.实验目标
根据公司的业务发展要求,需要面向Internet 搭建一台FTP文件服务器,以提供公测软
件、市场资料的下载,以及员工的一些资源上传分享
1. 测试默认安装vsftpd的结果
匿名用户与本地用户是否可以登录
匿名用户与本地用户登录的家目录在哪里
匿名用户与本地用户登录后的权限
匿名用户登录对共享根目录禁止有写入权限,否则禁止匿名账户登录!
2.禁止匿名用户登录
修改FTP默认端口为2121
禁锢本地用户在自己家目录
3.验证黑/白名单
4.本地用户登录到/data/ftproot目录
up上传/下载,down仅下载。拒绝所有用户登录包括匿名用户
最多20个并发,每IP地址最多2个并发
限制下载速度限制为100KB/s
. 实验步骤
一、测试默认安装vsftpd的结果
实验要求:测试默认安装vsftpd的结果
匿名用户与本地用户是否可以登录
匿名用户与本地用户登录的家目录在哪里
匿名用户与本地用户登录后的权限
(一)服务端设置
一)IP设置
1. 设置ip地址
[root@dhcpser ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
HWADDR=00:0c:29:48:71:56 (MAK地址)
IPADDR=192.168.10.253 (ip地址)
NETMASK=255.255.255.0 (子网掩码)
~
2. 设置网关及主机名
[root@dhcpser ~]# vim /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=yes
HOSTNAME=dhcpser.tarena.com (主机名)
GATEWAY=192.168.10.254 (网关地址)
3. 配置搜索域
[root@dhcpser ~]# vim /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
192.168.10.253 dhcpser.tarena.com dhcpser (搜索域)
4. 重启服务
[root@dhcpser ~]# service network restart
[root@dhcpser ~]# chkconfig network on
5. 验证
[root@dhcpser ~]# ifconfig eth0(验证ip地址)
[root@dhcpser ~]# route -n(验证网络)
[root@dhcpser ~]# hostname (验证主机名)
[root@dhcpser ~]# ping dhcpser.tarena.com(验证搜索域)
二)安装软件包
1 检测是否安装dhcp
[root@dhcpser ~]# rpm -q dhcp
放入RHEL5.9 iso镜像
2. 查看安装软件
[root@dhcpser ~]# cd /misc/cd/Server
[root@dhcpser Server]# ls *vsftpd*
vsftpd-2.0.5-28.el5.x86_64.rpm
3. 安装vsftpd
[root@localhost Server]# rpm -ivh vsftpd-2.0.5-28.el5.x86_64.rpm
warning: vsftpd-2.0.5-28.el5.x86_64.rpm: Header V3 DSA signature:
NOKEY, key ID 37017186
Preparing...
########################################### [100%]
1:vsftpd
########################################### [100%]
4. 检测安装结果
[root@dhcpser Server]# rpm -q vsftpd
vsftpd-2.0.5-28.el5
5. 启动vsftpd服务
[root@dhcpser Server]# service vsftpd restart
[root@dhcpser Server]# chkconfig vsftpd on //开机自启
6. 文件输出
[root@localhost ~]# ls -lh /etc > /var/ftp/pub/etc.txt
7.新建用户
[root@localhost ~]# useradd kaka
[root@localhost ~]# echo "redhat" | passwd --stdin kaka
Changing password for user kaka.
passwd: all authentication tokens updated successfully.
(二)客户端测试
1. 匿名访问的用户ftp
[root@localhost ~]# ftp 192.168.10.253//使用ftp命令访问FTP服务器
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): ftp //匿名FTP用户
331 Please specify the password.
Password: //密码任意
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (192,168,10,253,234,9)
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 11571 Sep 13 20:02 etc.txt
226 Directory send OK.
ftp> get etc.txt //下载
local: etc.txt remote: etc.txt
227 Entering Passive Mode (192,168,10,253,213,17)
150 Opening BINARY mode data connection for etc.txt (11571 bytes).
226 File send OK.
11571 bytes received in 8.9e-05 seconds (1.3e+05 Kbytes/s)
ftp> !ls
anaconda-ks.cfg etc.txt install.log.syslog
Desktop install.log
ftp> put install.log //上传
local: install.log remote: install.log
227 Entering Passive Mode (192,168,10,253,142,214)
550 Permission denied. //失败
ftp> quit
221 Goodbye.
2. 本地用户访问
[root@localhost ~]# lftp 192.168.10.253
lftp 192.168.10.253:~> user kaka
口令:
lftp kaka@192.168.10.253:~> put install.log //上传
33139 bytes transferred //成功
lftp kaka@192.168.10.253:~> ls
-rw-r--r-- 1 500 500 33139 Sep 13 20:26 install.log
tp kaka@192.168.10.253:~> get etc.txt //下载
get: etc.txt: file already exists and xfer:clobber is unset
//成功
tp kaka@192.168.10.253:~>!ls
anaconda-ks.cfg etc.txt install.log.syslog
Desktop install.log
. 结果
匿名用户与本地用户都可以登录
匿名用户登录到/var/ftp,只能下载不能上传
本地用户登录到本地用户的家目录,可以上传和下载
. 问题和经验总结
故障现象:用户登录失败
[root@localhost ~]# ftp 192.168.10.253
ftp: connect: No route to host
ftp>
解决办法:关闭防火墙
[root@localhost ~]# service iptables stop
解决办法:查看服务器IP地址及端口号
[root@localhost~]#vim /etc/sysconfig/network-scripts/ifcfg-eth0
[root@localhost ~]# ifconfig
二.禁止匿名用户登录修改FTP默认端口及禁锢本地用户在自己家目录
实验要求:禁止匿名用户登录
修改FTP默认端口为2121
禁锢本地用户在自己家目录
(一)在服务端配置
1. 修改/etc/vsftpd/文件
[root@dhcpser ~]# cd /etc/vsftpd/
[root@dhcpser vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh
[root@dhcpser vsftpd]#cp vsftpd.conf vsftpd.conf.bak//备份配置文件
[root@dhcpser vsftpd]# vim vsftpd.conf
...
12 anonymous_enable=NO //关闭匿名FTP访问
...
119 listen_port=2121
120 chroot_local_user=YES //禁锢本地用户 --> 宿主目录
注:
anonymous_enable=YES//(默认)允许匿名登录
anon_upload_enable=YES//允许匿名上传文件
anon_mkdir_write_enable=YES//允许匿名创建目录
anon_other_write_enable=YES//允许其他写入权限
write_enable=YES//(默认)允许写入(全局)
anon_umask=022//设置上传文件权限掩码
[root@dhcpser vsftpd]# service vsftpd restart
关闭 vsftpd: [确定]
为 vsftpd 启动 vsftpd: [确定]
2. 重启vsftpd服务
[root@dhcpser vsftpd]# service vsftpd restart
关闭 vsftpd: [确定]
为 vsftpd 启动 vsftpd: [确定]
3. 查看端口
[root@dhcpser vsftpd]# netstat -tulnp | grep vsftpd
tcp 0 0 0.0.0.0:2121 0.0.0.0:* LISTEN 4879/vsftpd
(二)客户端测试
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): ftp //匿名用户
331 Please specify the password.
Password:
530 Login incorrect.
Login failed. //登录失败
ftp> quit
221 Goodbye.
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): kaka //本地用户
331 Please specify the password.
Password:
230 Login successful. //成功
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" //登入位置已变为"/",
//实际是kaka的宿主目录
ftp> ls
227 Entering Passive Mode (192,168,10,253,113,26)
150 Here comes the directory listing.
-rw-r--r-- 1 500 500 33139 Sep 13 20:26 install.log
226 Directory send OK.
三.黑/白名单
实验要求:验证黑/白名单
(一)服务端
1. 新建用户
[root@dhcpser ~]# useradd jerry
[root@dhcpser ~]# useradd mike
[root@dhcpser ~]# echo "redhat" | passwd --stdin jerry
Changing password for user jerry.
passwd: all authentication tokens updated successfully.
[root@dhcpser ~]# echo "redhat" | passwd --stdin mike
Changing password for user mike.
passwd: all authentication tokens updated successfully.
2. 黑名单文件:/etc/vsftpd/ftpusers
[root@dhcpser ~]# vim /etc/vsftpd/ftpusers
kaka
3. 查看
[root@dhcpser ~]# grep kaka /etc/vsftpd/ftpusers
kaka
(二)客户端
1. 验证kaka能否登录FTP
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): kaka
530 Permission denied.
Login failed.
ftp> quit
221 Goodbye.
结论:不能登录
(一)服务端
4. 黑/白名单:/etc/vsftpd/user_list
[root@dhcpser ~]# vim /etc/vsftpd/user_list
jerry
5. 查看
[root@dhcpser ~]# grep jerry /etc/vsftpd/user_list
jerry
(二)客户端
2. 验证jerry能否登录FTP
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): jerry
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> quit
221 Goodbye.
结论:不能登录
6. 修改/etc/vsftpd/vsftpd.conf文件
[root@dhcpser ~]# vim /etc/vsftpd/vsftpd.conf
...
121 userlist_deny=NO
7. 启动vsftpd服务
oot@dhcpser ~]# service vsftpd restart
关闭 vsftpd: [确定]
为 vsftpd 启动 vsftpd: [确定]
(二)客户端
3. 验证jerry能否登录FTP
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): jerry
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quit
221 Goodbye.
结论:登录成功
4. 验证mike能否登录FTP
[root@localhost ~]# ftp 192.168.10.253 2121
Connected to 192.168.10.253.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.10.253:root): kike
530 Permission denied.
Login failed.
ftp> quit
221 Goodbye
验证结论:登录失败
注:实验完毕,请将主配置文件121 userlist_deny=NO注释,将user_list和ftpusers里
面添加的账户去掉
. 问题和经验总结
黑名单文件:/etc/vsftpd/ftpusers
黑/白名单:/etc/vsftpd/user_list
1)将user_list作为黑名单(缺省)
userlist_enable=YES//(默认)启用user_list列表文件
userlist_deny=YES//(默认)
2)改将user_list作为白名单
userlist_enable=YES//(默认)启用user_list列表文件
userlist_deny=NO//将user_list作为白名单
四.连接限制、下载速度限制
实验要求:本地用户登录到/data/ftproot目录
up上传/下载,down仅下载。拒绝所有用户登录包括匿名用户
最多20个并发,每IP地址最多2个并发
限制下载速度限制为100KB/s
(一).客户端
1. 新建用户
[root@dhcpser ~]# useradd down
[root@dhcpser ~]# echo "redhat" | passwd --stdin up
Changing password for user up.
passwd: all authentication tokens updated successfully.
[root@dhcpser ~]# echo "redhat" | passwd --stdin down
Changing password for user down.
passwd: all authentication tokens updated successfully.
2. 修改/etc/vsftpd/vsftpd.conf文件
...
12 anonymous_enable=NO
...
18 write_enable=YES
...
117 userlist_enable=YES
...
121 userlist_deny=NO //将user_list作为白名单
122 local_root=/data/ftproot
123 max_clients=20 //允许的最大并发连接数
124 max_per_ip=2 //每个IP地址最多允许多少连接
125 local_max_rate=100000 //本地用户下载速度,Byte/s
3.启动vsftpd服务
[root@dhcpser ~]# service vsftpd restart
关闭 vsftpd: [确定]
为 vsftpd 启动 vsftpd: [确定]
4. 设置权限
[root@dhcpser ~]# setfacl -m u:up:rwx /data/ftproot/
5. Up,down加入黑/白名单:/etc/vsftpd/user_list
[root@dhcpser ~]# vim /etc/vsftpd/user_list
up
Down
[root@dhcpser ~]# tail -n 2 /etc/vsftpd/user_list
up
down
5.建下载测试文件
[root@dhcpser ~]# dd if=/dev/zero of=/data/ftproot/local.tgz
bs=1M count=1000
1000+0 records in
1000+0 records out
1048576000 bytes (1.0 GB) copied, 7.60703 seconds, 138 MB/s
. 结果验证
[root@dhcpser~]#wget
ftp://up:redhat@192.168.10.253:2121/local.tgz
--2014-09-1423:54:47--
ftp://up:*password*@192.168.10.253:2121/local.tgz
=> `local.tgz'
Connecting to 192.168.10.253:2121... 已连接。
正在以 up 登录 ... 登录成功!
==> SYST ... 完成。 ==> PWD ... 完成。
==> TYPE I ... 完成。 ==> 不需要 CWD。
==> SIZE local.tgz ... 1048576000
==> PASV ... 完成。 ==> RETR local.tgz ... 完成。
长度:1048576000 (1000M)
0% [ ] 6,963,200 97.7K/seta 2h 53m
. 问题和经验总结
建下载测试文件
dd if=/dev/zero of=/var/ftp/anon.tgz bs=1M count=100
dd if=/dev/zero of=/home/用户名/local.tgz bs=1M count=100