| |
最近更新日期:2011/08/08
 21.5 重点回顾
- FTP 是文件传输协议 (File Transfer Protocol) 的简写,主要的功能是进行服务器与客户端的档案管理、传输等事项;
- FTP 的服务器软件非常多,例如 Wu FTP, Proftpd, vsftpd 等等,各种 FTP 服务器软件的发展理念并不相同,
所以选择时请依照你的需求来决定所需要的软件;
- FTP 使用的是明码传输,而过去一些 FTP 服务器软件也曾被发现安全漏洞,因此设定前请确定该软件已是最新版本,避免安全议题的衍生;
- 由于 FTP 是明码传输,其实可以使用 SSH 提供的 sftp 来取代 FTP ;
- 大多数的 FTP 服务器软件都提供 chroot 的功能,将实体用户限制在他的家目录内;
- FTP 这个 daemon 所开启的正规埠口为 20 与 21 ,其中 21 为命令通道, 20 为主动联机的数据传输信道;
- FTP 的数据传输方式主要分为主动与被动(Passive, PASV),如果是主动的话,则 ftp-data 在服务器端主动以 port 20
连接到客户端,否则需开放被动式监听的埠口等待客户端来连接;
- 在 NAT 主机内的客户端 FTP 软件联机时可能发生困扰,这可以透过 iptables 的 nat 模块或利用被动式联机来克服;
- 一般来说, FTP 上面共有三个群组,分别是实体用户、访客与匿名登录者(real, guest, anonymous);
- 可以藉由修改 /etc/passwd 里面的 Shell 字段,来让使用者仅能使用 FTP 而无法登入主机;
- FTP 的指令、与用户活动所造成的登录档是放置在 /var/log/xferlog 里面;
- vsftpd 为专注在安全议题上而发展的一套 FTP 服务器软件,他的配置文件在 /etc/vsftpd/vsftpd.conf
21.6 本章习题
- FTP 在建立联机以及数据传输时,会建立哪些联机?
需建立两种联机,分别是命令信道与数据传输信道。在主动式联机上为 port 21(ftp) 与 port 20(ftp-data)。
- FTP 主动式与被动式联机有何不同?
主动式联机的时候,命令联机是由 client 端主动连接到服务器端,但是 ftp-data 则是由服务器端主动的联机到
client 端。至于被动式联机的时候,则不论 command 还是 ftp-data 的联机,服务器端都是监听客户端的要求的!
- 有哪些动作可以让你的 FTP 主机更为安全 (secure) ?
- 随时更新服务器软件到最新版本;
- 让 guest 与 anonymous 的家目录限制在固定的目录中(chroot 或是 restricted);
- 拒绝 root 的登入或者其他系统账号的登入;
- 拒绝大部分的 upload 行为!
- 我们知道 ftp 会启用两个 ports ,请问这两个 port 在哪里规范的 (以 vsftpd 为例)?而且,一般正规的 port 是几号?
若为 stand alone 时,都是由 vsftpd.conf 规范,命令通道为 listen_port=21 规范,数据连接为 connect_from_port_20=YES
及pasv_max_port=0, pasv_max_port=0 所规范。
若是 super daemon 所管理时,命令信道则由 /etc/services 所规范了。
- 那几个档案可以用来抵挡类似 root 这种系统账号的登入 FTP?
/etc/vsftpd/ftpusers
/etc/vsftpd/user_list
- 在 FTP 的 server 与 client 端进行数据传输时,有哪两种模式?为何这两种模式影响数据的传输很重要?
数据的传输有 ASCII 与 Binary 两种方式,在进行 ascii 传送方式时,被传送的档案将会以文本模式来进行传送的行为,
因此,档案的属性会被修改过,可能造成执行档最后却无法执行等的问题!一般来说,ASCII
通常仅用在文本文件与一些原始码档案的传送。
- 我的主机明明时区设定没有问题,但为何登入 vsftpd 这个 FTP 服务时,时间就是少八小时?该如何解决?
肯定是时区方面出了问题,应该就是 vsftpd.conf 里面少了『 use_localtime=YES 』这个参数了。
21.7 参考数据与延伸阅读
|
|
