收藏
下载资源

《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)

上传人:我*** 文档编号:145246605 上传时间:2020-09-18 格式:PPT 页数:25 大小:545KB
返回 下载 相关 举报
《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)_第1页
第1页 / 共25页
《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)_第2页
第2页 / 共25页
《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)_第3页
第3页 / 共25页
《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)_第4页
第4页 / 共25页
《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)_第5页
第5页 / 共25页
点击查看更多>>
资源描述

《《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)》由会员分享,可在线阅读,更多相关《《Linux服务与安全管理》教学课件9(FTP服务器配置与安全管理)(25页珍藏版)》请在金锄头文库上搜索。

1、第九章 ftp服务器配置与安全管理,FTP是Internet中一种应用非常广泛的服务,用户通过它从服务器获取需要的文档、资料、音频、视频等。Internet出现以来,它就一直是用户使用频率最高的应用服务之一,其重要性仅次于HTTP和SMTP。在Linux系统中,构建安全的FTP服务是一项非常艰巨而且复杂的工作,许多与服务器相关的配置文件以及用户管理都需要着重考虑。因此,本章将对vsftpd这种Linux下最常用的FTP服务器的安全配置和使用进行详细介绍。,第9章 FTP服务器配置与安全管理,9.1 FTP服务概述,9.1.1 FTP协议简介 互联网文件传输协议(FTP)标准是在RFC959中说

2、明的。该协议定义了一个在远程计算机系统和本地计算机系统之间传输文件的标准。 FTP是TCP/IP的一种具体应用,其工作在OSI模型的第七层,TCP模型的第四层上,即应用层。使用TCP传输。 FTP主要有如下作用: 从客户向服务器发送一个文件。 从服务器向客户发送一个文件。 从服务器向客户发送文件或目录列表。,9.1 FTP服务概述,9.1.2 FTP的连接模式 FTP协议需要通过TCP协议建立两个联机通道才能够顺利地传输数据,一个是“传输控制信息”通道,TCP端口号为21;另一个是“传输数据信息”通道,TCP端口号为20。 FTP的连接模式有两种:主动模式和被动模式。这里都是相对于服务器而言的

3、。 (1)主动模式:即Port模式,由服务器主动连接客户机建立数据链路。如图9-1所示。 (2)被动模式:即PASV模式,FTP服务器等待客户机建立数据链路。如图9-2所示。,图9-1 主动模式的连接过程,9.1 FTP服务概述,图9-2 被动模式的连接过程,9.1 FTP服务概述,9.1.3 FTP的常用命令 在Linux和Windows系统中都默认提供ftp命令,它是最基本的FTP客户端软件。 在客户端使用命令“ftp 远端主机IP地址 PORT”即可连接到一台FTP服务器,进入ftp命令的交互环境。,表9-1 FTP常用命令说明(1),9.1 FTP服务概述,表9-1 FTP常用命令说明

4、(2),9.1 FTP服务概述,9.1.4 FTP服务器软件,流行的FTP服务器软件有很多种,在Linux环境下常用的有3种。 (1)wu-ftpd。 (2)proftpd。 (3)vsftpd。综合性能最为优秀。非常流行。其优势体现在以下几个方面。 安全性高 稳定性好 速度更快 匿名FTP更加简单的配置 支持基于IP地址的虚拟主机 支持虚拟用户,而且每个虚拟用户可具有独立的配置 支持PAM认证方式 支持带宽限制 支持tcp_wrappers,9.1.5 vsftpd支持的用户类型,(1)匿名用户。 (2)本地用户。 (3)虚拟用户。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.

5、1 安装 1. 准备工作 使用以下命令来检查系统中是否安装过该软件包: # rpm qa |grep vsftpd 2. 安装 首先建立挂载点,挂载光驱,然后安装软件包: # cd /mnt/cdrom/Packages # rpm ivh vsftpd* 3. 了解软件包安装的文件 用命令“rpm -ql vsftpd”可以查询到vsftpd软件包所生成的文件。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装 4. Vsftpd服务器的默认配置 vsftpd的主配置文件“/etc/vsftpd/vsftpd.conf”默认包含以下的配置语句:,9.2 案例导学实现匿名和本

6、地访问的FTP服务器,9.2.1 安装 4. Vsftpd服务器的默认配置,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.1 安装 4. Vsftpd服务器的默认配置,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器 任务及分析 (1)任务情境 公司技术部准备选择一台主机(192.168.11.148)搭建一台功能简单的FTP服务器,允许所有员工对服务器上的特定目录“/var/ftp/mypub”上传、下载和重命名文件,并且允许创建用户自己的目录。对于上传的文件,其所有者自动设置为ftpadmin。当用户切换到“/var/ftp/pub”目

7、录后,将显示一段提示信息。 (2)任务分析 允许所有员工上传和下载文件,需要设置成允许匿名用户登录。此案例是FTP服务器的最基本配置。配置服务器的流程如下: 配置本地目录的权限和所有者。 配置FTP服务器,开放匿名用户的各项写权限。 设置/var/ftp/pub目录的提示信息。 从网管工作站匿名登录FTP服务器,通过上传、下载数据和切换目录进行测试。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器 2配置方案和过程 (1)创建本地用户ftpadmin并设置密码。 (2)建立匿名上传目录mypub并设置权限。 (3)编辑主配置文件“/etc/vsftp

8、d/vsftpd.conf”。在文件中作如下设置: (4)修改SELinux。 (5)设置/var/ftp/pub目录的提示信息。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.2 配置匿名用户访问FTP服务器 3应用测试 (1)启动vsftpd服务并查看器运行状态: (2)查看vsftpd服务占用端口情况: (3)设定开机自动加载vsftpd服务: (4)从网管工作站匿名登录FTP服务器。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.3 配置本地用户访问FTP服务器 1任务及分析 (1)任务情境 公司内部现有一台FTP和Web服务器(IP:192.168.11.14

9、8),FTP服务器主要用于维护公司的网站,包括上传文件、创建目录、更新网页等。公司现有两个部门负责维护任务,它们分别使用user1和user2账号进行管理(这两个账户但不能登录本地系统),将它们登录FTP的根目录限制为“/var/www/html”,不能进入任何其他目录。 (2)任务分析 将FTP和Web服务器做在一起是企业经常采用的方法,便于实现对网站的维护。为了增强安全性,首先需要仅允许本地用户访问,并禁止匿名登录。其次使用chroot功能将user1和user2锁定在“/var/www/html”目录下。如需删除文件则还应配置本地权限。配置服务器的流程如下: 在Linux系统中添加两个用

10、户user1和user2。 在FTP服务器上设置目录“/var/www/html”的权限,允许user1和user读和写。 修改主配置文件,禁用匿名用户的相关配置,增加本地用户登录的相关参数,设置本地用户具有写权限,以达到预期的目的。 对用户user1和user2设置chroot。,9.2 案例导学实现匿名和本地访问的FTP服务器,9.2.3 配置本地用户访问FTP服务器 2配置方案和过程 (1)建立维护网站内容的用户账号并禁止本地登录。 (2)修改本地权限。 (3)编辑主配置文件,设置用户权限。 (4)设置本地用户的chroot。 (5)开启禁用SELinux的FTP传输审核功能。 3应用测

11、试 (1)启动vsftpd服务并查看服务器运行状态。 (2)查看vsftpd服务占用端口情况。 (3)设定开机自动加载vsftpd服务。 (4)验证仅允许本地用户登录。 (5)验证用户user1和user2的chroot功能。 (6)验证用户user1和user2的权限分配情况。,9.3 课堂练习配置FTP虚拟主机,vsftp支持虚拟主机的功能,在一台机器上向外提供多个FTP站点。 9.3.1 任务及分析 1任务情境 在192.168.11.148这台Linux主机上已经建立了一个FTP站点,为了充分利用主机和带宽资源,希望在此Linux主机上再建立一个允许匿名登录和下载的FTP站点。 2任务

12、分析 vsftpd不支持基于名字的虚拟主机,因此本例中采用基于IP地址的虚拟主机。显然,基于IP地址的虚拟主机是以IP地址为单位的,每个虚拟主机对应监听一个IP地址,因此,需要在这台Linux主机上添加新的IP地址。,9.3 课堂练习配置FTP虚拟主机,9.3.2 配置方案和过程 配置基于IP地址的FTP虚拟主机的步骤如下。 1为一台Linux主机配置多个IP地址。 2建立FTP虚拟主机的根目录。 3创建FTP虚拟主机的匿名用户账号。 4建立FTP虚拟主机的配置文件。 5为原独立运行的FTP服务器指定监听的IP地址。 9.3.3 应用测试 1启动和测试FTP虚拟主机。 2查看vsftpd服务器

13、进程。 3登录vsftpd虚拟主机进行测试。(具体过程略),9.4 拓展练习vsftpd服务的安全管理,作为一种广泛使用和认可的网络服务,FTP主要面临如下几种安全威胁: (1)数据泄密。 (2)匿名访问所引起的安全脆弱性。 (3)拒绝服务攻击。 9.4.1 设置虚拟用户 vsftpd采用PAM方式验证虚拟用户。由于虚拟用户的用户名/口令被单独保存,因此在验证时,vsftpd需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证,guest用户就是用于映射虚拟用户的。 设置vsftpd虚拟用户账号的过程如下(具体过程略): 1建立虚拟用户数据库文件。 2建立虚拟用户使用的认证文件。

14、3建立虚拟用户使用的真实账号及其登录的目录,并设置相应的权限。 4编辑vsftpd的主配置文件vsftpd.conf。 5测试。,9.4.2 主机访问控制 可以利用tcp_wrappers实现主机访问控制。tcp_wrappers的配置文件主要有两个:/etc/hosts.allow和/etc/hosts.deny。 1例如,在Linux主机192.168.11.148上配置vsftpd服务,允许除192.168.11.145以外的来自192.168.11.0/24网段的所有主机访问此FTP服务器;另外允许来自域的主机访问此FTP服务器。 解决方案:利用tcp_wrappers提供的主机访问控

15、制功能来实现。 (1)编辑vsftpd的主配置文件以支持tcp_wrappers。其中默认含有如下指令: tcp_wrappers=YES (2)编辑/etc/hosts.allow文件,增加以下内容: vsftpd:192.168.11.145:DENY vsftpd:192.168.11., (3)测试。在主机192.168.11.145上进行测试: # ftp 192.168.11.148 Connected to 192.168.11.148. 421 Service not available. ftp,9.4 拓展练习vsftpd服务的安全管理,9.4.2 主机访问控制 除了上述基

16、本的主机访问控制功能外,tcp_wrappers还为vsftpd提供了额外的配置文件。 2例如:在Linux主机192.168.11.148上配置vsftpd服务,针对来自192.168.11.0/24网段的匿名连接,限制其下载速率为5KB/s,而对来自其他网段的匿名连接,则不做速率限制。 解决方案:利用tcp_wrappers提供的特定功能来实现。 (1)编辑vsftpd的主配置文件,增加如下指令: anon_max_rate=0 / 设置匿名用户的最高传输速率,“0”表示不限制 (2)建立额外的配置文件“/etc/vsftpd/vsftpd_other.conf”,内容如下: anon_max_rate=5000 /在额外的配置文件vsftpd_other.conf中仅设置了anon_max_rate指令,其目的就是为了与主配置文件中的相同指令产生“矛盾”。通过后面的测试可以进一步说明哪条指令最终有效。,9.4 拓展练习vsftpd服务的安全管理,9.4.2 主机访问控制 (3)编辑hosts.allow文件,增加相关指令。 为了减少干扰,首先去掉上例中关于vsftp

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号