《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)

1、第九章第九章 ftp服务器服务器配置与安全管理配置与安全管理FTP是是Internet中一种应用非常广泛的服务，用户通过它从服务器获取需中一种应用非常广泛的服务，用户通过它从服务器获取需要的文档、资料、音频、视频等。要的文档、资料、音频、视频等。Internet出现以来，它就一直是用户使出现以来，它就一直是用户使用频率最高的应用服务之一，其重要性仅次于用频率最高的应用服务之一，其重要性仅次于HTTP和和SMTP。在。在Linux系系统中，构建安全的统中，构建安全的FTP服务是一项非常艰巨而且复杂的工作，许多与服务服务是一项非常艰巨而且复杂的工作，许多与服务器相关的配置文件以及用户管理都需要着重

2、考虑。因此，本章将对器相关的配置文件以及用户管理都需要着重考虑。因此，本章将对vsftpd这种这种Linux下最常用的下最常用的FTP服务器的安全配置和使用进行详细介绍。服务器的安全配置和使用进行详细介绍。第第9章章 FTP服务器配置与安全管理服务器配置与安全管理9.1 FTP服务概述服务概述9.1.1 FTP协议简介协议简介互联网文件传输协议（FTP）标准是在RFC959中说明的。该协议定义了一个在远程计算机系统和本地计算机系统之间传输文件的标准。FTP是TCP/IP的一种具体应用，其工作在OSI模型的第七层，TCP模型的第四层上，即应用层。使用TCP传输。FTP主要有如下作用：v从客户向服

3、务器发送一个文件。v从服务器向客户发送一个文件。v从服务器向客户发送文件或目录列表。9.1 FTP服务概述服务概述9.1.2 FTP的连接模式的连接模式FTP协议需要通过TCP协议建立两个联机通道才能够顺利地传输数据，一个是“传输控制信息”通道，TCP端口号为21；另一个是“传输数据信息”通道，TCP端口号为20。 FTP的连接模式有两种：主动模式和被动模式。这里都是相对于服务器而言的。（1）主动模式：即Port模式，由服务器主动连接客户机建立数据链路。如图9-1所示。 （2）被动模式：即PASV模式，FTP服务器等待客户机建立数据链路。如图9-2所示。图图9-1 主动模式的连接过程主动模式的

4、连接过程9.1 FTP服务概述服务概述图图9-2 被动模式的连接过程被动模式的连接过程9.1 FTP服务概述服务概述9.1.3 FTP的常用命令的常用命令在Linux和Windows系统中都默认提供ftp命令，它是最基本的FTP客户端软件。在客户端使用命令“ftp 远端主机IP地址 PORT”即可连接到一台FTP服务器，进入ftp命令的交互环境。表表9-1 FTP常用命令说明（常用命令说明（1）9.1 FTP服务概述服务概述表表9-1 FTP常用命令说明（常用命令说明（2）9.1 FTP服务概述服务概述9.1.4 FTP服务器软件服务器软件流行的FTP服务器软件有很多种，在Linux环境下常用

5、的有3种。（1）wu-ftpd。（2）proftpd。（3）vsftpd。综合性能最为优秀。非常流行。其优势体现在以下几个方面。v安全性高v稳定性好v速度更快v匿名FTP更加简单的配置v支持基于IP地址的虚拟主机v支持虚拟用户，而且每个虚拟用户可具有独立的配置v支持PAM认证方式v支持带宽限制v支持tcp_wrappers9.1.5 vsftpd支持的用户类型支持的用户类型（1）匿名用户。（2）本地用户。（3）虚拟用户。9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.1 安装安装1. 准备工作准备工作v使用以下命令来检查系统中是否安装过该软件包：# r

6、pm qa |grep vsftpd2. 安装安装v首先建立挂载点，挂载光驱，然后安装软件包：# cd /mnt/cdrom/Packages# rpm ivh vsftpd*3. 了解软件包安装的文件了解软件包安装的文件v用命令“rpm -ql vsftpd”可以查询到vsftpd软件包所生成的文件。9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.1 安装安装4. Vsftpd服务器的默认配置服务器的默认配置vsftpd的主配置文件“/etc/vsftpd/vsftpd.conf”默认包含以下的配置语句：9.2 案例导学案例导学实现匿名和本地访问的实

7、现匿名和本地访问的FTP服务器服务器9.2.1 安装安装4. Vsftpd服务器的默认配置服务器的默认配置9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.1 安装安装4. Vsftpd服务器的默认配置服务器的默认配置9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.2 配置匿名用户访问配置匿名用户访问FTP服务器服务器v任务及分析任务及分析（1）任务情境公司技术部准备选择一台主机（48）搭建一台功能简单的FTP服务器，允许所有员工对服务器上的特定目录“/var/ftp/mypub”上传、下

8、载和重命名文件，并且允许创建用户自己的目录。对于上传的文件，其所有者自动设置为ftpadmin。当用户切换到“/var/ftp/pub”目录后，将显示一段提示信息。（2）任务分析允许所有员工上传和下载文件，需要设置成允许匿名用户登录。此案例是FTP服务器的最基本配置。配置服务器的流程如下：v配置本地目录的权限和所有者。v配置FTP服务器，开放匿名用户的各项写权限。v设置/var/ftp/pub目录的提示信息。1.从网管工作站匿名登录FTP服务器，通过上传、下载数据和切换目录进行测试。9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.2 配置匿名用户访问配

9、置匿名用户访问FTP服务器服务器2配置方案和过程配置方案和过程（1）创建本地用户ftpadmin并设置密码。（2）建立匿名上传目录mypub并设置权限。（3）编辑主配置文件“/etc/vsftpd/vsftpd.conf”。在文件中作如下设置：（4）修改SELinux。（5）设置/var/ftp/pub目录的提示信息。9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.2 配置匿名用户访问配置匿名用户访问FTP服务器服务器3应用测试应用测试（1）启动vsftpd服务并查看器运行状态：（2）查看vsftpd服务占用端口情况： （3）设定开机自动加载vsftp

10、d服务： （4）从网管工作站匿名登录FTP服务器。9.2 案例导学案例导学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.3 配置本地用户访问配置本地用户访问FTP服务器服务器1任务及分析任务及分析（1）任务情境公司内部现有一台FTP和Web服务器（IP：48），FTP服务器主要用于维护公司的网站，包括上传文件、创建目录、更新网页等。公司现有两个部门负责维护任务，它们分别使用user1和user2账号进行管理（这两个账户但不能登录本地系统），将它们登录FTP的根目录限制为“/var/www/html”，不能进入任何其他目录。（2）任务分析将FTP和We

11、b服务器做在一起是企业经常采用的方法，便于实现对网站的维护。为了增强安全性，首先需要仅允许本地用户访问，并禁止匿名登录。其次使用chroot功能将user1和user2锁定在“/var/www/html”目录下。如需删除文件则还应配置本地权限。配置服务器的流程如下：v在Linux系统中添加两个用户user1和user2。v在FTP服务器上设置目录“/var/www/html”的权限，允许user1和user读和写。v修改主配置文件，禁用匿名用户的相关配置，增加本地用户登录的相关参数，设置本地用户具有写权限，以达到预期的目的。v对用户user1和user2设置chroot。9.2 案例导学案例导

12、学实现匿名和本地访问的实现匿名和本地访问的FTP服务器服务器9.2.3 配置本地用户访问配置本地用户访问FTP服务器服务器2配置方案和过程配置方案和过程（1）建立维护网站内容的用户账号并禁止本地登录。（2）修改本地权限。（3）编辑主配置文件，设置用户权限。（4）设置本地用户的chroot。（5）开启禁用SELinux的FTP传输审核功能。3应用测试应用测试（1）启动vsftpd服务并查看服务器运行状态。（2）查看vsftpd服务占用端口情况。（3）设定开机自动加载vsftpd服务。（4）验证仅允许本地用户登录。（5）验证用户user1和user2的chroot功能。（6）验证用户user1和u

13、ser2的权限分配情况。9.3 课堂练习课堂练习配置配置FTP虚拟主机虚拟主机vsftp支持虚拟主机的功能，在一台机器上向外提供多个FTP站点。9.3.1 任务及分析任务及分析1任务情境任务情境在48这台Linux主机上已经建立了一个FTP站点，为了充分利用主机和带宽资源，希望在此Linux主机上再建立一个允许匿名登录和下载的FTP站点。2任务分析任务分析vsftpd不支持基于名字的虚拟主机，因此本例中采用基于IP地址的虚拟主机。显然，基于IP地址的虚拟主机是以IP地址为单位的，每个虚拟主机对应监听一个IP地址，因此，需要在这台Linux主机上添加新的IP地址。9.3

14、课堂练习课堂练习配置配置FTP虚拟主机虚拟主机9.3.2 配置方案和过程配置方案和过程配置基于IP地址的FTP虚拟主机的步骤如下。1为一台Linux主机配置多个IP地址。2建立FTP虚拟主机的根目录。3创建FTP虚拟主机的匿名用户账号。4建立FTP虚拟主机的配置文件。5为原独立运行的FTP服务器指定监听的IP地址。9.3.3 应用测试应用测试1启动和测试FTP虚拟主机。2查看vsftpd服务器进程。3登录vsftpd虚拟主机进行测试。（具体过程略）9.4 拓展练习拓展练习vsftpd服务的安全管服务的安全管理理作为一种广泛使用和认可的网络服务，FTP主要面临如下几种安全威胁：（1）数据泄密。（

15、2）匿名访问所引起的安全脆弱性。（3）拒绝服务攻击。9.4.1 设置虚拟用户设置虚拟用户vsftpd采用PAM方式验证虚拟用户。由于虚拟用户的用户名/口令被单独保存，因此在验证时，vsftpd需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证，guest用户就是用于映射虚拟用户的。设置vsftpd虚拟用户账号的过程如下（具体过程略）：1建立虚拟用户数据库文件建立虚拟用户数据库文件。2建立虚拟用户使用的认证文件建立虚拟用户使用的认证文件。3建立虚拟用户使用的真实账号及其登录的目录，并设置相应的权限建立虚拟用户使用的真实账号及其登录的目录，并设置相应的权限。4编辑编辑vsftpd的主

16、配置文件的主配置文件vsftpd.conf。5测试测试。9.4.2 主机访问控制主机访问控制可以利用tcp_wrappers实现主机访问控制。tcp_wrappers的配置文件主要有两个：/etc/hosts.allow和/etc/hosts.deny。1例如，在例如，在Linux主机主机48上配置上配置vsftpd服务，允许除服务，允许除45以外的来自以外的来自/24网段的所有主机访问此网段的所有主机访问此FTP服务器；服务器；另外允许来自另外允许来自域的主机访问此域的主机访问此FTP服务器。服务器。解决方案：利用tcp

17、_wrappers提供的主机访问控制功能来实现。（1）编辑vsftpd的主配置文件以支持tcp_wrappers。其中默认含有如下指令：tcp_wrappers=YES（2）编辑/etc/hosts.allow文件，增加以下内容：vsftpd:45:DENYvsftpd:192.168.11., （3）测试。在主机45上进行测试： # ftp 48Connected to 48.421 Service not available.ftp9.4 拓展练习拓展练习vsftpd服务的安全管服务的安全管理理

18、9.4.2 主机访问控制主机访问控制除了上述基本的主机访问控制功能外，tcp_wrappers还为vsftpd提供了额外的配置文件。2例如：在例如：在Linux主机主机48上配置上配置vsftpd服务，针对来自服务，针对来自/24网段的匿名连接，限制其下载速率为网段的匿名连接，限制其下载速率为5KB/s，而对来自其他网段，而对来自其他网段的匿名连接，则不做速率限制。的匿名连接，则不做速率限制。解决方案：利用tcp_wrappers提供的特定功能来实现。（1）编辑vsftpd的主配置文件，增加如下指令： anon_max_rate=0 / 设置匿名

19、用户的最高传输速率，“0”表示不限制（2）建立额外的配置文件“/etc/vsftpd/vsftpd_other.conf”，内容如下：anon_max_rate=5000/在额外的配置文件vsftpd_other.conf中仅设置了anon_max_rate指令，其目的就是为了与主配置文件中的相同指令产生“矛盾”。通过后面的测试可以进一步说明哪条指令最终有效。9.4 拓展练习拓展练习vsftpd服务的安全管服务的安全管理理9.4.2 主机访问控制主机访问控制（3）编辑hosts.allow文件，增加相关指令。 为了减少干扰，首先去掉上例中关于vsftpd的设置，然后增加如下指令：vsftpd:

20、 192.168.11. :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_other.conf /这里使用了一个特殊的环境变量“VSFTPD_LOAD_CONF”为vsftpd提供额外的配置文件。其作用是：当来自网段的主机访问vsftpd服务器时，加载额外的配置文件“/etc/vsftpd/vsftpd_other.conf”。也就是说，当额外配置文件与主配置文件中的相关指令产生矛盾时，以额外配置文件的设置为准。（4）测试。从客户机（45）以匿名方式登录FTP服务器（48），并下载文件“screen.png”到本地“/tmp”目录下。具体过程略。9.4 拓展练习拓展练习vsftpd服务的安全管服务的安全管理理9.4.3 用户访问控制用户访问控制vsftpd的用户访问控制分为两类：v第一类是传统用户列表文件“/etc/vsftpd/ftpusers”，默认存放黑名单，也就是说其中列出的用户都没有登录此FTP服务器的权限。v第二类是改进的用户列表文件“/etc/vs