科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道在FreeBSD6.0中设定FTP服务器

在FreeBSD6.0中设定FTP服务器

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们有二种方式启动 ftpd,一种是使用 standalone daemon,另一种是使用 inetd。inetd 是 UNIX系统中一个强大的「超级服务器」,我们可以使用它来管理许多系统服务,例如 telnet、ssh、ftp 等。

作者:巧巧读书 来源:巧巧读书 2008年6月27日

关键字: 网吧 网吧组网 网吧服务器架设

  • 评论
  • 分享微博
  • 分享邮件

  启动 FTP 服务器

  我们有二种方式启动 ftpd,一种是使用 standalone daemon,另一种是使用 inetd。inetd 是 UNIX系统中一个强大的「超级服务器」,我们可以使用它来管理许多系统服务,例如 telnet、ssh、ftp 等。

  大部份的系统服务都是使用 inetd 来启动,使用它的好处在于可以统一管理各种服务,并经由它来设定服务规则,例如是否要阻挡某些 IP 来源等。不过,使用 inetd 的方式缺点是每次有联机要求时,inetd 的 daemon 必须依联机的种类去执行相对映的指令,所以速度比较慢。

  另一种启动 FTP 的方式是使用 standalone daemon,也就是直接执行 FTP daemon,当它接收到新的联机时,就 fork() 出来处理,这种方式联机建立的速度较快,比较适合专门的 FTP 服务器。

  使用 inetd

  我们先来介绍如何使用 inetd 的方式启动 FTP 服务器。首先,请编辑 /etc/inetd.conf,将 ftp 设定开头的 # 移除:

  ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

  ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l

  接下来,我们必须使用下列指令重跑 inetd:

  # kill -1 `cat /var/run/inetd.pid`  现在您就可以开始使用 FreeBSD的 FTP 服务了。

  使用独立 Daemon

  如果您要以独立的 daemon 方式启动 FTP,请先确定在 inetd.conf 中没有启动 FTP 服务。接下来,请在新增一个档案 /usr/local/etc/rc.d/ftpd.sh 内容如下:

  #!/bin/sh

  ftpd_program="/usr/libexec/ftpd"

  ftpd_flags="-D -l"

  case $1 in

  start)

  echo "Starting FTPD"

  $ftpd_program $ftpd_flags

  stop)

  echo "Stopping FTPD"

  killall ftpd

  restart)

  $0 stop

  sleep 1

  $0 start

  esac

  编辑完后,我们必须将该档案变成可执行:

  # chmod 755 /usr/local/etc/rc.d/ftpd.sh  接下来,您就可以使用下列指令启动 FTPD 了:

  # /usr/local/etc/rc.d/ftpd.sh start  如果您要停止 FTPD 服务,则使用下列指令:

  # /usr/local/etc/rc.d/ftpd.sh start  编辑欢迎讯息

  当我们联机到一个 FTP 站台时,我们可以看到二个欢迎讯息,一个是登入前的讯息,另一个是登入后的讯息。以下列讯息为例:

  # ftp localhost

  Trying ::1...

  Connected to localhost.alexwang.com.

  220- Welcome to My FTP Server.

  220-

  220- This is a welcome message

  220-

  220- Nice to see you.

  220 vmware.alexwang.com FTP server (Version 6.00LS) ready.

  Name (localhost:alex):

  331 Password required for alex.

  Password:

  230- This is the message of the day.

  230-

  230- It will be shown after user login.

  230 User alex logged in.

  Remote system type is UNIX.

  Using binary mode to transfer files.

  ftp>

  开头为 220- 的就是登入前的讯息,我们称它为欢迎讯息。以 230- 为开头的是登入后的讯息,我们称它为本日讯息 (Message of the day)。这二种讯息我们都可以自行设定。

  如果您要设定的是登入前的讯息,请新增一个档案 /etc/ftpwelcome,并将您的讯息写入该文件中。以下为上述范例中的讯息内容:

  Welcome to My FTP Server.

  This is a welcome message

  Nice to see you.

  您不需要写 220- 等数据,FTP 服务器会自动帮您加上这种代码。而登入后的讯息是存放在 /etc/ftpmotd,您可以编辑该档以进行设定。

  限制账号与联机来源

  我们可以设定限制某些账号不可以使用 FTP 登入。使用者在登入 FTP 服务器时,有几个规则会拒绝该账号登入:

  如果 /var/run/nologin 存在,则所有账号都不可以登入。这个档案可以用来暂时停止 FTP 服务。

  使用者一定要有密码才能登入,没有密码的使用者无法登入。

  使用者名称不可以出现在 /etc/ftpusers 中。

  使用者群组不可以出现在 /etc/ftpusers 中。

  使用者所使用的 shell 必须要时合法的 shell。合法的 shell 会被定义在 /etc/shells 中。

  除了匿名模式外,使用者名称不可以是 ftp 或 anonymous。关于匿名模式,我们会在下一小节中说明。

  /etc/ftpusers 定义了不可以使用 FTP 服务的使用者及群组。我们来看一下该档案的内容:

  # $FreeBSD: src/etc/ftpusers,v 1.13 2004/06/30 16:47:08 maxim Exp $

  #

  # list of users disallowed any ftp access.

  # read by ftpd(8).

  root

  toor

  daemon

  operator

  bin

  tty

  kmem

  games

  news

  @guest

  ...

  我们可以看到该档案中已经有一些使用者不可以登入 FTP。这些使用者都是系统预设的账号,我们也可以经由修改它来加入其它使用者。

  在 /etc/ftpusers 中,如果开头是 "@" 表示群组名称。例如上述档案内容中的 @guest 表示群组 guest 不可以登入系统。

  除了控制使用者账号外,在「inetd」模式下,我们还可以控制联机来源。所有 FreeBSD 中由 inetd 所启动的服务都可以经由修改 /etc/hosts.allow 以使用 TCP Wrappd 来限制联机来源。下列为预设的 /etc/hosts.allow 内容:

  # Provide a small amount of protection for ftpd

  ftpd : localhost : allow

  ftpd : .nice.guy.example.com : allow

  ftpd : .evil.cracker.example.com : deny

  ftpd : ALL : allow

  如果我们要限制某几个 IP 或网域不能使用 FTP,可以使用下列范例:

  # Provide a small amount of protection for ftpd

  ftpd : localhost : allow

  ftpd : 210.122.13.5 : deny

  ftpd : .evil.cracker : deny

  ftpd : ALL : allow

  我们在上述范例中拒绝 IP 210.122.13.5 及 evil.cracker 网域的主机使用 FTP,并在最后一行设定其它来源都许可。

  如果您要设定只有某些来源可以使用 FTP,而拒绝大多数的主机,则可以设定:

  # Provide a small amount of protection for ftpd

  ftpd : localhost : allow

  ftpd : 192.168.0. : allow

  ftpd : my.friend.com : allow

  ftpd : ALL : deny

  我们设定了只有本机 (localhost)、192.168.0.x、及 my.friend.com 才可以使用 FTP,其它联机都拒绝。

  修改登陆的目录路径 chroot

  一般使用者登入后,预设会进入自己的家目录中。使用者可以改变工作路径到系统的任何目录中。如果您希望使用者登入后只能在自己的家目录中活动,而不能进入其它系统目录中,可以使用 chroot 的功能。

  所谓的 chroot 就是将某一个目录变成使用者看到的根目录。例如,我们让使用者 alex 登入后,将 /home/alex 变成根目录。则 alex 在使用指令「cd /」时,还是会停留在 /home/alex。如果他使用指令「pwd」查看目前所在路径,则会显示 /。如此一来,我们就可以确保使用者不会到处乱跑,进入一些不该进入的地方。这个功能对于提升 FTP 的安全性有莫大的助益。

  设定 chroot 的方法很简单,只要修改 /etc/ftpchroot 即可。chroot 的设定是以使用者、群组的基础,以下是几个设定范例:

  alex

  @guest

  john /var/ftp

  @other /var/ftp

  上述范例中的第一行是设定使用者 alex 登入后,以自己的家目录为根目录。第二行的 @guest 表示只要是群组为 guest 的使用者,都以自己的家目录为根目录。而第三、四行分别表示使用者 john 及群组 other 都以 /var/ftp 为根目录。

  只要我们善用 chroot 的功能,就可以加强保护系统其它目录,让没有权利的使用者不可以进入系统目录中。建议您在开放 FTP 服务时,将所有使用者都加入 /etc/ftpchroot 中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章