<b>Linux下FTP的配置与利用</b>[服务器安全]

FTP服务是Internet上的尺度服务之一,用来在网络上传输文件.在linux系统中,普通用wu-ftpd来实现该服务（www.wu-ftpd.org).

　　1、安装

按照服务对象的差别,FTP服务可以分为两类:一类是系统FTP服务器,它只答应系统上的合理用户利用;另一类是匿名FTP服务器,它答应任何人登录到FTP服务器,和服务器衔接后,在登录提醒中输入Anonymous,便可拜候服务器.针对这两种服务,可以通过RedHat的第一张光盘安装Wu-Ftpd的RPM包,只需以Root身份进入系统并运行下面的号令便可:

Rpm - ivh anonftp -x.x-x.i386.rpm

Rpm - ivh wu-ftpd-x.x.x-x.i386.rpm

此中-x.x-x和-x.x.x-x是版本号.

2、启动

和Apache一样,Wu-Ftpd也可以配置为自动启动:履行RedHat附带的Setup程序,在“System Service”选项中选中Wu-Ftpd,按下[OK]按钮肯定退出便可.

自动启动当然便利,但是,当我们更改了Wu-Ftpd配置文件,需求用到手工启动:

启动:/usr/sbin/ftprestart

关闭:/usr/sbin/ftpshut

3.FTP服务器的配置
 

　　普通,wu-ftpd供应三种ftp登录情势:

　　1、anonymous ftp
2、real ftp
3、guest ftp

　　anonymous ftp 利用最遍及的一种ftp,普通,用户以anonymous为用户名,以电子邮件地址为密码举行登录.

　　real ftp 就是以真实的用户名和密码举行登录,登录今后,用户可以拜候整个目录构造.普通认为,real ftp 能对系统安全构成极大威胁,所以,除非万不得以,应尽大概避免利用real ftp.

　　guest ftp 也是real ftp 的一种情势,差别之处在于,一个geust登录后,他就不能拜候除宿主目录以外的内容.

　　在wu-ftpd中,是通过特定的配置文来掌握ftp 拜候的,主要的配置文件有:
 
/etc/ftpaccess
/etc/ftpusers
/etc/ftphosts
/etc/ftpconversions

　　等等,下面我们就辨别来说讲这些配置文件.

　　ftpaccess是主要的ftp配置文件,在该文件内你可以实现对ftp各方面的掌握,由于掌握号令名目繁多,我们将以wu-ftpd的2.6版本为例分几个部份来说,相关文档可见wu-ftpd手册.

　　1、拜候掌握

　　class [...]
阐明:该号令用于定义用户类,定义用户类的目的是为了便利对服务的掌握.此中:

　　为类名,为一字符串;

　　可以以逗号脱离的"anonymous"、"guest"、"real"关键字之一,real阐明该用户类中的用户可以用真实的账号来拜候ftp,anonymous阐明该用户类中的用户利用匿名ftp,guest阐明该用户类中的用户用guest账号拜候ftp.

　　定义该用户类源ip地址或域名,可以用以下定义办法:ip地址:子网掩码,或address/cidr.这里也可以指定一个文件,该文件包含了该用户类源ip地址的定义.之前还可以用惊奇号表示除以外的地址类.

　　例子:

　　class anon anonymous *
class mng real 210.221.80.0/24
class user real !domainname.com

　　第一条定义了anon用户类,为匿名用户,可以是来自任何地方.
第二条定义了mng用户类,为真实用户,来自210.221.80网段.
第三条定义了user用户类,为真实用户,可以是除domainname.com以外的任何地址.
我们接着来看ftpaccess的其他配置.

　　deny
阐明:回绝源地址符合的拜候,同时显示文件的内容.也可以是某一文件,该文件包含了回绝的ip地址类的定义.可以用 !nameserverd往复绝没有注册域名的客户端恳求.
 
如:
deny !nameserverd /home/ftp/etc/noname.msg

　　回绝没有注册域名的客户端恳求,并且显示noname.msg的内容.

　　guestgroup [...]
guestuser [...]
realgroup [...]
realuser [...]
阐明:假如客户端为中的真实用户（real user)则该客户端被当作guest用户处理;假如客户端为真实用户则该客户端也被当作guest用户处理;realgroup和realuser把非匿名衔接视为真实用户衔接.和也可以用用户id和组id替换.

　　比方:guestuser *
realgroup admin

　　表示除了admin组以外的任何非匿名衔接视为guest用户衔接,admin仍旧视为真实用户衔接.

　　nice []
阐明:假如为中的用户衔接的话,则调整ftpd进程的nice值为中指定的值.

　　keepalive
阐明:能否在会话历程中保持数据通道的激活状况.

　　timeout accept
timeout connect
timeout data
timeout idle
timeout maxidle
timeout RFC931
阐明:设置各种超时.

　　accept设置ftpd服务等候被动数据通道衔接恳求的超时.（缺省为120秒）
connect设置ftpd服务尺度数据通道衔接恳求的超时.（缺省为120秒）
data设置ftpd服务等候客户端在数据通道上多长时间没有行动为超时.（缺省为1200秒）
idle 设置ftpd服务等候客户端用户在号令通道上多长时间没有行动为超时.（缺省为900秒）
maxidle 设置用户可以在客户端设置的更长的闲暇时间的上限.（缺省为10秒）
RFC931 设置一个RFC931协议会话的最长时间.为零则撤消对该协议的支持.

　　tcpwindows []
阐明:设置tcp 窗口的大小.普通linux系统缺省值为6.假如网络衔接情形较好可以增大该值,不然,应减小之.

　　我们接着来看ftpaccess的其他配置.

　　file-limit [] []
阐明:用来限制在给定类中的用户可以传输的文件数目.可分为进、出、合计三类.假如没有指定类,则改选项将利用于全部没有传输文件限制的类.可选参数raw用来限制总的流量.

　　byte-limit [] []
阐明:阐明:用来限制在给定类中的用户可以传输的数据流量.可分为进、出、合计三类.假如没有指定类,则改选项将利用于全部没有传输文件限制的类.可选参数raw用来限制总的流量.

　　limit-time {*|anonymous|guest}
阐明:用于限制一个ftp会话的总时间.缺省值为无限,真实用户不受限制.