任務六：FTP服務的配置與管理6.1任務資訊

6.1.1任務描述1.公司現有多個部門多個員工，因工作需要，只允許ftpuser1和ftpuser2這兩個虛擬用戶具有FTP服務器的上傳和下載管理，其他用戶只具有瀏覽和下載功能。在CentOS7.4系統字符界面服務器上實現。2.在Ubuntu18.04系統字符界面界面配置FTP服務。6.1.2任務目標

6.2決策指導圖6-1客戶—服務器（C/S）模型6.3制定計劃6.3.1配置NFS軟件源具體配置方法可以參考任務四里的4.3節內容。6.3.2如何實現情境需要項目實施情境安裝配置管理vsftp查詢是否安裝命令rpm–qa|grepvsftpdrpm-qlvsftpd安裝命令yuminstallvsftpd-yrpm-ivhvsftpd檢驗是否工作命令systemctlstatusvsftpd配置文件目錄vim/etc/vsftpd/vsftpd.conf配置文件詳細解釋anonymous_enable=NOchroot_local_user=YESallow_writeable_chroot=YESpasv_enable=YESpasv_min_port=25000pasv_max_port=35000優化過程systemctlstartvsftpd.servicesystemctlenablevsftpd.service卸載命令yumremovevsftpdapt-getremovevsftpd6.4任務實施6.4.1CentOS7.4系統配置FTP服務2.字符界面配置服務；在可以聯網的機器上使用yum工具安裝，如果未聯網，則掛載系統光盤進行安裝。

yum-yinstallvsftpdftpvsftpd #FTP服務的主要安裝程序ftp #客戶端軟件，主要提供FTP服務的登錄服務開機默認選項FTP服務器安裝完畢，會生成配置文件目錄/etc/vsftpd/vsftpd.conf。/etc/vsftpd/vsftpd.conf#vsftpd的核心配置文件。

3.生成虛擬用戶口令庫文件#生成虛擬用戶口令庫文件，按照格式編輯口令文件。單數行為用戶名，偶數行為用戶口令vilogin.txtftpuser1#用戶名123456#口令ftpuser2#用戶名123456#口令Guest#用戶名Guest#口令:x#存盤退出4.配置生成vsftpd的認證文件#使用db_load命令生成口令庫文件db_load–T–thash–flogin.txt/etc/vsftpd/vsftpd_login.db#修改該口令庫文件的權限chmod600/etc/vsftpd/vsftpd_login.db#編輯虛擬用戶所需的PAM配置文件vi/etc/pam.d/vsftpd#在該文件中加入如下兩行，并且保存后退出authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login.dbaccountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login.db

5.建立虛擬用戶訪問所需要的目錄并且設定相應的訪問權限useradd–d/home/ftpvirtualchmod700/home/ftp6.對vsftpd的主配置文件進行配置#為了保證安全，首先生成該文件的一個備份，然后進行修改cp/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bakvi/etc/vsftpd/vsftpd.conf#配置相關選項如下所示listen=YEStcp_wrappers=YES//支持tcp_wrappers,限制訪問(/etc/hosts.allow,/etc/hosts.deny)listen=YES的意思是使用standalone啟動vsftpd，而不是superdaemon(xinetd)控制它(vsftpd推薦使用standalone方式)anonymous_enable=NOlocal_enable=YES#PAM方式此處必須為YESwrite_enable=NOanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOchroot_local_user=YESguest_enable=YESguest_username=vsftpd#采用虛擬用戶形式6.4.2

在Ubuntu18.04系統配置FTP服務1、安裝vsftpdcxg@lcxg:~$sudoaptinstallvsftpd2、啟動服務,如圖6-2所示。cxg@lcxg:~$sudosystemctlstartvsftpd #初始情況下服務自動開啟，如被禁用可手動開啟服務cxg@lcxg:~$sudosystemctlenablevsftpd #下次開機時能夠自動開啟服務servicevsftpdstatus#servicevsftpdstart #chkconfig--level35vsftpdon

接下來，如果你在服務器上啟用了UFW防火墻（默認情況下UFW不啟用），則需要打開FTP守護進程端口20和21允許從遠程機器訪問FTP服務，添加新的防火墻規則，如果禁用了UFW，則跳過以下操作。 $sudoufwallow20/tcp #允許20端口 $sudoufwallow21/tcp #允許20端口 $sudoufwstatus #查看UFW狀態圖6-2啟動vsftp服務3、創建用戶（可用已有用戶登錄）cxg@lcxg:~$sudouseradd-mftpuser

4、配置ftp修改ftp配置建議備份之前的默認配置，如圖6-3所示。 cxg@lcxg:~$sudovi/etc/vsftpd.conf圖6-3ftp備份之前的默認配置默認情況下，出于安全原因，VSFTPD不允許chroot目錄具有可寫權限。增加本行配置可以改變這個設置。警告：設置選項allow_writeable_chroot=YES是很危險的，特別是如果用戶具有上傳權限，或者可以shell訪問的時候，很可能會出現安全問題。只有當你確切的知道你在做什么的時候，才可以使用這個選項。我們需要注意，這些安全問題不僅會影響到VSFTPD，也會影響讓本地用戶進入chroot環境的FTPdaemon。6、查看ftp狀態，如果開啟失敗，可能是21端口沒開，如圖6-4所示。cxg@lcxg:~$sudoservicevsftpdstatus#查看狀態圖6-4查看ftp狀態6.5任務檢查6.5.1在CentOS7.4系統按指定要求配置ftp服務1.在虛擬主機CentOS中安裝配置vsftpd服務器必須的包，不允許匿名用戶登錄，用戶連接服務器后顯示信息為“WelcometoblahFTPservice”。2.設置用戶端空閑5分鐘后自動中斷連接，并在中斷連接1分鐘后自動激活連接；設置客戶端連接時的端口范圍在50000和60000之間，以提高了系統的安全性。3.建立2個本地用戶：schema、cookie，密碼與用戶名同名，在根目錄下建立與兩個用戶同名的目錄。本地用戶schema、cookie只能登錄到對應的/schema、/cookie目錄，不能切換到指定目錄以外的目錄。4.限制最多3個用戶登錄ftp服務，并設置開機自動加載該服務。[注：來自2018年江蘇省職業學校信息技術類技能大賽網絡組建與管理競賽樣題][root@localhost~]#vim/etc/vsftpd/vsftpd.conf#12行anonymous_enable=no#不允許匿名用戶登陸60行idle_session_timeout=60#會話連接超時86行ftpd_banner=WelcometoblahFTPservice#FTP服務器歡迎信息100行chroot_local_user=YES#允許本地用戶登陸最后插入allow_writeable_chroot=yes#允許本地用戶寫入accept_timeout=300#空閑連接超時pasv_enable=yes#FTP服務被動連接打開pasv_min_port=50000#連接最小端口pasv_max_port=60000#連接最大端口max_clients=3#登陸FTP服務器用戶數圖6-5ftp服務驗證結果6.5.2在Ubuntu18.04中測試VSFTP服務器現在，我們通過使用下面展示的useradd命令創建一個FTP用戶來測試FTP服務器：$sudouseradd-d/home/cxg-s/bin/bashcxg$sudopasswdcxg然后，我們需要像下面這樣使用echo命令和tee命令來明確地列出文件/etc/vsftpd.userlist中的用戶cxg：$echo"cxg"|sudotee-a/etc/vsftpd.userlist$cat/etc/vsftpd.userlist現在，是時候來測試上面的配置是否具有我們想要的功能了。我們首先測試匿名登錄；我們可以從下面的輸出中很清楚的看到，在這個FTP服務器中是不允許匿名登錄的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:cxg):anonymous530Permissiondenied.Loginfailed.ftp>bye接下來，我們將測試，如果用戶的名字沒有在文件/etc/vsftpd.userlist中，是否能夠登錄。從下面的輸出中，我們看到，這是不可以的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:root):user1530Permissiondenied.Loginfailed.ftp>bye221Goodbye.現在，我們將進行最后一項測試，來確定列在文件/etc/vsftpd.userlist文件中的用戶登錄以后，是否實際處于home目錄。從下面的輸出中可知，是這樣的：#ftp0Connectedto0(0).220WelcometoTecMFTPservice.Name(0:cxg):cxg331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>ls6.6評估評價評價指標及評價內容★★★★★★評價方式基本操作20分安裝VM并