FreeBSD FTP 的架設
发布时间:2006-10-14 8:46:19   收集提供:gaoqian

當你的 FreeBSD 安裝好後就內建 FTP ,只是預設不啟動它而已, 有人覺得 FreeBSD 內建的 ftpd 太陽春,會另外用別的 ftpd 來取代, 常見的替代方案有:proftpd , pureftp ......等,不過要隨時注意更新,因為 FTP 程式常常被找到有安全漏洞。

1 以 FreeBSD 內建的 ftpd 提供服務

一般說來,當你安裝好 FreeBSD ,FTP 的服務程式 /usr/libexec/ftpd 就有了
只要修改一下 /etc/inetd.conf , FTP 服務就已經可以提供給有本機帳號的人使用

1-1 打開 FTP 服務

FreeBSD 系統的預設 ftpd 提供 daemon 模式(stand alone)和由 inetd 啟動 ftpd 兩種方式
兩種方式比較起來,daemon 的方式適合對同一時間連線使用多,負載較大的主機

1-1-1 方法一:daemon 模式 (stand alone)

1-1-1-1 立即啟動 ftpd daemon

如果只是要馬上啟動服務只要執行:

/usr/libexec/ftpd -D -l -l

參數說明:

  • -D :讓 ftpd 以 daemon 的方式啟動。
  • -l :叫 syslogd 記錄每次的連線,用兩次 -l 則可以連使用的動作都記錄
      -l 要留下連線記錄還需要配合修改 /etc/syslog.conf 才會啟動記錄

ftpd 還有很多的參數,可以 man ftpd 查看。

1-1-1-2 如何讓 FreeBSD 開機時自動啟動 ftpd

如果只用前面的方法啟動 ftpd daemon,下次系統重新開機後就沒了,為了讓它能自動啟動,我們可以把啟動指令放入 /etc/rc.local 中或是仿 /usr/local/etc/rc.d 的檔案,自己寫個 ftpd.sh 。

例一:

ee /etc/rc.local

在裡面放一行:

/usr/libexec/ftpd -D -l -l

例二:

仿 /usr/local/etc/rc.d 中的檔案,新增一個叫 ftpd.sh 的 script :

ee /usr/local/etc/rc.d/ftpd.sh

裡面放入下面的內容:


#!/bin/sh

ftpd_flag="-l -l -S"
ftpd="/usr/libexec/ftpd"

case "$1" in
start)
[ -x ${ftpd} ] && ${ftpd} -D ${ftpd_flag} > /dev/null && echo -n ' ftpd
;;
stop)
/usr/bin/killall ftpd > /dev/null && echo -n ' ftpd'
;;
*)
echo "Usage: `basename $0` {start|stop}" >&2
;;
esac

exit 0

存好檔後再更改一下檔案的權限,讓它可以執行:

chmod 554 /usr/local/etc/rc.d/ftpd.sh

這樣,當 FreeBSD 開機時就會自動啟動 ftpd ,也可以利用 /usr/local/etc/rc.d/ftpd stop 來停止服務,執行時要加什麼參數就修改 ftpd_flag 那行。

1-1-2 方法二:由 inetd 來啟動 ftpd

這種方式,想當然爾,就是要修改 /etc/inetd.conf 囉:

ee /etc/inetd.conf

先檢查一下 /etc/inetd.conf 中有沒有下面這行:

#ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

如果像上面那行一樣,開頭是井字號,表示現在 FTP 服務預設是被關閉的。井字號表示註解,不使用,只要把井字號去掉改成下面的樣子:

ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l

存檔後執行下面的指令:

kill -HUP `cat /var/run/inetd.pid`

讓 inetd 重新抓取 /etc/inetd.conf 設定檔就好了

注意:上面的 ` 是 Esc 鍵下面那鍋毛毛蟲的按鍵哦,可別打成單引號

 

1-2 停止 FTP 服務

如果要停止 FTP 服務,看之前是以 daemon 模式啟動還是 inetd 模式啟動而有所不同。

1-2-1 daemon 模式

daemon 模式可以執行下列指令來終止 ftpd 的程序:

killall ftpd

如果之前是將 ftpd 放在 /etc/rc.local 中來由系統在開機時自動啟動,可以用下面的方法來停止自動提供 FTP 服務。

先打開 /etc/rc.local 來編輯,執行:

ee /etc/rc.local

將檔案中,執行 ftpd 那行的最前面加個井字號,儲存好即可。

1-2-2 inetd 模式

當初是以 inetd 模式來提供服務的,則要修改 inetd 的設定檔 /etc/inetd.conf ,並讓 inetd 重新讀取設定。

先打開 /etc/inetd.conf 來編輯,執行:

ee /etc/inetd.conf

將設定檔中,有 ftpd 那行的前面加上井字號後,儲存設定檔。

讓 inetd 重讀設定檔,執行下面指令:

kill    -HUP    `cat /var/run/inetd.pid`

如果要確認 FTP 服是否已經停止了,可以執行:

netstat -na

看看下面這行是不是已經消失了:

tcp4     0     0     *.21     *.*     LISTEN

 

1-3 限制使用者只能在自己目錄活動(chroot)

如果沒有特殊設定,使用者用自己的帳號 FTP 到主機後,可以自由的切換任意目錄的,如果不想讓它亂跑則要做以下設定。

1-3-1 方法一:利用 /etc/ftpchroot

FreeBSD 的 ftpd 以 /etc/ftpchroot 來控制哪些人或群組要如何 chroot ,所以我們開啟/新增這個設定檔來編輯。

ee /etc/ftpchroot

在檔案裡面放入我們要管制的人或群組:

gsyan
foo
@staff

上面的設定使得 gsyan, foo 及屬於 staff 群組的人都只能在自己目錄活動。

說明:

小老鼠開頭的表示後面接的名稱為群組。

有方法可以只開放一個帳號不 chroot 其它全部 chroot 嗎?

最近 FreeBSD 內建的 ftpd 在 /etc/ftpchroot 又多了可設定的東東, 如果 man ftpchroot 可以看到說明,就表示可以使用下面的的設定來達到只開放部份帳號不鎖定在個人目錄的目的。

首先開啟 /etc/ftpchroot 來編輯:

ee /etc/ftpchroot

假設 admin 是管理員的帳號,讓 admin 可以在系統中到處游走,就裡面放入下面三行:

admin    /
ftp    .
@    www

儲存好就可以用 ftp 連線看看, 上面的設定有底下的效果:

  • 第一行設定:admin 登入時會切換到 /
  • 第二行設定:匿名登入時則保持原來的方式,只能在帳號指定的公用目錄活動。
  • 第三行設定:其它使用者則只能在個人目錄中的 www 資料夾中活動。

第三行應用在 server 有 apache 提供使用者放網頁, 而 apache 設定 UserDir=www 時,以後只要告訴使用者: 『請將做好的網頁直接用自己的帳號 ftp 到主機即可』, 以前都要解釋半天,請他 ftp 後把網頁放到 www 資料夾, 不過,記得先將使用者的 www 目錄先建立好,不然可是會連登入都無法登入哦!!

在 FreeBSD 4.8R 以後的 /etc/ftpchroot 又新增了功能,詳細的設定可以 man ftpchroot (不過,之前的版本沒這鍋 man )。

1-3-2 方法二:利用 /etc/login.conf

這個方法是利用使用者資料庫 (系統密碼檔 /etc/master.passwd) 中 login class 的欄位,來設定使用者隸於的 class ,然後在 /etc/login.conf 中設定各 class 在 FTP chroot 的動作為何,在 /etc/ftpchroot 不方便設定時,適用於要處理很多人的狀況。

開啟 /etc/login.conf 來修改,執行:

ee /etc/login.conf

然後找到下面 default: 開頭的哪幾行,類似下面的內容:

default:\
     :copyright=/etc/COPYRIGHT:\
     :welcome=/etc/motd:\
...................略

加下面這一行:

:ftp-chroot:\

變成:

default:\
     :ftp-chroot:\
     :copyright=/etc/COPYRIGHT:\
     :welcome=/etc/motd:\
...................略

然後執行下列這行指令,把 login.conf 轉成資料庫格式

cap_mkdb /etc/login.conf

這樣,所有的帳號都會做 chroot,活動的範圍就限定在自己的目錄中。


想全部管制,但又想開放系統管理用的帳號不做 chroot 呢?

前面的方法我們設定的是 default 這個 login class 要做 FTP 的 chroot,也就是所有人共同的設定,想讓系統管理可以到處游走,就設定一個系管的 class ,並且將 ftp-chroot 的屬性去掉即可達到部份開放的目的。

開啟 /etc/login.conf 新增系管的 login class 叫 admin,並加入 ftp-chroot 為否的設定:

ee /etc/login.conf

新增下面幾行(注意藍色的部份), 注意:除了前面 defaults: 下的 ftp-chroot 部份,我們在下面另外新增一個 login class 叫 admin:


default:\
    :ftp-chroot:\
    :copyright=/etc/COPYRIGHT:\
    :welcome=/etc/motd:\
...................略

admin:\
    :ftp-chroot@:\
    :tc=default:

...................略

然後執行下列這行指令,把 login.conf 轉成資料庫格式:

cap_mkdb /etc/login.conf

注意:上面在 admin 這個 class 中用的是:

:ftp-chroot@:\

ftp-chroot 多了個小老鼠哦!它代表這個值要相反的意思,也就不做 ftp-chroot。

再來,我們要告訴系統,誰屬於 admin 這個 login class ,直接修改帳號資料庫,執行

vipw

修改管理員 (不做 chroot) 的 login class 為 admin

例如:

假設系統管理員 gsyan 原來的帳號資料是:

gsyan:*:1000:1000::0:0:大雄:/home/gsyan:/bin/tcsh

要將它的 login class 修改為 admin ,就改為下面的樣子:

gsyan:*:1000:1000:admin:0:0:大雄:/home/gsyan:/bin/tcsh

都修改完了就儲存檔案,利用 FTP 軟體以不同身份登入測試看看。

說明:

FreeBSD 中 /etc/master.passwd 密碼欄位依序為:

帳號名稱:密碼:UID:GID:class:強制換密碼的時間:有效時間:資料:家目錄:shell

所以要改的 login class 是第五個欄位。

關於密碼檔的格式可以 man 5 passwd 查看

將不同身份的使用者分為幾個 login class,並利用 /etc/login.conf 來設定各身份能夠使用的系統資源是滿不錯的管制工具,非常值得好好的研究,詳細的內容可以 man login.conf

1-4 提供匿名(訪客用)的 FTP 服務

讓在系統中沒有帳號訪客可以下載 FTP 站中的檔案,這種叫匿名的 FTP 服務 (Anonymous FTP),要提供這種服務必須有一個叫 ftp 的帳號並建立好相關的目錄及檔案,這部份如果不清楚,利用 /stand/sysinstall 來做是最輕鬆不過的。底下是設定的步驟:

1.呼叫 /stand/sysinstall ,執行:

/stand/sysinstall

2.當出現安裝點單『/stand/sysinstall Main Menu』, 按方向鍵移到『Configure』,然後按空白鍵

3.進入到『FreeBSD Configuration Menu』後,按方向鍵移到『Networking』,然後按空白鍵

4.進入到『Network Services Menu』後,按方向鍵移到『Anon FTP』,後按空白鍵

5.進入到『Anonymous FTP Configuration』後,輸入下面的資料:

6.輸入完畢後就按 OK

7.接著輸入FTP的 GID (使用預設值,直接按 Enter 鍵就可以)。

8.接著,詢問是否要產生進站歡迎詞 (welcome message),直接按 Enter 鍵就可以。

9.輸入進站的歡迎詞:

10.編輯完好後按 Esc 鍵,再按 Enter 鍵兩次即可存檔離開。

11.接著都選點單最上面的 Exit 即可。

 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50