聊聊第11章 使用Vsftpd服务传输文件 2023/2/2 11:46:43

高州通

112 V服务程序Linux命令大全的最新消息可以到我们平台网站了解一下，也可以咨询客服人员进行详细的解答！

作为更加安全的文件传输协议服务程序，允许用户以3种认证模式登录FTP服务器。 匿开放模式：是比较不安全的一种认证模式，任何人都可以须密码验证而直接登录到FTP服务器。 本地用户模式：是通过L系统本地的账户密码信息进行认证的模式，相较于匿开放模式更安全，而且配置起来也很简单。但是如果黑客破解了账户的信息，就可以畅通阻地登录FTP服务器，从而完全控制整台服务器。 虚拟用户模式：更安全的一种认证模式，它需要为FTP服务单独建立用户数据库文件，虚拟出用来进行密码验证的账户信息，而这些账户信息在服务器系统中际上是不存在的，仅供FTP服务程序进行认证使用。这样，即使黑客破解了账户信息也法登录服务器，从而有效降低了破坏范围和影响。 是L系统中以命令行界面的方式来管理FTP传输服务的客户端工具。我们首先手动安装这个客户端工具，以便在后续验中查看结果。 [@ ~]# U S M U T R H S M Y L : 0:00:30 T 02 M 2022 09:38:50 PM CST D ======================================================================================== P A V R S ======================================================================================== I: 86_64 017-788 AS 70 T S ======================================================================================== I 1 P T : 70 I : 112 I [N]: D P: R T R T R P : 11 I : -017-78886_64 11 R : -017-78886_64 11 V : -017-78886_64 11 I I: -017-78886_64 C! 如果大家想用W主机测试验的效果，则可以从FZ、FFTP、SFTP、WSCP和C中挑一个喜欢的工具并从上下载。它们的功能会比命令更加强大。 1121 匿访问模式 前文提到，在服务程序中，匿开放模式是比较不安全的一种认证模式。任何人都可以须密码验证而直接登录FTP服务器。这种模式一般用来访问不重要的公开文件（在生产环境中尽量不要存放重要文件）。当然，如果采用第8章中介绍的防火墙管理工具（如TCP W服务程序）将服务程序允许访问的主机范围设置为企业内，也可以提供基本的安全性。 服务程序默认关闭了匿开放模式，我们需要做的就是开放匿用户的上传、下载文件的权限，以及让匿用户创建、删除、更文件的权限。需要注意的是，针对匿用户放开这些权限会带来潜在危险，我们只是为了在L系统中练习配置服务程序而放开了这些权限，不建议在生产环境中如此行事。表11-2罗列了可以向匿用户开放的权限参数以及作用。 表11-2 向匿用户开放的权限参数以及作用 参数 作用 _=YES 允许匿访问模式 _=022 匿用户上传文件的值 __=YES 允许匿用户上传文件 ___=YES 允许匿用户创建目录 ___=YES 允许匿用户修改目录称或删除目录 [@ ~]# 1 _=YES 2 _=022 3 __=YES 4 ___=YES 5 ___=YES 6 _=YES 7 _=YES 8 _=022 9 _=YES 10 _=YES 11 ___20=YES 12 __=YES 13 =NO 14 _6=YES 15 __= 16 _=YES 在服务程序的主配置文件中正确填写参数，然后保存并退出。还需要重启服务程序，让新的配置参数生效。在此需要提醒各位读者，在生产环境中或者在RHCSA、RHCE、RHCA认证考试中一定要把配置过的服务程序加入到开机启动项中，以保证服务器在重启后依然能够正常提供传输服务： [@ ~]# [@ ~]# C - → 现在就可以在客户端执行命令连接到远程的FTP服务器了。在服务程序的匿开放认证模式下，其账户统一为，密码为空。而且在连接FTP服务器后，默认访问的是目录。可以切换到该目录下的目录中，然后尝试创建一个新的目录文件，以检验是否拥有写入权限： [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处敲击回车即可 230 L R UNIX U 250 D 550 P 系统显示拒绝创建目录！我们明明在前面清空了防火墙策略，而且也在服务程序的主配置文件中添加了允许匿用户创建目录和写入文件的权限啊。建议大家先不要着急往下看，而是自己思考一下这个问题的解决办法，以锻炼您的L系统排错能力。 前文提到，在服务程序的匿开放认证模式下，默认访问的是目录。查看该目录的权限得知，只有管理员才有写入权限。怪不得系统会拒绝操作呢！下面将目录的所有者身份改成系统账户即可，这样应该可以了吧 [@ ~]# - -- 2 6 A 13 2022 [@ ~]# -R [@ ~]# - -- 2 6 A 13 2022 [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处敲击回车即可 230 L R UNIX U 250 D 550 C 系统再次报错！尽管在使用命令登入FTP服务器后，在创建目录时系统依然提示操作失败，但是报错信息却发生了变化。在没有写入权限时，系统提示“权限拒绝”（P ），所以刘遄老师怀疑是权限的问题。但现在系统提示“创建目录的操作失败”（C ），想必各位读者也应该意识到是SEL服务在“捣乱”了吧。 下面使用命令查看与FTP相关的SEL域策略都有哪些： [@ ~]# - | __ -- ___ -- __ -- __ -- __ -- __ -- __ -- ___ -- ___ -- ___ -- __ -- __ -- 我们可以根据经验（需要长期培养，别它法）和策略的称判断出是__-- 策略规则导致了操作失败。接下来修改该策略规则，并且在设置时使用-P参数让修改过的策略长时间生效，确保在服务器重启后依然能够顺利写入文件。 [@ ~]# -P __= 等SEL域策略修改完毕后，就能够顺利执行文件的创建、修改及删除等操作了： [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处敲击回车即可 230 L R UNIX U 250 D 257 "" 350 R RNTO 250 R 250 R 221 G 在上面的操作中，由于权限不足，所以我们将目录的所有者设置成用户本身。除了这种方法，也可以通过设置权限的方法让其他用户获取到写入权限（例如777这样的权限）。但是，由于服务自身带有安全保护机制，因此不要直接修改的权限，这有可能导致服务被“安全锁定”而不能登录。一定要记得是对里面的目录修改权限哦： [@ ~]# -R 777 [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处敲击回车即可 500 OOPS: : () L 421 S , T 再次提醒各位读者，在进行下一次验之前，一定记得将虚拟机还原到比较初始的状态，以免多个验相互产生冲突。 1122 本地用户模式 相较于匿开放模式，本地用户模式要更安全，而且配置起来也很简单。如果大家之前用的是匿开放模式，现在就可以将它关了，然后开启本地用户模式。针对本地用户模式的权限参数以及作用如表11-3所示。 表11-3 本地用户模式使用的权限参数以及作用 参数 作用 _=NO 禁止匿访问模式 _=YES 允许本地用户模式 _=YES 设置可写权限 _=022 本地用户模式创建文件的值 _=YES 启用“禁止用户单”，单文件为和_ _=YES 开启用户作用单文件功能 默认情况下本地用户所需的参数都已经存在，不需要修改。而这个参数还是头一次见到，我们一起来看一下。一般被称为“权限掩码”或“权限补码”，能够直接影响到新建文件的权限值。例如在L系统中，新建的普通文件的权限是644，新建的目录的权限是755。虽然大家对此都习以为常，但是有考虑过权限为什么是这些数字么 其，普通文件的默认权限是666，目录的默认权限是777，这都是写在系统配置文件中的。但默认值不等于比较终权限值。参数的默认值是022，根据公式“默认权限＝际权限”，所以普通文件的默认权限到手后就剩下644，而目录文件就剩下755了。 如果大家还不明白，我们再来看一个例子。我们每个人的收入都要纳税，税就相当于值。如果想让每个人到手的收入多一些，那么就减少税（）；如果想让每个人到手的收入少一些，那么就多加税（）。也就是说，际是权限的反掩码，通过它可以调整文件比较终的权限大小。相信这样一来，这样大家应该明白了。 好啦，说的有点远了。接下来配置本地用户的参数： [@ ~]# 1 _=NO 2 _=YES 3 _=YES 4 _=022 5 _=YES 6 _=YES 7 ___20=YES 8 __=YES 9 =NO 10 _6=YES 11 __= 12 _=YES 在服务程序的主配置文件中正确填写参数，然后保存并退出。还需要重启服务程序，让新的配置参数生效。在执行完上一个验并还原虚拟机之后，还需要将配置好的服务添加到开机启动项中，以便在系统重启自后依然可以正常使用服务。 [@ ~]# [@ ~]# C - → 按理来讲，现在已经完全可以用本地用户的身份登录FTP服务器了。但是在使用管理员的身份登录后，系统提示如下的错误信息： [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 530 P L 可见，在我们输入管理员的密码之前，就已经被系统拒绝访问了。这是因为服务程序所在的目录中默认存放着两个为“用户单”的文件（和_）。不知道大家是否已看过一部日本电影“死亡笔记”，里面就提到有一个黑色封皮的小本子，只要将别人的字写进去，这人就会挂掉。服务程序目录中的这两个文件也有类似的功能—只要里面写有某位用户的字，就不再允许这位用户登录到FTP服务器上。 [@ ~]# _ # # I _=NO, # I _=YES (), , # # N # [@ ~]# # U 果然如此！服务程序为了保证服务器的安全性而默认禁止了管理员和大多数系统用户的登录行为，这样可以有效地避免黑客通过FTP服务对管理员密码进行暴力破解。如果您确认在生产环境中使用管理员不会对系统安全产生影响，只需按照上面的提示删除掉用户即可。也可以选择和_文件中不存在的一个普通用户尝试登录FTP服务器： [@ ~]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处输入该用户的密码 230 L R UNIX U 在继续后面的验之前，不知道大家有没有思考过这样一个问题：为什么同样是禁止用户登录的功能，却要制作两个一模一样的文件呢 这个小玄机其就在_文件上面。如果把上面主配置文件中_的参数值改成NO，那么_列表就变成了强制白单。它的功能与之前完全相反，只允许列表内的用户访问，拒绝其他人的访问。 另外，在采用本地用户模式登录FTP服务器后，默认访问的是该用户的家目录，而且该目录的默认所有者、所属组都是该用户自己，因此不存在写入权限不足的情况。但是当前的操作仍然被拒绝，这是因为我们刚才将虚拟机系统还原到比较初的状态了。为此，需要再次开启SEL域中对FTP服务的允许策略： [@ ~]# - | __ -- ___ -- __ -- __ -- __ -- __ -- __ -- ___ -- ___ -- ___ -- __ -- __ -- [@ ~]# -P __= 刘遄老师再啰唆几句。在验课程和生产环境中设置SEL域策略时，一定记得添加-P参数，否则服务器在重启后就会按照原有的策略进行控制，从而导致配置过的服务法使用。 在配置妥当后再使用本地用户尝试登录FTP服务器，分别执行文件的创建、重命及删除等命令。操作均成功！ [@ ]# 1921681010 C 1921681010 (1921681010) 220 (FTP 303) N (1921681010:): 331 P P:此处输入该用户的密码 230 L R UNIX U 257 "" 350 R RNTO 250 R 250 R 221 G 请注意：在完成本验后请先还原虚拟机照再进行下一个验，否则可能导致配置文件冲突而报错。 出现问题大胆提问!