 在vsftpd服务器中,不同用户还可使用不同的配置,这要通过用户配置文件来实现。 user_config_dir=/etc/vsftpd/userconf 用于设置用户配置文件所在的目录。 设置了该配置项后,当用户登录FTP服务器时,系统就会到/etc/vsftpd/userconf目录下读取与当前用户名相同的文件,并根据文件中的配置命令,对当前用户进行更进一步的配置。比如,利用用户配置文件,可实现对不同用户进行访问的速度进行控制,在各用户配置文件中,定义local_max_rate配置,以决定该用户允许的访问速度。,任务12-2 认识vsftpd的配置文件,7.与连接相关的设置 listen_address=IP地址 设置在指定的IP地址上侦听用户的FTP请求。若不设置,则对服务器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。对于只绑定了一个IP地址的服务器,不需要配置该项,默认情况下,配置文件中没有该配置项。若服务器同时绑定了多个IP地址,则应通过该配置项,指定在哪个IP地址上提供FTP服务,即指定FTP服务器所使用的IP地址。 注意:设置此值前后,可以通过netstat -tnl对比端口的监听情况 accept_timeout=60 设置建立被动(PASV)数据连接的超时时间,单位为秒,默认值为60。 connect_timeout=60 PORT方式下建立数据连接的超时时间,单位为秒。 data_connection_timeout=300 设置建立FTP数据连接的超时时间,默认为300秒。,任务12-2 认识vsftpd的配置文件,7.与连接相关的设置 idle_session_timeout600 设置多长时间不对FTP服务器进行任何操作,则断开该FTP连接,单位为秒,默认为600秒。即设置发呆的逾时时间,在这个时间内,若没有数据传送或指令的输入,则会强行断开连接。 setproctitle_enable=NO|YES 设置每个与FTP服务器的连接,是否以不同的进程表现出来,默认值为NO,此时只有一个名为vsftpd的进程。若设置为YES,则每个连接都会有一个vsftpd进程,使用“ps -ef|grep ftp”命令可查看到详细的FTP连接信息。安全起见,建议关闭。,任务12-2 认识vsftpd的配置文件,8.FTP工作方式与服务端口 connect_from_port_20YES|NO 指定FTP数据传输连接是否使用20端口,默认值为YES 。若设置为NO,则进行数据连接时,所使用的端口由ftp_data_port指定 ftp_data_port=20 设置PORT方式下FTP数据连接所使用的端口,默认值为20。 pasv_enable=YES|NO 若设置为YES,则使用PASV工作模式;若设置为NO,使用PORT模式。默认为YES,即使用PASV模式。 pasv_max_port=0 设置在PASV工作方式下,数据连接可以使用的端口范围的上界。默认值为0,表示任意端口。 pasv_mim_port=0 设置在PASV工作方式下,数据连接可以使用的端口范围的下界。默认值为0,表示任意端口。,任务12-2 认识vsftpd的配置文件,9.设置传输模式 FTP在传输数据时,可使用二进制(Binary)方式,也可使用ASCII模式来上传或下载数据。 ascii_download_enable=YES 设置是否启用ASCII模式下载数据。默认为NO ascii_upload_enable=YES 设置是否启用ASCII模式上传数据。默认为NO,任务12-2 认识vsftpd的配置文件,需求: 德雅职业学校准备搭建一台功能简单的FTP服务器,允许所有师生员工上传和下载文件,并允许创建用户自己的目录。 分析: 允许所有师生员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用户上传功能开启,最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。,任务12-3 配置匿名用户访问的FTP,解决方案: 步骤1:编辑配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创建目录。,rootftp_server # vim /etc/vsftpd/vsftpd.conf /查找以下4行并修改之,其他配置行保持默认 anonymous_enable=YES /12行:允许匿名用户访问 write_enable=YES /18行:允许开放写权限 anon_upload_enable=YES /27行:允许匿名用户上传文件 anon_mkdir_write_enable=YES /31行:允许匿名用户创建目录 anon_umask=022 /需要添加此行 anon_world_readable_only=NO /需要添加此行且为NO,否则不能下载 /保存退出,任务12-3 配置匿名用户访问的FTP,解决方案: 步骤2:创建一个供上传资源的目录tea_stu,调整该目录的属主或权限,确保匿名用户ftp有权在目录tea_stu中写入文件。配置文件vsftpd.conf,允许匿名用户访问,并允许上传文件、创建目录。,rootftp_server # mkdir /var/ftp/tea_stu rootftp_server # ll -dl /var/ftp/tea_stu drwxr-xr-x. 2 root root 4096 10月 13 18:18 /var/ftp/tea_stu rootftp_server # chown ftp /var/ftp/tea_stu rootftp_server # ll -dl /var/ftp/tea_stu drwxr-xr-x. 2 ftp root 4096 10月 13 18:18 /var/ftp/tea_stu,任务12-3 配置匿名用户访问的FTP,步骤3:修改selinux,使selinux支持匿名用户上传 使用getsebool -a | grep ftp 命令可以找到ftp的bool值, 其中第一行:allow_ftpd_anon_write的当前值为off,需改为on。,rootftp_server # getsebool -a | grep ftp /显示与ftp相关的所有SElinux的布尔值 allow_ftpd_anon_write off allow_ftpd_full_access off rootftp_server # setsebool -P allow_ftpd_anon_write on /修改指定项的布尔值 rootftp_server # setsebool -P ftp_home_dir on rootftp_server # getsebool -a|grep ftp allow_ftpd_anon_write on /修改为on后,才允许匿名用户上传连接 allow_ftpd_full_access off ,任务12-3 配置匿名用户访问的FTP,步骤4:修改上下文 .使用reboot命令重新启动服务器,rootftp_server # ll -Zd /var/ftp/tea_stu drwxr-xr-x ftp root root:object_r:public_content_t /var/ftp/tea_stu rootftp_server # chcon -t public_content_rw_t /var/ftp/tea_stu rootftp_server # ll -Zd /var/ftp/tea_stu drwxr-xr-x ftp root root:object_r:public_content_rw_t /var/ftp/tea_stu rootftp_server # reboot,步骤5:在3、5级别开启vsftpd服务自动启动,任务12-3 配置匿名用户访问的FTP,rootserver1 # chkconfig -list | grep vsftpd vsftpd 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭 rootserver1 # chkconfig -level 35 vsftpd on rootserver1 # chkconfig -list | grep vsftpd vsftpd 0:关闭 1:关闭 2:关闭 3:启用 4:关闭 5:启用 6:关闭,步骤6:启动vsftpd服务、开启21号端口 # service vsftpd start # iptables -I INPUT -p tcp - -dport 21 -j ACCEPT,步骤7:在Windows客户端启动IE浏览器单击【工具】菜单项选择【Internet选项】在打开的【Internet选项】对话框中单击【高级】标签卡在【设置】列表框内找到【浏览】节点下的【使用被动FTP(为防火墙和DSL调制解调器兼容性)】配置项并将前面的勾去掉单击【确定】,如图12-3所示。,步骤8:在IE浏览器的地址栏中输入“ftp:/172.16.102.61”后回车单击【查看】选择【在Windows资源管理器中打开FTP站点】,系统登录FTP服务器,任务12-3 配置匿名用户访问的FTP,步骤9:在FTP登录窗口单击“tea_stu”文件夹进入该文件夹从本地硬盘(如“E:”盘)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传从ftp登录窗口内拖拽文件(夹)到本地硬盘( E:)的窗口完成下载,如图12-5所示。而试图删除上传的文件(夹)则不允许,如图12-6所示。,任务12-3 配置匿名用户访问的FTP,需求: 德雅职业学校现有一台FTP和Web服务器,FTP的功能主要用于维护学校的Web网站内容,包括上传文件、创建目录、更新网页等。学校现有两个部门负责维护任务,并分别使用user1和user2帐号进行管理。先要求仅允许user1和user2帐号登录FTP服务器,但不能登录本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。 分析: 将FTP和WEB服务器做在一起是企业经常采用的方法,这样方便实现对网站的维护,为了增强安全性,首先需要使用仅允许本地用户访问,并禁止匿名用户登录。其次使用chroot功能将user1和user2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限。,任务12-4 配置本地用户访问的FTP,解决方案:,步骤1:建立维护网站内容的本地用户user1和user2并禁止本地登录,然后设置其密码,rootdyzx # useradd -s /sbin/nologin user1 rootdyzx # useradd -s /sbin/nologin user2 rootdyzx # passwd user1 rootdyzx # passwd user2,rootdyzx # # mkdir -p /var/www/html /创建目 rootdyzx # ll -d /var/www/html /显示目录属性 drwxr-xr-x 2 root root 4096 11-14 18:46 /var/www/html rootdyzx # chmod -R o+w /var/www/html /修改目录权限 rootdyzx # ll -d /var/www/html /显示目录属性 drwxr-xrwx 2 root root 4096 11-14 18:46 /var/www/html rootftp_server # echo “this is www.dyzx.edu s web“ /var/www/html/index.html,步骤2:创建上传根目录,并修改其权限,任务12-4 配置本地用户访问的FTP,步骤3:修改安全上下文,使上传根目录具有写入(上传)的功能。,步骤4:配置vsftpd.conf主配置文件并作相应修改,rootftp_server # chcon -t public_content_rw_t /var/www/html,rootftp_server # vim /etc/vsftpd/vsftpd.conf /查找或添加以下行并修改之,其他配置行保持默认 anonymous_enable=NO /禁止匿名用户登录 local_enable=YES /允许本地用户登录 write_enable=YES local_umask=022 local_root=/var/www/html /设置本地用户的根目录为/var/www/html chroot_local_user=YES chroot_list_enable=YES /开启能锁定用户的chroot功能 chroot_list_file=/etc/vsftpd/chroot_list /设置锁定用户在根目录中的列表文件 userlist_enable=YES /保存退出,任务12-4 配置本地用户访问的FTP,步骤5:建立/etc/vsftpd/chroot_list文件,添加user1和user2帐号,rootdyzx # vim /etc/vsftpd/chroot_list User1 user2,步骤6:修改SELinux允许本地用户登录。,步骤7:重启vsftpd服务使配置生效 、开启21号端口,rootftp_server # getsebool -a | grep ftp /查看与ftp有关的所有SElinux的布尔值 rootftp_server # setsebool -P ftp_home_dir on,rootftp_server # service vsftpd restart rootftp_server # iptables -I INPUT -p tcp -dport 21 -j ACCEPT,任务12-4 配置本地用户访问的FTP,步骤8:在客户端IE浏览器的地址栏中输入“ftp:/172.16.102.61”后回车在打开的FTP登录窗口中输入用户名和密码单击【登录】按钮,如图12-7所示。 步骤9:从ftp登录窗口内拖拽文件(夹)到本地硬盘(E:)的窗口完成下载,从本地硬盘(E:)的窗口内将文件(夹)拖拽到ftp登录窗口完成上传,如图12-8所示。,任务12-4 配置本地用户访问的FTP,测试2在物理机的字符界面,任务12-4 配置本地用户访问的FTP,OK,需求目标全部达成,任务12-4 配置本地用户访问的FTP,【例12-3】德雅职业学校为了便于师生员工的教学,计划搭建FTP服务器。对所有互联网用户开放共享目录,提供相关学习资料的下载,但禁止上传;学校内部的教师能够使用FTP服务器进行上传和下载,但不可以删除数据。为保证服务器的稳定性,要对用户访问和下载/上传流量进行控制。 分析:根据学校的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核,考虑到服务器的安全性,关闭本地用户登录,使用虚拟用户验证机制,并对不同虚拟用户设置不同的权限。为了保证服务器的整体性能,还需要根据用户的等级,限制客户端的连接数及下载速度。,任务12-5 配置虚拟用户访问的FTP,步骤1:建立虚拟用户的用户名、密码列表的文本文件v_user.txt,添加公共账号ftp及教师账号teacher两个虚拟用户。 奇数行为帐号名 偶数行为上一行中帐号的密码,任务12-5 配置虚拟用户访问的FTP,rootftp_server # vi /etc/vsftpd/vusers.list ftp 123 teacher 456,步骤2:安装db_load转换工具,将文本文件v_user.txt转化为数据库文件v_user.db。,rootftp_server # mount /dev/cdrom /mnt rootftp_server # rpm -ivh /mnt/Packages/db4-utils-4.7.25-17.el6.i686.rpm rootftp_server # cd /etc/vsftpd/ root ftp_server vsftpd # db_load -T -t hash -f v_user.txt v_user.db,任务12-5 配置虚拟用户访问的FTP,步骤3:修改数据库文件访问权限。,rootftp_server # chown 600 /etc/vsftpd/v_user.*,步骤4:创建虚拟用户对应的本地用户,并设置用户主目录的访问权限。,rootdyzx # useradd -d /var/ftp/share/ -s /sbin/nologin ftpuser rootdyzx # useradd -d /var/ftp/teacherdir/ -s /sbin/nologin ftpteacher rootdyzx # chmod -R 500 /var/ftp/share/ rootdyzx # chmod -R 700 /var/ftp/teacherdir/ rootftp_server # chcon -t public_content_rw_t /var/ftp/share/ rootftp_server # chcon -t public_content_rw_t /var/ftp/teacherdir/,步骤5:建立支持虚拟用户的PAM认证文件,rootdyzx # vim /etc/pam.d/vuser.vu /配置文件的名称可以自行定义 #%PAM-1.0 auth required pam_userdb.so db=/etc/vsftpd/v_user account required pam_userdb.so db=/etc/vsftpd/v_user,对应于第1步中建立的v_users.db文件,任务12-5 配置虚拟用户访问的FTP,步骤6:修改/etc/vsftpd/vsftpd.conf主配置文件,rootftp_server # vim /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES /使用虚拟用户一定要启用本地用户 chroot_local_user=YES /将所有本地用户限制在家目录中(需添加) guest_enable=YES /启用用户映射功能,允许虚拟用户登录(需添加) pam_service_name=vuser.vu /指定对虚拟用户进行PAM认证的文件名vuser.vu user_config_dir=/etc/vsftpd/vconfig /指定虚拟用户的配置文件的位置(需添加) ,步骤7:为虚拟用户ftp、techer建立各自独立的配置文件,rootftp_server # mkdir /etc/vsftpd/vconfig/ rootftp_server # vim /etc/vsftpd/vconfig/ftp /确保配置文件名与虚拟用户名同名 guest_username=ftpuser /设置ftp对应的本地用户为ftpuser local_root=/var/ftp/share /用户登录后所在的目录 anon_world_readable_only=NO /允许浏览和下载 anon_max_rate=500000 /限定传输速率为500KB/s /保存退出 rootftp_server # vim /etc/vsftpd/vconfig/teacher guest_username=ftpteacher local_root=/var/ftp/teacherdir anon_world_readable_only=NO write_enable=YES /允许写入 anon_upload_enable=YES /允许上传 anon_mkdir_write_enable=YES /允许创建文件夹 anon_max_rate=1000000 /限定传输速度为1000KB/s /保存退出,任务12-5 配置虚拟用户访问的FTP,步骤8:修改SELinux允许本地用户登录和匿名用户具有写入权限,重新加载vsftpd服务,使配置生效,任务12-5 配置虚拟用户访问的FTP,rootftp_server # setsebool -P ftp_home_dir on rootftp_server # setsebool -P allow_ftpd_anon_write on rootftp_server # service vsftpd reload,步骤9:使用虚拟用户访问FTP的测试 分别用ftp、teacher用户登录FTP服务器进行下载、上传测试,应得到以下结果: ftp用户可以登录,并可以浏览、下载文件(夹),但无法上传。 teacher用户可以登录,并可以浏览、下载文件(夹),也可以上传文件(夹)。 匿名用户或其他系统用户不能登录vsftpd服务器。,55,项目小结,项目知识准备 FTP工作原理 FTP服务系统的组成及工作过程 vsftpd服务简介 项目实施 任务12-1 vsftpd服务器的安装 任务13-2 认识vsftpd.conf主配置文件 任务12-3 配置匿名用户访问的FTP 任务12-4 配置本地用户访问的FTP 任务12-5 配置虚拟用户访问的FTP,
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!