修改默認端口
默認FTP服務器端口號是21,出于安全目的,有時需修改默認端口號,修改/etc/vsftpd/vsftpd.conf,添加語句(例):
listen_port=4449
語句指定了修改后FTP服務器的端口號,應盡量大于4000。修改后訪問
#ftp 192.168.57.2 4449
注意這里需加上正確的端口號了,否則不能正常連接。
設置用戶組
有關FTP用戶和用戶組的重要性,我們在之前介紹vsftpd的時候便已經提到過。這里主要是簡單的說明用戶組的技術實現,至于具體如何應用,還是具體需求具體對待。
#mkdir -p /home/try 遞歸創建新目錄 #groupadd try 新建組 #useradd -g try -d /home/try try1 新建用戶try1并指定家目錄和屬組 #useradd -g try -d /home/try try2 新建用戶try2并指定家目錄和屬組 #useradd -g try -d /home/try try3 新建用戶try3并指定家目錄和屬組 #passwd try1 為新用戶設密碼 #passwd try2 為新用戶設密碼 #passwd try3 為新用戶設密碼 #chown try1 /home/try 設置目錄屬主為用戶try1 #chown .try /home/try 設置目錄屬組為組try #chmod 750 /home/try 設置目錄訪問權限try1為讀,寫,執行;try2,try3為讀,執行
由于本地用戶登錄FTP服務器后進入自己主目錄,而try1,try2 try3對主目錄/home/try分配的權限不同,所以通過FTP訪問的權限也不同,try1訪問權限為:上傳,下載,建目錄;try2,try3訪問權限為下載,瀏覽,不能建目錄和上傳。實現了群組中用戶不同訪問級別,加強了對FTP服務器的分級安全管理。
連接超時(本部分內容由李洋提供)
配置空閑的用戶會話的中斷時間:如下配置將在用戶會話空閑5分鐘后被中斷,以釋放服務器的資源
Idle_session_timeout=300
配置空閑的數據連接的中斷時間:如下配置將在數據空閑連接1分鐘后被中斷,同樣也是為了釋放服務器的資源
Data_connection_timeout=60
配置客戶端空閑時的自動中斷和激活連接的時間:如下配置將使客戶端空閑1分鐘后自動中斷連接,并在30秒后自動激活連接
Accept_timeout=60 Connect_timeout=30
接下來,我們將對vsftpd的日志進行介紹。
常見的vsftpd日志解決方案
在vsftpd.conf中有如下內容定義了日志的記錄方式:
# 表明FTP服務器記錄上傳下載的情況 xferlog_enable=YES # 表明將記錄的上傳下載情況寫在xferlog_file所指定的文件中,即xferlog_file選項指定的文件中 xferlog_std_format=YES xferlog_file=/var/log/xferlog # 啟用雙份日志。在用xferlog文件記錄服務器上傳下載情況的同時, # vsftpd_log_file所指定的文件,即/var/log/vsftpd.log也將用來記錄服務器的傳輸情況 dual_log_enable=YES vsftpd_log_file=/var/log/vsftpd.log
vsftpd的兩個日志文件分析如下:
/var/log/xferlog
記錄內容舉例
Tue Sep 11 14:59:03 2007 [pid 3460]??? CONNECT: Client "127.0.0.1" Tue Sep 11 14:59:24 2007 [pid 3459] [ftp] OK LOGIN;Client "127.0.0.1" ,anon password ”?"<、pre> /var/log/xferlog日志文件中數據的分析和參數說明
| 記錄數據 | 參數名稱 | 參數說明 |
| Thu Sep 6 09:07:48 2007 | 當前時間 | 當前服務器本地時間,格式為: DDD MMM dd hh:mm:ss YYY |
| 7 | 傳輸時間 | 傳送文件所用時間,單位為秒 |
| 192.168.57.1 | 遠程主機名稱/IP | 遠程主機名稱/IP |
| 4323279 | 文件大小 | 傳送文件的大小,單位為byte |
| /home/student/phpMyadmin- 2.11.0-all-languages.tar.gz | 文件名 | 傳輸文件名,包括路徑 |
| b | 傳輸類型 | 傳輸方式的類型,包括兩種: a以ASCII傳輸 b以二進制文件傳輸 |
| – | 特殊處理標志 | 特殊處理的標志位,可能的值包括: _ 不做任何特殊處理 C 文件是壓縮格式 U 文件是非壓縮格式 T 文件是tar格式 |
| i | 傳輸方向 | 文件傳輸方向,包括兩種: o 從FTP服務器向客戶端傳輸 i 從客戶端向FTP服務器傳輸 |
| r | 訪問模式 | 用戶訪問模式,包括: a 匿名用戶 g 來賓用戶 r 真實用戶,即系統中的用戶 |
| student | 用戶名 | 用戶名稱 |
| ftp | 服務名 | 所使用的服務名稱,一般為FTP |
| 0 | 認證方式 | 認證方式,包括: 0 無 1 RFC931認證 |
| * | 認證用戶id | 認證用戶的id,如果使用*,則表示無法獲得該id |
| c | 完成狀態 | 傳輸的狀態: c 表示傳輸已完成 i 表示傳輸示完成 |
最后,介紹常見的FTP命令,以及FTP數字代碼的意義。 常見FTP命令及其功能
| FTP命令 | 功能 | FTP命令 | 功能 |
| ls | 顯示服務器上的目錄 | ls?[remote-dir][local-file] | 顯示遠程目錄remote-dir,并存入本地文件local-file |
| get?remote-file [local-file] | 從服務器下載指定文件到客戶端 | mget?remote-files | 下載多個遠程文件(mget命令允許用通配符下載多個文件) |
| put?local-file [remote-file] | 從客戶端上傳指定文件到服務器 | mput?local-file | 將多個文件上傳至遠程主機(mput命令允許用通配符上傳多個文件) |
| open | 連接FTP服務器 | mdelete [remote-file] | 刪除遠程主機文件 |
| close | 中斷與遠程服務器的ftp會話(與open對應) | mkdir dir-name | 在遠程主機中創建目錄 |
| open host[port] | 建立指定的ftp服務器連接,可指定連接端口 | newer file-name &nbsnbsp; | 如果遠程主機中file-name的修改時間比本地硬盤同名文件的時間更近,則重傳該文件 |
| cd?directory | 改變服務器的工作目錄 | rename [from][to] | 更改遠程主機的文件名 |
| lcd directory | 在客戶端上(本地)改變工作目錄 | pwd | 顯示遠程主機的當前工作目錄 |
| bye | 退出FTP命令狀態 | quit | 同bye,退出ftp會話 |
| ascii | 設置文件傳輸方式為ASCII模式 | reget remote-file [local-file] | 類似于get,但若local-file存在,則從上次傳輸中斷處續傳 |
| binary | 設置文件傳輸方式為二進制模式 | rhelp [cmd-name] | 請求獲得遠程主機的幫助 |
| ![cmd [args]] | 在本地主機中交互shell后退回到ftp環境,如:!ls *.zip | rstatus [file-name] | 若未指定文件名,則顯示遠程主機的狀態,否則顯示文件狀態 |
| accout [password] | 提供登錄遠程系統成功后訪問系統資源所需的密碼 | hash | 每傳輸1024字節,顯示一個hash符號(#) |
| append local-file [remote-file] | 將本地文件追加到遠程系統主機,若未指定遠程系統文件名,則使用本地文件名 | restart marker | 從指定的標志marker處,重新開始get或put,如restart 130 |
| bye | 退出ftp會話過程 | rmdir?dir-name | 刪除遠程主機目錄 |
| case | 在使用mget命令時,將遠程主機文件名中的大寫轉為小寫字母 | size file-name | 顯示遠程主機文件大小,如: size idle 7200 |
| cd remote-dir | 進入遠程主機目錄 | status | 顯示當前ftp狀態 |
| cdup | 進入遠程主機目錄的父目錄 | system | 顯示遠程主機的操作系統 |
| delete remote-file | 刪除遠程主機文件 | user user-name [password][account] | 向遠程主機表明自己的身份,需要密碼時,必須輸入密碼,如:user anonymous my@email |
| dir [remote-dir][local-file] | 顯示遠程主機目錄,并將結果存入本地文件 | help [cmd] | 顯示ftp內部命令cmd的幫助信息,如help get |
FTP數字代碼的意義
110 重新啟動標記應答。 120 服務在多久時間內ready。 125 數據鏈路端口開啟,準備傳送。 150 文件狀態正常,開啟數據連接端口。 200 命令執行成功。 202 命令執行失敗。 211 系統狀態或是系統求助響應。 212 目錄的狀態。 213 文件的狀態。 214 求助的訊息。 215 名稱系統類型。 220 新的聯機服務ready。 221 服務的控制連接端口關閉,可以注銷。 225 數據連結開啟,但無傳輸動作。 226 關閉數據連接端口,請求的文件操作成功。 227 進入passive mode。 230 使用者登入。 250 請求的文件操作完成。 257 顯示目前的路徑名稱。 331 用戶名稱正確,需要密碼。 332 登入時需要賬號信息。 350 請求的操作需要進一部的命令。 421 無法提供服務,關閉控制連結。 425 無法開啟數據鏈路。 426 關閉聯機,終止傳輸。 450 請求的操作未執行。 451 命令終止:有本地的錯誤。 452 未執行命令:磁盤空間不足。 500 格式錯誤,無法識別命令。 501 參數語法錯誤。 502 命令執行失敗。 503 命令順序錯誤。 504 命令所接的參數不正確。 530 未登入。 532 儲存文件需要賬戶登入。 550 未執行請求的操作。 551 請求的命令終止,類型未知。 552 請求的文件終止,儲存位溢出。 553 未執行請求的的命令,名稱不正確。