用Linux架设FTP服务器(下)_Ftp服务器教程

教程Tag：暂无Tag,欢迎添加,赚取U币!

缂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗霉閿濆牜鍤夋繛宸簼閺呮繈鏌涚仦鐐殤闁告梻鏁哥槐鎾存媴閹绘帊澹曢梻浣侯攰娴滎剟顢楅·鐛礛S闂傚倸鍊峰ù鍥х暦閻㈢ǹ绐楅柟鎵閸嬶繝鏌曟径鍫濆壔婵炴垶菤閺€浠嬫倵閿濆啫濡烽柛瀣崌瀹曟帡鎮欓弻銉ユ暪闂備礁鎼ú銊╁磻閻愮儤鍊垫い鎺嗗亾闁宠鍨块幃娆撳矗婢舵ɑ锛侀梻浣规偠閸斿酣宕伴弽褜鍤曞┑鐘崇閺呮悂鏌ㄩ悤鍌涘婵犵數濮烽弫鎼佸磻閻愬搫鍨傞悹杞拌濞兼牠鎮峰▎蹇擃伀闁绘繂鐖奸弻娑㈠焺閸愵亖妲堥梺缁樻尰閿曘垽寮婚垾鎰佸悑閹肩补鈧磭顔戦梻浣瑰▕閺€杈╂暜閿熺姴钃熼柕濞炬櫆閸嬪棝鏌涚仦鍓р槈妞ゅ骏鎷� 缂傚倸鍊搁崐鎼佸磹妞嬪海鐭嗗〒姘ｅ亾閽樻繈姊洪鈧粔瀵哥玻濡ゅ懏鐓欓梺顓ㄧ畱婢ч箖鏌ら弶鎸庡仴闁哄本鐩俊鐑筋敊閻撳寒娼荤紓鍌欒閸嬫挸顭块懜闈涘闁绘挸鍟撮弻鏇熷緞閸繂顬夐梺缁樼箥娴滎亪寮婚敐鍛斀闁圭偓娼欓锟� 闂傚倸鍊搁崐鎼佸磹妞嬪孩顐介柨鐔哄Т绾惧鏌涢弴銊ョ€柛銉ｅ妽缂嶅洭鏌嶉崫鍕殶妞わ富鍨辩换婵嬪閿濆棛銆愰梺鍝勭墱閸撶喎鐣峰Δ鈧オ浼村醇閻斿搫骞愰梻浣规偠閸庮垶宕濆澶嬪剭闁硅揪闄勯埛鎺戭熆鐠虹尨鍔熼弫鍫ユ⒑閸濆嫯顫﹂柛濠冪墪宀ｈ儻绠涘☉妯溾晠鏌ㄩ弮鍌滃笡妞ゃ儲绋撶槐鎾诲磼濞嗘垵濡介梺鍝ュ仜椤兘鐛箛娑欐櫢闁跨噦鎷� 闂傚倸鍊搁崐椋庣矆娓氣偓楠炴牠顢曢敃鈧悿顕€鏌ｅΔ鈧悧濠囧矗韫囨稒鐓欑紓浣靛灩閺嬫稒淇婇悙鎵煓闁哄备鈧剚鍚嬮幖绮光偓鑼晼闂備礁鎲￠〃鍡欏枈瀹ュ洦宕叉繛鎴欏灩楠炪垺淇婇婵愬殭闂傚绉撮埞鎴︻敋閸℃瑧蓱闂佸憡姊归〃濠囧春閳ь剚銇勯幒鎴濇灓婵炲吋鍔欓弻鐔碱敊閼测晛鐓熼悗瑙勬礃濞茬喖寮婚崱妤婂悑闁告侗鍨抽崢顒勬⒒娴ｈ姤纭堕柛锝忕畵楠炲繘鏁撻敓锟�,闂傚倸鍊搁崐宄懊归崶顒佸剭妞ゆ劧绠戠粈瀣亜閹扳晛鐏╃悮姗€姊绘担绛嬪殭婵﹫绠撻敐鐐村緞鐎ｎ剛顔曟繝鐢靛Т閸嬪棝宕甸弴銏＄厱妞ゆ劧绲剧粈鈧紓浣插亾闁告劏鏂傛禍婊堟煛閸屾氨浠㈤柟顔藉灦閵囧嫯绠涢弴鐐寸€剧紓浣虹帛閻╊垶鐛€ｎ喗鍊烽柡澶嬪灩濞堛倝姊绘担鍛靛綊顢栭崱娑樼闁搞儜灞剧稁闂佸憡绻傜€氀囧几鎼淬劍鐓欐い鏍ф鐎氼喗绂嶉鍫熲拻濞达絽鎲￠崯鐐烘煟閻旀潙鍔ら柟骞垮灩铻ｅ〒姘煎灠濞堛劍绻濋悽闈浶ｇ痪鏉跨Ч瀵煡骞栨担鍦弳闂佺粯娲栭崐鍦偓姘炬嫹!

message
　　“message”设置当用户登录或转到一个目录的时候会收到什么消息。可以设定多个消息。命令的格式为：

　　message ＜path＞＜when＞

　　＜path＞表示需要显示的文件的完整路径名，＜when＞和“readme”中的＜when＞意思一样。

　　还需要注意的是消息文件的路径名也是相对于匿名ftp目录的。

　　例如：

　　message /home/ftp/.welcome.msg LOGIN

　　compress、tar、chmod、delete、overwrite、rename

　　如果这些都不设置，那么就使用默认值，也就是对所有人都是“yes”。下面例子中的设置的意思是给guest组chmod、delete、overwrite和rename文件的权力，所有人都可以使用compress和tar。

　　例如：

　　compress yes all
　　tar yes all
　　chmod yes guest
　　delete yes guest
　　overwrite yes guest
　　rename yes guest

　　log commands

　　因为安全上的原因需要记录用户使用的每一个命令。“log commands”的格式是：

　　log commands ＜typelist＞

　　＜typelist＞是用逗号隔开的字串，表示哪些用户的命令需要记录下来，字串的取值可以是：anonymous、guest或real。

　　例如：要记录real和guest用户的每一个命令，可以这么表示：

　　log commands real,guest

　　这些记录都保存在“/var/log/message”文件中。

　　log transfers

　　因为安全文件需要把文件的传输都记录下来。“log transfers”的格式是：

　　log transfers ＜typelist＞＜directions＞

　　＜typelist＞是用逗号隔开的字串，表示哪些用户的命令需要记录下来，字串的取值可以是：anonymous、guest或real。＜direction＞也是用逗号隔开的字串，设置需要记录的文件传输的方向，可以选择的两个传输方向是“inbound”（向内）和“outbound”（向外）。

[page]

例如，用下面表示记录所有real和guest用户的“inbound”和“outbound”方向的文件传输：

　　log transfers real,guest inbound,outbound

　　这些记录保存在“/var/log/xferlog”文件中。

　　guestgroup

　　这个命令用来设置guest组，每一行只能有一个成员。

　　例如：

　　guestgroup ftpadmin
　　guestgroup webmaster

　　log security

　　用来设置记录real、guest或anonymous用户违反安全规则的行为。

　　log security ＜typelist＞

　　＜typelist＞是用逗号隔开的字串，字串的取值可以是：anonymous、guest或real。“real”表示真正在Ftp服务器上有帐号的用户，“anonymous”表示匿名用户，“guest”表示guest用户。

　　例如：

　　log security real,guest

　　restricted-uid、restricted-gid、guest-root

　　这些用来设置是否允许real和guest用户访问家目录之外的目录。格式为：

　　guest-root ＜root-dir＞
　　restricted-uid ＜uid-range＞
　　restricted-gid ＜gid-range＞

　　例如：

　　guest-root /home/ftp ftpadmin webmaster
　　restricted-uid ftpadmin webmaster
　　restricted-gid adminftp webmaster

　　＜root-dir＞设置chroot环境的用户路径。在一行里可以有多个uid地范围。如果为用户设置了guest-root，那么该用户的家目录就在“＜root-dir＞/etc/passwd”文件中设定，而“/etc/passwd”文件中的设定是无效的。当“ftpadmin”和“webmaster”被改变了根目录（chrooted）到“/home/ftp”目录下，他们就被限制在各自的家目录下而不能访问别人的文件。

　　greeting

　　设置用户登录时候的欢迎信息。格式为：

　　greeting full|brief|terse

　　“greeting full”是默认的设置显示主机名和ftp daemon地版本，“greeting brief”显示主机名，“greeting terse”简单地显示“FTP server ready”。

　　例如：

　　greeting terse

　　keepalive ＜yes|no＞

　　设置socket的TCP SO_KEEPALIVE参数。这样在必要的时候可以断开网络连接。“yes”有效，“no”无效。最好设成“yes”：

　　Keepalive yes

[page]

配置“/etc/ftphosts”文件
　　“/etc/ftphosts”文件为每一个用户建立规则，指定允许用户从某个主机登录ftp服务器，或者不允许用户从某个主机登录Ftp服务器。

　　创建“ftphosts”文件（touch /etc/ftphosts），加入下面这几行：

　　# Example host access file
　　#
　　# Everything after a ‘#‘ is treated as comment,
　　# empty lines are ignored
　　allow ftpadmin 208.164.186.1 208.164.186.2 208.164.186.4

　　把文件的权限改为600：

　　[root@deep]# chmod 600 /etc/ftphosts

　　每一行可能是：

　　allow ＜username＞＜addrglob＞

　　或

　　deny ＜username＞＜addrglob＞

　　“allow”允许用户用＜username＞用户名，从＜addrglob＞地址访问Ftp服务器。＜addrglob＞可以包含多个地址。

　　“deny”禁止用户名为＜username＞的用户，从＜addrglob＞地址访问Ftp服务器。＜addrglob＞可以包含多个地址。

　　配置“/etc/ftpusers”文件
　　“/etc/ftpusers”文件设置哪些用户不允许连接到Ftp服务器。

　　创建“ftpusers”文件（touch /etc/ftpusers），加入下面这几行：

　　root
　　bin
　　daemon
　　adm
　　lp
　　sync
　　shutdown
　　halt
　　mail
　　news
　　uucp
　　operator
　　games
　　nobody

　　把文件的权限设成600：

　　[root@deep]# chmod 600 /etc/ftpusers

　　配置“/etc/ftpconversions”文件
　　“/etc/ftpconversions”是用来控制当传输文件的时候是否进行压缩。

　　创建“ftpconversions”文件（touch /etc/ftpconversions），在文件中加入：

　　:.Z: : :/bin/compress -d -c %s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS
　　: : :.Z:/bin/compress -c %s:T_REG:O_COMPRESS:COMPRESS
　　:.gz: : :/bin/gzip -cd %s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP
　　: : :.gz:/bin/gzip -9 -c %s:T_REG:O_COMPRESS:GZIP
　　: : :.tar:/bin/tar -c -f - %s:T_REG|T_DIR:O_TAR:TAR
　　: : :.tar.Z:/bin/tar -c -Z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS
　　: : :.tar.gz:/bin/tar -c -z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP
　　: : :.crc:/bin/cksum %s:T_REG::CKSUM
　　: : :.md5:/bin/md5sum %s:T_REG::MD5SUM

　　把文件的属性改为600：

　　[root@deep]# chmod 600 /etc/ftpconversions

　　配置“/etc/pam.d/ftp”文件
　　配置“/etc/pam.d/ftp”文件使其支持PAM安全验证。

[page]

创建“ftp”文件（touch /etc/pam.d/ftp）并加入：

　　#%PAM-1.0
　　auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
　　auth required /lib/security/pam_pwdb.so shadow nullok
　　auth required /lib/security/pam_shells.so
　　account required /lib/security/pam_pwdb.so
　　session required /lib/security/pam_pwdb.so

　　配置“/etc/logrotate.d/ftpd”文件
　　配置“/etc/logrotate.d/ftpd”文件使得日志文件每周自动循环更新。

　　创建“ftpd”文件（touch /etc/logrorate.d/ftpd）并加入：

　　/var/log/xferlog {
　　# ftpd doesn‘t handle SIGHUP properly
　　nocompress
　　}

　　配置ftp使其使用inetd超级服务器（用于实现tcp-wrappers）
　　tcp-wrappers用来启动和中止ftpd服务。当inetd执行的时候，它会从默认为“/etc/inetd.conf”的配置文件读入配置信息。配置文件中每一行中的项用TAB或空格隔开。

　　编辑inetd.conf文件（vi /etc/inetd.conf），加入并验证是否存在下面这一行： ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a

　　注意：更新完“inetd.conf”文件之后要发给inetd一个SIGNUP信号，运行下面的命令：

　　[root@deep /root]# killall -HUP inetd

　　编辑“hosts.allow”文件（vi /etc/hosts.allow）加入这一行：

　　in.ftpd: 192.168.1.4 win.openarch.com

　　这表示IP地址为“192.168.1.4”并且主机名为“win.openarch.com”的计算机允许访问Ftp服务器。

　　FTP管理工具
　　ftpwho
　　ftpwho显示当前连接到Ftp服务器上的所有用户。这个命令菜单输出类似“/bin/ps”的输出，其格式为：

　　＜pid＞＜time＞＜tty＞＜connection details＞

　　其中＜pid＞表示ftp daemon用来处理这次文件传输的进程号，＜time＞表示用户什么时候连接到Ftp服务器上，＜tty＞总是用问号（?）表示因为是通过ftp而不是telnet连接，＜connection details＞告诉连接是来自哪里、用户是谁以及用户现在在干什么。

　　下面是ftpwho输出的一个例子：

　　[root@deep]# ftpwho

　　Service class openarch:
　　5443 ? S 0:00 ftpd: win.openarch.com: admin: IDLE
　　- 1 users ( 20 maximum)

[page]

可以看到现在有一个用户登录（最多可以有20个用户同时登录），这个用户的用户名是admin来自win.openarch.com。

　　ftpcount
　　ftpcount是ftpwho的简化版，只显示登录到Ftp服务器的用户数以及最多允许多少个用户登录。下面是一个例子：

　　[root@deep]# ftpcount

　　Service class openarch - 1 users ( 20 maximum)

　　保证Ftp服务器的安全

　　首先确保已经创建了“/etc/ftpusers”文件，这个文件用来设置不允许哪些用户登录Ftp服务器，其中至少要包括：root、bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、nobody以及所有Linux发行商在系统中提供的默认帐号。

　　如果想禁止匿名ftp服务，把ftp用户从password文件中移去，再用下面的命令确定在系统中没有安装anonftp-version.i386.rpm软件包：

　　[root@deep]# rpm -q anonftp.

　　upload命令

　　在默认情况下，WU-FTPD服务器给所有的guest用户上载的权限。当用户登录的时候，被改变根目录（chroot）到“/home/ftp”就不能访问这个目录之外的地方。但是“/home/ftp”目录中的一些地方还是需要保护，不能让用户随便访问。在我们配置的Ftp服务器中为“/home/ftp”目录下的“bin”、“etc”、“dev”和“lib”目录。我们不允许用户上载文件到这些目录。所以我们要为这些目录设置访问权限，可以在“/etc/ftpaccess”文件中设置上载权限。在我们的例子中是这样设置的：

　　upload /home/ftp/* / no
　　upload /home/ftp/* /etc no
　　upload /home/ftp/* /dev no
　　upload /home/ftp/* /bin no (require only if you are not using the “--enable-ls” option)
　　upload /home/ftp/* /lib no (require only if you are not using the “--enable-ls” option)

　　noretrieve命令

　　最好禁止某些用户从“/home/ftp”目录下的某些子目录中下载文件，可以用“noretrieve”命令在“/etc/ftpaccess”文件中设置。

　　noretrieve /home/ftp/etc
　　noretrieve /home/ftp/dev
　　noretrieve /home/ftp/bin (require only if you are not using the “--enable-ls” option)
　　noretrieve /home/ftp/lib (require only if you are not using the “--enable-ls” option)

　　“.notar”文件
　　无论是否允许即时的目录打包（on-the-fly tar），都必须保证用户不能打包（tar）禁止上载的目录。在“/home/ftp”目录的每个子目录中都创建“.notar”文件。

　　[root@deep]# touch /home/ftp/.notar
　　[root@deep]# chmod 0 /home/ftp/.notar
　　[root@deep]# touch /home/ftp/etc/.notar
　　[root@deep]# chmod 0 /home/ftp/etc/.notar
　　[root@deep]# touch /home/ftp/dev/.notar
　　[root@deep]# chmod 0 /home/ftp/dev/.notar
　　[root@deep]# touch /home/ftp/bin/.notar (require only if you are not using the “--enable-ls” option)
　　[root@deep]# chmod 0 /home/ftp/bin/.notar (require only if you are not using the “--enable-ls” option)
　　[root@deep]# touch /home/ftp/lib/.notar (require only if you are not using the “--enable-ls” option)
　　[root@deep]# chmod 0 /home/ftp/lib/.notar (require only if you are not using the “--enable-ls” option)

[page]

这些长度为0的“.notar”文件会使一些浏览器和ftp代理（proxy）出现混乱，要解决这个问题必须把它们标识为禁止下载。在“/etc/ftpaccess”文件中加入这一行：

　　noretrieve .notar

　　安装到系统中的文件

　　＞ /etc/ftphosts
　　＞ /etc/ftpusers
　　＞ /etc/ftpaccess
　　＞ /etc/pam.d/ftp
　　＞ /etc/ftpconversions
　　＞ /etc/ftpgroups
　　＞ /etc/logrotate.d/ftpd
　　＞ /usr/bin/ftpcount
　　＞ /usr/bin/ftpwho
　　＞ /usr/man/man1/ftpcount.1
　　＞ /usr/man/man1/ftpwho.1
　　＞ /usr/man/man5/ftpaccess.5
　　＞ /usr/man/man5/ftphosts.5
　　＞ /usr/man/man5/ftpconversions.5
　　＞ /usr/man/man5/xferlog.5
　　＞ /usr/man/man8/ftpd.8
　　＞ /usr/man/man8/ftpshut.8
　　＞ /usr/man/man8/ftprestart.8
　　＞ /usr/sbin/in.ftpd
　　＞ /usr/sbin/ftpshut
　　＞ /usr/sbin/ckconfig
　　＞ /usr/sbin/ftprestart
　　＞ /usr/sbin/xferstats
　　＞ /usr/sbin/wu.ftpd
　　＞ /usr/sbin/in.wuftpd
　　＞ /var/log/xferlog

来源：网络搜集/所属分类：Ftp服务器教程/更新时间：2013-04-14

[收藏][报错][返回列表]

评论加载中....

用Linux架设FTP服务器(下)_Ftp服务器教程

Ftp服务器教程Rss订阅服务器教程搜索

Ftp服务器教程推荐

猜你也喜欢看这些