什么是FTP和HTTP

分类: 电脑/网络 >> 互联网

问题描述:

什么是FTP和HTTP

解析:

FTP(File Transfer Protocol，文件传输协议是Inter上使用非常广泛的一种通讯协议，它是为Inter用户进行文件传输(包括文件的上传和下载)而制定的。要想实现FTP文件传输，必须在相连的两端都装有支持FTP协议的软件，装在您的电脑上的叫FTP客户端软件，装在另一端服务器上的叫做FTP服务器端软件。

客户端FTP软件使用方法很简单，启动后首先要与远程主机建立连接，然后向远程主机发出传输命令，远程主机在收到命令后就给予响应，并执行正确的命令。目前Windows系统中最常用的FTP软件是CUTEFTP。FTP有一个根本的限制，那就是，如果用户在某个主机上没有注册获得授权，即没有用户名和口令，就不能与该主机进行文件传输。但匿名FTP服务器除外，它允许用户以anonymous作为用户名，以Email地址作密码来登录，从而使用户获得免费资源。

====================================

WWW的核心——HTTP协议

众所周知，Inter的基本协议是TCP/IP协议，目前广泛采用的FTP、ArchieGopher等是建立在TCP/IP协议之上的应用层协议，不同的协议对应着不同的应用。

WWW服务器使用的主要协议是HTTP协议，即超文体传输协议。由于HTTP协议支持的服务不限于WWW，还可以是其它服务，因而HTTP协议允许用户在统一的界面下，采用不同的协议访问不同的服务，如FTP、Archie、SMTP、NNTP等。另外，HTTP协议还可用于名字服务器和分布式对象管理。

21 HTTP协议简介

HTTP是一个属于应用层的面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。它于1990年提出，经过几年的使用与发展，得到不断地完善和扩展。目前在WWW中使用的是HTTP/10的第六版，HTTP/11的规范化工作正在进行之中，而且HTTP-NG(NextGenerationofHTTP)的建议已经提出。

HTTP协议的主要特点可概括如下：

1支持客户/服务器模式。

2简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。

由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

3灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。

4无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。

5无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。

22 HTTP协议的几个重要概念

1连接(Connection)：一个传输层的实际环流，它是建立在两个相互通讯的应用程序之间。

2消息(Message)：HTTP通讯的基本单位，包括一个结构化的八元组序列并通过连接传输。

3请求(Request)：一个从客户端到服务器的请求信息包括应用于资源的方法、资源的标识符和协议的版本号

4响应(Response)：一个从服务器返回的信息包括HTTP协议的版本号、请求的状态(例如“成功”或“没找到”)和文档的MIME类型。

5资源(Resource)：由URI标识的网络数据对象或服务。

6实体(Entity)：数据资源或来自服务资源的回映的一种特殊表示方法，它可能被包围在一个请求或响应信息中。一个实体包括实体头信息和实体的本身内容。

7客户机(Client)：一个为发送请求目的而建立连接的应用程序。

8用户代理(Useragent)：初始化一个请求的客户机。它们是浏览器、编辑器或其它用户工具。

9服务器(Server)：一个接受连接并对请求返回信息的应用程序。

10源服务器(Originserver)：是一个给定资源可以在其上驻留或被创建的服务器。

11代理(Proxy)：一个中间程序，它可以充当一个服务器，也可以充当一个客户机，为其它客户机建立请求。请求是通过可能的翻译在内部或经过传递到其它的服务器中。一个代理在发送请求信息之前，必须解释并且如果可能重写它。

代理经常作为通过防火墙的客户机端的门户，代理还可以作为一个帮助应用来通过协议处理没有被用户代理完成的请求。

12网关(Gateway)：一个作为其它服务器中间媒介的服务器。与代理不同的是，网关接受请求就好象对被请求的资源来说它就是源服务器；发出请求的客户机并没有意识到它在同网关打交道。

网关经常作为通过防火墙的服务器端的门户，网关还可以作为一个协议翻译器以便存取那些存储在非HTTP系统中的资源。

13通道(Tunnel)：是作为两个连接中继的中介程序。一旦激活，通道便被认为不属于HTTP通讯，尽管通道可能是被一个HTTP请求初始化的。当被中继的连接两端关闭时，通道便消失。当一个门户(Portal)必须存在或中介(Intermediary)不能解释中继的通讯时通道被经常使用。

14缓存(Cache)：反应信息的局域存储。

23 HTTP协议的运作方式

HTTP协议是基于请求／响应范式的。一个客户机与服务器建立连接后，发送一个请求给服务器，请求方式的格式为，统一资源标识符、协议版本号，后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。

许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求。最简单的情况可能是在用户代理(UA)和源服务器(O)之间通过一个单独的连接来完成(见图2-1)。

图2-1

当一个或多个中介出现在请求／响应链中时，情况就变得复杂一些。中介由三种：代理(Proxy)、网关(Gateway)和通道(Tunnel)。一个代理根据URI的绝对格式来接受请求，重写全部或部分消息，通过URI的标识把已格式化过的请求发送到服务器。网关是一个接收代理，作为一些其它服务器的上层，并且如果必须的话，可以把请求翻译给下层的服务器协议。一个通道作为不改变消息的两个连接之间的中继点。当通讯需要通过一个中介(例如：防火墙等)或者是中介不能识别消息的内容时，通道经常被使用。图2-2

上面的图2-2表明了在用户代理(UA)和源服务器(O)之间有三个中介(A,B和C)。一个通过整个链的请求或响应消息必须经过四个连接段。这个区别是重要的，因为一些HTTP通讯选择可能应用于最近的连接、没有通道的邻居，应用于链的终点或应用于沿链的所有连接。尽管图2-2是线性的，每个参与者都可能从事多重的、并发的通讯。例如，B可能从许多客户机接收请求而不通过A，并且／或者不通过C把请求送到A，在同时它还可能处理A的请求。

任何针对不作为通道的汇聚可能为处理请求启用一个内部缓存。缓存的效果是请求／响应链被缩短，条件是沿链的参与者之一具有一个缓存的响应作用于那个请求。下图说明结果链，其条件是针对一个未被UA或A加缓存的请求，B有一个经过C来自O的一个前期响应的缓存拷贝。

图2-3

在Inter上，HTTP通讯通常发生在TCP/IP连接之上。缺省端口是TCP80，但其它的端口也是可用的。但这并不预示着HTTP协议在Inter或其它网络的其它协议之上才能完成。HTTP只预示着一个可靠的传输。

以上简要介绍了HTTP协议的宏观运作方式，下面介绍一下HTTP协议的内部操作过程。

首先，简单介绍基于HTTP协议的客户/服务器模式的信息交换过程，如图2-4所示，它分四个过程，建立连接、发送请求信息、发送响应信息、关闭连接。

图2-4

在WWW中，“客户”与“服务器”是一个相对的概念，只存在于一个特定的连接期间，即在某个连接中的客户在另一个连接中可能作为服务器。WWW服务器运行时，一直在TCP80端口(WWW的缺省端口)监听，等待连接的出现。

下面，讨论HTTP协议下客户/服务器模式中信息交换的实现。 1建立连接 连接的建立是通过申请套接字(Socket)实现的。客户打开一个套接字并把它约束在一个端口上，如果成功，就相当于建立了一个虚拟文件。以后就可以在该虚拟文件上写数据并通过网络向外传送。

2发送请求

打开一个连接后，客户机把请求消息送到服务器的停留端口上，完成提出请求动作。

HTTP/10 请求消息的格式为：

请求消息=请求行(通用信息|请求头|实体头)CRLF[实体内容]

请求 行=方法 请求URL HTTP版本号 CRLF

方 法=GET|HEAD|POST|扩展方法

U R L=协议名称+宿主名+目录与文件名

请求行中的方法描述指定资源中应该执行的动作，常用的方法有GET、HEAD和POST。不同的请求对象对应GET的结果是不同的，对应关系如下：

对象 GET的结果

文件 文件的内容

程序 该程序的执行结果

数据库查询 查询结果

HEAD——要求服务器查找某对象的元信息，而不是对象本身。

POST——从客户机向服务器传送数据，在要求服务器和CGI做进一步处理时会用到POST方法。POST主要用于发送HTML文本中FORM的内容，让CGI程序处理。

一个请求的例子为：

GETneorkingzjuedu/zju/indexHTTP/10

头信息又称为元信息，即信息的信息，利用元信息可以实现有条件的请求或应答。

请求头——告诉服务器怎样解释本次请求，主要包括用户可以接受的数据类型、压缩方法和语言等。

实体头——实体信息类型、长度、压缩方法、最后一次修改时间、数据有效期等。

实体——请求或应答对象本身。

3发送响应

服务器在处理完客户的请求之后，要向客户机发送响应消息。

HTTP/10的响应消息格式如下：

响应消息=状态行(通用信息头|响应头|实体头) CRLF 〔实体内容〕

状态行=HTTP版本号 状态码 原因叙述

状态码表示响应类型

1×× 保留

2×× 表示请求成功地接收

3×× 为完成请求客户需进一步细化请求

4×× 客户错误

5×× 服务器错误

响应头的信息包括：服务程序名，通知客户请求的URL需要认证，请求的资源何时能使用。

4关闭连接

客户和服务器双方都可以通过关闭套接字来结束TCP/IP对话

配置ftp服务了吗？配置完后，还要开启这个服务。

以下内容为复制的：

/etc/vsftpd/vsftpdconf 主配置文件

/etc/vsftpdftpusers 指定哪些用户不能访问FTP服务器

/etc/vsftpduser_list 可以根据vsftpdconf文件中的设置来决定该文件中指定的用户是否可以访问ftp服务器

/etc/rcd/initd/vsftpd vsftpd的启动脚本文件

2．修改/etc/vsftpd/vsftpdconf文件

#vi /etc/vsftpd/vsftpdconf

功能：设置FTP服务器相关选项

文件格式：#说明语句

．．．．．．．．．．．

．．．．．．．．．．．

配置选项

．．．．．．．．．．．

．．．．．．．．．．．

说明：在vsftpd Conf文件中主要由各种配置选项组成，具体以分为以下类别：

2．1连接选项

2．1．1．监听地址与控制端口

listen_address=ip address

定义了在主机的哪个IP地址上监听FTP请求（应用于独立启动方式的多IP主机默认值为无）

listen_port=port_value

指定FTP服务器监听的端口号(控制端口)，默认值为21。此选项在standalone模式下生效

2．1．2．FTP模式与数据端口

port_enable=YES|NO

指定数据连接时模式，默认值为YES（PORT模式，NO为PASV模式）

connect_from_port_20=YES|NO

控制以PORT模式进行数据传输时是否使用20端口(ftp-data),（YES使用，NO不使用，默认值为NO）

ftp_data_port=port number

设定ftp数据传输端口(ftp-data)值。默认值为20。此参数用于PORT FTP模式。

port_promiscuous=YES|NO

默认值为NO。为YES时，取消PORT安全检查。该检查确保外出的数据只能连接到客户端上。小心打开此选项。

pasv_enable=YES|NO

YES，允许数据传输时使用PASV模式。NO，不允许使用PASV模式。默认值为YES。

pasv_min_port=port number

pasv_max_port=port number

设定在PASV模式下，建立数据传输所可以使用port范围的下界和上界，0 表 示任意。默认值为0。把端口范围设在比较高的一段范围内，比如50000-60000，将有助于安全性的提高

pasv_promiscuous=YES|NO

此选项激活时，将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。默认值为NO

pasv_address= ip address

此选项为一个数字IP地址，作为PASV命令的响应。默认值为none，即地址是从呼入的连接套接字(incoming connectd socket)中获取。

2．1．3．ASCII模式

ascii_upload_enable=YES|NO

控制是否允许使用ascii模式上传文件，YES允许，NO不允许，默认为NO

ascii_download_enable=YES|NO

控制是否允许使用ascii模式下载文件，YES允许，NO不允许，默认为NO。

2．2．性能与负载控制

2．2．1．超时选项

idle_session_timeout= numerical value

空闲（发呆）用户会话的超时时间，若是超出这时间没有数据的传送或是指令的输入，则会强迫断线。单位为秒，默认值为300。

data_connection_timeout= numerical value

空闲的数据连接的超时时间。默认值为300 秒。

accept_timeout=numerical value

接受建立联机的超时设定，单位为秒。默认值为60。

connect_timeout=numerical value

响应PORT方式的数据联机的超时设定，单位为秒。默认值为60。以上两个选项针对客户端的，将使客户端空闲1分钟后自动中断连接，并在中断1分钟后自动激活连接

2．2．2．负载控制

max_clients=numerical value

此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义了FTP服务器最大的并发连接数，当超过此连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。

max_per_ip=numerical value

此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将影响到象网际快车这类的多进程下载软件。默认值为0，表示不限制。

anon_max_rate=value

设定匿名用户的最大数据传输速度value，以Bytes/s为单位。默认无。

local_max_rate=value

设定用户的最大数据传输速度value，以Bytes/s为单位。默认无。此选项对所有的用户都生效

2．3．用户选项

2．3．1．匿名用户

anonymous_enable=YES|NO

控制是否允许匿名用户登录，YES允许，NO不允许，默认值为YES。

ftp_username= username

匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为ftp

no_anon_password=YES|NO

控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。

deny_email_enable=YES|NO

此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数

banned_email_file=/etc/vsftpdbanned_emails

指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpdbanned_emails。

anon_root=path

设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。

anon_world_readable_only=YES|NO

控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。

anon_upload_enable=YES|NO

控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。

anon_mkdir_write_enable=YES|NO

控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。

anon_other_write_enable=YES|NO

控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。

chown_uploads=YES|NO

是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。

chown_username=whoever

指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。

2．3．2．本地用户

local_enable=YES|NO

控制vsftpd所在的系统的用户是否可以登录vsftpd。默认值为YES。

local_root=

定义所有本地用户的根目录。当本地用户登入时，将被更换到此目录下。默认值为无。

user_config_dir=

定义用户个人配置文件所在的目录。用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpdconf格式相同。例如定义user_config_dir=/etc/vsftpd/userconf，并且主机上有用户xiaowang,lisi，那我们可以在user_config_dir的目录新增名为xiaowang、lisi的两个文件。当用户lisi 登入时，VSFTPD则会读取user_config_dir下lisi这个文件中的设定值，应用于用户lisi。默认值为无。

2．3．3．虚拟用户

guest_enable=YES|NO

若是启动这项功能，所有的非匿名登入者都视为guest。默认值为关闭

guest_username=

定义VSFTPD的guest用户在系统中的用户名。默认值为ftp

2．4．安全措施

2．4．1．用户登录控制

pam_service_name=vsftpd

指出VSFTPD进行PAM认证时所使用的PAM配置文件名，默认值是vsftpd，默认PAM配置文件是/etc/pamd/vsftpd。

/etc/vsftpdftpusers

VSFTPD禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pamd/vsftpd中默认设置的。

userlist_enable=YES|NO

此选项被激活后，VSFTPD将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时，该用户在提示输入密码之前就被禁止了。即该用户名输入后，VSFTPD查到该用户名在列表，VSFTPD就直接禁止掉该用户，不会再进行询问密码等后续步聚。默认值为NO。

userlist_file=/etc/vsftpduser_list

指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpduser_list。

userlist_deny=YES|NO

决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服务器。

tcp_wrappers=YES|NO

在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES。

2．4．2．目录访问控制

chroot_list_enable=YES|NO

锁定某些用户在自家目录中。即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录(及其子目录)下。具体的用户在chroot_list_file参数所指定的文件中列出。默认值为NO。

chroot_list_file=/etc/vsftpd/chroot_list

指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。

chroot_local_users=YES|NO

将本地用户锁定在自家目录中。当此项被激活时，chroot_list_enable和chroot_local_users参数的作用将发生变化，chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数被激活后，可能带来安全上的冲突，特别是当用户拥有上传、shell访问等权限时。因此，只有在确实了解的情况下，才可以打开此参数。默认值为NO。

passwd_chroot_enable =YES|NO

当此选项激活时，与chroot_local_user选项配合，chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。默认值为NO。

2．4．3．文件操作控制

hide_ids=YES|NO

是否隐藏文件的所有者和组信息。YES，当用户使用"ls -al"之类的指令时，在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO。

ls_recurse_enable=YES|NO

YES，允许使用"ls -R" 指令。这个选项有一个小的安全风险，因为在一个大型FTP站点的根目录下使用"ls -R"会消耗大量系统资源。默认值为NO。

write_enable=YES|NO

控制是否允许使用任何可以修改文件系统的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默认值为NO，不过自带的简单配置文件中打开了该选项。

secure_chroot_dir=

这选项指向一个空目录，并且ftp用户对此目录无写权限。当vsftpd不需要访问文件系统时，这个目录将被作为一个安全的容器，用户将被限制在此目录中。默认目录为/usr/share/empty。

2．4．4．新增文件权限设定

anon_umask=

匿名用户新增文件的umask 数值。默认值为077。

file_open_mode=

上传档案的权限，与chmod 所使用的数值相同。如果希望上传的文件可以执行，设此值为0777。默认值为0666。

local_umask=

本地用户新增档案时的umask 数值。默认值为077。不过，其他大多数的FTP服务器都是使用022。如果您的用户希望的话，可以修改为022。在自带的配置文件中此项就设为了022。

2．5．提示信息

ftpd_banner=login banner string

此参数定义了login banner string（登录欢迎语字符串）。用户可以自行修改。预设值为无。当ftpd_banner设置后，将取代系统原来的欢迎词。

banner_file=/directory/vsftpd_banner_file

此项指定一个文本文件，当使用者登入时，会显示此该文件的内容，通常为欢迎话语或是说明。默认值为无。与ftpd_banner相比，banner_file是文本文件的形式，而ftpd_banner是字串格式。banner_file选项将取代ftpd_banner选项。

dirmessage_enable=YES|NO

控制是否启用目录提示信息功能。YES启用，NO不启用，默认值为YES。此功能启用后，当用户进入某一个目录时，会检查该目录下是否有message_file选项所指定的文档，若是有，则会出现此文档的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。

message_file=

此选项，仅在dirmessage_enable选项激活方生效。默认值为message。

VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。

安全性是编写VSFTP的初衷，除了这与生俱来的安全特性以外，高速与高稳定性也是VSFTP的两个重要特点。

在速度方面，使用ASCII代码的模式下载数据时，VSFTP的速度是Wu-FTP的两倍，如果Linux主机使用24的内核，在千兆以太网上的下载速度可达86MB/S。

在稳定方面，VSFTP就更加的出色，VSFTP在单机（非集群）上支持4000个以上的并发用户同时连接，根据Red Hat的Ftp服务器的数据，VSFTP服务器可以支持15000个并发用户 Windows Server 2003中配置FTP服务器　在Windows Server 2003系统中配置FTP服务器的方法：

第1步，在开始菜单中依次单击“管理工具”→“Internet信息服务（IIS）管理器”菜单项，打开“Internet信息服务（IIS）管理器”窗口。在左窗格中展开“FTP站点”目录，右键单击“默认FTP站点”选项，并选择“属性”命令。

第2步，打开“默认FTP站点 属性”对话框，在“FTP站点”选项卡中可以设置关于FTP站点的参数。其中在“FTP站点标识”区域中可以更改FTP站点名称、监听IP地址以及TCP端口号，单击“IP地址”编辑框右侧的下拉三角按钮，并选中该站点要绑定的IP地址。如果想在同一台物理服务器中搭建多个FTP站点，那么需要为每一个站点指定一个IP地址，或者使用相同的IP地址且使用不同的端口号。在“FTP站点连接”区域可以限制连接到FTP站点的计算机数量，一般在局域网内部设置为“不受限制”较为合适。用户还可以单击“当前会话”按钮来查看当前连接到FTP站点的IP地址，并且可以断开恶意用户的连接。

第3步，切换到“安全账户”选项卡，此选项卡用于设置FTP服务器允许的登录方式。默认情况下允许匿名登录，如果取消选中“允许匿名连接”复选框，则用户在登录FTP站点时需要输入合法的用户名和密码。本例选中“允许匿名连接”复选框。

第4步，切换到“消息”选项卡，在“标题”编辑框中输入能够反映FTP站点属性的文字（如“服务器配置技术务网FTP主站点”），该标题会在用户登录之前显示。接着在“欢迎”编辑框中输入一段介绍FTP站点详细信息的文字，这些信息会在用户成功登录之后显示。同理，在“退出”编辑框中输入用户在退出FTP站点时显示的信息。另外，如果该FTP服务器限制了最大连接数，则可以在“最大连接数”编辑框中输入具体数值。当用户连接FTP站点时，如果FTP服务器已经达到了所允许的最大连接数，则用户会收到“最大连接数”消息，且用户的连接会被断开。

第5步，切换到“主目录”选项卡。主目录是FTP站点的根目录，当用户连接到FTP站点时只能访问主目录及其子目录的内容，而主目录以外的内容是不能被用户访问的。主目录既可以是本地计算机磁盘上的目录，也可以是网络中的共享目录。单击“浏览”按钮在本地计算机磁盘中选择要作为FTP站点主目录的文件夹，并依次单击“确定”按钮。根据实际需要选中或取消选中“写入”复选框，以确定用户是否能够在FTP站点中写入数据。

第6步，切换到“目录安全性”选项卡，在该选项卡中主要用于授权或拒绝特定的IP地址连接到FTP站点。例如只允许某一段IP地址范围内的计算机连接到FTP站点，则应该选中“拒绝访问”单选框。然后单击“添加”按钮，在打开的“授权访问”对话框中选中“一组计算机”单选框。然后在“网络标识”编辑框中输入特定的网段），并在“子网掩码”编辑框中输入子网掩码。最后单击“确定”按钮。 第7步，返回“默认FTP站点 属性”对话框，单击“确定”按钮使设置生效。现在用户已经可以在网络中任意客户计算机的Web浏览器中输入FTP站点地址来访问FTP站点的内容了。

一 FTP 说明

linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。

vsftp提供3种远程的登录方式：

（1）匿名登录方式

就是不需要用户名，密码。就能登录到服务器电脑里面

（2）本地用户方式

需要帐户名和密码才能登录。而且，这个帐户名和密码，都是在你linux系统里面，已经有的用户。

（3）虚拟用户方式

同样需要用户名和密码才能登录。但是和上面的区别就是，这个用户名和密码，在你linux系统中是没有的(没有该用户帐号)

二 Vsftp的安装配置

21 安装

vsftp 的安装包，可以在安装里找到。 用yum 安装过程也很简单。

安装命令：yum install vsftpd

22 相关命令

221 启动与关闭

[root@singledb ~]# service vsftpd start

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# service vsftpd stop

Shutting down vsftpd: [ OK ]

[root@singledb ~]# service vsftpd restart

Shutting down vsftpd: [FAILED]

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# /etc/initd/vsftpd start

Starting vsftpd for vsftpd: [FAILED]

[root@singledb ~]# /etc/initd/vsftpd stop

Shutting down vsftpd: [ OK ]

[root@singledb ~]# /etc/initd/vsftpd restart

Shutting down vsftpd: [FAILED]

Starting vsftpd for vsftpd: [ OK ]

[root@singledb ~]# /etc/initd/vsftpd status

vsftpd (pid 3931) is running

[root@singledb ~]#

222 其他命令

--查看vsftpd 启动状态

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off

[root@singledb ~]# chkconfig vsftpd on

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

这里看到，默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。

我们也可以加level 选项来指定：

[root@singledb ~]# chkconfig --level 0 vsftpd on

[root@singledb ~]# chkconfig --list vsftpd

vsftpd 0:on 1:off 2:on 3:on 4:on 5:on 6:off

我们看到0已经设置为on了。

我们可以使用man chkconfig 来查看帮助：

--level levels

Specifies the run levels an operation should pertain to It is given as a string of numbers from 0 to 7 For example, --level 35 specifies runlevels 3 and 5

传统的init 定义了7个运行级（run level），每一个级别都代表系统应该补充运行的某些特定服务：

（1）0级是完全关闭系统的级别

（2）1级或者S级代表单用户模式

（3）2-5 级 是多用户级别

（4）6级 是 重新引导的级别

（1）查看防火墙

我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。

[root@singledb ~]# /etc/initd/iptables status

Table: nat

Chain PREROUTING (policy ACCEPT)

num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

num target prot opt source destination

1 MASQUERADE all -- 1921681220/24 !1921681220/24

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Table: filter

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT udp -- 0000/0 0000/0 udp dpt:53

2 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:53

3 ACCEPT udp -- 0000/0 0000/0 udp dpt:67

4 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:67

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all -- 0000/0 1921681220/24 state RELATED,ESTABLISHED

2 ACCEPT all -- 1921681220/24 0000/0

3 ACCEPT all -- 0000/0 0000/0

4 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable

5 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

You have new mail in /var/spool/mail/root

--添加开放21号端口：

[root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT

[root@singledb ~]# /etc/initd/iptables status

Table: nat

Chain PREROUTING (policy ACCEPT)

num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)

num target prot opt source destination

1 MASQUERADE all -- 1921681220/24 !1921681220/24

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Table: filter

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:21

2 ACCEPT udp -- 0000/0 0000/0 udp dpt:53

3 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:53

4 ACCEPT udp -- 0000/0 0000/0 udp dpt:67

5 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:67

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all -- 0000/0 1921681220/24 state RELATED,ESTABLISHED

2 ACCEPT all -- 1921681220/24 0000/0

3 ACCEPT all -- 0000/0 0000/0

4 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable

5 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

--保存配置

[root@singledb ~]# /etc/rcd/initd/iptables save

Saving firewall rules to /etc/sysconfig/iptables: [ OK ]

--重启防火墙：

[root@singledb ~]# service iptables {start|stop|restart}

（2）查看关闭selinux

[root@singledb ~]# sestatus

SELinux status: disabled

我这里在安装操作系统的时候就关闭了selinux，如果没有关闭，可以修改如下文件来关闭：

[root@singledb ~]# cat /etc/sysconfig/selinux

# This file controls the state of SELinux on the system

# SELINUX= can take one of these three values:

# enforcing - SELinux security policy is enforced

# permissive - SELinux prints warnings instead of enforcing

# disabled - SELinux is fully disabled

SELINUX=disabled

# SELINUXTYPE= type of policy in use Possible values are:

# targeted - Only targeted network daemons are protected

# strict - Full SELinux protection

SELINUXTYPE=targeted

[root@singledb ~]#

保存退出并重启系统reboot

三 FTP配置文件

FTP 安装好之后，在/etc/vsftpd/目录下会有如下文件：

[root@singledb ~]# cd /etc/vsftpd/

[root@singledb vsftpd]# ls

ftpusers user_list vsftpdconf vsftpd_conf_migratesh

[root@singledb vsftpd]#

vsftpdconf: 主配置文件

ftpusers: 指定哪些用户不能访问FTP服务器

user_list: 指定的用户是否可以访问ftp服务器由vsftpdconf文件中的userlist_deny的取值来决定。

[root@singledb vsftpd]# cat user_list

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers

# for users that are denied

我们过滤掉#的注释后，查看一下vsftpdconf 文件：

[root@singledb ftp]# cat /etc/vsftpd/vsftpdconf |grep -v '^#';

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

userlist_enable=yes

tcp_wrappers=YES

至于这些参数的意思，在注释里有详细的说明。

我们可以在vsftpdconf 文件设置如下参数：

（1）ftpd_banner=welcome to ftp service ：设置连接服务器后的欢迎信息

（2）idle_session_timeout=60 ：限制远程的客户机连接后，所建立的控制连接，在多长时间没有做任何的操作就会中断(秒)

（3）data_connection_timeout=120 ：设置客户机在进行数据传输时,设置空闲的数据中断时间

（4）accept_timeout=60 设置在多长时间后自动建立连接

（5）connect_timeout=60 设置数据连接的最大激活时间，多长时间断开，为别人所使用;

（6）max_clients=200 指明服务器总的客户并发连接数为200

（7）max_per_ip=3 指明每个客户机的最大连接数为3

（8）local_max_rate=50000(50kbytes/sec) 本地用户最大传输速率限制

（9）anon_max_rate=30000匿名用户的最大传输速率限制

（10）pasv_min_port=端口

（11）pasv-max-prot=端口号 定义最大与最小端口，为0表示任意端口;为客户端连接指明端口;

（12）listen_address=IP地址 设置ftp服务来监听的地址，客户端可以用哪个地址来连接;

（13）listen_port=端口号 设置FTP工作的端口号，默认的为21

（14）chroot_local_user=YES 设置所有的本地用户可以chroot

（15）chroot_local_user=NO 设置指定用户能够chroot

（16）chroot_list_enable=YES

（17）chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 )

（18）local_root=path 无论哪个用户都能登录的用户，定义登录帐号的主目录, 若没有指定，则每一个用户则进入到个人用户主目录;

（19）chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有);锁定后，用户只能访问用户的主目录/home/user,不能利用cd命令向上转;只能向下;

（20）chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件：/chroot_list_file=path 中指定;

（21）userlist_enable=YES/NO 是否加载用户列表文件;

（22）userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录;

（23）userlist_file=/etc/vsftpd/user_list 列表文件

限制IP 访问FTP:

#vi /etc/hostsallow

vsftpd:1921685128:DENY 设置该IP地址不可以访问ftp服务

FTP 访问时间限制：

#cp /usr/share/doc/vsftpd-113/vsftpdxinetd /etc/xinetdd/vsftpd

#vi /etc/xinetdd/vsftpd/

修改 disable = no

access_time = hour:min-hour:min (添加配置访问的时间限制(注：与vsftpdconf中listen=NO相对应)

例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftp

ftp的配置基本上只有这些了。

默认情况下，ftp根目录是/var/ftp。 如果要修改这个目录位置，可以更改/etc/passwd 文件：

[root@singledb ftp]# cat /etc/passwd | grep ftp

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

创建一个用户来访问FTP,并指定该用户的FTP 目录：

[root@singledb u02]# useradd -d /u02/qsftp qs

[root@singledb u02]# passwd qs

Changing password for user qs

New UNIX password:

BAD PASSWORD: it is WAY too short

Retype new UNIX password:

passwd: all authentication tokens updated successfully

这里指定的是/u02/qsftp 这个目录，要注意个目录的权限。

更改用户不能telnet，只能ftp：

usermod -s /sbin/nologin username //用户只能ftp，不能telnet

usermod -s /sbin/bash username //用户恢复正常

禁止用户ssh登陆

useradd username -s /bin/false

更改用户主目录：

usermod -d /bbb username //把用户的主目录定为/bbb

然后用qs这个用户就可以访问了。

以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。