案例
請問爲什麼我一輸入ftp ip,就會提示ftp:connect:connection:refused(我在配置文件中已經允許匿名訪問了)
解決方案:
我的vsftp過程。
1 檢查我的vsftp有沒有啓動。來的土的方法:
#/usr/sbin/vsftpd
500 OOPS: vsftpd: not configured for standalone, must be started from inetd
2 看來問題出在這裏,檢查一下:
#netstat -na --ip
發現port 21根本沒有打開
3 看來是xinet使得我的vsftp不能工作,我是個笨人,只會用笨辦法:
#pgrep xinet
xinet 1729
4 好的,來個狠的:
#kill 1729
5 再來一次:
#service vsftpd start
6 先檢查一下:
#netstat -na --ip
乖乖,port 21打開了!
7 先測試一下:
#ftp 127.0.0.1
正常了!
源文檔 <http://hi.baidu.com/joe371/blog/item/05d560d2fcc89cd7a9ec9a9f.html>
在將端口
listen_port=21
改爲
listen_port=2121
結果測試時經常出現“ftp:connect:Connection refused"的提示,原先不知所措,
在經過搜索相關信息後,終於找到原因:
#netstat -na |grep 2121
發現2121端口已經打開,可是爲什麼還出現“ftp:connect:Connection refused"的提示?
原因是沒在"ftp 127.0.0.1"之後加端口(2121), 即
#ftp 127.0.0.1 2121
又或在出現“ftp:connect:Connection refused"的提示後,
在ftp>提示符後輸入
open 127.0.0.1 2121
Linux FTP自動啓動服務
最近公司有幾臺Linux服務器未做FTP自動啓動項,趁此機會在網上進行了學習,主要方法如下:
方法一:
chkconfig vsftpd on service vsftpd start
方法二:
最簡單的辦法,把service vsftpd start加入/etc/rc.local即可。
從個人使用習慣上來說,chkconfig命令倒是蠻不錯的選擇.此命令也可以定義其它自動啓動服務項次,大家可以試試哦!
源文檔 <http://blog.csdn.net/langcai1981/archive/2010/04/13/5482239.aspx>
在衆多網絡應用中,FTP(文件傳輸協議)有着非常重要的地位。Internet中一個十分重
要的資源就是軟件資源,而各種各樣的軟件資源大多數都放在FTP服務器中。與大多數
Internet服務一樣,FTP也是一個客戶機/服務器系統。用戶通過一個支持FTP協議的客戶
機程序,連接到主機上的FTP服務器程序。用戶通過客戶機程序向服務器程序發出命令,
服務器程序執行用戶發出的命令,並將執行結果返回給客戶機。FTP服務可以根據服務對
象的不同分爲兩類:系統FTP服務器只允許系統上的合法用戶使用;匿名FTP服務器
(Anonymous FTP Server)允許任何人登錄到FTP服務器去獲取文件。
FTP的數據傳輸模式針對FTP數據連接而言,分爲主動傳輸模式、被動傳輸模式和單端口傳
輸模式三種。
1.主動傳輸模式
當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發出PORT命令與服務器
進行協商,FTP服務器使用一個標準端口20作爲服務器端的數據連接端口(ftp-data),
與客戶建立數據連接。端口20只用於連接源地址是服務器端的情況,並且端口20沒有監聽
進程來監聽客戶請求。
在主動傳輸模式下,FTP的數據連接和控制連接方向相反,由服務器向客戶端發起一個用
於數據傳輸的連接。客戶端的連接端口由服務器端和客戶端通過協商確定。
2.被動傳輸模式
當FTP的控制連接建立,客戶提出目錄列表、傳輸文件時,客戶端發送PASV命令使服務器
處於被動傳輸模式,FTP服務器等待客戶與其聯繫。FTP服務器在非20端口的其它數據傳輸
端口上監聽客戶請求。
在被動傳輸模式下,FTP的數據連接和控制連接方向一致,由客戶端向服務器發起一個用
於數據傳輸的連接。客戶端的連接端口是發起該數據連接請求時使用的端口。當FTP客戶
在防火牆之外訪問FTP服務器時,需要使用被動傳輸模式。
3.單端口模式
除上述兩種模式之外,還有一種單端口模式。該模式的數據連接請求由FTP服務器發起。
使用該傳輸模式時,客戶端的控制連接端口和數據連接端口一致。因爲這種模式無法在短
時間連續輸入數據、傳輸命令,因此並不常用。
Linux下有很多可用的FTP服務器,其中比較流行的有WU-FTP(Washington University
FTP)和VSFTP。Red Hat 8.0中自帶了WU-FTP和VSFTP兩個軟件。WU-FTP是一個著名的FTP
服務器軟件,它功能強大,能夠很好地運行於衆多Unix操作系統中。不過作爲後起之秀的
VSFTP越來越流行,在Red Hat 9.0發行版中就只帶有VSFTP。
VSFTP中VS的意思是“Very Secure”。從名稱可以看出,從一開始,軟件的編寫者就非常注
重其安全性。除與生俱來的安全性外,VSFTP還具有高速、穩定的性能特點。在穩定性方
面,VSFTP可以在單機(非集羣)上支持4000個以上的併發用戶同時連接。據
ftp.redhat.com的數據,VSFTP最多可以支持15000個併發用戶。
快速構建FTP服務器
FTP服務器實現的基本功能是上傳下載,下面就分幾個步驟來搭建一個可以實現下載功能
的簡易FTP服務器。
1.安裝FTP服務器
如果在安裝系統時沒有選擇安裝FTP服務器,可以通過Red Hat 9.0中的“添加/刪除應用程
序”工具進行安裝。具體方法是,選擇“主選單”→“系統設置”→“添加/刪除應用程序”,在彈
出的界面中選中FTP服務器,單擊“更新”即可。
如果無法確認是否安裝了該軟件,可以使用以下命令查看:
#rpm -qa|grep vsftpd
vsftpd-1.1.3-8
2.啓動FTP服務器
套用Red Hat 9.0的預設範例直接啓動VSFTP。
# /sbin/service vsftpd start
爲vsftpd啓動vsftpd: [確定]
3.在/var/ftp/pub目錄下創建一個名爲test.txt的文件,文件內容爲“This is a test
file”。
4.測試
使用FTP客戶端登錄到本地服務器,然後以匿名身份(anonymous)登錄:
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
這樣就成功地登錄到FTP服務器。可以顯示服務器目錄列表如下:
ftp> ls
227 Entering Passive Mode (127,0,0,1,63,15)
drwxr-xr-x 2 0 0 4096 Dec 04 01:35 pub
226 Directory send OK.
切換到pub目錄下,並顯示目錄內容,可以找到剛纔創建的文件test.txt:
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (127,0,0,1,232,34)
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 21 Dec 04 01:35 test.txt
226 Directory send OK.
下載test.txt文件:
ftp> mget test.txt
mget test.txt? y
227 Entering Passive Mode (127,0,0,1,186,210)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.0108 secs (1.9 Kbytes/sec)
查看本機目錄內容,可以看到test.txt已成功下載到本機。
ftp> !ls
a EIO_Binders initrd mnt proc tftpboot ylg.txt
bin etc lib mymnt root tmp
boot home lost+found myshare sbin usr
dev id_dsas.pub misc opt test.txt var
嘗試上傳名爲ylg.txt的文件,可以看到請求被拒絕了。
ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,243,10)
550 Permission denied.
退出登錄:
ftp> bye
221 Goodbye.
由測試可以看出,已經可以下載文件,但不能上傳文件(也不能在服務器上創建目錄和文
件)。實際上這是一個專門提供下載服務的匿名FTP服務器。
從上面的步驟可以看出,並不需要做什麼配置就可以完成一個簡易FTP服務器的架設。這
是因爲Red Hat已經配置好一個缺省的FTP服務器。不過在實際應用中,大部分情況下這個
簡易的服務器並不能滿足需求。
進一步配置FTP服務器
下面將創建一個能夠滿足常用需求的FTP服務器。實際應用中,FTP服務器一般要同時提供
上傳和下載功能。此外,出於安全考慮,還需要有用戶身份驗證、用戶權限設置及空間管
理等。下面就來搭建這樣一個FTP服務器。
1.創建歡迎語。如果希望使用者在進入目錄時,能夠看到歡迎語或對本目錄的介紹,可
以通過以下方法來實現。
確定/etc/vsftpd/vsftpd.conf文件中dirmessage_enable=YES,默認情況下,Red Hat
9.0有此設置。接着,在目錄中新增名爲.message的文件。本例在/home/ylg目錄下創建一
個.message文件,其內容爲“歡迎來到我的FTP站點”。
2.更換FTP服務器的默認端口。將預設的21端口改爲2121,這樣做是基於安全的考慮。更
改方法爲,使用vi打開/etc/vsftpd/vsftpd.conf:
#vi /etc/vsftpd/vsftpd.conf
在文件最後增加如下一行內容:
listen_port=2121
3.取消anonymous登錄的功能。在vsftpd.conf文件中找到如下一行,並將其值改爲“NO”:
anonymous_enable=YES
4.設定使用者不得更改目錄。這樣做的目的也是基於安全性的考慮。一般情況下,使用
者的預設目錄爲/home/username。若是不希望使用者在登錄後能夠切換至上一層目錄
/home,則可通過以下設置來實現。在/etc/vsftpd/vsftpd.conf文件中找到以下三行內容:
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
將其改爲:
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
新增一個文件/etc/vsftpd/chroot_list,文件內容爲兩個用戶名:
ylg
user1
5.針對不同的使用者限制不同的速度。假設用戶ylg所能使用的最高速度爲500Kb/s,用
戶user1所能使用的最高速度爲250Kb/s,可以通過以下方法設置。在
/etc/vsftpd/vsftpd.conf文件尾部新增以下一行:
user_config_dir=/etc/vsftpd/userconf
增加一個名爲/etc/vsftpd/userconf的目錄:
#mkdir /etc/vsftpd/userconf
在/etc/vsftpd/userconf下新增一個名爲ylg的文件,其內容如下所示:
local_max_rate=500000
在/etc/vsftpd/userconf目錄下新增一個名爲user1的文件,其內容如下所示:
local_max_rate=250000
VSFTP對於速度的限制範圍大概在80%到120%之間,也就是限制最高速度爲100Kb/s,但
實際的速度可能在80Kb/s到120Kb/s之間。如果頻寬不足,數值會低於此限制。
6.對於每一個聯機用戶,都以獨立的進程來運行。一般情況下,在啓動VSFTP時,只會看
到一個名爲vsftpd的進程在運行。但若是讀者希望每一個聯機用戶都能以獨立的進程來呈
現,則可通過在/etc/vsftpd/vsftpd.conf文件中增加以下一行來實現:
setproctitle_enable=YES
7.保存/etc/vsftpd/vsftpd.conf文件,然後重新啓動vsftpd:
#service vsftpd restart
8.測試剛創建的FTP服務器。
以缺省方式登錄會被拒絕,因爲此時的默認端口號已經更改爲2121,所以登錄時需指定端
口。
# ftp 127.0.0.1
ftp: connect: Connection refused
此時也不能再使用匿名方式登錄:
# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): anonymous
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
如果以用戶ylg則可以成功登錄(指定端口2121),並顯示歡迎信息:
# ftp 127.0.0.1 2121
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 1.1.3)
Name (127.0.0.1:root): ylg
331 Please specify the password.
Password:
230-歡迎來到我的FTP站點
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
因爲在設置中設定了不能切換目錄,所以下列命令無法正確執行:
ftp> cd /home
550 Failed to change directory.
再來測試一下上傳和下載。首先下載服務器目錄中的test.txt文件:
ftp> get test.txt
local: test.txt remote: test.txt
227 Entering Passive Mode (127,0,0,1,243,215)
150 Opening BINARY mode data connection for test.txt (21 bytes).
226 File send OK.
21 bytes received in 0.00308 secs (6.7 Kbytes/sec)
可以通過!ls命令看到本機目錄中已成功下載該文件。然後上傳本機目錄中的ylg.txt文件
到服務器:
ftp> put ylg.txt
local: ylg.txt remote: ylg.txt
227 Entering Passive Mode (127,0,0,1,133,248)
150 Ok to send data.
226 File receive OK.
19 bytes sent in 0.0401 secs (0.46 Kbytes/sec)
用ls命令查看服務器目錄,會發現該文件已成功上傳。
爲了測試不同連機用戶使用的是不同進程,可以使用ps -ef指令,顯示如下所示:
# ps -ef|grep ftp
root 12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121
nobody 12973 12908 0 13:44 ? 00:00:00 [vsftpd]
ylg 12975 12973 0 13:44 ? 00:00:00 [vsftpd]
user1 13013 13011 0 13:46 ? 00:00:00 [vsftpd]
root 13041 13015 0 13:47 pts/4 00:00:00 grep ftp
到現在爲止,一個基本可以滿足普通使用需求的FTP服務器就已經架設完成。
在實際應用中,有時爲了增加安全性,會將FTP服務器置於防火牆之後。如本文開頭所
述,被動傳輸模式適合於帶有防火牆的情況。下面就來創建一個防火牆後的FTP服務器,
該服務器FTP端口爲2121,數據傳輸端口爲2020。
執行以下兩行指令,只允許2121和2020端口打開,其餘端口關閉:
#iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
修改/etc/vsftpd/vsftpd.conf文件,在文本最後添加以下兩行:
listen_port=2121
ftp_data_port=2020
重新啓動vsftpd:
#service vsftpd restart
有時希望直接在/etc/hosts.allow中定義允許或拒絕某一源地址,可以通過以下配置來實
現。先確保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES,Red Hat 9.0中,這是默認
值。重新啓動vsftpd:
#service vsftpd restart
假設提供168.192.2.1和210.31.8.1到210.31.8.254的連接,則可對/etc/hosts.allow進
行如下設定:
vsftpd : 168.192.2.1 210.31.8. : allow
ALL : ALL : DENY
配置虛擬用戶FTP
上面配置的FTP服務器有一個特點,就是FTP服務器的用戶本身也是系統用戶。這顯然是一
個安全隱患,因爲這些用戶不僅能夠訪問FTP,也能夠訪問其它的系統資源。如何解決這
個問題呢?答案就是創建一個虛擬用戶的FTP服務器。虛擬用戶的特點是隻能訪問服務器
爲其提供的FTP服務,而不能訪問系統的其它資源。所以,如果想讓用戶對FTP服務器站內
具有寫權限,但又不允許訪問系統其它資源,可以使用虛擬用戶來提高系統的安全性。
在VSFTP中,認證這些虛擬用戶使用的是單獨的口令庫文件(pam_userdb),由可插入認
證模塊(PAM)認證。使用這種方式更加安全,並且配置更加靈活。下面介紹配置過程。
1.生成虛擬用戶口令庫文件。爲了建立此口令庫文件,先要生成一個文本文件。該文件
的格式如下,單數行爲用戶名,偶數行爲口令:
#vi account.txt
ylg
1234
zhanghong
4321
gou
5678
2.生成口令庫文件,並修改其權限:
#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db
#chmod 600 /etc/vsftpd/account.db
3.新建一個虛擬用戶的PAM文件。加上如下兩行內容:
#vi /etc/pam.d/vsftp.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account
account required /lib/security/pam_userdb.so db=/etc/vsftpd/account
4.建立虛擬用戶,設置該用戶所要訪問的目錄,並設置虛擬用戶訪問的權限:
#useradd -d /ftpsite virtual_user
#chmod 700 /ftpsite
經過該步驟的設置,/ftpsite就是virtual_user用戶的主目錄,該用戶也是/ftpsite目錄
的擁有者。除root用戶之外,只有該用戶具有對該目錄的讀、寫和執行的權限。
5.生成一個測試文件。先切換至virtual_user用戶身份,然後在/ftpsite目錄下創建一
個文件:
#su -virtual_user
$vi /ftpsite/mytest
This is a test file.
$su - root
6.編輯/etc/vsftpd/vsftpd.conf文件,使其整個文件內容如下所示(去掉了註釋內容):
anonymous_enable=NO
local_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
one_process_model=NO
chroot_local_user=YES
ftpd_banner=Welcom to my FTP server.
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual_user
pam_service_name=vsftp.vu
上面代碼中,guest_enable=YES表示啓用虛擬用戶;guest_username=virtual則是將虛擬
用戶映射爲本地用戶,這樣虛擬用戶登錄後才能進入本地用戶virtual的目錄/ftpsite;
pam_service_name=vsftp.vu指定PAM的配置文件爲vsftp.vu。
7.重新啓動VSFTP:
#service vsftpd restart
8.以虛擬用戶gou(Linux中並無該賬號)進行測試:
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): gou
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
測試下載服務器目錄中的一個文件mytest:
ftp> get mytest
local: mytest remote: mytest
227 Entering Passive Mode (127,0,0,1,159,19)
150 Opening BINARY mode data connection for mytest (21 bytes).
226 File send OK.
21 bytes received in 0.00038 secs (54 Kbytes/sec)
測試上傳本機目錄中的文件vsftpd.conf:
ftp> !ls
account.db chroot_list k mytest userconf vsftpd.conf
ftp> put vsftpd.conf
local: vsftpd.conf remote: vsftpd.conf
227 Entering Passive Mode (127,0,0,1,117,203)
150 Ok to send data.
226 File receive OK.
4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec)
可以看到,使用沒有系統賬號的虛擬用戶可以成功完成上傳、下載的工作。但該FTP虛擬
服務器只允許虛擬用戶登錄,其它系統用戶無法登錄,如系統用戶user1不是虛擬用戶,
則不能登錄該虛擬服務器。
# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): user1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
在虛擬FTP服務器中,也可以對各個用戶的權限進行設置。方法是在/etc/vsftpd.conf文
件中添加如下一行:
user_config_dir=用戶配置文件目錄
然後在用戶配置文件目錄下創建相應的用戶配置文件,比如爲上述名爲gou的用戶創建一
個配置文件(假設配置文件目錄爲/etc/user_config_dir):
#vi /etc/user_config_dir/gou
write_enable=NO
anono_upload_enable=NO
重啓FTP服務器,這時再使用賬號gou來登錄,就已經沒有上傳的權限了。
源文檔 <http://linux.chinaunix.net/doc/netconf/2005-01-10/722.shtml>
$ man ftp
......
-i Turns off interactive prompting during multiple file transfers.
用mput/mget傳多個文件的時候,會一個一個的給提示要求確認,很麻煩。用了-i就可以取消這種提示了。
源文檔 <http://topic.csdn.net/u/20090723/00/582f70db-7efb-4ae0-bd22-4bbaeee59dc3.html>
這樣可以完成自動交互
只是ftp的話,還可以將命令寫在文件中,用ftp -s: filename的方式也可以完成自動交互
源文檔 <http://topic.csdn.net/u/20090723/00/582f70db-7efb-4ae0-bd22-4bbaeee59dc3.html>
命令行下的ftp參數
參數
-v
禁止顯示遠程服務器響應。
-n
禁止自動登錄到初始連接。
-i
多個文件傳送時關閉交互提示。
-d
啓用調試、顯示在客戶端和服務器之間傳遞的所有 ftp 命令。
-g
禁用文件名組,它允許在本地文件和路徑名中使用通配符字符(* 和 ?)。(請參閱聯機“命令參考”中的 glob 命令。)
-s: filename
指定包含 ftp 命令的文本文件;當 ftp 啓動後,這些命令將自動運行。該參數中不允許有空格。使用該開關而不是重定向 (> )。
-a
在捆綁數據連接時使用任何本地接口。
-w:windowsize
替代默認大小爲 4096 的傳送緩衝區。
computer
指定要連接到遠程計算機的計算機名或 IP 地址。如果指定,計算機必須是行的最後一個參數
源文檔 <http://topic.csdn.net/u/20090723/00/582f70db-7efb-4ae0-bd22-4bbaeee59dc3.html>