羅彩君

（陜西職業(yè)技術(shù)學院計算機科學系，陜西西安710100）

Linux是一個強大的網(wǎng)絡(luò)操作系統(tǒng)，具有安全、穩(wěn)定、可靠等特點。Linux作為一種操作系統(tǒng)正在擁有越來越多的用戶，也逐漸被應用于更多的領(lǐng)域。隨著互聯(lián)網(wǎng)和計算機技術(shù)的迅猛發(fā)展，Linux在服務(wù)器領(lǐng)域已成為最廣泛的應用，安全和快捷的優(yōu)點使其優(yōu)于其它的網(wǎng)絡(luò)操作系統(tǒng)。FTP服務(wù)器在網(wǎng)絡(luò)應用中有著非常重要的地位，各種各樣的網(wǎng)絡(luò)資源大多數(shù)都放在FTP服務(wù)器中，F(xiàn)TP服務(wù)器能實現(xiàn)文件的上傳、下載，設(shè)置不同的用戶訪問權(quán)限，支持大文件的斷點續(xù)傳、多部分文件傳輸?shù)裙δ躘1]。在Linux操作系統(tǒng)中使用FTP服務(wù)器能有效地利用網(wǎng)絡(luò)資源，提高工作效率。

1 FTP服務(wù)器的構(gòu)建

FTP是文件傳輸協(xié)議，在Internet上存在許多FTP服務(wù)器，系統(tǒng)管理員可以在服務(wù)器中存放大量的共享軟件和免費資源，如文本文件、圖像文件、程序文件、聲音文件和電影文件等，網(wǎng)絡(luò)用戶可以從服務(wù)器中下載文件，或者將客戶端上的資源上傳到服務(wù)器上。與大多數(shù)Internet服務(wù)一樣，F(xiàn)TP也是一個客戶機/服務(wù)器系統(tǒng)。用戶通過一個支持FTP協(xié)議的客戶機程序，連接到主機上的FTP服務(wù)器程序，用戶通過客戶機程序向服務(wù)器程序發(fā)出命令，服務(wù)器程序執(zhí)行用戶發(fā)出的命令，并將執(zhí)行結(jié)果返回給客戶機[2]。

FTP服務(wù)器在網(wǎng)絡(luò)上提供了一個中心位置，可供網(wǎng)絡(luò)上的客戶端存儲文件并通過網(wǎng)絡(luò)與其他客戶端共享文件。當某個客戶端更需要重要文件時，就可以訪問文件服務(wù)器上的文件，而不必在各自獨立的計算機之間傳送文件。如果客戶端需要訪問相同的文件和通過網(wǎng)絡(luò)訪問相應的應用程序，就要將該計算機配置為文件服務(wù)器[3]。

Linux系統(tǒng)中的FTP服務(wù)器軟件有多種，其中比較流行的有Wu-ftpd和vsftpd，vsftpd具有小巧輕快，安全易用等特點，成為了Linux系統(tǒng)中最受推崇的FTP服務(wù)器程序[4]?，F(xiàn)以vsftpd為例，對FTP服務(wù)器進行配置。

1）檢測vsftpd服務(wù)器是否已經(jīng)安裝

在使用或安裝vsftpd服務(wù)器之前，先要檢查在當前系統(tǒng)中是否已經(jīng)安裝了該服務(wù)，通常情況下，如果在安裝Linux系統(tǒng)時選擇了安裝FTP服務(wù)，則當安裝完Linux以后，vsftpd服務(wù)器也安裝好了。如果沒有安裝該服務(wù)器，則可安裝系統(tǒng)自帶的vsftpd-1.1.3-8.i386.rpm軟件包。

檢查vsftpd是否安裝的命令如下：

#rpm-q vsftpd

如果顯示了相應服務(wù)的版本，則說明該服務(wù)已經(jīng)安裝，否則需要進行安裝。

2）安裝vsftpd服務(wù)器

若系統(tǒng)沒安裝vsftpd服務(wù)，則可用下面的命令進行安裝。

#rpm-ivh/mnt/cdrom/RdeHat/RPMS/vsftpd-1.1.3.i386.rpm

3）配置vsftpd服務(wù)器

對vsftpd的配置，通過vsftpd.conf配置文件來完成，vsftpd守護進程運行時首先從vsftpd.conf文件獲取配置文件的信息，然后配合ftpusers和user_list文件決定可訪問的用戶。默認情況下，vsftpd服務(wù)器中本地用戶和匿名用戶都可以登錄。本地用戶默認進入其個人主目錄，并可切換到其他有權(quán)訪問的目錄，還可上傳和下載文件，匿名用戶只能下載/var/ftp/目錄下的文件[5]。

4）啟動vsftpd服務(wù)器

vsftpd安裝后，該服務(wù)并沒有啟動，要啟動vsftpd服務(wù)器，在終端命令窗口運行如下命令：

#/etc/rc.d/init.d/vsftpd start?

5）測試vsftpd服務(wù)器

vsftpd服務(wù)器安裝并啟動服務(wù)后，使用默認配置就可以正常工作。vsftpd默認的匿名用戶賬戶為ftp，密碼為ftp。默認情況下，vsftpd允許用戶匿名登錄，登錄后所在的FTP站點根目錄為/var/ftp。如果FTP登錄成功，則會出現(xiàn)FTP的命令行提示符ftp＞，在命令行中，輸入FTP命令就可實現(xiàn)相應的操作。

2 FTP服務(wù)器的安全配置

實際應用中，利用vsftpd構(gòu)建一個滿足用戶要求的FTP服務(wù)器，常需要進行用戶身份驗證、用戶權(quán)限、空間管理等安全設(shè)置。

1）更改FTP服務(wù)器的默認端口

為了使服務(wù)器更加安全，可更改FTP服務(wù)器的默認端口，將預設(shè)的21端口改為2121[6]。使用vi編輯器打開/etc/vsftpd/vsftpd.conf文件，命令如下：

#vi/etc/vsftpd/vsftpd.conf

在文件最后增加如下一行內(nèi)容：

listen_port=2121

2）取消匿名用戶登錄的權(quán)限

在vsftpd.conf文件中找到語句“anonymous_enable=YES”，將其值改為“NO”，語句修改如下：

anonymous_enable=NO

3）允許本地用戶登錄

打開/etc/vsftpd/vsftpd.conf文件，進行如下設(shè)置：

local_enable=YES

4）設(shè)定本地用戶lily、ray不得更改目錄

打開/etc/vsftpd/vsftpd.conf文件，找到相應的語句，進行如下修改：

chroot_local_user=NO

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

編輯文件/etc/vsftpd/chroot_list，加入兩個用戶名：“l(fā)ily”和“ray”。

5）限制vsftpd服務(wù)器鏈接數(shù)，以及每個IP最大的鏈接數(shù)

打開/etc/vsftpd/vsftpd.conf文件，在文件中增加以下兩行語句：

max_clients=100

max_per_ip=10

6）限制本地用戶下載的速度

打開/etc/vsftpd/vsftpd.conf文件，在文件中增加以下一行語句：

local_max_rate=60000

7）對于每一個聯(lián)機用戶都以獨立的進程來運行

打開/etc/vsftpd/vsftpd.conf文件，在文件中增加以下一行語句：

setproctitle_enable=YES

3 FTP服務(wù)器的應用

FTP服務(wù)器的應用非常廣泛，下面通過一個具體例子實現(xiàn)FTP服務(wù)器的構(gòu)建和應用。

某公司需要建立一臺FTP服務(wù)器存放公司相關(guān)資源，具體要求為：公司FTP服務(wù)器為ftp.hakt.edu.cn，IP地址為192.168.8.8，對外訪問端口為21；用戶heven及hakt等核心賬戶設(shè)置為認證用戶，認證口令設(shè)為864635；開發(fā)匿名用戶登錄及上傳權(quán)限，對內(nèi)部資源只允許內(nèi)部IP端192.168.8.*的計算機下載，本地用戶heven只能訪問自己的主目錄；禁止本地用戶hakt登錄服務(wù)器。

要建立上述FTP服務(wù)器，需要對vsftpd進行配置，具體步驟如下：

1）指定IP地址

指定192.168.8.*網(wǎng)絡(luò)的IP地址才能訪問FTP服務(wù)器。用文本編輯器打開/etc/hosts.allow文件，在文件中加入如下語句：

vsftpd:192.168.8.*:allow

用文本編輯器打開/etc/hosts/hosts.deny文件，在文件中加入如下語句：

vsftpd:ALL:DENY

2）設(shè)置匿名用戶的權(quán)限

用文本編輯器打開/etc/vsftpd/vsftpd.conf文件進行編輯，設(shè)置允許匿名用戶登錄，匿名用戶可在/var/ftp/pub目錄中新建目錄、上傳和下載文件，代碼如下：

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

connect_from_port_20=YES

listen=YES

tcp_wrappers=YES

修改/var/ftp/pub目錄的權(quán)限，允許其他用戶寫入文件，其修改命令如下:

#cd/var/ftp

#chmod 777 pub

#ls-1

顯示結(jié)果如下:

drwxrwxrwx 2 root root 4096 2012-12-10

輸入“service vsftpd restart”命令，重啟vsftpd服務(wù)。

3）指定本地用戶heven只能登錄主目錄

打開/etc/vsftpd/vsftpd.conf文件進行修改，其修改代碼如下：

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

創(chuàng)建FTP用戶組，其命令如下:

#groupadd ftpgroup

增加FTP用戶，其命令如下:

#useradd-g ftpgroup-d/dir/to-Mheven

設(shè)置用戶口令，輸入密碼“864635”其命令如下:

#passwd heven

打開并編輯/etc/vsftpd.chroot_list文件，加入用戶“heven”。

輸入“service vsftpd restart”命令，重新啟動vsftpd服務(wù)器。

4）禁止本地用戶hakt登錄FTP服務(wù)器

編輯/etc/vsftpd/ftpusers文件，將禁止登錄的用戶名“hakt”寫入ftpusers文件中，編輯/etc/vsftpd/user_list文件，將禁止登錄的用戶名“hakt”寫入user_list文件中，修改/etc/vsftpd/vsftpd.conf文件，設(shè)置“userlist_enable=YES”和“userlist_deny=YES”，使用戶“hakt”不能訪問FTP服務(wù)器。

5）測試已建立的FTP服務(wù)器

在終端的命令提示符后輸入如下命令，啟動ftp命令工具。

#ftp ftp.hakt.edu.cn 21

輸入匿名用戶“anonymous”，出現(xiàn)“ftp＞”提示符，在“ftp＞”提示符后輸入get s1.xt命令，即可從FTP服務(wù)器上下載s1文件到本地盤中。

4 結(jié)束語

FTP服務(wù)器作為Internet最古老的服務(wù)之一，無論在過去還是現(xiàn)在都有著不可替代的作用。Internet上很多文件的共享都是采用FTP來完成。在Linux環(huán)境下利用vsftpd構(gòu)建FTP服務(wù)器具有安全、快捷、穩(wěn)定的優(yōu)點，一直受到廣大用戶的好評。FTP服務(wù)器還在繼續(xù)發(fā)展，并且發(fā)展得比以往任何時候都要強大。

[1] 李賀華.Linux操作系統(tǒng)應用與安全[M].北京:中國水利水電出版社，2010.

[2] 胡耀民，厲偉.Linux系統(tǒng)及網(wǎng)絡(luò)管理[M].北京:人民郵電出版社，2012.

[3] 陳倩.嵌入式FTP服務(wù)器的設(shè)計與實現(xiàn)[J].電子元器件應用，2010，12（3）:36-38.CHEN Qian.Design and Implementation of the embedded FTP server[J].Electronic Component&Device Applications，2010，12（3）:36-38.

[4] 歐軍，吳清秀，白曉波.基于Linux的vsFTPd服務(wù)的構(gòu)建[J].信息與電腦，2011（5）:101-102.OU Jun，WU Qing-xiu，BAI Xiao-bo.The building of vsFTPD service based on linux[J].China Computer&Communication，2011（5）:101-102.

[5] 彭潁，王方.基于LINUX的VSFTPD服務(wù)的實現(xiàn)[J].信息系統(tǒng)工程，2010（10）:99-101.PENG Yin，WANG Fang.Implementation of the VSFTPD service based on LINUX[J].Information System Engineering，2011（5）:99-101.

[6] 汪華.淺析Linux系統(tǒng)FTP服務(wù)器的安全問題[J].網(wǎng)絡(luò)與信息，2012（2）:51.WANG Hua.Analysis of the security issues of the FTP server in Linux system[J].Network&Information，2012（2）:51.