FreeBSD6.2架设FTP服务器详解
网络安全 2021-07-04 10:23www.168986.cn网络安全知识
FTP联机的两种模式
FTP采用 Client/Server 架构,FTP 协议比较特别的地方在于它在使用时必须建立二个联机一个用来传输指令、一个用来传输档案。当我们使用 FTP 软件连到 FTP 器时,客户端会先连到器的连接端口21,并建立一条「控制联机」。接下来,您会输入账号、密码等指令,这些指令及 FTP 的响应都是使用都是使用「控制联机」。当您要下载档案时,或者是执行 ls 以列出目录中的档案时,档案或目录列表的下载是经另一个联机「数据联机」。「数据联机」和「控制联机」不同的是数据联机所传输的数据比较大,而控制联机只是用来传输指令及简单的响应。
基本上,一个完整的 FTP 联机建立过程为客户端打开自已机器大于 1024 的连接端口,并连到器的连接端口21,建立「控制联机」。
客户端开始对器下指令,告诉器客户端用来传输档案的连接端口为何。
器从连接端口20 连到客户端所开放的端口号 (大于 1024),以建立「数据联机」。
上述这种联机建立的方式是由器主动建立「数据联机」,我们称之为「主动模式」(Active Mode)。基本上主动模式的运作在没有防火墙或 NAT 的情形下没有什么问题,但若客户端有防火墙,则可能会无法建立联机。基本上,如果客户端使用的是 FreeBSD 的 NAT 不会有这种问题,FreeBSD 会自动做转换,但若是使用其它的防火墙就不一定可以支持 FTP 的 Active Mode。
要 FTP Active Mode 的问题,可以在联机时改用「被动模式」(Passive Mode)。所谓的被动模式就是由器打开一个连接端口,被动地等客户端连过来建立「数据联机」。被动模式的联机建立过程为客户端打开自已机器大于 1024 的连接端口,并连到器的连接端口21,建立「控制联机」。
客户端开始对器下指令,告诉器进入「被动模式」。
器打开一个大于 1024 的连接端口,等待客户端的联机。
客伺端打开自已机器大于 1024 的连接端口,并连到器以建立「数据联机」。
由于控制联机及数据联机都是由客户端主动连过去器,如此即可避开防火墙及 NAT 的问题。
使用 id,编辑 /etc/id.conf,将 ftp 设定开头的 # 移除 ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l 接下来,我们必须使用下列指令重跑 id # kill -1 `cat /var/run/id.pid` 现在您就可以开始使用 FreeBSD 的 FTP 了。
如果您要以独立的 daemon 方式启动 FTP,请先确定在 id.conf 中没有启动 FTP 。接下来,请在新增一个档案 /usr/local/etc/rc.d/ftpd.sh 内容如下 #!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l"
case $1 in
start)
echo "Starting FTPD"
$ftpd_program $ftpd_flags
;;
s)
echo "Sping FTPD"
killall ftpd
;;
restart)
$0 s
sleep 1
$0 start
;;
esac
编辑完后,我们必须将该档案变成可执行 # chmod 755 /usr/local/etc/rc.d/ftpd.sh 接下来,您就可以使用下列指令启动 FTPD 了 # /usr/local/etc/rc.d/ftpd.sh tart 如果您要停止 FTPD ,则使用下列指令 # /usr/local/etc/rc.d/ftpd.sh s
2 编辑欢迎信息 当我们联机到一个 FTP 站点时,我们可以看到二个欢迎讯息,一个是登入前的讯息,另一个是登入后的讯息。开头为 220- 的就是登入前的讯息,我们称它为欢迎讯息。以 230- 为开头的是登入后的讯息,我们称它为本日讯息 (Message of the day)。这二种讯息我们都可以自行设定。
如果您要设定的是登入前的讯息,请新增一个档案 /etc/ftpwele,并将您的讯息写入该文件中。您不需要写 220- 等数据,FTP 器会自动帮您加上这种代码。而登入后的讯息是存放在 /etc/ftpmotd,您可以编辑该档以进行设定。
3 FTP服务器管理 在启动 FTP 器时,我们可以加入一些参数以调整器的行为。例如,修改预设的连接端口、记录使用者上传、下载的档案等等。有些参数必须要在使用独立的 daemon 方式启动时才有用,而有的参数在 id 模式下也可以使用。下表为我们常用的参数
,还有很多用来控制使用者权限的参数,将在后面说明。
如果您要修改 ftpd 启动的参数,在 id 模式下,您可以修改 /etc/id.conf,并在 ftp 设定的面加入参数,如下列粗体字所示 ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -l -d ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l -l -d 上面的范例中,我们多加入了参数 -l -d,以记录更多 ftpd 的讯息。
如果您是以独立的 Daemon 方式启动 ftpd,则请修改 /usr/local/etc/rc.d/ftpd.sh #!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l -l -d"
... 我们只要修改 ftpd_flags 的部份,加入您所要的参数即可。
4 FTP权限控制 预设的 FTP 启动后,使用者可以上传、下载任何他们有权存取的档案。在登入后,使用者可以进到任何中的目录 (如果目录权限允许的话)。
我们可以设定限制某些账号不可以使用 FTP 登入。使用者在登入 FTP 器时,有几个规则会拒绝该账号登入如果 /var/run/nologin 存在,则所有账号都不可以登入。这个档案可以用来暂时停止 FTP 。
使用者一定要有密码才能登入,没有密码的使用者无法登入。
使用者名称不可以出现在 /etc/ftpusers 中。
使用者群组不可以出现在 /etc/ftpusers 中。
使用者所使用的 shell 必须要时合法的 shell。合法的 shell 会被定义在 /etc/shells 中。
除了匿名模式外,使用者名称不可以是 ftp 或 anonymous。
/etc/ftpusers 定义了不可以使用 FTP 的使用者及群组。看一下该档案的内容,我们可以看到该档案中已经有一些使用者不可以登入 FTP。这些使用者都是预设的账号,我们也可以经由修改它来加入其它使用者。在 /etc/ftpusers 中,如果开头是 "@" 表示群组名称。
除了控制使用者账号外,在「id」模式下,我们还可以控制联机来源。所有 FreeBSD 中由 id 所启动的都可以经由修改 /etc/hosts.allow 以使用 TCP Wrappd 来限制联机来源。下列为预设的 /etc/hosts.allow 内容
# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : .nice.guy.example. : allow
ftpd : .evil.cracker.example. : deny
ftpd : ALL : allow 如果我们要限制某几个 IP 或网域不能使用 FTP,可以使用下列范例 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 210.122.13.5 : deny
ftpd : .evil.cracker : deny
ftpd : ALL : allow 如果您要设定只有某些来源可以使用 FTP,而拒绝大多数的主机,则可以设定 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 192.168.0. : allow
ftpd : my.friend. : allow
ftpd : ALL : deny
在使用者登入后,只要目录、档案权限许可,它们可以自由的上传、下载档案。如果您希望加以限制读写的权限,可以在启动 FTP 时加上下列几个参数
上述的参数必须在启动 FTP 器时指定
@guest
john /var/ftp
@other /var/ftp 其中第一行是设定使用者 alex 登入后,以自己的家目录为根目录。第二行的 @guest 表示只要是群组为 guest 的使用者,都以自己的家目录为根目录。而第三、四行分别表示使用者 john 及群组 other 都以 /var/ftp 为根目录。 只要我们善用 chroot 的功能,就可以加强保护其它目录,让没有权利的使用者不可以进入目录中。建议您在开放 FTP 时,将所有使用者都加入 /etc/ftpchroot 中。
我们平常在登入 FreeBSD 的 FTP 站台时,可以使用 anonymous 或是 ftp 这二个使用者登入,而且在登入时,任何密码都可以通过。这种可以使用 anonymous 登入的 FTP 就叫作匿名 FTP。anonymous 及 ftp 这二个账号是预设的匿名账号,当使用者以匿名登入时,器会将匿名账号对映到内的真实使用者 ftp。所以,如果您要提供匿名的 FTP ,请使用下列指令新增使用者账号 ftp # pw adduser ftp
# mkdir /home/ftp
# chown ftp:ftp /home/ftp
我们建立了使用者 ftp 及其家目录 /home/ftp。使用 pw 指令所建立的使用者在 /etc/master.passwd 中的密码字段预设为 ,表示不可以登入。这个使用者除了匿名 FTP 外,将不可以使用 tel、SSH、或是其它。
匿名使用者权限除上表中的几个参数外,一样可以使用 -r、-o 等用来控制一般使用者权限的参数来控制匿名使用者。
匿名的 FTP 器可以说是危险的开始,如果您没有对匿名的使用者进行权限控制,在开于匿名 FTP 后,将会产生许多安全性的问题。
以上只是针对FreeBSD系统自带的简单ftpd进行的配置应用,如果希望架设更强大的FTP服务器,可以选用proftpd等工具来实现,而且在/usr/ports/ftp目录下就已经加入了proftpd这个工具,具体配置参考本人后续文章。
基本上,一个完整的 FTP 联机建立过程为
要 FTP Active Mode 的问题,可以在联机时改用「被动模式」(Passive Mode)。所谓的被动模式就是由器打开一个连接端口,被动地等客户端连过来建立「数据联机」。被动模式的联机建立过程为
当您登入一台 FTP 器后,如果您输入 ls,却等了很久都没有响应,您可以输入 <Ctrl>+C 以中断命令。接着输入 passive 以进入被动模式,再打 ls 如果可以看到目录内容,则无法联机的问题一定是主动模式的原故。
设定 FTP 器 FreeBSD 内建有 FTP 器的功能,如果您要使用内建的 ftpd,我们不需要特别进行任何的动作,只要做好设定即可。 1 启动FTP服务器 有二种方式启动 ftpd,一种是使用 standalone daemon,另一种是使用 id。 使用 id 我们可以管理许多,例如 tel、ssh、ftp 等,大部份的都是使用 id 来启动,使用它的好处在于可以统一管理各种,并经由它来设定规则,例如是否要阻挡某些 IP 来源等。不过,使用 id 的方式缺点是每次有联机要求时,id 的 daemon 必须依联机的种类去执行相对映的指令,所以速度比较慢。另一种启动 FTP 的方式是使用 standalone daemon,也就是直接执行 FTP daemon,当它接收到新的联机时,就 fork() 出来处理,这种方式联机建立的速度较快,比较适合专门的 FTP 器。使用 id,编辑 /etc/id.conf,将 ftp 设定开头的 # 移除 ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l 接下来,我们必须使用下列指令重跑 id # kill -1 `cat /var/run/id.pid` 现在您就可以开始使用 FreeBSD 的 FTP 了。
如果您要以独立的 daemon 方式启动 FTP,请先确定在 id.conf 中没有启动 FTP 。接下来,请在新增一个档案 /usr/local/etc/rc.d/ftpd.sh 内容如下 #!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l"
case $1 in
start)
echo "Starting FTPD"
$ftpd_program $ftpd_flags
;;
s)
echo "Sping FTPD"
killall ftpd
;;
restart)
$0 s
sleep 1
$0 start
;;
esac
编辑完后,我们必须将该档案变成可执行 # chmod 755 /usr/local/etc/rc.d/ftpd.sh 接下来,您就可以使用下列指令启动 FTPD 了 # /usr/local/etc/rc.d/ftpd.sh tart 如果您要停止 FTPD ,则使用下列指令 # /usr/local/etc/rc.d/ftpd.sh s
2 编辑欢迎信息 当我们联机到一个 FTP 站点时,我们可以看到二个欢迎讯息,一个是登入前的讯息,另一个是登入后的讯息。开头为 220- 的就是登入前的讯息,我们称它为欢迎讯息。以 230- 为开头的是登入后的讯息,我们称它为本日讯息 (Message of the day)。这二种讯息我们都可以自行设定。
如果您要设定的是登入前的讯息,请新增一个档案 /etc/ftpwele,并将您的讯息写入该文件中。您不需要写 220- 等数据,FTP 器会自动帮您加上这种代码。而登入后的讯息是存放在 /etc/ftpmotd,您可以编辑该档以进行设定。
3 FTP服务器管理 在启动 FTP 器时,我们可以加入一些参数以调整器的行为。例如,修改预设的连接端口、记录使用者上传、下载的档案等等。有些参数必须要在使用独立的 daemon 方式启动时才有用,而有的参数在 id 模式下也可以使用。下表为我们常用的参数
参数 | 是否只能在 Daemon 模式下使用 | 意义 |
-a | 是 | 当您有二张卡或是二个 IP 时,我们可以设定只接受联机到某一个 IP 的联机要求。例如 ftpd -D -a 192.168.0.1
此范例表示只接受使用者联机到 192.168.0.1 这个 IP。 |
-d | 否 | 记录 FTP 的除错讯息。除了加入这个参数外,您必须修改 /etc/syslog.conf,并加入下列内容以记录 FTP 的讯息。
!ftpd. /var/log/ftpd.log
|
-h | 否 | 不要显示 FTP 器的主机名称、软件信息、版本等。 |
-l | 否 | 记录 FTP 登入成功及失败的讯息。如果您使用二次 -l,则使用者上传、下载、删除、建立目录时都会留下记录。预设的记录会留在 /var/log/xferlog 中。 |
-P | 是 | 我们知道 FTP 预设会连接埠 21,以接受客户端的联机要求。不过如果您是以独立的 daemon 方式启动 FTP,则 可以使用 -P 加上连接埠号以改变预设连接埠。 |
如果您要修改 ftpd 启动的参数,在 id 模式下,您可以修改 /etc/id.conf,并在 ftp 设定的面加入参数,如下列粗体字所示 ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -l -d ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l -l -d 上面的范例中,我们多加入了参数 -l -d,以记录更多 ftpd 的讯息。
如果您是以独立的 Daemon 方式启动 ftpd,则请修改 /usr/local/etc/rc.d/ftpd.sh #!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l -l -d"
... 我们只要修改 ftpd_flags 的部份,加入您所要的参数即可。
4 FTP权限控制 预设的 FTP 启动后,使用者可以上传、下载任何他们有权存取的档案。在登入后,使用者可以进到任何中的目录 (如果目录权限允许的话)。
我们可以设定限制某些账号不可以使用 FTP 登入。使用者在登入 FTP 器时,有几个规则会拒绝该账号登入
ftpd : localhost : allow
ftpd : .nice.guy.example. : allow
ftpd : .evil.cracker.example. : deny
ftpd : ALL : allow 如果我们要限制某几个 IP 或网域不能使用 FTP,可以使用下列范例 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 210.122.13.5 : deny
ftpd : .evil.cracker : deny
ftpd : ALL : allow 如果您要设定只有某些来源可以使用 FTP,而拒绝大多数的主机,则可以设定 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 192.168.0. : allow
ftpd : my.friend. : allow
ftpd : ALL : deny
在使用者登入后,只要目录、档案权限许可,它们可以自由的上传、下载档案。如果您希望加以限制读写的权限,可以在启动 FTP 时加上下列几个参数
参数 | 意义 |
-o | 限制所有使用者只能上传档案,而无法下载任何档案。 |
-r | 限制所有使用者对于器内所有档案只能只读,不可以建立目录、上传、更改档名、或任何会动到档案目录的指令。 |
一般使用者登入后,预设会进入自己的家目录中。使用者可以改变工作路径到的任何目录中。如果您希望使用者登入后只能在自己的家目录中活动,而不能进入其它目录中,可以使用 chroot 的功能。所谓的 chroot 就是将某一个目录变成使用者看到的根目录。例如,我们让使用者 alex 登入后,将 /home/alex 变成根目录。则 alex 在使用指令「cd /」时,还是会停留在 /home/alex。如果他使用指令「pwd」查看目前所在路径,则会显示 /。如此一来,我们就可以确保使用者不会到处乱跑,进入一些不该进入的地方。这个功能对于提升 FTP 的安全性有莫大的助益。
设定 chroot 的很简单,只要修改 /etc/ftpchroot 即可。狼蚁网站SEO优化是一个范例 alex@guest
john /var/ftp
@other /var/ftp 其中第一行是设定使用者 alex 登入后,以自己的家目录为根目录。第二行的 @guest 表示只要是群组为 guest 的使用者,都以自己的家目录为根目录。而第三、四行分别表示使用者 john 及群组 other 都以 /var/ftp 为根目录。 只要我们善用 chroot 的功能,就可以加强保护其它目录,让没有权利的使用者不可以进入目录中。建议您在开放 FTP 时,将所有使用者都加入 /etc/ftpchroot 中。
我们平常在登入 FreeBSD 的 FTP 站台时,可以使用 anonymous 或是 ftp 这二个使用者登入,而且在登入时,任何密码都可以通过。这种可以使用 anonymous 登入的 FTP 就叫作匿名 FTP。anonymous 及 ftp 这二个账号是预设的匿名账号,当使用者以匿名登入时,器会将匿名账号对映到内的真实使用者 ftp。所以,如果您要提供匿名的 FTP ,请使用下列指令新增使用者账号 ftp # pw adduser ftp
# mkdir /home/ftp
# chown ftp:ftp /home/ftp
我们建立了使用者 ftp 及其家目录 /home/ftp。使用 pw 指令所建立的使用者在 /etc/master.passwd 中的密码字段预设为 ,表示不可以登入。这个使用者除了匿名 FTP 外,将不可以使用 tel、SSH、或是其它。
在新增了使用者 ftp 之后,我们就已经支持匿名 FTP 的功能了。现在您可以使用 anonymous 或 ftp 账号登入,而且不需任何密码。由于开放了匿名 FTP 后,任何人都可以登入,所以匿名账号登入后一定会使用 chroot,以将匿名使用者限制在家目录中。
除了强制使用 chroot 外,我们还可以在启动 FTP 时加上一些参数,以针对匿名使用者进行更多的限制。下表为启动 FTP 时可以使用的参数参数 | 意义 |
-M | 禁止匿名使用者建立新的目录。 |
-m | 允许匿名使用者覆写一个存在的档案。预设启动 FTP 时,并不允许匿名使用者覆写已经存在的档案。当使用者上传档案时,如果已经有同档名的档案存在,会自动为上传的档案改名。 |
-O | 让匿名使用者只能上传档案,下载档案的功能会被取消。 |
以上只是针对FreeBSD系统自带的简单ftpd进行的配置应用,如果希望架设更强大的FTP服务器,可以选用proftpd等工具来实现,而且在/usr/ports/ftp目录下就已经加入了proftpd这个工具,具体配置参考本人后续文章。
上一篇:ssh 命令说明
下一篇:FreeBSD下安装J2EE开发环境
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座