FTP實驗要求

FTP作為一個常見的應(yīng)用層協(xié)議，對于技術(shù)人員來講，肯定都不陌生，使用TCP端口21建立FTP會話，并通過TCP端口20進行數(shù)據(jù)的傳輸。

FTP有兩種模式，一種是主動模式，客戶端使用大于1024的端口N發(fā)送請求至服務(wù)器的21端口，服務(wù)器收到請求之后，發(fā)送ACK至客戶端的端口N，完成FTP會話的建立，然后服務(wù)器使用20端口發(fā)送數(shù)據(jù)連接請求至客戶端端口N，客戶端在收到服務(wù)器的連接請求之后，發(fā)送ACK至服務(wù)器的20端口，完成會話建立，之后開始進行數(shù)據(jù)傳輸。

另一種是被動模式，首先還是需要建立FTP的會話，與主動模式不同的是，被動模式下，客戶端會使用端口N發(fā)送數(shù)據(jù)連接請求至服務(wù)器的隨機M端口（M大于1023，小于65535），服務(wù)器收到客戶端的請求之后，發(fā)送ACK至客戶端的端口N，完成會話建立，之后開始進行數(shù)據(jù)傳輸。

圖1 查看系統(tǒng)版本

技術(shù)人員通常需要根據(jù)公司的不同需求搭建公司的FTP服務(wù)器。目前主流的FTP服務(wù)器主要有Windows下的IIS、Serv-U等，Linux下 的ProFTP、VSFTP等，一般考慮到Windows系統(tǒng)的安全性以及穩(wěn)定性都不如Linux系統(tǒng)高，并且Windows下的FTP軟件功能比較簡單，一般不支持FTP的高級配置，所以我們一般會選用Linux作為我們的FTP服務(wù)器，此處我們使用VSFTPD作為FTP軟件。

此處我們的要求是，搭建一臺FTP服務(wù)器，要求服務(wù)器穩(wěn)定安全，同時可以配置多個賬號，賬號權(quán)限可以進行嚴格控制，需要具有三種類型的賬號，一種是公司所有員工，只可以下載公司FTP服務(wù)器上的文件，另一種是管理，只有上傳權(quán)限，最后一種是管理員賬號，擁有所有權(quán)限。下面介紹實驗過程。

分析實驗要求

要求擁有三種權(quán)限，只能有下載權(quán)限的賬號可能存在多個，所以我們可以使用虛擬賬號來進行配置，新建一個只有下載權(quán)限的虛擬賬號ftp，新建一個只有上傳權(quán)限的虛擬賬號upload，新建一個管理員賬號admin，擁有所有權(quán)限。

準備Linux服務(wù)器

準備一臺服務(wù)器，并安裝操作系統(tǒng)RHEL5.5，操作系統(tǒng)的安裝，此處不做介紹，可以自行查找資料進行安裝，操作系統(tǒng)安裝完成之后，可以通過命令lsb_release -a查看系統(tǒng)版本（如圖1）。

安裝VSFTPD服務(wù)，并查看服務(wù)運行狀態(tài)

VSFTPD服務(wù)的安裝，可以在操作系統(tǒng)安裝的過程中，一起進行安裝，也可以在操作系統(tǒng)安裝完成之后，在通過yum進行安裝或者可以手動安裝rpm、tar包等完成，可以通過命令rpm -qa vsftpd來查看系統(tǒng)是否已安裝VSFTPD服務(wù)。

[r o o t@v s f t p vsftpd]#rpm –qa vsftpd

vsftpd-2.0.5-16.e15_4.1

如上所示，此處在操作系統(tǒng)的安裝過程中，已經(jīng)選擇一起安裝VSFTPD，所以此處不再詳解VSFTPD的安裝，安裝完成之后，可以通過命令service vsftpd status來查看VSFTPD的運行狀態(tài)。

VSFTPD服務(wù)的配置

1.備份配置文件

Linux環(huán)境下，無論配置任何服務(wù)都要養(yǎng)成先做備份的好習(xí)慣，如果配置出現(xiàn)問題，可以通過備份的配置文件還原。

[root@vsftp vsftpd]#cp vsftpd.conf vsftpd.conf.old

2.修改配置文件

a.置文件，關(guān)閉匿名登錄，啟用虛擬用戶。

[root@vsftp vsftpd]#vi/etc/vsftpd/vsftpd.conf

為了保證FTP服務(wù)器的安全性，我們關(guān)閉匿名登錄，在配置文件中找到anonymous_enable的配置，將其修改為NO，即可關(guān)閉匿名登錄。

anonymous_enable=NO

在配置文件的最后面添加下面幾行內(nèi)容，意思為允許虛擬用戶登錄，匿名用戶對應(yīng)的為ftp這個賬號，虛擬用戶登錄的配置文件目錄為 /etc/vsftpd/users/，這個目錄下面存放的是不同用戶的配置文件：

注：此處第一行中的pam_service_name的值需要與（d）認證文件名稱相同，否則認證不成功。此處最后一行配置的是虛擬用戶的目錄，需要與（f）置的目錄相同。

b.建立虛擬用戶的賬號文件

建立虛擬用戶ftp所對應(yīng)的實際登錄賬號：

其中奇數(shù)行為用戶名，偶數(shù)行為對應(yīng)的密碼。

c.使用建立的賬號密碼文件生成數(shù)據(jù)庫文件，并修改其權(quán)限。

使用vm_user.txt生成vm_user.db文件

d.修改FTP的認證文件為剛生成的數(shù)據(jù)庫文件。

后面的文件名稱必須與前面所創(chuàng)建的文件名稱相同，否則認證失敗。

e.建立虛擬用戶FTP，不允許登錄操作系統(tǒng)，設(shè)置其home路徑，并修改home路徑的訪問權(quán)限。

f.配置虛擬用戶的賬號目錄，需與（a）中配置保持一致，并創(chuàng)建賬號的配置文件，此處以ws6l為例進行配置。

配置ws6l賬號的目錄，注意此處的目錄只是存放配置文件的，與用戶登錄FTP之后訪問到的目錄無關(guān)。

至此第一個虛擬賬號創(chuàng)建成功，驗證此處省略，根據(jù)需要可以按照上面的步驟，分別創(chuàng)建ws8l等只有下載權(quán)限的賬號。

h.創(chuàng)建只有上傳權(quán)限的賬號upload，擁有所有權(quán)限的admin賬號。

在vm_user.txt文件中添加這兩個賬號：

重新生成數(shù)據(jù)庫文件，注意只要是修改了vm_user.txt這個文件，必須重新生成數(shù)據(jù)庫文件，否則認證不成功。

因為upload賬號需要向所有賬號的文件夾上傳文件，admin賬號需要管理所有用戶的目錄，因此兩個賬號都需要看到所有用戶的目錄，所以不需要給他們重新建立ftp的目錄，直接指定為/var/ftp即可，至此所有配置完成。

i.所有配置都完成之后，分別使用ws6l，upload，admin登陸ftp進行測試，測試過程不再詳述。

實驗總結(jié)

FTP服務(wù)目前仍然是一個企業(yè)內(nèi)部重要的服務(wù)之一，企業(yè)內(nèi)部可以通過搭建FTP服務(wù)器來完成文件共享，本文通過講解使用VSFTP來搭建公司的FTP服務(wù)器，做到用戶使用與管理員管理徹底分離，并通過虛擬用戶的配置來充分保證系統(tǒng)的安全，可以滿足公司的絕大部分需求。