FTP文件传输服务

需求描述：
 采用FTP虚拟用户的方式，添加三个用户：zhangsan、lisi、wangwu。
 用户访问及文件权限控制
 开放匿名访问，任何用户均可下载服务器/var/ftp/soft/目录中的软件资料。
 用户zhangsan可以对服务器的/var/ftp/soft/目录进行上传、删除等操作。
 用户lisi可以下载服务器/var/market/目录中的市场活动、销售方案的资料。
 用户wangwu可以对服务器/var/market/目录进行上传、删除等操作。
 所有通过FTP上传的文件，均去除非属主位的写权限（即将权限掩码设为022）。
 对服务器中没有明确授权的其他目录，禁止任何用户访问。
 传输速率和并发连接控制
 最多允许150个并发用户连接，每个IP并发连接数不超过5个。
 匿名用户及lisi用户的下载带宽限制为100KB/s。
 wangwu用户的下载、上传带宽限制为200KB/s。
具体步骤：

1. 插入光盘并挂载，然后安装vsftpd包。如图所示：
   

2. vsftpd服务使用Berkeley DB格式的数据库文件来存放虚拟用户账号。建立这种数据库文件需要用到db_load工具，db_load工具由db4_utils软件包提供，而db4_utils软件包需要先从RHEL5光盘目录中进行安装，其安装可以执行以下操作：
   

3. 创建文本格式的用户名、密码列表
   首先需要建立文本格式的用户名/密码列表文件，奇数行为用户名，偶数行为上一行中用户所对应的密码。如图所示：

   

   

4. 创建Berkeley DB格式的数据库文件
   有了文本格式的用户名/密码列表文件以后，以此文件为数据流通过db_load工具创建出Berkeley DB格式的数据库文件。
   

   在db_load命令中，“-f”选项用于指定数据源文件，“-T”选项允许非Berkeley DB的应用程序使用从文本格式转换的DB数据文件，“-t hash”选项指定读取数据文件的基本方法。
   为了提高虚拟用户账号问价的安全性，应将问价权限设置为600，以避免数据外泄。其具体操作如下：

   

5. 添加虚拟用户的映射账号、创建FTP根目录
   vsftp服务器对虚拟用户的控制采用了映射的控制方式，将所有的虚拟用户对应到同一个系统用户，该系统用户宿主目录作为所有虚拟用户登录后共用的FTP根目录。因此还需要添加一个对应的系统用户账户（此账号无需设置密码及shell）。

   

6. 为虚拟用户建立PAM认证文件
   vsftpd服务默认的PAM认证文件位于/etc/pam.d/vsftpd，该文件适用于以Linux主机的系统用户账号进行认证。若要读取虚拟用户的账号文件，就需要创建新的PAM认证配置。
   
   
   上述PAM配置内容中，通过“db=/etc/vsftpd/vusers”参数指定了要使用的虚拟用户数据库文件位置（省略了.db扩展名），即对应为/etc/vsftpd/vusers.db文件。

7. 修改vsftpd配置，添加虚拟用户支持
   在vsftpd.conf配置文件中添加guest_enable、guest_username配置项，将访问FTP服务的所有虚拟用户对应到同一系统用户账号virtual，并修改pam_serivce_name配置项，指向上一步建立的/etc/pam.d/vsftpd.vu认证文件。
   
   

   
   在vsftpd服务中，虚拟用户被默认作为匿名用户进行处理以降低权限，因此对应的配置项通常以anon_开头。

8. 创建目录/var/ftp/soft/，将属主设为virtual，权限为755。如图所示：
   

9. 为不同的虚拟用户建立独立的配置文件
   通过前面的几个步骤，实际上已经可以重新加载vsftpd并提供服务了，使用任一个虚拟用户账号都可以登录FTP服务器并下载文件。但因为所有的虚拟用都映射到同一个系统用户账号，因此FTP访问权限也是相同的，要么都只能下载，要么都能够上传。
   若要为不同的虚拟用户账号设置不同的访问权限，可以通过为每个虚拟用户建立单独的配置文件来实现，为FTP用户启用独立配置文件，需要通过vsftpd.conf配置文件，添加“user_config_dir”配置项。
   

   
   有了上述配置以后，就可以在/etc/vsftpd/vusers_dir/目录中为每个虚拟用户分别建立配置文件了。
   
   
   
   
   
   
   
   在vsftpd.conf文件中启用了“user_config_dir”配置项以后，应该为每一个虚拟用户都建立一个单独的配置用户（可以是空文件），否则该用户可能会无法登录。在每个用户的独立配置文件中，可以添加新的配置项来限制访问权限、下载速率等。
   有了虚拟用户数据库文件，并为vsftpd正确添加了虚拟用户支持以后，就可以重新加载vsftpd服务程序了。用户可以使用FTP客户程序访问该FTP服务器，以虚拟用户账号进行测试。
   FTP服务器搭建完成！
    使用user_list用户列表文件
   当vsftpd服务器开放了“local_enable”配置项以后，默认情况下所有的系统用户都可以登录到此FTP服务器。若只希望对一小部分系统用户开放FTP服务，则需要开放用户列表控制的相关配置项，其中主要包括userlist_enbale、userlist_deny。如图所示：
   
   
   
   
    修改vsftpd服务的监听地址、端口
   
   

   

更改端口号后，Linux访问：ftp://IP地址端口号
 允许使用FTP服务器的被动模式

 主动模式：服务器主动发起数据连接。首先由客户端向服务端的21端口建立FTP控制连接，当需要传输数据时，客户端以PORT命令告知服务器“我打开了某端口，你过来连接我”，于是服务器从20端口向客户端的该端口发送请求并建立数据连接。
 被动模式：服务器被动等待数据连接。如果客户机所在网络的防火墙禁止主动模式连接，通常会使用被动模式。首先由客户端向服务器端的21端口建立FTP控制连接。当需要传输数据时，服务器已PASV命令告知客户端“我打开了某端口，你过来连接我”，于是客户端向服务器的该端口（非20）发送请求并建立数据连接。