转 文件传输 FTP 服务器doc.docx

1、转 文件传输 FTP 服务器doc转 文件传输 FTP 服务器文件传输服务器来源：ChinaUnix博客编者小语：丰哥的Linux小站：刚开始接触计算机时，不像现在实时通信软件这么发达，我们随时可通过MSN、QQ等传送信息以及文件。因此要下载文件，多半都是使用FTP这样的服务，特别是影音文件、办公软件以及应用软件。网络开始兴起时，一般拨接上网的速度为64K bits，实际可用顶多40到50K bits(约5-6K Bytes)，因此在文件的传输上，必须使用最省时的传输方式。试想，一个3M Bytes的mp3文件，FTP就要花十来分钟下载，更别说其他的传输方式了。时至今日，尽管文件传输方式已经相

2、当多元且网络带宽已经到达1M bits以上，但FTP仍占有一席之地，主要原因还是对于单一文件的传输效能较好。若我们要传递数十或是数百兆的文件，透过FTP来传输仍是不二之选。笔者第一次架设FTP服务器，是用Serv-U这软件在Windows 98上架设，安装一个软件、开个用户、并设定登入目录，就可以让人联机抓取数据。这虽然方便，但整体的功能、稳定性、与安全性不足，直到后来接触Unix与Linux，才开始操作功能性较强的FTP服务器：WU-FTP。WU-FTP这软件在众多Linux中被广泛的使用，直到Red Hat 9中将默认的FTP服务器改为VSFTP后，才慢慢的淡出Linux FTP服务器。现

3、在尽管还有许多人爱用WU-FTP，但多数的Linux套件商已将VSFTP做为默认的FTP服务器。1 FTP服务概述1.1 FTP服务器简介FTP协议与运行原理FTP，file transfer protocol，这是文件传输的通讯协议，也是一般最常用来传送文件的方式。Port与Passive传输模式丰哥的Linux小站：li nu xd ocs.cub log.c nFTP分为两类，一种为PORT FTP，也就是一般的FTP另一类是Passive FTP，分述如下：PORT FTP是一般形式的FTP，首先会建立控制频道，默认值是port 21，也就是跟port 21建立联机，并透过此联机下达命

4、令。其次，由FTP server端会建立数据传输频道，默认值为20，也就是跟port 20建立联机，并透过port 20作数据的传输。PASV FTP跟PORT FTP类似，首先会建立控制频道，默认值是port 21，也就是跟port 21建立联机，并透过此联机下达命令。其次，会由client端做出数据传输的请求，包括数据传输port的数字。这两者的差异为何?PORT FTP当中的数据传输port是由FTP server指定，而PASV FTP的数据传输port是由FTP client决定。通常我们使用PASV FTP，是在有防火墙的环境之下，透过client与server的沟通，决定数据传输

5、的port。WU-FTP WU-FTP是Washington University FTP的简称，顾名思义，就是由美国华盛顿大学研发而成的FTP服务器软件，这在早期的Linux中为默认的FTP服务器，但在这三年来，已较少被使用。VSFTP VSFTP，是Very Secure FTP的简称，表示它是一个非常安全的FTP服务器。从Red Hat 9之后的版本，包括Fedora、Red Hat Enterprise、Mandriva等都以它为默认的服务器。从Red Hat的历史来看，VSFTP服务器做了一些改变：第一，ftp server(FTP服务器)中只剩下vsftp，原有的wuftp、pro

6、ftp等都没放入第二，vsftp从XINETD中独立出来，并将配置文件从/etc/vsftpd.conf之中移到/etc/vsftpd/vsftpd.conf。这样的改变的原因有二：第一，vsftp已有独立运作的能力，不需要藉由XINETD启动第二，本身功能与安全控管强大，不需要躲在XINETD的保护之下。此外，类似sendmail、httpd、ssh、samba等，将配置文件放入/etc下的独立目录vsftpd。到了近期的Red Hat enterprise与Fedora中，vsftp结合了SELinux更强大的安全防护，在使用上多了根目录的权限限制。1.2 FTP的优点与适用环境FTP的用

7、途就是网络上的文件传输，除了FTP之外，网上的文件传输方式还包括网上邻居的复制黏贴、实时通讯软件的点对点传输、E-mail的附档夹带等。在这众多的传输方式中，FTP是最节省资源，且传输效益最高的一种方式。2安装与运行2.1软件安装VSFTP软件的来源有二：一者为安装光盘中的文件，一者为网络下载的文件。yum安装(Red Hat与Fedora下的安装)使用yum的命令为yum install vsftpd，执行过程如下：rootlocalhost#yum install vsftpd载入插件：refresh-packagekit设置安装进程分析安装参数的语法解决依赖相关-运行处理检查-包vsft

8、pd.i386 0：2.0.7-1.fc10设置为升级updates/filelists_db|1.4 MB 02：11-完成依赖性检查依赖性解决=包架构版本仓库大小=正在安装：vsftpd i386 2.0.7-1.fc10 fedora 145 kTransaction Summary=Install 1Package(s)Update 0Package(s)Remove 0Package(s)总共下载大小：145 k确定是这样吗?y/N：y-输入y继续下载软件包：vsftpd-2.0.7-1.fc10.i386.rpm|145 kB 00：02运行rpm_check_debug运行测试事

9、务处理传输测试完成事务处理测试成功运行事务处理已安装：vsftpd.i386 0：2.0.7-1.fc10恭喜你！成功完成！apt-get安装(Debian与Ubuntu下的安装)(本文略)emerge安装(gentoo下的安装)(本文略)原始文件安装(本文略，需要请留言)2.2启动与停止如果透过套件管理程序，如RPM、apt-get、或emerge安装的服务器，可透过以下方式启动与停止。我们可以使用以下命令启动VSFTP服务器：/etc/init.d/vsftpd start执行过程如下：rootlocalhost#/etc/init.d/vsftpd start为vsftpd启动vsftp

10、d：确定若要停止服务器，可使用以下命令：/etc/init.d/vsftpd stop执行过程如下：rootlocalhost#/etc/init.d/vsftpd stop关闭vsftpd：确定若要重新启动服务器，可使用以下命令：/etc/init.d/vsftpd restart执行过程如下：rootS#/etc/init.d/vsftpd restart关闭vsftpd：确定为vsftpd启动vsftpd：确定3配置实例丰哥的L in ux小站：在这节中介绍VSFTP的配置实例，让读者了解VSFTP服务器应用的层面。若读者需要架设FTP服务器，也可以根据自身的需要在底下的范例中挑选适合者

11、加以应用。3.1一般运行范例这里介绍的是VSFTP一般运行的范例，包含直接运行、更换port、以及一些问题的处理。范例1.直接启动VSFTP服务900)this.width=500；border=0图1这个范例是套用Fedora的默认范例，直接启动vsftp。用户可联机服务器的端口21，如图1所示。/etc/init.d/vsftpd start范例2.目录乱码问题这个问题源于编码，因此使用FTP时应避免使用中文。在终端机输入的中文，在FTP上会是乱码，反之亦然。若要使用中文，可统一在FTP上使用。在第一次启动时所建立的用户，系统会默认建立以下的目录：rootlocalhost admin#l

12、l总计148 drwxrwxr-x 2admin admin 4096 2007-06-05 18：43 www drwxr-xr-x 2admin admin 4096 2007-06-01 23：21下载drwxr-xr-x 2admin admin 4096 2007-06-01 23：21公共drwxr-xr-x 2admin admin 4096 2007-06-01 23：21图片drwxr-xr-x 2admin admin 4096 2007-06-01 23：21影片drwxr-xr-x 2admin admin 4096 2007-06-01 23：21文件drwxr-xr

13、-x 2admin admin 4096 2007-06-01 23：21桌面drwxr-xr-x 2admin admin 4096 2007-06-01 23：21模板drwxr-xr-x 2admin admin 4096 2007-06-01 23：21音乐这些目录在FTP所见会是乱码，若无特别需要，可直接删除这些目录。之后使用useradd，或是图形接口新增用户，并不会产生这些目录，因此不会再有这样的乱码。范例3.文件时间错误问题在vsftp之中的时间默认值是显是GMT时间，因此我们会发现上面的时间与我们时寄存取的时间差八小时。要调整这个设定，可在/etc/vsftpd/vsftpd

14、.conf中新增以下一行：use_localtime=YES接着重新启动vsftpd即可：丰哥的Linux小站： restart范例4.更换port提供服务：将默认的port 21更换为2121 900)this.width=500；border=0图2为了安全或是隐密性，我们会将ftp port换为默认21之外的port。在本例中以更换为2121端口为例说明，如图2，步骤如下：Step1.修改/etc/vsftpd/vsftpd.conf新增下面一行listen_port=2121 Step2.重新启动vsftpd/etc/init.d/vsftpd restart！要注意，改了port要注

15、意防火墙的设定喔！3.2匿名登录权限配置这里介绍的是匿名登录，也就是anonymous登入的相关设定。范例5.让匿名登录者anonymous可以上传文件若是我们允许匿名者登入并上传文件，则可参考以下步骤：Step1.修改/etc/vsftpd/vsftpd.conf将anonymous_enable=YES anon_upload_enable=NO改为anonymous_enable=YES#=确定这行为YES anon_upload_enable=YES#将这行的NO改为YES即可anon_mkdir_write_enable=YES#若加上这行，则匿名登录者可新增目录Step2.重新启动

16、vsftpd/etc/init.d/vsftpd restart Step3.修改/var/ftp/pub/的目录权限执行以下命令：chmod-R 777/var/ftp/pub/Step4.修改/var/ftp/pub的SELinux权限执行以下命令，修改/var/ftp/pub这目录的类型：chcon-R-t ftpd_anon_rw_t/var/ftp/pub/范例6.取消anonymous登录900)this.width=500；border=0图3若是我们的主机拒绝用户匿名登录，如图3，则可参考以下步骤：Step1.修改/etc/vsftpd/vsftpd.conf将anonymou

17、s_enable=YES改为anonymous_enable=NO Step2.重新启动vsftpd/etc/init.d/vsftpd restart 3.3本机用户的配置丰哥的Linux小站：l in ux 这里介绍本机用户的相关配置，包含各别用户的控管与高级设置。范例7.允许本机的用户上传或是下载文件设定位置在/etc/vsftpd/vsftpd.conf，内容如下：local_enable=YES write_enable=YES！若安装SELinux，会发现通过了密码验证，但就是看不到目录。这是由于SELinux的保护措施。我们必须使用root的身份执行：setsebool ftp_

18、home_dir 1执行后就可以联机并正确登录。范例8.不允许本机的用户上传或是下载文件若是完全不希望有任何FTP的行为，当然关闭FTP服务器，命令如下：/etc/init.d/vsftpd stop若我们允许匿名登录但不希望本机用户登入，可执行以下步骤：Step1.修改/etc/vsftpd/vsftpd.conf修改下面一行：local_enable=YES改为local_enable=NO Step2.重新启动vsftpd/etc/init.d/vsftpd restart范例9.限制本机用户可使用FTP的名单900)this.width=500；border=0图4如图4，若我们接受用

19、户kevin登入，但不接受用户test登入，可以透过userlist_enable与userlist_deny这两个参数达到这样的要求，步骤如下：丰哥的Linux小站： Step1.修改/etc/vsftpd/vsftpd.conf新增底下两行：userlist_enable=YES userlist_deny=NO Step2.重新启动vsftpd/etc/init.d/vsftpd restart执行完毕后，我们只要将允许访问的名单kevin建立在/etc/vsftpd.user_list之中即可。不在这文件内的名单将无法登入FTP服务器。范例10.改变根目录在vsftpd中默认的根目录是

20、用户登入的根目录，默认值为/home/用户名称，若要改成其他路径，可新增底下一行：local_root=/opt接着重新启动vsftpd即可：/etc/init.d/vsftpd restart这样我们就把ftp登入的目录改到/opt之下了。要注意，这样的设定会让所有的用户登入ftp都会到/opt之下。范例11.特定用户peter、john不得变更目录用户的默认目录为/home/username，若是我们不希望用户在ftp时能够切换到上一层目录/home，则可参考以下步骤。Step1.修改/etc/vsftpd/vsftpd.conf将底下三行#chroot_list_enable=YES#(

21、default follows)#chroot_list_file=/etc/vsftpd.chroot_list改为chroot_list_enable=YES#(default follows)chroot_list_file=/etc/vsftpd.chroot_list Step2.新增一个文件：/etc/vsftpd/chroot_list内容增加两行：peter john Step3.重新启动vsftpd/etc/init.d/vsftpd restart若是peter欲切换到根目录以外的目录，则会出现以下警告：ftp cd/home 550 Failed to change di

22、rectory.3.4来源与安全性的配置这部分介绍来源地址的控管、联机数目、防火墙等的结合与应用。范例12.将VSFTP与TCP_wrappers结合与TCP_wrappers结合后可在/etc/hosts.allow之中定义允许或是拒绝的来源地址，这是简易的防火墙设定，具体步骤如下：Step1.确定/etc/vsftpd/vsftpd.conf之中tcp_wrappers的设定为YES，如下所示：tcp_wrappers=YES Step2.重新启动vsftpd/etc/init.d/vsftpd restart范例13.透过TCP_wrappers限制联机的来源承接着上例12，当我们已经将

23、VSFTP与TCP_wrappers结合后，就可以直接在/etc/hosts.allow中设置允许联机的IP地址。设定/etc/hosts.allow，提供111.22.33.4以及10.1.1.1到10.1.1.254联机：vsftpd：111.22.33.4 10.1.1.：allow ALL：ALL：DENY设定后直接生效。丰哥的Li nux小站：lin uxdocs.cub log.c n范例14.限制最大联机总数与用户最大线程数900)this.width=500；border=0图5900)this.width=500；border=0图6若我们要限制全部联机的总数，可设置max_

24、clients这参数；若要限制每个IP地址最多的联机数，可设置max_per_ip这参数。底下设定最大联机总数为20(如图6)，用户最大线程数为2(如图5)。Step1.修改/etc/vsftpd/vsftpd.conf设置底下两行：max_clients=15 max_per_ip=2 Step2.重新启动vsftpd/etc/init.d/vsftpd restart范例15.建置一个防火墙下的ftp server，使用PORT FTP mode：默认的ftp port：21以及ftp data port：20启动VSFTPD之后执行以下两行命令，只允许port 21以及port 20开放

25、，其他关闭。iptables-A INPUT-p tcp-m multiport-dport 21,20-j ACCEPT iptables-A INPUT-p tcp-j REJECT-reject-with tcp-reset范例16.建置一个防火墙下的ftp server，使用PORT FTP mode：ftp port：2121以及ftp data port：2020 Step1.执行以下两行命令，只允许port 2121以及port 2020开放，其他关闭。iptables-A INPUT-p tcp-m multiport-dport 2121,2020-j ACCEPT ipta

26、bles-A INPUT-p tcp-j REJECT-reject-with tcp-reset Step2.修改/etc/vsftpd/vsftpd.conf新增底下两行listen_port=2121 ftp_data_port=2020 Step3.重新启动vsftpd/etc/init.d/vsftpd restart注记：15、16个例子中，ftp client(如cuteftp)的联机方式不能够选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp server，但是执行ls、get等等的命令时，便无法运作。使用PORT FTP mode，会使得许多在防火

27、墙内的主机无法正常建立FTP data port，导致无法正确联机。在这边我们示范一个linux平台上的联机范例：由test联机到11.22.33.1，ftp port为2121，而ftp data port为2020。scfengtest scfeng$ftp 11.22.33.1 2121 Connected to 11.22.33.1(11.22.33.1).220=Welcome to Vulpecula FTP service=Name(11.22.33.1：scfeng)：scfeng 331 Please specify the password.Password：230 Log

28、in successful.Have fun.Remote system type is UNIX.Using binary mode to transfer files.ftp ls 227 Entering Passive Mode(11,22,33,1,142,237)ftp：connect：Connection refused ftp我们会发现无法建立data port联机，试试passive这个命令，来将passive mode设为off，如下所示：ftp passive Passive mode off.ftp ls 200 PORT command successful.Cons

29、ider using PASV.150 Here comes the directory listing.drwxr-xr-x 2500 500 4096 Apr 20 08：05 20030420-rw-r-r-1 500 500 32038828 Apr 20 18：31 RedHat9.exe drwx-2 500 500 4096 Apr 20 08：04 mail-rw-rw-r-1 500 500 85473 Apr 20 12：01封面.pdf 226 Directory send OK.ftp这样就能正确联机了。范例17建置一个防火墙下的ftp server，使用PASS FT

30、P mode：ftp port：2121以及ftp data port从9981到9986 Step1.执行以下两行命令，只允许port 2121以及port 9981-9986开放，其他关闭。iptables-A INPUT-p tcp-m multiport-dport 2121,9981,9982,9983,9984,9985,9986-j ACCEPT iptables-A INPUT-p tcp-j REJECT-reject-with tcp-reset Step2.修改/etc/vsftpd/vsftpd.conf新增底下四行listen_port=2121 pasv_enabl

31、e=YES pasv_min_port=9981 pasv_max_port=9986 Step3.重新启动vsftpd/etc/init.d/vsftpd restart注：在这边要注意，在这个例子中，ftp client(如cuteftp)的联机方式必须选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp server，但是执行ls、get等等的命令时，便无法运作。在这范例中限制了FTP data port的范围：9981-9986共六个port，一般而言，这个数字是太低的，因为每个client使用passive mode，通常会建立2到3个联机，因此这个范围要看使用量而定。范例18将vsftpd并入XINETD(略)3.5连接速度的配置丰哥的Li nux小站：linuxdo cs.cu 这部分介绍连接速度的配置，真对一般用户与匿名用户，以及不同用户间的配置。范例19如图7，限制传输文件的速度：本机的用户最高速度为512K bytes/s，匿名登录者所能使用的最高速度为256K bytes/s 900)this.width=500；border=0图7 Step1.修改/etc/vsftpd/vsftpd.conf新增底下两行anon_max_rate=512000 local