在網(wǎng)站的建設(shè)中，F(xiàn)TP是一項(xiàng)重要的服務(wù)，利用它可以更容易分享有限的軟件資源。Linux下有代表性的FTP服務(wù)器軟件是Wu-FTP、ProFTP及vsftpd。Wu-FTP(Washington University FTP)是由美國(guó)華盛頓大學(xué)開發(fā)的、以效率和穩(wěn)定性為參考量的FTP軟件。它的功能強(qiáng)大，配置較復(fù)雜，由于開發(fā)時(shí)間較早，應(yīng)用十分廣泛，也因此成為黑客們主要的攻擊目標(biāo)。Wu-FTP的早期各級(jí)版本不斷出現(xiàn)安全漏洞，系統(tǒng)管理員不得不因安全因素而經(jīng)常對(duì)其進(jìn)行升級(jí)。ProFTP針對(duì)Wu-FTP的弱項(xiàng)而開發(fā)，除了在安全性方面進(jìn)行了改進(jìn)外，還具備設(shè)置簡(jiǎn)單的特點(diǎn)，并提供了一些Wu-FTP沒(méi)有的功能，大大簡(jiǎn)化了架設(shè)和管理FTP服務(wù)器的工作。vsftpd則憑借在安全性方面的出色表現(xiàn)，被很多大型網(wǎng)站廣為采用。

　　vsftpd簡(jiǎn)介

　　vsftpd在安全性、高性能及穩(wěn)定性三個(gè)方面有上佳的表現(xiàn)。它提供的主要功能包括虛擬IP設(shè)置、虛擬用戶、Standalone、inetd操作模式、強(qiáng)大的單用戶設(shè)置能力及帶寬限流等。在安全方面，它從原理上修補(bǔ)了大多數(shù)Wu-FTP、ProFTP，乃至BSD-FTP的安裝缺陷，使用安全編碼技術(shù)解決了緩沖溢出問(wèn)題，并能有效避免“globbing”類型的拒絕服務(wù)攻擊。目前正在使用vsftpd的官方網(wǎng)站有Red Hat、SuSE、Debian、GNU、GNOME、KDE、Gimp和OpenBSD等。

　　安裝

　　本文以1.1.3版本為例進(jìn)行介紹。

　　1.構(gòu)建vsftpd

　　首先解壓縮包，代碼如下：

　　代碼:

　　$ tar xzvf vsftpd-1.1.3.tar.gz

　　進(jìn)入安裝目錄cd vsftpd-1.1.3。如果想在以后使用中啟用tcp_wrapper功能，可在編譯前修改“builddefs.h”文件中的語(yǔ)句，將“#undef VSF_BUILD_TCPWRAPPERS”改為“#define VSF_BUILD_TCPWRAPPERS”。tcp_wrapper功能主要應(yīng)用于IP管理控制，比如可以為單獨(dú)的一個(gè)IP地址使用特殊優(yōu)先的FTP配置文件。然后，鍵入“make”生成一份可執(zhí)行二進(jìn)制程序代碼。

　　2.前期準(zhǔn)備

　　vsftpd的默認(rèn)配置中需要用戶“nobody”。添加該用戶命令如下：

　　代碼:

　　$ useradd nobody

　　vsftpd的默認(rèn)配置中需要目錄“/usr/share/empty”。添加該目錄的命令如下：

　　代碼:

　　$ mkdir /usr/share/empty/

　　匿名FTP需要用戶“ftp”的存在，并有一個(gè)有效的主目錄(不允許用戶“ftp”有擁有權(quán)和可寫權(quán))。如沒(méi)有此目錄則建立它，命令如下：

　　代碼:

　　$ mkdir /var/ftp/

　　$ useradd -d /var/ftp ftp

　　3.安裝相關(guān)配置文件、執(zhí)行文件、幫助手冊(cè)頁(yè)等

　　運(yùn)行“make install”，將源代碼、幫助手冊(cè)頁(yè)等復(fù)制到相關(guān)路徑。如果采用手工復(fù)制，命令如下：

　　代碼:

　　$ cp vsftpd /usr/local/sbin/vsftpd

　　$ cp vsftpd.conf.5 /usr/local/man/man5

　　$ cp vsftpd.8 /usr/local/man/man8

　　另外，“make install”不能復(fù)制樣例配置文件，建議手工復(fù)制，命令如下：

　　代碼:

　　$ cp vsftpd.conf /etc

　　整個(gè)安裝過(guò)程很簡(jiǎn)單，下面來(lái)看看如何操縱vsftpd的強(qiáng)大功能，進(jìn)行vsftpd.conf文件的配置。

#p#

　　兩種運(yùn)行模式

　　像其它守護(hù)程序一樣，vsftpd提供了standalone和inetd(inetd或xinetd)兩種運(yùn)行模式。簡(jiǎn)單解釋一下，standalone一次性啟動(dòng)，運(yùn)行期間一直駐留在內(nèi)存中，優(yōu)點(diǎn)是對(duì)接入信號(hào)反應(yīng)快，缺點(diǎn)是損耗了一定的系統(tǒng)資源，因此經(jīng)常應(yīng)用于對(duì)實(shí)時(shí)反應(yīng)要求較高的專業(yè)FTP服務(wù)器。inetd恰恰相反，由于只在外部連接發(fā)送請(qǐng)求時(shí)才調(diào)用FTP進(jìn)程，因此不適合應(yīng)用在同時(shí)連接數(shù)量較多的系統(tǒng)。此外，inetd模式不占用系統(tǒng)資源。除了反應(yīng)速度和占用資源兩方面的影響外，vsftpd還提供了一些額外的高級(jí)功能，如inetd模式支持per_IP(單一IP)限制，而standalone模式則更有利于PAM驗(yàn)證功能的應(yīng)用。

　　1.inetd運(yùn)行模式

　　從某種inetd運(yùn)行vsftpd可以提供一種不錯(cuò)的功能——per_IP連接限制。這也是vsftpd 1.1.3版本最新推出并推薦的一種運(yùn)行模式。實(shí)現(xiàn)per_IP連接限制要依賴于vsftpd提供的tcp_wrappers支持。如果使用標(biāo)準(zhǔn)的“inetd”，需編輯/etc/inetd.conf文件，并添加下面一行代碼：

　　代碼:

　　$ ftp stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/vsftpd

　　確保刪除或注釋掉任何原存的FTP服務(wù)語(yǔ)句行。假如沒(méi)有安裝tcp_wrappers，或不需要使用它，可去掉“/usr/sbin/tcpd”部分。然后重載配置文件，命令如下：

　　代碼:

　　$ kill -SIGHUP 'pidof inetd'

　　大多數(shù)較新的系統(tǒng)采用的是xinetd超級(jí)服務(wù)守護(hù)進(jìn)程。使用“vi /etc/xinetd.d/vsftpd” 看一下它的內(nèi)容，如下：

　　代碼:

　　disable = no

　　socket_type = stream

　　wait = no

　　# 這表示設(shè)備是激活的，它正在使用標(biāo)準(zhǔn)的TCP Sockets。

　　代碼:

　　user = root

　　server = /usr/local/sbin/vsftpd

　　# 說(shuō)明服務(wù)程序/usr/local/sbin/vsftpd已被用來(lái)控制FTP接入請(qǐng)求，并且該程序是作為root身份運(yùn)行的(可能瞬間擁有過(guò)大的特權(quán))。請(qǐng)確信已經(jīng)把vsftpd二進(jìn)制執(zhí)行代碼安裝在了“/usr/local/sbin”目錄下。

　　代碼:

　　per_source = 5

　　instances ?= 200

　　# 由于安全原因，從一個(gè)單一IP地址聯(lián)入的最大允許數(shù)值是5。當(dāng)前最大連接總數(shù)是200。

　　代碼:

　　no_access ?= 192.168.1.3

　　# 地址192.168.1.3將被拒絕訪問(wèn)。

　　代碼:

　　banner_fail = /etc/vsftpd.busy_banner

　　# 顯示給用戶當(dāng)連接被禁止時(shí)的文件。不論因任何原因而被拒絕(太多用戶，IP被禁止)。

　　下面一行是產(chǎn)生的例子：

　　代碼:

　　echo "421 Server busy, please try later." > /etc/vsftpd.busy_banner

　　log_on_success ?+= PID HOST DURATION

　　log_on_failure ?+= HOST

　　這將按照時(shí)間順序日志所有嘗試連接的IP地址，無(wú)論連接成功與否。假如連接啟動(dòng)了一個(gè)FTP服務(wù)，其進(jìn)程ID和使用期也將被載入日志。如果使用的是Red Hat，這個(gè)日志信息將出現(xiàn)在/var/log/secure文件中。

　　最后，重啟xinetd，命令如下：

　　代碼:

　　$ /etc/rc.d/init.d/xinetd restart

　　需要注意的是，“/etc/xinetd.d”目錄中僅能開啟一個(gè)FTP服務(wù)。

　　2.standalone模式

　　standalone模式便于實(shí)現(xiàn)PAM驗(yàn)證功能。進(jìn)入這種模式首先要關(guān)閉xinetd下的vsftpd，設(shè)置“disable = yes”，或者注銷掉“/etc/inetd.conf”中相應(yīng)的行。然后修改“/etc/vsftpd.conf”中的選項(xiàng)為“listen=YES”。

通過(guò)上文的詳細(xì)介紹和指導(dǎo)，相信大多數(shù)人都會(huì)了，趕快跟朋友拿去炫耀吧！

【編輯推薦】

1. vsftpd入門——安裝、配置、案例與常見問(wèn)題
2. 面向初學(xué)者的vsftpd安裝指南
3. 史上最詳細(xì)的vsftpd配置文件講解
4. FreeBSD下配置vsftpd虛擬用戶
5. vsFTPd服務(wù)器 常用功能之匿名上傳下載
6. vsFTPd的服務(wù)器和防火墻及SELINUX的關(guān)系曖昧
7. 如何做到 vsFTPd 服務(wù)器的啟動(dòng)和關(guān)閉
8. 我教你如何添加Vsftpd 虛擬用戶