Linux 下Vsftpd.docVIP

【实验名称】 Vsftp服务器的配置 【实验拓扑】 【实验环境】一台虚机，一台真机 【实验目标】 Vsftp服务器的基本配置、权限控制 黑名单/白名单 速度及性能配置 基于IP的虚拟主机配置 【实验原理】 端口 21：用来传输命令，建立控制连接。 20：是数据端口，建立数据连接 FTP的数据传输模式，分为主动传输模式、被动传输模式 主动传输模式（主动FTP）：当FTP的控制连接建立以后，且客户提出目录列表、传输文件时，客户端发出PORT命令与服务器进行协商，FTP服务器使用一个标准的端口20作为服务器端的数据连接端口与客户建立数据连接。端口20只适用于连接的源地址是服务器端的情况，并且在端口20上根本就没有监听进程监听客户请求。 被动传输模式（被动FTP）：当FTP的控制连接建立以后，且客户提出目录列表、传输文件时，客户端发送PASV命令使服务器处于被动传输模式，FTP服务器等待客户与其联系，FTP服务器在非20端口的其他数据传输端口上监听客户的请求。在被动模式下，FTP的数据连接和控制连接的方向是一致的，也就是说，是客户端向服务器端发出一个用于数据传输的连接。客户端的连接端口是发起这个数据连接请求时使用的端口号。 当FTP客户在包过滤防火墙之后对外访问FTP服务器时，需要使用被动模式。因为通常情况下，防火墙允许所有内部向外部的连接通过，但是对于外部向内部发起的连接却存在很多限制。在这种情况下，客户可以正常地和服务器建立控制连接，而如果使用主动模式，ls、put、get等数据传输命令就不能成功运行，因为防火墙会阻塞从外部服务器向内部客户发起的数据传输连接。而使用被动传输模式一般可以解决此类问题，因为在被动模式下，数据连接是由客户机发起的。 FTP使用者分为三类： 本地用户：如果用户在远程FTP服务器上拥有帐号，用户为本地用户。本地用户可以通过输入自己的帐号和口令来进行授权登录。当授权访问的本地用户登录系统后，其登录目录为此用户的自家目录（/home中），本地用户即可下载又可上传 虚拟用户：如果用户在远程FTP服务器上拥有帐号，且此帐号只能用于文件传输服务，和本地用户不一样，它没有自家目录。虚拟用户可以通过输入自己的帐号和口令来进行授权登录。当授权访问的虚拟用户登录系统后，其登录目录为其指定目录，通常情况下虚拟用户即可下载又可上传。 匿名用户：如果用户在远程FTP服务器上没有帐号，则称此用户为匿名用户。若FTP服务器提供匿名访问的功能，则匿名用户可以通过输入帐号（anonymouse或ftp）来进行登录。当匿名用户登录以后，其登录目录为匿名FTP服务器的根目录（/var/ftp）,一般情况下匿名用户FTP服务器只提供下载功能，不提供上传功能或是上传受到一定的限制。一旦控制连接断开，数据连接也会断开。 性能和安全选项 idle_session_timeout=600 //将在用户会话空闲10分钟后被中断 data_connection_timeout=120 //将在数据连接空闲2分钟后被中断 accept_timeout=60 //客户端空闲1分钟后自动中断连接 connect_timeout=60 //并在中断1分钟后自动激活连接 max_clients=200 //最大用户数 max_per_ip=3 //每个客户机的最大连接数为3 max_clients和max_per_ip，只在独立启动时才起作用。使用xinetd启动时将使用另外的配置方法。 local_max_rate=50000 //本地用户的最大传输速率为50字节/s anon_max_rate=30000 //匿名用户的最大传输速率为30字节/s listen_address= //设置在那个IP上地址进行监听 listen_port=2121 //设置监听端口 pasv_min_port=50000 pasv_max_port=60000 //设置客户机连接时服务器响应的端口范围 如果希望用户登录以后不能切换到自家以外的目录，则需设置chroot选项，涉及如下选项 chroot_local_user chroot_list_enable chroot_list_file 有两种设置chroot的方法 设置所有的本地执行chroot,只要将chroot_local_user=YES 设定指定的用户执行chroot,需要如下的设置 chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list //这个文件是自己创建的 用户接口（UI） 提供了一个用户接口并使用客户端协议解释器的服务 客户端协议解释器（CPI） 向远程服务器协议机发送命令并驱动客