第12章__架设FTP服务器.ppt

,Click to edit Master title style,Click to edit Master text styles,Click to edit Master title style,Click to edit Master text styles,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,12,章 架设,FTP,服务器,FTP,（,File Transfer Protocol,，,文件传输协议）是一种用于在不同计算机之间传输文件的标准规范，属于,TCP/IP,网络模型中的应用层协议。在它基础上所搭建的,FTP,服务是,Internet,上使用频率最高的应用服务之一。本章首先介绍,FTP,的工作原理、,FTP,协议规范、以及,FTP,客户端的使用方法，再以,Vsftpd,为例，介绍,FTP,服务器的架设方法，最后还介绍了,FTP,用户磁盘限额的方法。,架设,FTP,服务器,12.1 FTP,的工作原理,FTP,协议在,RFC959,文档中定义，其历史最早可以追溯到,1971,年，可以算得上是一种比较古老的协议了。它的目标是提高文件的共享性，使程序可以隐含地使用远程计算机中的数据，并在计算机之间可靠、高效地传送数据。值得一提的是，利用,FTP,传输文件时，传输双方的操作系统、磁盘文件系统类型可以不一样。,12.1.1 FTP,的工作流程,客户端是希望从服务器端下载或上传文件的计算机，服务器端是提供,FTP,服务的计算机，它监听某一端口的,TCP,连接请求。控制连接和数据连接均是,TCP,连接，控制连接用于传送用户名、密码、设置传输方式等控制信息，数据连接用于传送文件数据。客户端和服务器端分别运行着控制进程和数据传送进程。,12.1.2 FTP,协议规范之一：数据传送格式,FTP,在工作过程中使用了专用的数据连接，在传输文件数据时，,FTP,协议规范提供了控制文件传送与存储的多种选择，可以在文件类型、格式控制、文件结构和传输方式四个方面所规定的选项中确定一种，这些选项类型分别如下。,1,文件类型,2,格式控制,3,数据结构,4,传输方式,12.1.3 FTP,协议规范之二：控制命令种类,控制命令以,ASCII,字符串的形式被传输，每个命令以三个或四个大写的,ASCII,字符开始，后面可以带有参数，命令和参数之间用空格符分隔，并以一对回车符和换行符（,CR/LF,）,做为命令的结束标志。,12.1.4 FTP,协议规范之三：应答格式,FTP,应答由三个,ASCII,码数字构成，后面再跟随一些解释性的文本符号。数字是供机器处理的，而文本符号则是面向用户的。三位数字每位都有一定的意义，第一位确定响应是好的、坏的还是不完全的，通过检查第一位，用户进程通常就能够知道大致要采取什么行动了。如果用户程序希望了解出了什么问题，可以继续检查第二位。第三位表示其它一些信息。,12.1.5,用抓包工具观察,FTP,协议数据包,在用户利用,FTP,协议进行文件传输的过程中，客户端和服务器端要交互很多的数据包，下面通过抓包工具,Ethereal,捕获这些数据包，并进行观察，以便更深入地理解,FTP,协议。,12.2 FTP,客户端,FTP,服务是,Internet,上最常用的服务之一，对于上网用户来说，,FTP,客户端工具是一种必备的软件，通过,FTP,客户端从,Internet,下载文件也是一种必备的技能。下面先介绍几个使用,FTP,客户端前必须了解的知识，再介绍常用,FTP,客户端命令，以及图形界面的客户端。,12.2.1,数据连接的主动方式和被动方式,建立数据连接可以有两种方式，主动方式和被动方式。主动和被动是相对服务器而言的，如果数据连接是由服务器首先发起的，称为主动方式，如果是由客户端首先发起的，则称为被动方式。,12.2.2,匿名账号,为了方便用户，,FTP,协议规定了一种匿名账号的机制，即用户可以使用一个通用的账号登录系统，然后就可以发送,FTP,命令对服务器进行操作。当然，为了服务器系统的安全，这个匿名账号的操作权力一般是非常有限的，只能做一些列出目录、下载文件等读取权限的操作。另外，并不是每一个,FTP,服务器都会支持匿名账号，只有服务器管理员觉得有必要的时候才会配置。,12.2.3,数据传输的,ASCII,模式和二进制模式,ASCII,模式也称为文本模式，该选项要求传送方在传输数据前，先将本地文件转换成,ASCII,码的形式，再传送到网络。而接收方要将从网络中收到的,ASCII,码还原成本地文件格式，再存入外存。而二进制模式是不做任何转换的，认为传输的数据是一个连续的比特流，没有任何的格式。,12.2.4 FTP,客户端常用命令详解,早期的计算机系统由于缺乏图形界面的支持，用户使用,FTP,客户端工具时，一般是通过输入命令的方式对,FTP,服务器进行操作的。目前大部分的客户机都有完善的图形界面，用户不需要输入,FTP,命令，而是通过鼠标单击就可以完成所有的,FTP,操作。,12.2.5,图形界面,的,FTP,客户端,为了方便用户的使用，出现了大量图形界面的,FTP,客户端，其中最常用的浏览器实际上也支持,FTP,协议，如果在浏览器的地址栏内键入“,ftp:/”,，则可以通过浏览器访问,FTP,服务器。,12.3,Vsftpd,的安装与运行,Vsftpd,也称为,Very Secure FTP Daemon,，,是一种遵循,GPL,协议的开放源代码的,FTP,服务器软件，具有安全、快速、稳定的特点。可以在多种,UNIX,系统或,Linux,系统下运行。下面介绍一下,Vsftpd,的有关情况，以及它的安装与运行方法。,12.3.1,Vsftpd,服务器软件简介,Vsftpd,在安全性、高性能及稳定性三个方面有上佳的表现。它提供的主要功能包括虚拟,IP,设置、虚拟用户、,Standalone,、,inetd,操作模式、强大的单用户设置能力及带宽限流等。在安全方面，它从原理上修补了大多数,Wu-FTP,、,ProFTP,，,乃至,BSD-FTP,的安装缺陷，使用安全编码技术解决了缓冲溢出问题，并能有效避免,globbing,类型的拒绝服务攻击。,12.3.2,Vsftpd,的安装,在,RedHat,Enterprise Linux 5,下安装,Vsftpd,服务器可以有两种方式，一种是源代码方式安装，一种是,RPM,软件包方式安装。源代码可以从,ftp:/,vsftpd.beasts.org/users/cevans,/,处下载，目前最新的版本是,2.0.7,版，文件名是,vsftpd-2.0.7.tar.gz,。,RHEL 5,自带的,Vsftpd,版本是,2.0.5,版，文件名是,vsftpd-2.0.5-10.el5.i386.rpm,，,在发行版的第,2,张盘上。,12.3.3,Vsftpd,的运行与简单配置,RPM,包安装完成后，可以键入以下命令起动,vsftpd,进程：,#/,usr/sbin/vsftpd,上述命令可以放到,/etc/,rc.local,文件中，则开机时会自动运行。还可以查看一下进程是否起动，键入以下命令：,#,ps,-,eaf|grep,vsftpd,root 14437 1 0 21:41?00:00:00/,usr/sbin/vsftpd,root 14439 10595 0 21:41 pts/0 00:00:00,grep,vsftpd,可以看到，,vsftpd,进程已起动。再键入以下命令：,#,netstat,-,tnl,|,grep,:21,tcp,0 0 0.0.0.0:21 0.0.0.0:*LISTEN,12.4,Vsftpd,高级配置,Vsftpd,自带的,vsftpd.conf,文件初始内容比较简单，虽然可以让,vsftpd,运行起来，也能让客户端连接进来，但是，这样的配置文件用在实际中是不合适的。因为在实际情况下，用户的需求、主机的实际情况是千差万别的，而且服务器一旦面向,Internet,，,就会引来黑客的攻击。因此，需要根据实际情况，对,Vsftpd,进行进一步的配置，才能真正地投入使用。,12.4.1,初始配置文件,以,RPM,方式安装完成,vsftpd,后，会提供一个例子,vsftpd.conf,文件，里面介绍了一些常见的,vsftpd,配置选项。为了使读者对,vsftpd.conf,配置有一个初步的了解，下面先逐一介绍该文件中列出的配置选项，再介绍一些其它常用的配置选项。,12.4.2,匿名用户配置,支持匿名账号可以大大方便用户使用,FTP,，,在账号分发有困难的情况下，支持匿名账号更是必不可少。但是支持匿名账号也会带来很多的安全问题，如果配置不当的话，很容易会漏泄主机的很多信息，甚至直接受到攻击。因此，,vsftpd,提供了很多与匿名账号有关的配置，用于管理匿名用户的安全。,12.4.3,Vsftpd,虚拟主机的配置,Vsftpd,的虚拟主机是指在一台主机上配置多个,vsftpd,服务，各个,vsftpd,服务可以采用不同的配置，给用户的感觉好象这些,vsftpd,服务是不同的主机上运行的。,Vsftpd,的虚拟主机是基于,IP,地址的，即不同的,vsftpd,服务绑定在不同的,IP,地址上，这点与,Apache,服务器中的虚拟主机不一样。,如果主机上有多块网卡，典型情况是内网连一块网卡，外网也连一块网卡，两块网卡各有一个,IP,地址。此时，可以两个网卡上运行不同配置的,vsftpd,服务。,12.4.4,虚拟用户的配置,Vsftpd,中的用户有三种形式。有一种叫虚拟用户，它们的用户名和文件存放在特定的数据文件中，只在,Vsftpd,中有效，一般情况下是不能在其它系统中登录的。,采用虚拟用户的优点是很明显的。首先，它对操作系统的安全有好处，,FTP,用户账号的泄漏不会对操作系统的安全造成任何影响。其次，在需要大量,FTP,用户账号的情况，不需要在操作系统中建立用户，减轻了操作系统的管理负担。,12.4.5,Vsftpd,的日志,日志是,vsftpd,服务运行时各种工作状态的记录，如用户登入、下载文件、创建目录等操作，均可以被日志记录下来。有了日志，管理员可以及时了解服务器运行过程中出现的问题，并在解决问题的调试过程中得到各种信息。,12.5,磁盘限额,除了为用户提供文件下载服务外，很多的,FTP,服务器还可以为用户提供空间，允许用户上传文件。但是，每个用户一般都会倾向于使用更多的磁盘空间，如果不对用户的磁盘空间进行限制，则磁盘空间将很快会消耗完。为了避免这种情况的发生，可以采取措施，对用户使用磁盘进行限额。下面介绍一下在,Linux,系统中使用,quota,软件限制用户磁盘空间的方法。,12.5.1,设置支持磁盘限额的分区,磁盘限额（,quota,）,是系统管理员用来监控和限制用户或组对磁盘的使用的工具。磁盘限额是针对磁盘分区而言的，也就是说，一个磁盘分区不能一部分用于限额使用，而另一部分却随便使用。还有，,Linux,内核必须要提供对限额的支持，编译时需要设定对,quota,的支持。,12.5.2,设置对用户的磁盘限额,设置了支持磁盘限额的分区后，就可以对具体的用户或用户组进行该分区的磁盘限额了。这些限额信息都存储在挂载目录的,aquota.user,和,aquota.group,文件，但由于这两个文件不是文本文件，因此不能直接用,vi,等命令进行编辑，需要通过,quota,软件包提供的,edquota,命令进行编辑。,12.5.3,启用和终止磁盘限额,设置好用户或用户组的磁盘限额后，为了使所做的限制生效，需要开启磁盘限额功能，其命令是,quotaon,，,格式如下：,quotaon,或者使用以下命令自动搜索所有设置了磁盘限额的分区，并启用。,quotaon,-,aguv,如果要关闭磁盘限额功能，使用的是,quotaoff,命令，其格式与,quotaon,命令相似。下面启用,/,ftpuser,分区的磁盘限额功能，则键入以下命令。,quotaon,/,ftpuser,12.6,小结,FTP,服务器是,Internet,上最常见的服务器之一。本章首先讲述了,FTP,的工作原理，主要是有关,FTP,协议的解释，然后介绍了,FTP,客户端的使用方法，接下来再重点介绍了,Vsftpd,服务器的架设方法，包括,Vsftpd,的安装、运行与配置等内容，并通过几个例子讲解了配置方面的一些技巧。最后，为了达到限制,FTP,用户磁盘空间的目的，还介绍了使用,quota,软件进行磁盘限额的方法。,