如何在Linux中查看vsftp数据库db文件

由于自己的粗心大意,在Linux上搭建vsftp后忘记了原始用户密码,这时就需要查看vsftp登录认证数据库db文件的内容了,那么具体要如何做呢?下面小编就教你如何在Linux中的vsftp查看数据库db文件。

在搭建vsftp的时候,很多人会用db_load为虚拟用户建立数据库文件。但是如果是后任接手,恰好又没有做这方面的交接,就比较麻烦了——比如我,前任做的VSFTP没留下太多资料,只好自己查,好辛苦。

几经周折,终于确认了vsftp的用户名和密码放在一个叫vsftpd_login.db文件中,然而这个文件无法查看内容,完全不知道到底目前有多少用户可以登录vsftp,用户名密码是啥……

查了一下vsftp的虚拟用户,了解到这是通过db_load程序生成的数据库文件,但是网上没啥资料提到如何还原文件,我还傻傻的挨个查找“包含已知的一个用户名密码”的文件,到我写完这篇都没查完呢……

查找db_load程序,放置于/usr/bin目录下,ls -l /usr/bin/db* 看到大批的db_开头的可执行文件,以我的经验,db_dump应该就是可以导出.db文件内容那个与db_load对应的程序了。百度和google上没找到db_dump命令的中文资料,只好查关键词“db_dump man”,结果找到了

http://www.manpagez.com/man/1/db_dump/

使用命令

代码如下:

/usr/bin/db_dump -d a /etc/vsftpd/vsftpd_login.db

终于显示出所有的用户名和密码了,阿弥陀佛,善哉善哉。

为此做个记录纪念一下,给头疼英文的后来者一个标记。

上面就是Linux下查看vsftp数据库db文件的方法介绍了,如果你不慎忘记了原始用户密码文件,可直接查看vsftp文件。

linux系统之pam模块

一、pam简介

Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序.
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的.

二、PAM的配置文件介绍

PAM配置文件有两种写法:

一种是写在/etc/pam.conf文件中,但centos6之后的系统中,这个文件就没有了。
另一种写法是,将PAM配置文件放到/etc/pam.d/目录下,其规则内容都是不包含 service 部分的,即不包含服务名称,而/etc/pam.d 目录下文件的名字就是服务名称。如: vsftpd,login等.,只是少了最左边的服务名列.如:/etc/pam.d/sshd

wKioL1NA4peBfQgzAAIvlHloHRA624.jpg

由上图可以将配置文件分为四列,

第一列代表模块类型

第二列代表控制标记

第三列代表模块路径

第四列代表模块参数

1.PAM的模块类型

Linux-PAM有四种模块类型,分别代表四种不同的任务

它们是:认证管理(auth),账号管理(account),会话管理(session)和密码(password)管理,一个类型可能有多行,它们按顺序依次由PAM模块调用.

管理方式 说明
auth 用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为root等.
account 对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数,或是root用户是否允许在这个终端登录等.
session 这个模块用来定义用户登录前的,及用户退出后所要进行的操作.如:登录连接信息,用户数据的打开与关闭,挂载文件系统等.
password 使用用户信息来更新.如:修改用户密码.

2.PAM的控制标记

PAM使用控制标记来处理和判断各个模块的返回值.(在此只说明简单的认证标记)

控制标记 说明
required 表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕后,PAM 才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功,所有的模块都会返回成功信息。
requisite 与required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.
sufficient 表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息(即使前面有模块fail了,也会把 fail结果忽略掉),把控制权交回应用程序。后面的层叠模块即使使用requisite或者required 控制标志,也不再执行。如果验证失败,sufficient 的作用和 optional 相同
optional 表示即使本行指定的模块验证失败,也允许用户接受应用程序提供的服务,一般返回PAM_IGNORE(忽略).

3.模块路径

模块路径.即要调用模块的位置. 如果是64位系统,一般保存在/lib64/security,如: pam_unix.so

同一个模块,可以出现在不同的类型中.它在不同的类型中所执行的操作都不相同.这是由于每个模块

针对不同的模块类型,编制了不同的执行函数.

4.模块参数

模块参数,即传递给模块的参数.参数可以有多个,之间用空格分隔开,如:

password   required   pam_unix.so nullok obscure min=4 max=8 md5

三、常用的PAM模块介绍

PAM模块 结合管理类型 说明
pam_unix.so auth 提示用户输入密码,并与/etc/shadow文件相比对.匹配返回0
account 检查用户的账号信息(包括是否过期等).帐号可用时,返回0.
password 修改用户的密码. 将用户输入的密码,作为用户的新密码更新shadow文件
pam_shells.so auth

account

如果用户想登录系统,那么它的shell必须是在/etc/shells文件中之一的shell
pam_deny.so account

auth

password

session

该模块可用于拒绝访问
pam_permit.so auth

account

password

session

模块任何时候都返回成功.
pam_securetty.so auth 如果用户要以root登录时,则登录的tty必须在/etc/securetty之中.
pam_listfile.so auth

account

password session

访问应用程的控制开关
pam_cracklib.so password 这个模块可以插入到一个程序的密码栈中,用于检查密码的强度.
pam_limits.so session 定义使用系统资源的上限,root用户也会受此限制,可以通过/etc/security/limits.conf或/etc/security/limits.d/*.conf来设定

四、实例

1、pam_securetty.so

限制root从tty1,tty2,tty5登录(无实际意义,只是演示pam_securetty的用法)

在/etc/pam.d/login中添加如下一行

1
auth  required         pam_securetty.so

wKioL1NBCZDBnx8HAAE9S9snU1U072.jpg

在/etc/pam.d/securetty中将tty1,tty2,tty5注释即可

wKiom1NBCiOhcejdAACA2uoAvRo284.jpg

之后使用root用户再次登录,就会出现

wKiom1NBCsSgE_YiAABRfJTFmxk197.jpg

这么做其实并不是只限制root用户,也可以将其它用户用此方法来限定,当系统安装完成后,使用此方法来增强一下安全性。

2、pam_listfile.so

仅essun用户可以通过ssh远程登录

在/etc/pam.d/sshd文件中添加一条

1
auth       required     pam_listfile.so item=user sense=allow file=/etc/sshdusers onerr=succeed

wKioL1NBBICTVJspAADbjtLO1fM855.jpg

添加两个用户essun和tom

wKiom1NBBDuTICs-AAIjFezjhDo133.jpg

编辑file指定的文件,添加上一个用户essun

1
#echo "essun" >/etc/sshdusers

使用tom用户登录

wKiom1NBAceDbcx_AAHozP5AZ80868.jpg

可以看到提示输入密码,当输入正确的密码后会提示

wKioL1NBAiqgIGzBAAGtYJF6X_0844.jpg

就像输入了错误的密码一样。而在使用essun用户登录则不会出现拒绝登录的提示

wKiom1NBAzSTFyp6AAH9CVc_vro579.jpg

注:此处如果root也使用ssh远程连接,也会受到pam_listfile.so限制的。

其实pam模块的使用方法套路都差不多

如想了解更多的PAM模块的用法请man modules

温馨提示:

如果发生错误,Linux-PAM 可能会改变系统的安全性。这取决于你自己的选择,你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常,Linux-PAM 在发生错误时,倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。

配置 Linux-PAM 时,可能遇到最大的问题可能就是 Linux-PAM 的配置文件/etc/pam.d/*被删除了。如果发生这种事情,你的系统就会被锁住。

有办法可以进行恢复,最好的方法就是用一个备份的镜像来恢复系统,或者登录进单用

户模式然后进行正确的配置。

=====================================完========================================

第二十一章、檔案伺服器之三: FTP 伺服器

FTP (File Transfer Protocol) 可說是最古老的協定之一了,主要是用來進行檔案的傳輸,尤其是大型檔案的傳輸使用 FTP 更是方便!不過,值得注意的是,使用 FTP 來傳輸時,其實是具有一定程度的『危險性』, 因為資料在網際網路上面是完全沒有受到保護的『明碼』傳輸方式!但是單純的 FTP 服務還是有其必要性的,例如很多學校就有 FTP 伺服器的架設需求啊!

 


大標題的圖示21.1 FTP 的資料連結原理

FTP (File transfer protocol) 是相當古老的傳輸協定之一,他最主要的功能是在伺服器與用戶端之間進行檔案的傳輸。 這個古老的協定使用的是明碼傳輸方式,且過去有相當多的安全危機歷史。為了更安全的使用 FTP 協定,我們主要介紹較為安全但功能較少的 vsftpd 這個軟體吶。


小標題的圖示2.1.1 FTP 功能簡介

FTP 伺服器的功能除了單純的進行檔案的傳輸與管理之外,依據伺服器軟體的設定架構,它還可以提供幾個主要的功能。 底下我們約略的來談一談:


  • 不同等級的使用者身份:user, guest, anonymous

FTP 伺服器在預設的情況下,依據使用者登入的情況而分為三種不同的身份,分別是: (1)實體帳號,real user;(2)訪客, guest;(3)匿名登入者, anonymous 這三種。這三種身份的使用者在系統上面的使用權限差異很大喔!例如實體用戶取得系統的權限比較完整, 所以可以進行比較多的動作;至於匿名登入者,大概我們就僅提供他下載資源的能力而已,並不許匿名者使用太多主機的資源啊! 當然,這三種人物能夠使用的『線上指令』自然也就不相同囉! ^_^


  • 命令記錄與登錄檔記錄:

FTP 可以利用系統的 syslogd 來進行資料的紀錄, 而記錄的資料包括了使用者曾經下達過的命令與使用者傳輸資料(傳輸時間、檔案大小等等)的紀錄呢! 所以你可以很輕鬆的在 /var/log/ 裡面找到各項登錄資訊喔!


  • 限制使用者活動的目錄: (change root, 簡稱 chroot)

為了避免使用者在你的 Linux 系統當中隨意逛大街 (意指離開使用者自己的家目錄而進入到 Linux 系統的其他目錄去), 所以將使用者的工作範圍『侷限』在使用者的家目錄底下,嗯!實在是個不錯的好主意!FTP 可以限制使用者僅能在自己的家目錄當中活動喔!如此一來,由於使用者無法離開自己的家目錄,而且登入 FTP 後,顯示的『根目錄』就是自己家目錄的內容,這種環境稱之為 change root ,簡稱 chroot ,改變根目錄的意思啦!

這有什麼好處呢?當一個惡意的使用者以 FTP 登入你的系統當中,如果沒有 chroot 的環境下,他可以到 /etc, /usr/local, /home 等其他重要目錄底下去察看檔案資料,尤其是很重要的 /etc/ 底下的設定檔,如 /etc/passwd 等等。如果你沒有做好一些檔案權限的管理與保護,那他就有辦法取得系統的某些重要資訊, 用來『入侵』你的系統呢!所以在 chroot 的環境下,當然就比較安全一些咯!


小標題的圖示21.1.2 FTP 的運作流程與使用到的埠口

FTP 的傳輸使用的是 TCP 封包協定,在第二章網路基礎中我們談過, TCP 在建立連線前會先進行三向交握。不過 FTP 伺服器是比較麻煩一些,因為 FTP 伺服器使用了兩個連線,分別是命令通道與資料流通道 (ftp-data) 。這兩個連線都需要經過三向交握, 因為是 TCP 封包嘛!那麼這兩個連線通道的關係是如何呢?底下我們先以 FTP 預設的主動式 (active) 連線來作個簡略的說明囉:

FTP 伺服器的主動式連線示意圖
圖 21.1-1、FTP 伺服器的主動式連線示意圖
簡單的連線流程就如上圖所示,至於連線的步驟是這樣的:

  1. 建立命令通道的連線
    如上圖所示,用戶端會隨機取一個大於 1024 以上的埠口 (port AA) 來與 FTP 伺服器端的 port 21 達成連線, 這個過程當然需要三向交握了!達成連線後用戶端便可以透過這個連線來對 FTP 伺服器下達指令, 包括查詢檔名、下載、上傳等等指令都是利用這個通道來下達的;
  2. 通知 FTP 伺服器端使用 active 且告知連接的埠號
    FTP 伺服器的 21 埠號主要用在命令的下達,但是當牽涉到資料流時,就不是使用這個連線了。 用戶端在需要資料的情況下,會告知伺服器端要用什麼方式來連線,如果是主動式 (active) 連線時, 用戶端會先隨機啟用一個埠口 (圖 21.1-1 當中的 port BB) ,且透過命令通道告知 FTP 伺服器這兩個資訊,並等待 FTP 伺服器的連線;
  3. FTP 伺服器『主動』向用戶端連線
    FTP 伺服器由命令通道瞭解用戶端的需求後,會主動的由 20 這個埠號向用戶端的 port BB 連線, 這個連線當然也會經過三向交握啦!此時 FTP 的用戶端與伺服器端共會建立兩條連線,分別用在命令的下達與資料的傳遞。 而預設 FTP 伺服器端使用的主動連線埠號就是 port 20 囉!

如此一來則成功的建立起『命令』與『資料傳輸』兩個通道!不過,要注意的是, 『資料傳輸通道』是在有資料傳輸的行為時才會建立的通道喔!並不是一開始連接到 FTP 伺服器就立刻建立的通道呢!留意一下囉!


  • 主動式連線使用到的埠號

利用上述的說明來整理一下 FTP 伺服器端會使用到的埠號主要有:

  • 命令通道的 ftp (預設為 port 21) 與
  • 資料傳輸的 ftp-data (預設為port 20)。

再強調一次,這兩個埠口的工作是不一樣的,而且,重要的是兩者的連線發起端是不一樣的!首先 port 21 主要接受來自用戶端的主動連線,至於 port 20 則為 FTP 伺服器主動連線至用戶端呢!這樣的情況在伺服器與用戶端兩者同時為公共 IP (Public IP) 的網際網路上面通常沒有太大的問題,不過,萬一你的用戶端是在防火牆後端,或者是 NAT 伺服器後端呢?會有什麼問題發生呢?底下我們來談一談這個嚴重的問題!


  • 在主動連線的 FTP 伺服器與用戶端之間具有防火牆的連線問題

回想一下我們的第九章防火牆! 一般來說,很多的區域網路都會使用防火牆 (iptables) 的 NAT 功能,那麼在 NAT 後端的 FTP 用戶如何連接到 FTP 伺服器呢? 我們可以簡單的以下圖來說明:

 FTP 用戶端與伺服器端連線中間具有防火牆的連線狀態
圖 21.1-2、 FTP 用戶端與伺服器端連線中間具有防火牆的連線狀態

  1. 用戶與伺服器間命令通道的建立:
    因為 NAT 會主動的記錄由內部送往外部的連線資訊,而由於命令通道的建立是由用戶端向伺服器端連線的, 因此這一條連線可以順利的建立起來的;
  2. 用戶與伺服器間資料通道建立時的通知:
    同樣的,用戶端主機會先啟用 port BB ,並透過命令通道告知 FTP 伺服器,且等待伺服器端的主動連線;
  3. 伺服器主動連到 NAT 等待轉遞至用戶端的連線問題:
    但是由於透過 NAT 的轉換後,FTP 伺服器只能得知 NAT 的 IP 而不是用戶端的 IP , 因此 FTP 伺服器會以 port 20 主動的向 NAT 的 port BB 發送主動連線的要求。 但你的 NAT 並沒有啟動 port BB 來監聽 FTP 伺服器的連線啊!

瞭解問題的所在了嗎?在 FTP 的主動式連線當中,NAT 將會被視為用戶端,但 NAT 其實並非用戶端啊, 這就造成問題了。如果你曾經在 IP 分享器後面連接某些 FTP 伺服器時,可能偶爾會發現明明就連接上 FTP 伺服器了 (命令通道已建立),但是就是無法取得檔案名稱的列表,而是在超過一段時間後顯示『 Can’t build data connection: Connection refused,無法進行資料傳輸』之類的訊息, 那肯定就是這個原因所造成的困擾了。

那有沒有辦法可以克服這個問題呢?難道真的在 Linux NAT 後面就一定無法使用 FTP 嗎?當然不是! 目前有兩個簡易的方法可以克服這個問題:

  • 使用 iptables 所提供的 FTP 偵測模組:其實 iptables 早就提供了許多好用的模組了,這個 FTP 當然不會被錯過! 你可以使用 modprobe這個指令來載入 ip_conntrack_ftp 及 ip_nat_ftp 等模組,這幾個模組會主動的分析『目標是 port 21 的連線』資訊, 所以可以得到 port BB 的資料,此時若接受到 FTP 伺服器的主動連線,就能夠將該封包導向正確的後端主機了! ^_^

    不過,如果你連結的目標 FTP 伺服器他的命令通道預設埠號並非標準的 21 埠號時 (例如某些地下 FTP 伺服器), 那麼這兩個模組就無法順利解析出來了,這樣說,理解嗎?

  • 用戶端選擇被動式 (Passive) 連線模式:除了主動式連線之外,FTP 還提供一種稱為被動式連線的模式,什麼是被動式呢? 既然主動式是由伺服器向用戶端連線,反過來講,被動式就是由用戶端向伺服器端發起連線的囉! 既然是由用戶端發起連線的,那自然就不需要考慮來自 port 20 的連線啦!關於被動式連線模式將在下一小節介紹喔!

小標題的圖示21.1.3 用戶端選擇被動式連線模式

那麼什麼是被動式連線呢?我們可以使用底下的圖示來作個簡略的介紹喔:

FTP 的被動式資料流連線流程
圖 21.1-3、FTP 的被動式資料流連線流程

  1. 用戶與伺服器建立命令通道:
    同樣的需要建立命令通道,透過三向交握就可以建立起這個通道了。
  2. 用戶端發出 PASV 的連線要求:
    當有使用資料通道的指令時,用戶端可透過命令通道發出 PASV 的被動式連線要求 (Passive 的縮寫), 並等待伺服器的回應;
  3. FTP 伺服器啟動資料埠口,並通知用戶端連線:
    如果你的 FTP 伺服器是能夠處理被動式連線的,此時 FTP 伺服器會先啟動一個埠口在監聽。 這個埠口號碼可能是隨機的,也可以自訂某一範圍的埠口,端看你的 FTP 伺服器軟體而定。 然後你的 FTP 伺服器會透過命令通道告知用戶端該已經啟動的埠口 (圖中的 port PASV), 並等待用戶端的連線。
  4. 用戶端隨機取用大於 1024 的埠口進行連接:
    然後你的用戶端會隨機取用一個大於 1024 的埠號來對主機的 port PASV 連線。 如果一切都順利的話,那麼你的 FTP 資料就可以透過 port BB 及 port PASV 來傳送了。

發現上面的不同點了嗎?被動式 FTP 資料通道的連線方向是由用戶端向伺服器端連線的喔! 如此一來,在 NAT 內部的用戶端主機就可以順利的連接上 FTP Server 了!但是,萬一 FTP 主機也是在 NAT 後端那怎麼辦…呵呵!那可就糗了吧~ @_@這裡就牽涉到更深入的 DMZ 技巧了,我們這裡暫不介紹這些深入的技巧,先理解一下這些特殊的連線方向, 這將有助於你未來伺服器架設時候的考慮因素喔!

此外,不曉得你有無發現,透過 PASV 模式,伺服器在沒有特別設定的情況下,會隨機選取大於 1024 的埠口來提供用戶端連接之用。那麼萬一伺服器啟用的埠口被搞鬼怎麼辦?而且, 如此一來也很難追蹤來自入侵者攻擊的登錄資訊啊!所以,這個時候我們可以透過 passive ports 的功能來『限定』伺服器啟用的 port number 喔!


小標題的圖示21.1.4 FTP 的安全性問題與替代方案

其實,在 FTP 上面傳送的資料很可能被竊取,因為 FTP 是明碼傳輸的嘛!而且某些 FTP 伺服器軟體的資安歷史問題也是很嚴重的。 因此,一般來說,除非是學校或者是一些社團單位要開放沒有機密或授權問題的資料之外,FTP 是少用為妙的。

拜 SSH 所賜,目前我們已經有較為安全的 FTP 了,那就是 ssh 提供的 sftp 這個 server 啊!這個 sftp-server 最大的優點就是:『在上面傳輸的資料是經過加密的』!所以在網際網路上面流竄的時候, 嘿嘿!畢竟是比較安全一些啦!所以建議你,除非必要,否則的話使用 SSH 提供的 sftp-server 功能即可~

然而這個功能對於一些習慣了圖形介面,或者是有中文檔名的使用者來說,實在是不怎麼方便, 雖說目前有個圖形介面的 filezilla 用戶端軟體,不過很多時候還是會發生一些莫名的問題說! 所以,有的時候 FTP 網站還是有其存在的需要的。如果真的要架設 FTP 網站,那麼還是得需要注意幾個事項喔:

  1. 隨時更新到最新版本的 FTP 軟體,並隨時注意漏洞訊息;
  2. 善用 iptables 來規定可以使用 FTP 的網域;
  3. 善用 TCP_Wrappers 來規範可以登入的網域;
  4. 善用 FTP 軟體的設定來限制使用你 FTP 伺服器的使用者的不同權限啊;
  5. 使用 Super daemon 來進階管理你的 FTP 伺服器;
  6. 隨時注意使用者的家目錄、以及匿名使用者登入的目錄的『檔案權限』;
  7. 若不對外公開的話,或許也可以修改 FTP 的 port 。
  8. 也可以使用 FTPs 這種加密的 FTP 功能!

無論如何,在網路上聽過太多人都是由於開放 FTP 這個伺服器而導致整個主機被入侵的事件,所以, 這裡真的要給他一直不斷的強調,要注意安全啊!


小標題的圖示21.1.5 開放什麼身份的使用者登入

既然 FTP 是以明碼傳輸,並且某些早期的 FTP 伺服器軟體也有不少的安全性漏洞,那又為何需要架設 FTP 伺服器啊? 沒辦法啊,總是有人有需要這個玩意兒的,譬如說各大專院校不就有提供 FTP 網站的服務嗎? 這樣可以讓校內的同學共同分享校內的網路資源嘛!不過,由於 FTP 登入者的身份可以分為三種, 你到底要開放哪一種身份登入呢?這個時候你可以這樣簡單的思考一下囉:


  • 開放實體用戶的情況 (Real user):

很多的 FTP 伺服器預設就已經允許實體用戶的登入了。不過,需要瞭解的是,以實體用戶做為 FTP 登入者身份時, 系統預設並沒有針對實體用戶來進行『限制』的,所以他可以針對整個檔案系統進行任何他所具有權限的工作。 因此,如果你的 FTP 使用者沒能好好的保護自己的密碼而導致被入侵,那麼你的整個 Linux 系統資料將很有可能被竊取啊! 開放實體用戶時的建議如下:

  • 使用替代的 FTP 方案較佳: 由於實體用戶本來就可以透過網路連接到主機來進行工作 (例如 SSH),因此實在沒有需要特別的開放 FTP 的服務啊!因為例如 sftp 本來就能達到傳輸檔案的功能囉!
  • 限制用戶能力,如 chroot 與 /sbin/nologin 等: 如果確定要讓實體用戶利用 FTP 伺服器的話,那麼你可能需要讓某些系統帳號無法登入 FTP 才行,例如 bin, apache 等等。 最簡單常用的作法是透過 PAM 模組來處理,譬如 vsftpd 這個軟體預設可以透過 /etc/vsftpd/ftpusers 這個檔案來設定不想讓他具有登入 FTP 的帳號。另外,將使用者身份 chroot 是相當需要的!

  • 訪客身份 (Guest)

通常會建立 guest 身份的案例當中,多半是由於伺服器提供了類似『個人 Web 首頁』的功能給一般身份使用者, 那麼這些使用者總是需要管理自己的網頁空間吧?這個時候將使用者的身份壓縮成為 guest ,並且將他的可用目錄設定好,即可提供使用者一個方便的使用環境了!且不需要提供他 real user 的權限喔! 常見的建議如下:

  • 僅提供需要登入的帳號即可,不需要提供系統上面所有人均可登入的環境啊!
  • 當然,我們在伺服器的設定當中,需要針對不同的訪客給他們不一樣的『家目錄』, 而這個家目錄與使用者的權限設定需要相符合喔!例如要提供 dmtsai 這個人管理他的網頁空間,而他的網頁空間放置在 /home/dmtsai/www 底下,那我就將 dmtsai 在 FTP 提供的目錄僅有 /home/dmtsai/www 而已,比較安全啦!而且也方便使用者啊!
  • 針對這樣的身份者,需要設定較多的限制,包括:上下傳檔案數目與硬碟容量的限制、 連線登入的時間限制、許可使用的指令要減少很多很多,例如 chmod 就不要允許他使用等等!

  • 匿名登入使用者 (anonymous)

雖然提供匿名登入給網際網路的使用者進入實在不是個好主意,因為每個人都可以去下載你的資料, 萬一頻寬被吃光光怎麼辦?但如同前面講過的,學校單位需要分享全校同學一些軟體資源時, FTP 伺服器也是一個很不錯的解決方案啊!你說是吧。如果要開放匿名使用者的話,要注意:

  • 無論如何,提供匿名登入都是一件相當危險的事情,因為只要你一不小心, 將重要的資料放置到匿名者可以讀取的目錄中時,那麼就很有可能會洩密!與其戰戰兢兢,不如就不要設定啊~
  • 果真要開放匿名登入時,很多限制都要進行的,這包括:(1)允許的工作指令要減低很多, 幾乎就不許匿名者使用指令啦、(2)限制檔案傳輸的數量,盡量不要允許『上傳』資料的設定、 (3)限制匿名者同時登入的最大連線數量,可以控制盜連喔!

一般來說,如果你是要放置一些公開的、沒有版權糾紛的資料在網路上供人下載的話, 那麼一個僅提供匿名登入的 FTP 伺服器,並且對整個網際網路開放是 OK 的啦! 不過,如果你預計要提供的的軟體或資料是具有版權的,但是該版權允許你在貴單位內傳輸的情況下, 那麼架設一個『僅針對內部開放的匿名 FTP 伺服器 (利用防火牆處理) 』也是 OK 的啦!

如果你還想要讓使用者反饋的話,那是否要架設一個匿名者可上傳的區域呢?鳥哥對這件事情的看法是…. 『萬萬不可』啊!如果要讓使用者反饋的話,除非該使用者是你信任的,否則不要允許對方上傳! 所以此時一個檔案系統權限管理嚴格的 FTP 伺服器,並提供實體用戶的登入就有點需求啦! 總之,要依照你的需求來思考是否有需要喔!


大標題的圖示21.2 vsftpd 伺服器基礎設定

終於要來聊一聊這個簡單的 vsftpd 囉!vsftpd 的全名是『Very Secure FTP Daemon 』的意思, 換句話說,vsftpd 最初發展的理念就是在建構一個以安全為重的 FTP 伺服器呢!我們先來聊一聊為什麼 vsftpd 號稱『非常安全』呢?然後再來談設定吧!


小標題的圖示21.2.1 為何使用 vsftpd

為了建構一個安全為主的 FTP 伺服器, vsftpd 針對作業系統的『程序的權限 (privilege)』概念來設計, 如果你讀過基礎篇的十七章程序與資源管理的話, 應該會曉得系統上面所執行的程式都會引發一個程序,我們稱他為 PID (Process ID), 這個 PID 在系統上面能進行的任務與他擁有的權限有關。也就是說, PID 擁有的權限等級越高, 他能夠進行的任務就越多。舉例來說,使用 root 身份所觸發的 PID 通常擁有可以進行任何工作的權限等級。

不過,萬一觸發這個 PID 的程式 (program) 有漏洞而導致被網路怪客 (cracker) 所攻擊而取得此 PID 使用權時, 那麼網路怪客將會取得這個 PID 擁有的權限吶!所以,近來發展的軟體都會盡量的將服務取得的 PID 權限降低,使得該服務即使不小心被入侵了,入侵者也無法得到有效的系統管理權限,這樣會讓我們的系統較為安全的啦。 vsftpd 就是基於這種想法而設計的。

除了 PID 方面的權限之外, vsftpd 也支援 chroot 這個函式的功能,chroot 顧名思義就是『 change root directory 』的意思,那個 root 指的是『根目錄』而非系統管理員。 他可以將某個特定的目錄變成根目錄,所以與該目錄沒有關係的其他目錄就不會被誤用了。

舉例來說,如果你以匿名身份登入我們的 ftp 服務的話,通常你會被限定在 /var/ftp 目錄下工作, 而你看到的根目錄其實就只是 /var/ftp ,至於系統其他如 /etc, /home, /usr… 等其他目錄你就看不到了! 這樣一來即使這個 ftp 服務被攻破了,沒有關係,入侵者還是僅能在 /var/ftp 裡面跑來跑去而已,而無法使用 Linux 的完整功能。自然我們的系統也就會比較安全啦!

vsftpd 是基於上面的說明來設計的一個較為安全的 FTP 伺服器軟體,他具有底下的特點喔:

  • vsftpd 這個服務的啟動者身份為一般使用者,所以對於 Linux 系統的使用權限較低,對於 Linux 系統的危害就相對的減低了。此外, vsftpd 亦利用 chroot() 這個函式進行改換根目錄的動作,使得系統工具不會被 vsftpd 這支服務所誤用;
  • 任何需要具有較高執行權限的 vsftpd 指令均以一支特殊的上層程序所控制, 該上層程序享有的較高執行權限功能已經被限制的相當的低,並以不影響 Linux 本身的系統為準;
  • 絕大部分 ftp 會使用到的額外指令功能 (dir, ls, cd …) 都已經被整合到 vsftpd 主程式當中了,因此理論上 vsftpd 不需要使用到額外的系統提供的指令,所以在 chroot 的情況下,vsftpd 不但可以順利運作,且不需要額外功能對於系統來說也比較安全。
  • 所有來自用戶端且想要使用這支上層程序所提供的較高執行權限之 vsftpd 指令的需求, 均被視為『不可信任的要求』來處理,必需要經過相當程度的身份確認後,方可利用該上層程序的功能。 例如 chown(), Login 的要求等等動作;
  • 此外,上面提到的上層程序中,依然使用 chroot() 的功能來限制使用者的執行權限。

由於具有這樣的特點,所以 vsftpd 會變的比較安全一些咯!底下就開始來談如何設定吧!


小標題的圖示21.2.2 所需要的軟體以及軟體結構

vsftpd 所需要的軟體只有一個,那就是 vsftpd 啊!^_^!如果你的 CentOS 沒有安裝,請利用 yum install vsftpd 來安裝他吧!軟體很小,下載連同安裝不需要幾秒鐘就搞定了!而事實上整個軟體提供的設定檔也少的令人高興!簡單易用就是 vsftpd 的特色啊!這些設定資料比較重要的有:

  • /etc/vsftpd/vsftpd.conf
    嚴格來說,整個 vsftpd 的設定檔就只有這個檔案!這個檔案的設定是以 bash 的變數設定相同的方式來處理的, 也就是『參數=設定值』來設定的,注意, 等號兩邊不能有空白喔!至於詳細的 vsftpd.conf 可以使用 『 man 5 vsftpd.conf 』來詳查。
  • /etc/pam.d/vsftpd
    這個是 vsftpd 使用 PAM 模組時的相關設定檔。主要用來作為身份認證之用,還有一些使用者身份的抵擋功能, 也是透過這個檔案來達成的。你可以察看一下該檔案:

    [root@www ~]# cat /etc/pam.d/vsftpd
    #%PAM-1.0
    session optional pam_keyinit.so    force revoke
    auth    required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
    auth    required pam_shells.so
    auth    include  password-auth
    account include  password-auth
    session required pam_loginuid.so
    session include  password-auth
    

    上面那個 file 後面接的檔案是『限制使用者無法使用 vsftpd 』之意, 也就是說,其實你的限制檔案不見得要使用系統預設值,也可以在這個檔案裡面進行修改啦! ^_^

  • /etc/vsftpd/ftpusers
    與上一個檔案有關係,也就是 PAM 模組 (/etc/pam.d/vsftpd) 所指定的那個無法登入的使用者設定檔啊! 這個檔案的設定很簡單,你只要將『不想讓他登入 FTP 的帳號』寫入這個檔案即可。一行一個帳號,看起來像這樣:

    [root@www ~]# cat /etc/vsftpd/ftpusers
    # Users that are not allowed to login via ftp
    root
    bin
    daemon
    ....(底下省略)....
    

    瞧見沒有?絕大部分的系統帳號都在這個檔案內喔,也就是說,系統帳號預設是沒有辦法使用 vsftpd 的啦! 如果你還想要讓某些使用者無法登入,寫在這裡是最快的!

  • /etc/vsftpd/user_list
    這個檔案是否能夠生效與 vsftpd.conf 內的兩個參數有關,分別是『 userlist_enable, userlist_deny 』。 如果說 /etc/vsftpd/ftpusers 是 PAM 模組的抵擋設定項目,那麼這個 /etc/vsftpd/user_list 則是 vsftpd 自訂的抵擋項目。事實上這個檔案與 /etc/vsftpd/ftpusers 幾乎一模一樣, 在預設的情況下,你可以將不希望可登入 vsftpd 的帳號寫入這裡。不過這個檔案的功能會依據 vsftpd.conf 設定檔內的 userlist_deny={YES/NO} 而不同,這得要特別留意喔!
  • /etc/vsftpd/chroot_list
    這個檔案預設是不存在的,所以你必須要手動自行建立。這個檔案的主要功能是可以將某些帳號的使用者 chroot 在他們的家目錄下!但這個檔案要生效與 vsftpd.conf 內的『 chroot_list_enable, chroot_list_file 』兩個參數有關。 如果你想要將某些實體用戶限制在他們的家目錄下而不許到其他目錄去,可以啟動這個設定項目喔!
  • /usr/sbin/vsftpd
    這就是 vsftpd 的主要執行檔咯!不要懷疑, vsftpd 只有這一個執行檔而已啊!
  • /var/ftp/
    這個是 vsftpd 的預設匿名者登入的根目錄喔!其實與 ftp 這個帳號的家目錄有關啦!

大致上就只有這幾個檔案需要注意而已,而且每個檔案的設定又都很簡單!真是不錯啊!


小標題的圖示21.2.3 vsftpd.conf 設定值說明

事實上,/etc/vsftpd/vsftpd.conf 本身就是一個挺詳細的設定檔,且使用『 man 5 vsftpd.conf 』則可以得到完整的參數說明。 不過我們這裡依舊先將 vsftpd.conf 內的常用參數給他寫出來,希望對你有幫助:


  • 與伺服器環境較相關的設定值

  • connect_from_port_20=YES (NO)
    記得在前一小節提到的主動式連線使用的 FTP 伺服器的 port 嗎?這就是 ftp-data 的埠號;
  • listen_port=21
    vsftpd 使用的命令通道 port,如果你想要使用非正規的埠號,在這個設定項目修改吧! 不過你必須要知道,這個設定值僅適合以 stand alone 的方式來啟動喔!(對於 super daemon 無效)
  • dirmessage_enable=YES (NO)
    當使用者進入某個目錄時,會顯示該目錄需要注意的內容,顯示的檔案預設是 .message ,你可以使用底下的設定項目來修訂!
  • message_file=.message
    當 dirmessage_enable=YES 時,可以設定這個項目來讓 vsftpd 尋找該檔案來顯示訊息!
  • listen=YES (NO)
    若設定為 YES 表示 vsftpd 是以 standalone 的方式來啟動的!預設是 NO 呦!所以我們的 CentOS 將它改為 YES 哩!這樣才能使用 stand alone 的方式來喚醒。
  • pasv_enable=YES (NO)
    支援資料流的被動式連線模式(passive mode),一定要設定為 YES 的啦!
  • use_localtime=YES (NO)
    是否使用本地時間?vsftpd 預設使用 GMT 時間(格林威治),所以預設的 FTP 內的檔案日期會比台灣晚 8 小時,建議修改設定為 YES 吧!
  • write_enable=YES (NO)
    如果你允許使用者上傳資料時,就要啟動這個設定值;
  • connect_timeout=60
    單位是秒,在資料連接的主動式連線模式下,我們發出的連接訊號在 60 秒內得不到用戶端的回應,則不等待並強制斷線咯。
  • accept_timeout=60
    當使用者以被動式 PASV 來進行資料傳輸時,如果伺服器啟用 passive port 並等待 client 超過 60 秒而無回應, 那麼就給他強制斷線!這個設定值與 connect_timeout 類似,不過一個是管理主動連線,一個管理被動連線。
  • data_connection_timeout=300
    如果伺服器與用戶端的資料連線已經成功建立 (不論主動還是被動連線),但是可能由於線路問題導致 300 秒內還是無法順利的完成資料的傳送,那用戶端的連線就會被我們的 vsftpd 強制剔除!
  • idle_session_timeout=300
    如果使用者在 300 秒內都沒有命令動作,強制離線!避免佔著茅坑不拉屎~
  • max_clients=0
    如果 vsftpd 是以 stand alone 方式啟動的,那麼這個設定項目可以設定同一時間,最多有多少 client 可以同時連上 vsftpd 哩!限制使用 FTP 的用量!
  • max_per_ip=0
    與上面 max_clients 類似,這裡是同一個 IP 同一時間可允許多少連線?
  • pasv_min_port=0, pasv_max_port=0
    上面兩個是與 passive mode 使用的 port number 有關,如果你想要使用 65400 到 65410 這 11 個 port 來進行被動式連線模式的連接,可以這樣設定 pasv_max_port=65410 以及 pasv_min_port=65400。 如果是 0 的話,表示隨機取用而不限制。
  • ftpd_banner=一些文字說明
    當使用者連線進入到 vsftpd 時,在 FTP 用戶端軟體上頭會顯示的說明文字。不過,這個設定值資料比較少啦! 建議你可以使用底下的 banner_file 設定值來取代這個項目;
  • banner_file=/path/file
    這個項目可以指定某個純文字檔作為使用者登入 vsftpd 伺服器時所顯示的歡迎字眼。同時,也能夠放置一些讓使用者知道本 FTP 伺服器的目錄架構!

  • 與實體用戶較相關的設定值

  • guest_enable=YES (NO)
    若這個值設定為 YES 時,那麼任何實體帳號,均會被假設成為 guest 喔 (所以預設是不開放的)! 至於訪客在 vsftpd 當中,預設會取得 ftp 這個使用者的相關權限。但可以透過 guest_username 來修改。
  • guest_username=ftp
    在 guest_enable=YES 時才會生效,指定訪客的身份而已。
  • local_enable=YES (NO)
    這個設定值必須要為 YES 時,在 /etc/passwd 內的帳號才能以實體用戶的方式登入我們的 vsftpd 伺服器喔!
  • local_max_rate=0
    實體用戶的傳輸速度限制,單位為 bytes/second, 0 為不限制。
  • chroot_local_user=YES (NO)
    在預設的情況下,是否要將使用者限制在自己的家目錄之內(chroot)?如果是 YES 代表用戶預設就會被 chroot,如果是 NO, 則預設是沒有 chroot。不過,實際還是需要底下的兩個參數互相參考才行。為了安全性,這裡應該要設定成 YES 才好。
  • chroot_list_enable=YES (NO)
    是否啟用 chroot 寫入列表的功能?與底下的 chroot_list_flie 有關!這個項目得要開啟,否則底下的列表檔案會無效。
  • chroot_list_file=/etc/vsftpd.chroot_list
    如果 chroot_list_enable=YES 那麼就可以設定這個項目了!這個項目與 chroot_local_user 有關,詳細的設定狀態請參考 21.2.6 chroot 的說明。
  • userlist_enable=YES (NO)
    是否藉助 vsftpd 的抵擋機制來處理某些不受歡迎的帳號,與底下的參數設定有關;
  • userlist_deny=YES (NO)
    當 userlist_enable=YES 時才會生效的設定,若此設定值為 YES 時,則當使用者帳號被列入到某個檔案時, 在該檔案內的使用者將無法登入 vsftpd 伺服器!該檔案檔名與下列設定項目有關。
  • userlist_file=/etc/vsftpd/user_list
    若上面 userlist_deny=YES 時,則這個檔案就有用處了!在這個檔案內的帳號都無法使用 vsftpd 喔!

  • 匿名者登入的設定值

  • anonymous_enable=YES (NO)
    設定為允許 anonymous 登入我們的 vsftpd 主機!預設是 YES ,底下的所有相關設定都需要將這個設定為 anonymous_enable=YES 之後才會生效!
  • anon_world_readable_only=YES (NO)
    僅允許 anonymous 具有下載可讀檔案的權限,預設是 YES。
  • anon_other_write_enable=YES (NO)
    是否允許 anonymous 具有除了寫入之外的權限?包括刪除與改寫伺服器上的檔案及檔名等權限。預設當然是 NO!如果要設定為 YES,那麼開放給 anonymous 寫入的目錄亦需要調整權限,讓 vsftpd 的 PID 擁有者可以寫入才行!
  • anon_mkdir_write_enable=YES (NO)
    是否讓 anonymous 具有建立目錄的權限?預設值是 NO!如果要設定為 YES, 那麼 anony_other_write_enable 必須設定為 YES !
  • anon_upload_enable=YES (NO)
    是否讓 anonymous 具有上傳資料的功能,預設是 NO,如果要設定為 YES ,則 anon_other_write_enable=YES 必須設定。
  • deny_email_enable=YES (NO)
    將某些特殊的 email address 抵擋住,不讓那些 anonymous 登入!如果以 anonymous 登入伺服器時,不是會要求輸入密碼嗎?密碼不是要你輸入你的 email address 嗎?如果你很討厭某些 email address, 就可以使用這個設定來將他取消登入的權限!需與下個設定項目配合:
  • banned_email_file=/etc/vsftpd/banned_emails
    如果 deny_email_enable=YES 時,可以利用這個設定項目來規定哪個 email address 不可登入我們的 vsftpd 喔!在上面設定的檔案內,一行輸入一個 email address 即可!
  • no_anon_password=YES (NO)
    當設定為 YES 時,表示 anonymous 將會略過密碼檢驗步驟,而直接進入 vsftpd 伺服器內喔!所以一般預設都是 NO 的!(登入時會檢查輸入的 emai)
  • anon_max_rate=0
    這個設定值後面接的數值單位為 bytes/秒 ,限制 anonymous 的傳輸速度,如果是 0 則不限制(由最大頻寬所限制),如果你想讓 anonymous 僅有 30 KB/s 的速度,可以設定『anon_max_rate=30000』
  • anon_umask=077
    限制 anonymous 上傳檔案的權限!如果是 077 則 anonymous 傳送過來的檔案權限會是 -rw——- 喔!

  • 關於系統安全方面的一些設定值

  • ascii_download_enable=YES (NO)
    如果設定為 YES ,那麼 client 就優先 (預設) 使用 ASCII 格式下載檔案。
  • ascii_upload_enable=YES (NO)
    與上一個設定類似的,只是這個設定針對上傳而言!預設是 NO
  • one_process_model=YES (NO)
    這個設定項目比較危險一點~當設定為 YES 時,表示每個建立的連線都會擁有一支 process 在負責,可以增加 vsftpd 的效能。不過, 除非你的系統比較安全,而且硬體配備比較高,否則容易耗盡系統資源喔!一般建議設定為 NO 的啦!
  • tcp_wrappers=YES (NO)
    當然我們都習慣支援 TCP Wrappers 的啦!所以設定為 YES 吧!
  • xferlog_enable=YES (NO)
    當設定為 YES 時,使用者上傳與下載檔案都會被紀錄起來。記錄的檔案與下一個設定項目有關:
  • xferlog_file=/var/log/xferlog
    如果上一個 xferlog_enable=YES 的話,這裡就可以設定了!這個是登錄檔的檔名啦!
  • xferlog_std_format=YES (NO)
    是否設定為 wu ftp 相同的登錄檔格式?預設為 NO ,因為登錄檔會比較容易讀! 不過,如果你有使用 wu ftp 登錄檔的分析軟體,這裡才需要設定為 YES
  • dual_log_enable=YES, vsftpd_log_file=/var/log/vsftpd.log
    除了 /var/log/xferlog 的 wu-ftp 格式登錄檔之外,還可以具有 vsftpd 的獨特登錄檔格式喔!如果你的 FTP 伺服器並不是很忙碌, 或許訂出兩個登錄檔的撰寫 (/var/log/{vsftpd.log,xferlog) 是不錯的。
  • nopriv_user=nobody
    我們的 vsftpd 預設以 nobody 作為此一服務執行者的權限。因為 nobody 的權限相當的低,因此即使被入侵,入侵者僅能取得 nobody 的權限喔!
  • pam_service_name=vsftpd
    這個是 pam 模組的名稱,我們放置在 /etc/pam.d/vsftpd 即是這個咚咚!

上面這些是常見的 vsftpd 的設定參數,還有很多參數我沒有列出來,你可以使用 man 5 vsftpd.conf 查閱喔!不過,基本上上面這些參數已經夠我們設定 vsftpd 囉。


小標題的圖示21.2.4 vsftpd 啟動的模式

vsftpd 可以使用 stand alone 或 super daemon 的方式來啟動,我們 CentOS 預設是以 stand alone 來啟動的。 那什麼時候應該選擇 stand alone 或者是 super daemon 呢?如果你的 ftp 伺服器是提供給整個網際網路來進行大量下載的任務,例如各大專院校的 FTP 伺服器,那建議你使用 stand alone 的方式, 服務的速度上會比較好。如果僅是提供給內部人員使用的 FTP 伺服器,那使用 super daemon 來管理即可啊。


  • 利用 CentOS 提供的 script 來啟動 vsftpd (stand alone)

其實 CentOS 不用作任何設定就能夠啟動 vsftpd 囉!是這樣啟動的啦:

[root@www ~]# /etc/init.d/vsftpd start
[root@www ~]# netstat -tulnp| grep 21
tcp  0  0 0.0.0.0:21  0.0.0.0:*   LISTEN   11689/vsftpd
# 看到囉,是由 vsftpd 所啟動的呢!

  • 自行設定以 super daemon 來啟動 (有必要再進行,不用實作)

如果你的 FTP 是很少被使用的,那麼利用 super daemon 來管理不失為一個好主意。 不過若你想要使用 super daemon 管理的話,那就得要自行修改一下設定檔了。其實也不難啦,你應該要這樣處理的:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 找到 listen=YES 這一行:大約在 109 行左右啦,並將它改成:
listen=NO

接下來修改一下 super daemon 的設定檔,底下這個檔案你必須要自行建立的,原本是不存在的喔:

[root@www ~]# yum install xinetd   <==假設 xinetd 沒有安裝時
[root@www ~]# vim /etc/xinetd.d/vsftpd
service ftp
{
        socket_type             = stream
        wait                    = no
        user                    = root
        server                  = /usr/sbin/vsftpd
        log_on_success          += DURATION USERID
        log_on_failure          += USERID
        nice                    = 10
        disable                 = no
}

然後嘗試啟動看看呢:

[root@www ~]# /etc/init.d/vsftpd stop
[root@www ~]# /etc/init.d/xinetd restart
[root@www ~]# netstat -tulnp| grep 21
tcp  0  0 0.0.0.0:21  0.0.0.0:*   LISTEN   32274/xinetd

有趣吧!兩者啟動的方式可不一樣啊!管理的方式就會差很多的呦!不管你要使用哪種啟動的方式,切記不要兩者同時啟動,否則會發生錯誤的!你應該使用 chkconfig –list 檢查一下這兩種啟動的方式,然後依據你的需求來決定用哪一種方式啟動。鳥哥底下的設定都會以 stand alone 這個 CentOS 預設的啟動模式來處理,所以趕緊將剛剛的動作給他改回來喔!


小標題的圖示21.2.5 CentOS 的 vsftpd 預設值

在 CentOS 的預設值當中,vsftpd 是同時開放實體用戶與匿名使用者的,CentOS 的預設值如下:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 1. 與匿名者有關的資訊:
anonymous_enable=YES        <==支援匿名者的登入使用 FTP 功能

# 2. 與實體用戶有關的設定
local_enable=YES            <==支援本地端的實體用戶登入
write_enable=YES            <==允許使用者上傳資料 (包括檔案與目錄)
local_umask=022             <==建立新目錄 (755) 與檔案 (644) 的權限

# 3. 與伺服器環境有關的設定
dirmessage_enable=YES       <==若目錄下有 .message 則會顯示該檔案的內容
xferlog_enable=YES          <==啟動登錄檔記錄,記錄於 /var/log/xferlog
connect_from_port_20=YES    <==支援主動式連線功能
xferlog_std_format=YES      <==支援 WuFTP 的登錄檔格式
listen=YES                  <==使用 stand alone 方式啟動 vsftpd
pam_service_name=vsftpd     <==支援 PAM 模組的管理
userlist_enable=YES         <==支援 /etc/vsftpd/user_list 檔案內的帳號登入管控!
tcp_wrappers=YES            <==支援 TCP Wrappers 的防火牆機制

上面各項設定值請自行參考 21.2.3 的詳細說明吧。而通過這樣的設定值咱們的 vsftpd 可以達到如下的功能:

  • 你可以使用 anonymous 這個匿名帳號或其他實體帳號 (/etc/passwd) 登入;
  • anonymous 的家目錄在 /var/ftp ,且無上傳權限,亦已經被 chroot 了;
  • 實體用戶的家目錄參考 /etc/passwd,並沒有被 chroot,可前往任何有權限可進入的目錄中;
  • 任何於 /etc/vsftpd/ftpusers 內存在的帳號均無法使用 vsftpd (PAM);
  • 可利用 /etc/hosts.{allow|deny} 來作為基礎防火牆;
  • 當用戶端有任何上傳/下載資訊時,該資訊會被紀錄到 /var/log/xferlog 中;
  • 主動式連線的埠口為 port 20;
  • 使用格林威治時間 (GMT)。

所以當你啟動 vsftpd 後,你的實體用戶就能夠直接利用 vsftpd 這個服務來傳輸他自己的資料了。 不過比較大的問題是,因為 vsftpd 預設使用 GMT 時間,因為你在用戶端使用 ftp 軟體連接到 FTP 伺服器時,會發現每個檔案的時間都慢了八小時了!真是討厭啊! 所以建議你加設一個參數值,就是『 use_localtime=YES 』囉!

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 在這個檔案當中的最後一行加入這一句即可
use_localtime=YES

[root@www ~]# /etc/init.d/vsftpd restart
[root@www ~]# chkconfig vsftpd on

如此一來你的 FTP 伺服器不但可以提供匿名帳號來下載 /var/ftp 的資料,如果使用實體帳號來登入的話, 就能夠進入到該使用者的家目錄底下去了!真是很簡單方便的一個設定啊!且使用本地端時間呢! ^_^

另外,如果你預計要將 FTP 開放給 Internet 使用時,請注意得要開放防火牆喔!關於防火牆的建置情況, 由於牽涉到資料流的主動、被動連線方式,因此,還得要加入防火牆模組。這部份我們在後續的21.2.8 小節再加以介紹,反正,最終記得要開放 FTP 的連線要求就對了!


小標題的圖示21.2.6 針對實體帳號的設定

雖然在 CentOS 的預設情況當中實體用戶已經可以使用 FTP 的服務了,不過我們可能還需要一些額外的功能來限制實體用戶。 舉例來說,限制使用者無法離開家目錄 (chroot)、限制下載速率、限制使用者上傳檔案時的權限 (mask) 等等。 底下我們先列出一些希望達到的功能,然後再繼續進行額外功能的處理:

  • 希望使用台灣本地時間取代 GMT 時間;
  • 使用者登入時顯示一些歡迎訊息的資訊;
  • 系統帳號不可登入主機 (亦即 UID 小於 500 以下的帳號);
  • 一般實體用戶可以進行上傳、下載、建立目錄及修改檔案等動作;
  • 使用者新增的檔案、目錄之 umask 希望設定為 002;
  • 其他主機設定值保留預設值即可。

你可以自行處理 vsftpd.conf 這個檔案,以下則是一個範例。注意,如果你的 vsftpd.conf 沒有相關設定值, 請自行補上吧!OK!讓我們開始一步一步來依序處理先:

  1. 先建立主設定檔 vsftpd.conf,這個設定檔已經包含了主要設定值:
    [root@www ~]# vim /etc/vsftpd/vsftpd.conf
    # 1. 與匿名者相關的資訊,在這個案例中將匿名登入取消:
    anonymous_enable=NO
    
    # 2. 與實體用戶相關的資訊:可寫入,且 umask 為 002 喔!
    local_enable=YES
    write_enable=YES
    local_umask=002
    userlist_enable=YES
    userlist_deny=YES
    userlist_file=/etc/vsftpd/user_list  <==這個檔案必須存在!還好,預設有此檔案!
    
    # 3. 與伺服器環境有關的設定
    use_localtime=YES
    dirmessage_enable=YES
    xferlog_enable=YES
    connect_from_port_20=YES
    xferlog_std_format=YES
    listen=YES
    pam_service_name=vsftpd
    tcp_wrappers=YES
    banner_file=/etc/vsftpd/welcome.txt <==這個檔案必須存在!需手動建立!
    
    [root@www ~]# /etc/init.d/xinetd restart  <==取消 super dameon
    [root@www ~]# /etc/init.d/vsftpd restart
    
  2. 建立歡迎訊息:當我們想讓登入者可查閱咱們系統管理員所下達的『公告』事項時,可以使用這個設定!那就是 banner_file=/etc/vsftpd/welcome.txt 這個參數的用途了!我們可以編輯這個檔案即可。 好了,開始來建立歡迎畫面吧!
    [root@www ~]# vim /etc/vsftpd/welcome.txt
    歡迎光臨本小站,本站提供 FTP 的相關服務!
    主要的服務是針對本機實體用戶提供的,
    若有任何問題,請與鳥哥聯絡!
    
  3. 建立限制系統帳號登入的檔案再來是針對系統帳號來給予抵擋的機制,其實有兩個檔案啦,一個是 PAM 模組管的,一個是 vsftpd 主動提供的, 在預設的情況下這兩個檔案分別是:
    • /etc/vsftpd/ftpusers:就是 /etc/pam.d/vsftpd 這個檔案的設定所影響的;
    • /etc/vsftpd/user_list:由 vsftpd.conf 的 userlist_file 所設定。

    這兩個檔案的內容是一樣的哩~並且這兩個檔案必須要存在才行。請你參考你的 /etc/passwd 設定檔, 然後將 UID 小於 500 的帳號名稱給他同時寫到這兩個檔案內吧!一行一個帳號!

    [root@www ~]# vim /etc/vsftpd/user_list
    root
    bin
    ....(底下省略)....
    
  4. 測試結果:你可以使用圖形介面的 FTP 用戶端軟體來處理,也可以透過 Linux 本身提供的 ftp 用戶端功能哩! 關於 ftp 指令我們已經在第五章談過了,你可以自行前往參考。這裡直接測試一下吧:
    # 測試使用已知使用者登入,例如 dmtsai 這個實體用戶:
    [root@www ~]# ftp localhost
    Trying 127.0.0.1...
    Connected to localhost (127.0.0.1).
    220-歡迎光臨本小站,本站提供 FTP 的相關服務!   <==剛剛建立的歡迎訊息
    220-主要的服務是針對本機實體用戶提供的,
    220-若有任何問題,請與鳥哥聯絡!
    220
    Name (localhost:root): student
    331 Please specify the password.
    Password:  <==輸入密碼囉在這裡!
    500 OOPS: cannot change directory:/home/student  <==有講登入失敗的原因喔!
    Login failed.
    ftp> bye
    221 Goodbye.
    

    由於預設一般用戶無法登入 FTP 的!因為 SELinux 的問題啦!請參考下個小節的方式來處理。 然後以上面的方式測試完畢後,你可以在登入者帳號處分別填寫 (1)root (2)anonymous 來嘗試登入看看! 如果不能登入的話,那就是設定 OK 的啦!(root 不能登入是因為 PAM 模組以及 user_list 設定值的關係, 而匿名無法登入,是因為我們 vsftpd.conf 裡頭就是設定不能用匿名登入嘛!)

上面是最簡單的實體帳號相關設定。那如果你還想要限制使用者家目錄的 chroot 或其他如速限等資料,就得要看看底下的特殊設定項目囉。


  • 實體帳號的 SELinux 議題

在預設的情況下,CentOS 的 FTP 是不允許實體帳號登入取得家目錄資料的,這是因為 SELinux 的問題啦! 如果你在剛剛的 ftp localhost 步驟中,在 bye 離開 FTP 之前下達過『 dir 』的話,那你會發現沒有任何資料跑出來~ 這並不是你錯了,而是 SELinux 不太對勁的緣故。那如何解決呢?這樣處理即可:

[root@www ~]# getsebool -a | grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off            <==就是這玩意兒!要設定 on 才行!
....(底下省略)....

[root@www ~]# setsebool -P ftp_home_dir=1

這樣就搞定囉!如果還有其他可能發生錯誤的原因,包括檔案資料使用 mv 而非使用 cp 導致 SELinux 檔案類型無法繼承原有目錄的類型時,那就請自行查閱 /var/log/messages 的內容吧!通常 SELinux 沒有這麼難處理的啦!^_^


  • 對使用者 (包括未來新增用戶) 進行 chroot

在鳥哥接觸的一般 FTP 使用環境中,大多數都是要開放給廠商連線來使用的,給自己人使用的機會雖然也有, 不過使用者數量通常比較少一些。所以囉,鳥哥現在都是建議預設讓實體用戶通通被 chroot, 而允許不必 chroot 的帳號才需要額外設定。這樣的好處是,新建的帳號如果忘記進行 chroot,反正原本就是 chroot, 比較不用擔心如果該帳號是開給廠商時該怎辦的問題。

現在假設我系統裡面僅有 vbird 與 dmtsai 兩個帳號不要被 chroot,其他如 student, smb1… 等帳號通通預設是 chroot 的啦,包括未來新增帳號也全部預設 chroot!那該如何設定?很簡單,三個設定值加上一個額外設定檔就搞定了!步驟如下:

# 1. 修改 vsftpd.conf 的參數值:
[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 增加是否設定針對某些使用者來 chroot 的相關設定呦!
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

# 2. 建立不被 chroot 的使用者帳號列表,即使沒有任何帳號,此檔案也是要存在!
[root@www ~]# vim /etc/vsftpd/chroot_list
vbird
dmtsai

[root@www ~]# /etc/init.d/vsftpd restart

如此一來,除了 dmtsai 與 vbird 之外的其他可用 FTP 的帳號者,通通會被 chroot 在他們的家目錄下, 這樣對系統比較好啦!接下來,請你自己分別使用有與沒有被 chroot 的帳號來連線測試看看。


  • 限制實體用戶的總下載流量 (頻寬)

你可不希望頻寬被使用者上傳/下載所耗盡,而影響咱們伺服器的其他正常服務吧?所以限制使用者的傳輸頻寬有時也是需要的! 假設『我要限制所有使用者的總傳輸頻寬最大可達 1 MBytes/秒 』時,你可以這樣做即可:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 增加底下這一個參數即可:
local_max_rate=1000000  <==記住喔,單位是 bytes/second

[root@www ~]# /etc/init.d/vsftpd restart

上述的單位是 Bytes/秒,所以你可以依據你自己的網路環境來限制你的頻寬!這樣就給他限制好囉!有夠容易吧! 那怎麼測試啊?很簡單,用本機測試最準!你可以用 dd 做出一個 10MB 的檔案放在 student 的家目錄下,然後用 root 下達 ftp localhost,並輸入 student 的帳密,接下來給他 get 這個新的檔案,就能夠在最終知道下載的速度啦!


  • 限制最大同時上線人數與同一 IP 的 FTP 連線數

如果你有限制最大使用頻寬的話,那麼你可能還需要限制最大線上人數才行!舉例來說,你希望最多只有 10 個人同時使用你的 FTP 的話,並且每個 IP 來源最多只能建立一條 FTP 的連線時,那你可以這樣做:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 增加底下的這兩個參數:
max_clients=10
max_per_ip=1

[root@www ~]# /etc/init.d/vsftpd restart

這樣就搞定了!讓你的 FTP 不會人滿為患吶!


  • 建立嚴格的可使用 FTP 的帳號列表

在預設的環境當中,我們是將『不許使用 FTP 的帳號寫入 /etc/vsftpd/user_list 檔案』,所以沒有寫入 /etc/vsftpd/user_list 當中的使用者就能夠使用 FTP 了!如此一來,未來新增的使用者預設都能夠使用 FTP 的服務。 如果換個角度來思考,若我想只讓某些人可以使用 FTP 而已,亦即是新增的使用者預設不可使用 FTP 這個服務的話那麼應該如何作呢?你需要修改設定檔成為這樣:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 這幾個參數必須要修改成這樣:
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list

[root@www ~]# /etc/init.d/vsftpd restart

則此時『寫入 /etc/vsftpd/user_list 變成可以使用 FTP 的帳號』了! 所以未來新增的使用者如果要能夠使用 FTP 的話,就必須要寫入 /etc/vsftpd/user_list 才行! 使用這個機制請特別小心,否則容易搞混掉~

透過這幾個簡單的設定值,相信 vsftpd 已經可以符合大部分合法 FTP 網站的需求囉! 更多詳細的用法則請參考 man 5 vsftpd.conf 吧!

例題:

假設你因為某些特殊需求,所以必須要開放 root 使用 FTP 傳輸檔案,那麼你應該要如何處理?

答:

由於系統帳號無法使用 FTP 是因為 PAM 模組與 vsftpd 的內建功能所致,亦即是 /etc/vsftpd/ftpusers 及 /etc/vsftpd/user_list 這兩個檔案的影響。所以你只要進入這兩個檔案,並且將 root 那一行註解掉,那 root 就可以使用 vsftpd這個 FTP 服務了。 不過,不建議如此作喔!

小標題的圖示21.2.7 僅有匿名登入的相關設定

雖然你可以同時開啟實體用戶與匿名用戶,不過建議你,伺服器還是依據需求,針對單一種身份來設定吧! 底下我們將針對匿名用戶來設定,且不開放實體用戶。一般來說,這種設定是給類似大專院校的 FTP 伺服器來使用的哩!

  • 使用台灣本地的時間,而非 GMT 時間;
  • 提供歡迎訊息,說明可提供下載的資訊;
  • 僅開放 anonymous 的登入,且不需要輸入密碼;
  • 檔案傳輸的速限為 1 Mbytes/second;
  • 資料連接的過程 (不是命令通道!) 只要超過 60 秒沒有回應,就強制 Client 斷線!
  • 只要 anonymous 超過十分鐘沒有動作,就予以斷線;
  • 最大同時上線人數限制為 50 人,且同一 IP 來源最大連線數量為 5 人;


  • 預設的 FTP 匿名者的根目錄所在: ftp 帳號的家目錄

OK!那如何設定呢?首先我們必須要知道的是匿名使用者的目錄在哪裡? 事實上匿名者預設登入的根目錄是以 ftp 這個使用者的家目錄為主,所以你可以使用『 finger ftp 』來查閱。 咱們的 CentOS 預設的匿名者根目錄在 /var/ftp/ 中。且匿名登入者在使用 FTP 服務時,他預設可以使用『 ftp 』 這個使用者身份的權限喔,只是被 chroot 到 /var/ftp/ 目錄中就是了。

因為匿名者只會在 /var/ftp/ 當中瀏覽,所以你必須將要提供給使用者下載的資料通通給放置到 /var/ftp/ 去。 假設你已經放置了 linux 的相關目錄以及 gnu 的相關軟體到該目錄中了,那我們可以這樣做個假設:

[root@www ~]# mkdir /var/ftp/linux
[root@www ~]# mkdir /var/ftp/gnu

然後將 vsftpd.conf 的資料清空,重新這樣處理他吧:

  1. 建立 vsftpd.conf 的設定資料
    [root@www ~]# vim /etc/vsftpd/vsftpd.conf
    # 將這個檔案的全部內容改成這樣:
    # 1. 與匿名者相關的資訊:
    anonymous_enable=YES
    no_anon_password=YES        <==匿名登入時,系統不會檢驗密碼 (通常是email)
    anon_max_rate=1000000       <==最大頻寬使用為 1MB/s 左右
    data_connection_timeout=60  <==資料流連線的 timeout 為 60 秒
    idle_session_timeout=600    <==若匿名者發呆超過 10 分鐘就斷線
    max_clients=50              <==最大連線與每個 IP 的可用連線
    max_per_ip=5
    
    # 2. 與實體用戶相關的資訊,本案例中為關閉他的情況!
    local_enable=NO
    
    # 3. 與伺服器環境有關的設定
    use_localtime=YES
    dirmessage_enable=YES
    xferlog_enable=YES
    connect_from_port_20=YES
    xferlog_std_format=YES
    listen=YES
    pam_service_name=vsftpd
    tcp_wrappers=YES
    banner_file=/etc/vsftpd/anon_welcome.txt <==檔名有改喔!
    
    [root@www ~]# /etc/init.d/vsftpd restart
    
  2. 建立歡迎畫面與下載提示訊息各位親愛的觀眾朋友!要注意~在這個案例當中,我們將歡迎訊息設定在 /etc/vsftpd/anon_welcome.txt 這個檔案中, 至於這個檔案的內容你可以這樣寫 (這個檔案一定要存在!否則會造成用戶端無法連線成功喔!):
    [root@www ~]# vim /etc/vsftpd/anon_welcome.txt
    歡迎光臨本站所提供的 FTP 服務!
    本站主要提供 Linux 作業系統相關檔案以及 GNU 自由軟體喔!
    有問題請與站長聯絡!謝謝大家!
    主要的目錄為:
    
    linux   提供 Linux 作業系統相關軟體
    gnu     提供 GNU 的自由軟體
    uploads 提供匿名的您上傳資料
    

    看到囉!主要寫的資料都是針對一些公告事項就是了!

  3. 用戶端的測試:密碼與歡迎訊息是重點!同樣的,我們使用 ftp 這個軟體來給他測試一下吧!
    [root@www ~]# ftp localhost
    Connected to localhost (127.0.0.1).
    220-歡迎光臨本站所提供的 FTP 服務!   <==底下這幾行中文就是歡迎與提示訊息!
    220-本站主要提供 Linux 作業系統相關檔案以及 GNU 自由軟體喔!
    220-有問題請與站長聯絡!謝謝大家!
    220-主要的目錄為:
    220-
    220-linux   提供 Linux 作業系統相關軟體
    220-gnu     提供 GNU 的自由軟體
    220-uploads 提供匿名的您上傳資料
    220
    Name (localhost:root): anonymous  <==匿名帳號名稱是要背的!
    230 Login successful.               <==沒有輸入密碼即可登入呢!
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> dir
    227 Entering Passive Mode (127,0,0,1,196,17).
    150 Here comes the directory listing.
    drwxr-xr-x    2 0        0            4096 Aug 08 16:37 gnu
    -rw-r--r--    1 0        0              17 Aug 08 14:18 index.html
    drwxr-xr-x    2 0        0            4096 Aug 08 16:37 linux
    drwxr-xr-x    2 0        0            4096 Jun 25 17:44 pub
    226 Directory send OK.
    ftp> bye
    221 Goodbye.
    

    看到否?這次可就不需要輸入任何密碼了,因為是匿名登入嘛!而且,如果你以其他的帳號來嘗試登入時, 那麼 vsftpd 會立刻回應僅開放匿名的訊息喔!(530 This FTP server is anonymous only.)


  • 讓匿名者可上傳/下載自己的資料 (權限開放最大)

在上列的資料當中,實際上匿名使用者僅可進行下載的動作而已。如果你還想讓匿名者可以上傳檔案或者是建立目錄的話, 那你還需要額外增加一些設定才行:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 新增底下這幾行啊!
write_enable=YES
anon_other_write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES

[root@www ~]# /etc/init.d/vsftpd restart

如果你設定上面四項參數,則會允許匿名者擁有完整的建立、刪除、修改檔案與目錄的權限。 不過,實際要生效還需要 Linux 的檔案系統權限正確才行! 我們知道匿名者取得的身份是 ftp ,所以如果想讓匿名者上傳資料到 /var/ftp/uploads/ 中,則需要這樣做:

[root@www ~]# mkdir /var/ftp/uploads
[root@www ~]# chown ftp /var/ftp/uploads

然後你以匿名者身份登入後,就會發現匿名者的根目錄多了一個 /upload 的目錄存在了,並且你可以在該目錄中上傳檔案/目錄喔! 如此一來系統的權限大開!很要命喔!所以,請仔細的控制好你的上傳目錄才行!

不過,在實際測試當中,卻發現還是沒辦法上傳呢!怎麼回事啊?如果你有去看一下 /var/log/messages 的話,那就會發現啦! 又是 SELinux 這傢伙呢!怎麼辦?就透過『 sealert -l … 』在 /var/log/messages 裡面觀察到的指令丟進去, 立刻就知道解決方案啦!解決方案就是放行 SELinux 的匿名 FTP 規則如下:

[root@www ~]# setsebool -P allow_ftpd_anon_write=1
[root@www ~]# setsebool -P allow_ftpd_full_access=1

然後你再測試一下用 anonymous 登入,到 /uploads 去上傳個檔案吧!就會知道能不能成功哩!


  • 讓匿名者僅具有上傳權限,不可下載匿名者上傳的東西

一般來說,使用者上傳的資料在管理員尚未查閱過是否合乎版權等相關事宜前,是不應該讓其他人下載的! 然而前一小節的設定當中,使用者上傳的資料是可以被其他人所瀏覽與下載的!如此一來實在是很危險!所以如果你要設定 /var/ftp/uploads/ 內透過匿名者上傳的資料中,僅能上傳不能被下載時,那麼被上傳的資料的權限就得要修改一下才行! 請將前一小節所設定的四個參數簡化成為:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 將這幾行給他改一改先!記得要拿掉 anon_other_write_enable=YES
write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES
chown_uploads=YES        <==新增的設定值在此!
chown_username=daemon

[root@www ~]# /etc/init.d/vsftpd restart

當然啦,那個 /var/ftp/uploads/ 還是需要可以被 ftp 這個使用者寫入才行!如此一來被上傳的檔案將會被修改檔案擁有者成為 daemon 這個使用者,而 ftp (匿名者取得的身份) 是無法讀取 daemon 的資料的,所以也就無法被下載囉! ^_^

例題:

在上述的設定後,我嘗試以 anonymous 登入並且上傳一個大檔案到 /uploads/ 目錄下。由於網路的問題,這個檔案傳到一半就斷線。 下在我重新上傳時,卻告知這個檔案無法覆寫!該如何是好?

答:

為什麼會無法覆寫呢?因為這個檔案在你離線後,檔案的擁有者就被改為 daemon 了!因為這個檔案不屬於 ftp 這個用戶了, 因此我們無法進行覆寫或刪除的動作。此時,你只能更改本地端檔案的檔名再次的上傳,重新從頭一直上傳囉!


  • 被動式連線埠口的限制

FTP 的連線分為主動式與被動式,主動式連線比較好處理,因為都是透過伺服器的 port 20 對外主動連線, 所以防火牆的處理比較簡單。被動式連線就比較麻煩~因為預設 FTP 伺服器會隨機取幾個沒有在使用當中的埠口來建立被動式連線,那防火牆的設定就麻煩啦!

沒關係,我們可以透過指定幾個固定範圍內的埠口來作為 FTP 的被動式資料連接之用即可, 這樣我們就能夠預先知道 FTP 資料連結的埠口啦!舉例來說,我們假設被動式連接的埠口為 65400 到 65410 這幾個埠口時,可以這樣設定:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 增加底下這幾行即可啊!
pasv_min_port=65400
pasv_max_port=65410

[root@www ~]# /etc/init.d/vsftpd restart

匿名使用者的設定大致上這樣就能符合你的需求囉!其他的設定就自己看著辦吧! ^_^


小標題的圖示21.2.8 防火牆設定

防火牆設定有什麼難的?將第九章裡面的 script 拿出來修改即可啊!不過,如同前言談到的,FTP 使用兩個埠口,加上常有隨機啟用的資料流埠口,以及被動式連線的伺服器埠口等, 所以,你可能得要進行:

  • 加入 iptables 的 ip_nat_ftp, ip_conntrack_ftp 兩個模組
  • 開放 port 21 給網際網路使用
  • 開放前一小節提到的 port 65400~65410 埠口給 Internet 連線用

要修改的地方不少,那就讓我們來一步一腳印吧!

# 1. 加入模組:雖然 iptables.rule 已加入模組,不過系統檔案還是修改一下好了:
[root@www ~]# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
# 加入模組即可!兩個模組中間有空白鍵隔開!然後重新啟動 iptables 服務囉!

[root@www ~]# /etc/init.d/iptables restart

# 2. 修改 iptables.rule 的腳本如下:
[root@www ~]# vim /usr/local/virus/iptables/iptables.rule
iptables -A INPUT -p TCP -i $EXTIF --dport  21  --sport 1024:65534 -j ACCEPT
# 找到上面這一行,並將前面的註解拿掉即可!並且新增底下這一行喔!
iptables -A INPUT -p TCP -i $EXTIF --dport 65400:65410 --sport 1024:65534 -j ACCEPT

[root@www ~]# /usr/local/virus/iptables/iptables.rule

這樣就好了!同時兼顧主動式與被動式的連線!並且加入所需要的 FTP 模組囉!


小標題的圖示21.2.9 常見問題與解決之道

底下說明幾個常見的問題與解決之道吧!

  • 如果在 Client 端上面發現無法連線成功,請檢查:
    1. iptables 防火牆的規則當中,是否開放了 client 端的 port 21 登入?
    2. 在 /etc/hosts.deny 當中,是否將 client 的登入權限擋住了?
    3. 在 /etc/xinetd.d/vsftpd 當中,是否設定錯誤,導致 client 的登入權限被取消了?
  • 如果 Client 已經連上 vsftpd 伺服器,但是卻顯示『 XXX file can’t be opend 』的字樣,請檢查:
    1. 最主要的原因還是在於在 vsftpd.conf 當中設定了檢查某個檔案,但是你卻沒有將該檔案設定起來, 所以,請檢查 vsftpd.conf 裡面所有設定的檔案檔名,使用 touch 這個指令將該檔案建立起來即可!
  • 如果 Client 已經連上 vsftpd 伺服器,卻無法使用某個帳號登入,請檢查:
    1. 在 vsftpd.conf 裡面是否設定了使用 pam 模組來檢驗帳號,以及利用 userlist_file 來管理帳號?
    2. 請檢查 /etc/vsftpd/ftpusers 以及 /etc/vsftpd/user_list 檔案內是否將該帳號寫入了?
  • 如果 Client 無法上傳檔案,該如何是好?
    1. 最可能發生的原因就是在 vsftpd.conf 裡面忘記加上這個設定『write_enable=YES』這個設定,請加入;
    2. 是否所要上傳的目錄『權限』不對,請以 chmod 或 chown 來修訂;
    3. 是否 anonymous 的設定裡面忘記加上了底下三個參數:
      • anon_other_write_enable=YES
      • anon_mkdir_write_enable=YES
      • anon_upload_enable=YES
    4. 是否因為設定了 email 抵擋機制,又將 email address 寫入該檔案中了!?請檢查!
    5. 是否設定了不許 ASCII 格式傳送,但 Client 端卻以 ASCII 傳送呢?請在 client 端以 binary 格式來傳送檔案!
    6. 檢查一下 /var/log/messages ,是否被 SELinux 所抵擋住了呢?

上面是蠻常發現的錯誤,如果還是無法解決你的問題,請你務必分析一下這兩個檔案:/var/log/vsftpd.log 與 /var/log/messages ,裡面有相當多的重要資料,可以提供給你進行除錯喔!不過 /var/log/vsftpd.log 卻預設不會出現! 只有 /var/log/xferlog 而已。如果你想要加入 /var/log/vsftpd.log 的支援,可以這樣做:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log
# 加入這兩個設定值即可呦!

[root@www ~]# /etc/init.d/vsftpd restart

這樣未來有新連線或者是錯誤時,就會額外寫一份 /var/log/vsftpd.log 去喔!


大標題的圖示21.3 用戶端的圖形介面 FTP 連線軟體

用戶端的連線軟體主要有文字介面的 ftp 及 lftp 這兩支指令,詳細的使用方式請參考第五章常用網路指令的說明。至於 Linux 底下的圖形介面軟體,可以參考 gftp 這支程式喔!圖形介面的啦!很簡單啊!那 Windows 底下有沒有相對應的 FTP 用戶端軟體?


小標題的圖示21.3.1 Filezilla

上述的軟體都是自由軟體啊,那麼 Windows 作業系統有沒有自由軟體啊?有的,你可以使用 filezilla 這個好東西!這個玩意兒的詳細說明與下載點可以在底下的連結找到:

目前 (2011/06) 最新的穩定版本是 3.5.x 版,所以底下鳥哥就以這個版本來跟大家說明。為什麼要選擇 Filezilla 呢?除了他是自由軟體之外,這傢伙竟然可以連結到 SSH 的 sftp 呢!真是很不錯的一個傢伙啊!^_^!另外要注意的是,底下鳥哥是以 Windows 版本來說明的,不要拿來在 X window 上面安裝喔!^_^ (請下載 Filezilla client 不是 server 喔!)

因為這個程式是給 Windows 安裝用的,所以安裝的過程就是…(下一步)^n 就好了!並且這個程式支援多國語系, 所以你可以選擇繁體中文呢!實在是很棒!安裝完畢之後,請你執行他,就會出現如下的畫面了:

Filezilla 的操作介面示意圖
圖 21.3-1、Filezilla 的操作介面示意圖
上圖的 第一、二到五區的內容所代表的資料是:

  1. 第一區:代表 FTP 伺服器的輸出資訊,例如歡迎訊息等資訊;
  2. 第二區:代表本機的檔案系統目錄,與第三區有關;
  3. 第三區:代表第二區所選擇的磁碟內容為何;
  4. 第四區:代表遠端 FTP 伺服器的目錄與檔案;
  5. 第五區:代表傳輸時的佇列資訊 (等待傳送的資料)

而另外圖中的 a, b, c 則代表的是:

  1. 站台管理員,你可以將一些常用的 FTP 伺服器的 IP 與使用者資訊記錄在此;
  2. 更新,如果你的資料有更新,可使用這個按鈕來同步 filezilla 的螢幕顯示;
  3. 主機位址、使用者、密碼與連接埠這四個玩意兒可以即時連線,不記錄資訊。

好,接下來我們連接到 FTP 伺服器上面去,所以你可按下圖 21.3-1 的 a 部分,會出現如下畫面:

Filezilla 的 FTP 站台管理員使用示意圖
圖 21.3-2、Filezilla 的 FTP 站台管理員使用示意圖
上圖的箭頭與相關的內容是這樣的:

  1. 先按下『新增站台』的按鈕,然後在箭頭 2 的地方就會出現可輸入名稱的方框;
  2. 在該方框當中隨便填寫一個你容易記錄的名字,只要與真正的網站有點關連即可;
  3. 接下來看到右邊有一般設定,在一般設定裡面幾個項目很重要的:
    • 主機:在這個方框中填寫主機的 IP,連接埠如果不是標準的 port 21 才填寫其他埠口。
    • 協定:主要有 (1)FTP 及 (2)SFTP (SSHD 所提供),我們這裡選 FTP
    • 加密:是否有網路加密,新的協定中,FTP 可以加上 TLS 的 FTPS 喔!預設為明碼
    • 登入型式:因為需要帳號密碼,選擇『一般』即可,然後底下就是輸入使用者、帳號即可。

基本上這樣設定完就能夠連上主機了,不過,如果你還想要更詳細的規範資料連接的方式 (主動式與被動式) 以及其他資料時, 可以按下的『傳輸設定』按鈕,就會出現如下畫面了:

Filezilla 站台管理員內的傳輸設定
圖 21.3-3、Filezilla 站台管理員內的傳輸設定
在這個畫面當中你可以選擇是否使用被動式傳輸機制,還可以調整最大連線數呢!為什麼要自我限制呢? 因為 Filezilla 會主動的重複建立多條連線來快速下載,但如果 vsftpd.conf 有限制 max_per_ip 的話, 某些下載會被拒絕的!因此,這個時候在此設定為 1 就顯的很重要~隨時只有一支連線建立,就不會有重複登入的問題! 最後請按下圖 21.3-2 畫面中的『連線』吧!

Filezilla 連線成功示意圖
圖 21.3-4、Filezilla 連線成功示意圖
更多的用法就請你自行研究囉!


小標題的圖示21.3.2 透過瀏覽器取得 FTP 連線

我們在 第二十章 WWW 伺服器當中曾經談過瀏覽器所支援的協定,其中一個就是 ftp 這個協定囉!這個協定的處理方式可以在網址列的地方這樣輸入的:

  • ftp://username@your_ip

要記得,如果你沒有輸入那個 username@ 的字樣時,系統預設會以匿名登入來處理這次的連線。因此如果你想要使用實體用戶連線時, 就在在 IP 或主機名稱之前填寫你的帳號。舉例來說,鳥哥的 FTP 伺服器 (192.168.100.254) 若有 dmtsai 這個使用者, 那我啟動瀏覽器後,可以這樣做:

  • ftp://dmtsai@192.168.100.254

然後在出現的對話視窗當中輸入 dmtsai 的密碼,就能夠使用瀏覽器來管理我在 FTP 伺服器內的檔案系統囉!是否很容易啊 甚至,你連密碼都想要寫上網址列,那就更厲害啦!

  • ftp://dmtsai:yourpassword@192.168.100.254

大標題的圖示21.4 讓 vsftpd 增加 SSL 的加密功能

既然 http 都有 https 了,那麼使用明碼傳輸的 ftp 有沒有加密的 ftps 呢?嘿嘿!說的好!有的啦~既然都有 openssl 這個加密函式庫, 我們當然能夠使用類似的機制來處理 FTP 囉!但前提之下是你的 vsftpd 有支援 SSL 函式庫才行!此外,我們也必須要建立 SSL 的憑證檔給 vsftpd 使用,這樣才能夠進行加密嘛!瞭解乎!接下來,就讓我們一步一步的進行 ftps 的伺服器建置吧!


  • 1. 檢查 vsftpd 有無支援 ssl 模組:

如果你的 vsftpd 當初編譯的時候沒有支援 SSL 模組,那麼你就得只好自己重新編譯一個 vsftpd 的軟體了!我們的 CentOS 有支援嗎? 趕緊來瞧瞧:

[root@www ~]# ldd $(which vsftpd) | grep ssl
        libssl.so.10 => /usr/lib64/libssl.so.10 (0x00007f0587879000)

如果有出現 libssl.so 的字樣,就是有支援!這樣才能夠繼續下一步呦!


  • 2. 建立專門給 vsftpd 使用的憑證資料:

CentOS 給我們一個建立憑證的地方,那就是 /etc/pki/tls/certs/ 這個目錄!詳細的說明我們在 20.5.2 裡面談過咯,所以這裡只介紹怎麼做:

[root@www ~]# cd /etc/pki/tls/certs
[root@www certs]# make vsftpd.pem
----- ....(前面省略)....
Country Name (2 letter code) [XX]:TW
State or Province Name (full name) []:Taiwan
Locality Name (eg, city) [Default City]:Tainan
Organization Name (eg, company) [Default Company Ltd]:KSU
Organizational Unit Name (eg, section) []:DIC
Common Name (eg, your name or your server's hostname) []:www.centos.vbird
Email Address []:root@www.centos.vbird

[root@www certs]# cp -a vsftpd.pem /etc/vsftpd/
[root@www certs]# ll /etc/vsftpd/vsftpd.pem
-rw-------. 1 root root 3116 2011-08-08 16:52 /etc/vsftpd/vsftpd.pem
# 要注意一下權限喔!

  • 3. 修改 vsftpd.conf 的設定檔,假定有實體、匿名帳號:

在前面 21.2 裡面大多是單純匿名或單純實體帳戶,這裡我們將實體帳號透過 SSL 連線,但匿名者使用明碼傳輸! 兩者同時提供給用戶端使用啦!FTP 的設定項目主要是這樣:

  • 提供實體帳號登入,實體帳號可上傳資料,且 umask 為 002
  • 實體帳號預設為 chroot 的情況,且全部實體帳號可用頻寬為 1Mbytes/second
  • 實體帳號的登入與資料傳輸均需透過 SSL 加密功能傳送;
  • 提供匿名登入,匿名者僅能下載,不能上傳,且使用明碼傳輸 (不透過 SSL)

此時,整體的設定值會有點像這樣:

[root@www ~]# vim /etc/vsftpd/vsftpd.conf
# 實體帳號的一般設定項目:
local_enable=YES
write_enable=YES
local_umask=002
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
local_max_rate=10000000

# 匿名者的一般設定:
anonymous_enable=YES
no_anon_password=YES
anon_max_rate=1000000
data_connection_timeout=60
idle_session_timeout=600

# 針對 SSL 所加入的特別參數!每個項目都很重要!
ssl_enable=YES              <==啟動 SSL 的支援
allow_anon_ssl=NO           <==但是不允許匿名者使用 SSL 喔!
force_local_data_ssl=YES    <==強制實體用戶資料傳輸加密
force_local_logins_ssl=YES  <==同上,但連登入時的帳密也加密
ssl_tlsv1=YES               <==支援 TLS 方式即可,底下不用啟動
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/vsftpd.pem <==預設 RSA 加密的憑證檔案所在

# 一般伺服器系統設定的項目:
max_clients=50
max_per_ip=5
use_localtime=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
tcp_wrappers=YES
banner_file=/etc/vsftpd/welcome.txt
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log
pasv_min_port=65400
pasv_max_port=65410

[root@www ~]# /etc/init.d/vsftpd restart

  • 4. 連線測試看看!使用 Filezilla 連線測試:

接下來我們利用 filezilla 來說明一下,如何透過 SSL/TLS 功能來進行連線加密。很簡單,只要在站台管理員的地方選擇:

透過 Filezilla 連線到 SSL/TLS 支援的 FTP 方式
圖 21.4-1、透過 Filezilla 連線到 SSL/TLS 支援的 FTP 方式
如上圖所示,重點在箭頭所指的地方,需要透過 TLS 的加密方式才行!然後,鳥哥嘗試使用 student 這個一般帳號登入系統, 連線的時候,應該會出現如下的圖示才對:

是否接受憑證呢?
圖 21.4-2、透過 Filezilla 是否接受憑證呢?
如果一切都沒有問題,那麼你可以點選上圖那個『總是信任』的項目,如此一來,未來連線到這個地方就不會再次要你確認憑證啦! 很簡單的解決了 FTP 連線加密的問題囉!^_^

例題:

想一想,既然有了 SFTP 可以進行加密的 FTP 傳輸,那為何需要 ftps 呢?

答:

因為既然要開放 SFTP 的話,就得要同時放行 sshd 亦即是 ssh 的連線,如此一來,你的 port 22 很可能會常常被偵測~若是 openssl, openssh 出問題,恐怕你的系統就會被綁架。如果你的 FTP 真的有必要存在,那麼透過 ftps 以及利用 vsftpd 這個較為安全的伺服器軟體來架設, 理論上,是要比 sftp 來的安全些~至少對 Internet 放行 ftps 還不會覺得很可怕…

大標題的圖示21.5 重點回顧

  • FTP 是檔案傳輸協定 (File Transfer Protocol) 的簡寫,主要的功能是進行伺服器與用戶端的檔案管理、傳輸等事項;
  • FTP 的伺服器軟體非常多,例如 Wu FTP, Proftpd, vsftpd 等等,各種 FTP 伺服器軟體的發展理念並不相同, 所以選擇時請依照你的需求來決定所需要的軟體;
  • FTP 使用的是明碼傳輸,而過去一些 FTP 伺服器軟體也曾被發現安全漏洞,因此設定前請確定該軟體已是最新版本,避免安全議題的衍生;
  • 由於 FTP 是明碼傳輸,其實可以使用 SSH 提供的 sftp 來取代 FTP ;
  • 大多數的 FTP 伺服器軟體都提供 chroot 的功能,將實體用戶限制在他的家目錄內;
  • FTP 這個 daemon 所開啟的正規埠口為 20 與 21 ,其中 21 為命令通道, 20 為主動連線的資料傳輸通道;
  • FTP 的資料傳輸方式主要分為主動與被動(Passive, PASV),如果是主動的話,則 ftp-data 在伺服器端主動以 port 20 連接到用戶端,否則需開放被動式監聽的埠口等待用戶端來連接;
  • 在 NAT 主機內的用戶端 FTP 軟體連線時可能發生困擾,這可以透過 iptables 的 nat 模組或利用被動式連線來克服;
  • 一般來說, FTP 上面共有三個群組,分別是實體用戶、訪客與匿名登入者(real, guest, anonymous);
  • 可以藉由修改 /etc/passwd 裡面的 Shell 欄位,來讓使用者僅能使用 FTP 而無法登入主機;
  • FTP 的指令、與使用者活動所造成的登錄檔是放置在 /var/log/xferlog 裡面;
  • vsftpd 為專注在安全議題上而發展的一套 FTP 伺服器軟體,他的設定檔在 /etc/vsftpd/vsftpd.conf

大標題的圖示21.6 本章習題

  • FTP 在建立連線以及資料傳輸時,會建立哪些連線?
    需建立兩種連線,分別是命令通道與資料傳輸通道。在主動式連線上為 port 21(ftp) 與 port 20(ftp-data)。
  • FTP 主動式與被動式連線有何不同?
    主動式連線的時候,命令連線是由 client 端主動連接到伺服器端,但是 ftp-data 則是由伺服器端主動的連線到 client 端。至於被動式連線的時候,則不論 command 還是 ftp-data 的連線,伺服器端都是監聽客戶端的要求的!
  • 有哪些動作可以讓你的 FTP 主機更為安全 (secure) ?
    • 隨時更新伺服器軟體到最新版本;
    • 讓 guest 與 anonymous 的家目錄限制在固定的目錄中(chroot 或是 restricted);
    • 拒絕 root 的登入或者其他系統帳號的登入;
    • 拒絕大部分的 upload 行為!
  • 我們知道 ftp 會啟用兩個 ports ,請問這兩個 port 在哪裡規範的 (以 vsftpd 為例)?而且,一般正規的 port 是幾號?
    若為 stand alone 時,都是由 vsftpd.conf 規範,命令通道為 listen_port=21 規範,資料連接為 connect_from_port_20=YES 及pasv_max_port=0, pasv_max_port=0 所規範。
    若是 super daemon 所管理時,命令通道則由 /etc/services 所規範了。
  • 那幾個檔案可以用來抵擋類似 root 這種系統帳號的登入 FTP?
    /etc/vsftpd/ftpusers
    /etc/vsftpd/user_list
  • 在 FTP 的 server 與 client 端進行資料傳輸時,有哪兩種模式?為何這兩種模式影響資料的傳輸很重要?
    資料的傳輸有 ASCII 與 Binary 兩種方式,在進行 ascii 傳送方式時,被傳送的檔案將會以文字模式來進行傳送的行為, 因此,檔案的屬性會被修改過,可能造成執行檔最後卻無法執行等的問題!一般來說,ASCII 通常僅用在文字檔案與一些原始碼檔案的傳送。
  • 我的主機明明時區設定沒有問題,但為何登入 vsftpd 這個 FTP 服務時,時間就是少八小時?該如何解決?
    肯定是時區方面出了問題,應該就是 vsftpd.conf 裡面少了『 use_localtime=YES 』這個參數了。

大標題的圖示21.7 參考資料與延伸閱讀