端之间档案传送功能

1、端之间档案传送功能 Chapter 22 簡易簡易 架設架設 - Wu FTP 端之间档案传送功能 22.1 原理原理 l Protocol ( FTP ) l進行 Server 端與 Client 端之間的檔案傳送的功能 l以 TCP 封包的模式進行 Server 與 Client 之間的 連線，當連線建立之後，使用者可以在 Client 端 連上 Server 端進行檔案的下載與上傳 端之间档案传送功能 FTP 的功能的功能 l不同等級的使用者身份，三種主要的身份 real user guest anonymous l命令記錄與登錄檔記錄 syslogd daemon 進行資料的紀錄 使用

2、者下達過的命令與使用者傳輸資料的紀錄 l限制或解除使用者家目錄所在 chroot (change root) 端之间档案传送功能 FTP 正常情況下的連線正常情況下的連線 l主動模式(active) l建立指令通道 (port 21) Client request (SYN) l port : 21 Server response (SYN 與 ACK) Client ACK l建立資料傳輸通道(port 20) Client request (SYN) l port : 21 Server request (SYN) l port : 20 Client response (ACK) 端之间

3、档案传送功能 Active mode client port 21 () port 20 () port 1024 port 1024 端之间档案传送功能 在 NAT 或者防火牆後端的 連線問題 個人PC 經過NAT主機連線 看到的 IP 是 NAT 主機的 主動由 port 20 向 NAT 主機的 1024 port 要求建立連線 (Error) 端之间档案传送功能 Passive mode l建立指令通道 (port 21) Same as active mode l建立資料傳輸通道(port 20) Client request (SYN) l port : 21 l告訴 使用 PAS

4、V 模式(passive)的方式來進行資料傳輸 Server response lServer 隨機選取一個大於 1024 的埠口，並經由命令通道告訴 client 端那個大於 1024 的埠口，開始等待 client 端的連線 Client request (SYN) Server response (ACK) 端之间档案传送功能 Passive mode client port 21 () port 20 () port 1024 port 1024 NAT server 端之间档案传送功能 22.2 套件安裝套件安裝 lrpm -qa | grep ftp nc wu- lwu-ftpd

5、 FTP 伺服器 lftp 端工具 lncftp 提供匿名登入的 FTP 網站的 client 端的連線 FTP 軟體 端之间档案传送功能 22.3 Server 端設定端設定 1. Wu FTP 的結構 設定檔 l/etc/ l/etc/ 檔案內的使用者都不能使用 FTP 的服務 l/etc/ 允許或拒絕某部主機或者某位使用者是否能夠登入 FTP 主機 l/etc/xinetd.d/wu-ftpd 啟動 FTP 的 daemon 設定檔案 端之间档案传送功能 Wu FTP 的結構的結構 l執行檔 : 計算目前連線的人數 : 顯示目前連線的使用者資訊 : 重新啟動 ftp : 指定時候關閉 F

6、TP in.ftpd : Wu FTP 的 daemon l用戶端的使用執行檔 ftp ncftp 端之间档案传送功能 2. 最簡單的最簡單的 設定檔設定檔 1. 設定人物群組名稱 class class all real,guest,anonymous * class allone real,guest,anonymous *.edu.tw class alltwo guest,anonymous !* !/16* 2. 設定FTP管理員的e-mail位址與主機名稱 email rootlocalhost hostname 端之间档案传

7、送功能 設定檔設定檔 (Cont.) 3. 允許同一次連線當中，錯誤登入的次數 loginfails 5 4. 向使用者顯示README檔案的內容訊息 readme README* login readme README* cwd=* Login : 登入 cwd=* : 變換目錄 5. 將檔案的內容直接顯示在螢幕上面 message /welcome.msg login message .message cwd=* 端之间档案传送功能 設定檔設定檔 (Cont.) 6. 是否提供使用者線上立即執行的指令 compress yes all tar yes all chmod no guest,

8、anonymous delete no anonymous overwrite no anonymous rename no anonymous umask no all 端之间档案传送功能 設定檔設定檔 (Cont.) 7. 將使用者執行的部分指令歷程記錄到 /var/log/xferlog log transfers anonymous,guest,real inbound,outbound 端之间档案传送功能 設定檔設定檔 (Cont.) 9. 匿名者的密碼驗證 lno:不需要密碼確認 ltrivial :密碼當中必須含有 這個 e-mail 的字元 lrfc822:密碼必須符合 frc

9、822 的規範 動作 lwarn：使用者輸入錯誤密碼時僅顯示警告訊息，仍允許其登入 lenforce：使用者輸入錯誤密碼，顯示警告訊息並中斷連線喔 passwd-check rfc822 warn deny-email IE?0User deny-email mozilla 端之间档案传送功能 設定檔設定檔 (Cont.) 10. 設定允許與不許登入 FTP 伺服器的使用者與群 組 deny-uid %-99 %65534- deny-gid %-99 %65534- allow-uid ftp allow-gid ftp deny-uid testing testqq deny-uid 10

10、0-1000 端之间档案传送功能 3. Super daemon 管理管理 FTP l/etc/xinetd.d/wu-ftpd service ftp disable = no l/etc/rc.d/init.d/xinetd restart lnetstat -tl l 端之间档案传送功能 4.歡迎畫面歡迎畫面 lmessage /welcome.msg login l/welcome.msg Welcome to my . Now is the time = %T The host name is %L You are %U and from %R There are %N person

11、 in my site, now. If you have any problem please call me %E 端之间档案传送功能 變數變數 l%T本地端主機時間 格式為 Fri Mar 21 11:28:50 2003 l%C使用者目前所在的目錄 l%R遠端主機的 IP 或 hostname l%L本地端主機的名稱或 IP l%E系統管理員的 email l%U使用者的登入帳號名稱 l%MFTP 主機所能允許的使用者最大連線數量 l%NFTP 主機目前已經連線的使用者數量 端之间档案传送功能 5.限制最大線上人數限制最大線上人數 letc/ limit all20 Any /etc/

12、 limit guest10 Any /etc/ limit anonymous 5 Any0800-2000 /etc/ l/etc/ 這裡已經太多人啦！請您等一下再進入！ _ 端之间档案传送功能 6.限制與取消使用者的家目錄限制與取消使用者的家目錄 lFor real users l/etc/ restricted-uid * restricted-uid 200-400 test testing unrestricted-uid test testing 端之间档案传送功能 7.時間相關的設定項目時間相關的設定項目 (/etc/) ltimeout accept 120 等待PASV 的

13、連線時間(client 回應) ltimeout connect 120 等待 client 端回應的ACK ltimeout data 2400 FTP 可以讓我們下載或上傳一個檔案的最多時間 ltimeout idle timeout maxidle 1800 多久沒有動作會被踢掉 llimit-time anonymous 30 limit-time guest 100 一次連線內，多久會被強制斷線 端之间档案传送功能 8.流量與上傳下載的限制項目流量與上傳下載的限制項目 (/etc/) l整體檔案數目與檔案容量的限額 out 32 alltwo data-limit in 10240

14、alltwo l限制流量的方法 throughput /var/ftp* * 10240 -* throughput /home/test /public_html * 51200 -* throughput /home/test /realdown * oo-*. 端之间档案传送功能 10. anonymous 的根目錄與建立可上傳目錄的根目錄與建立可上傳目錄 lvi /etc/ anonymous-root /var/ftp upload upload /home/ /upload yes 0666 upload /home/ /upfiles yes 0666 nodi

15、rs 端之间档案传送功能 11.針對人物的限制設定針對人物的限制設定 lreal, guest, anonymous l/etc/ nice defumask nice 10 anonymous nice -5 real defumask 022 real defumask 002 anonymous 端之间档案传送功能 12.拒絕與開放某些使用者的登入拒絕與開放某些使用者的登入 l/etc/ l deny 00 /etc/ deny *. /etc/ l deny-uid %-499 %65000- deny-gid %-499 %65000- a

16、llow-uid ftp allow-gid ftp 端之间档案传送功能 使用額外檔案來抵擋：/etc/ l l denytest /24 allow testing : deny test2 0 allow test2 * 端之间档案传送功能 14.建立建立 passive port l/etc/ passive ports /0 65501 65505 pasv-allow all * 端之间档案传送功能 Example l三個群組 real, guest, anonymous lre

17、al 僅允許來自 /16 網域 lguest, anonymous 允許來自所有網域，但不允許來自 /16 網域 l允許使用 passive ports port number 為 65501 - 65510 l小於 499 以及大於 65000 的 UID 與 GID 都被拒絕登入 端之间档案传送功能 Example l最大線上人數限制為 30 人 guest 最多 10 人， anonymous 最多為 5 人 l實體用戶 mysiteuser 被限制僅能在其家目錄當中工作，無法離開其家目錄 lanonymous登入者 家目錄 : /var/ftp

18、 限制 anonymous 一次連線最久 10 分鐘 最多僅能下載 20 個文件，以及 10MB 的資料量 上傳僅允許上傳到 /var/ 預設檔案擁有者為 ftp，群組是 sys 端之间档案传送功能 1.使用者的帳號使用者的帳號 lgroupadd my luseradd -m -g my -s /sbin/nologin luseradd -m -g my -s /sbin/nologin luseradd -m -g my -s /sbin/nologin lpasswd 端之间档案传送功能 2. /etc/ 1. 針對 Server 的設定項目 l針對群組的設定項目 class all

19、real,guest,anonymous /16 class allreal real /16 class allguest guest !/16 * class allanonymous anonymous !/16 * l其他主機相關的設定項目 email hostname shutdown /etc/shutmsg loginfails 3 log transfers anonymous,guest,real inbound,outbound passwd-check r

20、fc822 warn 端之间档案传送功能 針對針對 Server 的設定項目的設定項目 l訊息管理 readme README* login readme README* cwd=* message /welcome.msg login message .message cwd=* l指令管理 compress yes all tar yes all chmod no guest,anonymous delete no anonymous overwrite no anonymous rename no anonymous 端之间档案传送功能 針對針對 Server 的設定項目的設定項目 l人物登入管理 deny-uid %-499 %65000- deny-gid %-499 %65000- allow-gid my l時間相關的設定值 timeout data 2400 timeout idle 1800 timeout maxidle 1800 l主機最大連線人數設定 limit all 3