在FreeBSD6.0中设定FTP服务器

来源：作者：出处：综艺读书 2006-03-12

关键词：word unix os opera ie

启动 FTP 服务器
　　我们有二种方式启动 ftpd，一种是使用 standalone daemon，另一种是使用 inetd。inetd 是 UNIX 系统中一个强大的「超级服务器」，我们可以使用它来管理许多系统服务，例如 telnet、ssh、ftp 等。

大部份的系统服务都是使用 inetd 来启动，使用它的好处在于可以统一管理各种服务，并经由它来设定服务规则，例如是否要阻挡某些 IP 来源等。不过，使用 inetd 的方式缺点是每次有联机要求时，inetd 的 daemon 必须依联机的种类去执行相对映的指令，所以速度比较慢。

　　另一种启动 FTP 的方式是使用 standalone daemon，也就是直接执行 FTP daemon，当它接收到新的联机时，就 fork() 出来处理，这种方式联机建立的速度较快，比较适合专门的 FTP 服务器。

　　使用 inetd

　　我们先来介绍如何使用 inetd 的方式启动 FTP 服务器。首先，请编辑 /etc/inetd.conf，将 ftp 设定开头的 # 移除：

ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
ftp stream tcp6 nowait root /usr/libexec/ftpd ftpd -l

　　接下来，我们必须使用下列指令重跑 inetd：

　　# kill -1 `cat /var/run/inetd.pid`　　现在您就可以开始使用 FreeBSD 的 FTP 服务了。

　　使用独立 Daemon

　　如果您要以独立的 daemon 方式启动 FTP，请先确定在 inetd.conf 中没有启动 FTP 服务。接下来，请在新增一个档案 /usr/local/etc/rc.d/ftpd.sh 内容如下：

　　 #!/bin/sh
ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l"
case $1 in
start)
echo "Starting FTPD"
$ftpd_program $ftpd_flags
;;
stop)
echo "Stopping FTPD"
killall ftpd
;;
restart)
$0 stop
sleep 1
$0 start
;;
esac

　　编辑完后，我们必须将该档案变成可执行：

　　# chmod 755 /usr/local/etc/rc.d/ftpd.sh　　接下来，您就可以使用下列指令启动 FTPD 了：

　　# /usr/local/etc/rc.d/ftpd.sh start　　如果您要停止 FTPD 服务，则使用下列指令：

　　# /usr/local/etc/rc.d/ftpd.sh start　　编辑欢迎讯息

　　当我们联机到一个 FTP 站台时，我们可以看到二个欢迎讯息，一个是登入前的讯息，另一个是登入后的讯息。以下列讯息为例：

# ftp localhost
Trying ::1...
Connected to localhost.alexwang.com.
220- Welcome to My FTP Server.
220-
220- This is a welcome message
220-
220- Nice to see you.
220 vmware.alexwang.com FTP server (Version 6.00LS) ready.
Name (localhost:alex):
331 Password required for alex.
Password:
230- This is the message of the day.
230-
230- It will be shown after user login.
230 User alex logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
　　开头为 220- 的就是登入前的讯息，我们称它为欢迎讯息。以 230- 为开头的是登入后的讯息，我们称它为本日讯息 (Message of the day)。这二种讯息我们都可以自行设定。

　　如果您要设定的是登入前的讯息，请新增一个档案 /etc/ftpwelcome，并将您的讯息写入该文件中。以下为上述范例中的讯息内容：

　　 Welcome to My FTP Server.
This is a welcome message
Nice to see you.

　　您不需要写 220- 等数据，FTP 服务器会自动帮您加上这种代码。而登入后的讯息是存放在 /etc/ftpmotd，您可以编辑该档以进行设定。

　　限制账号与联机来源

　　我们可以设定限制某些账号不可以使用 FTP 登入。使用者在登入 FTP 服务器时，有几个规则会拒绝该账号登入：

如果 /var/run/nologin 存在，则所有账号都不可以登入。这个档案可以用来暂时停止 FTP 服务。
使用者一定要有密码才能登入，没有密码的使用者无法登入。
使用者名称不可以出现在 /etc/ftpusers 中。
使用者群组不可以出现在 /etc/ftpusers 中。
使用者所使用的 shell 必须要时合法的 shell。合法的 shell 会被定义在 /etc/shells 中。
除了匿名模式外，使用者名称不可以是 ftp 或 anonymous。关于匿名模式，我们会在下一小节中说明。
　　/etc/ftpusers 定义了不可以使用 FTP 服务的使用者及群组。我们来看一下该档案的内容：

　　 # $FreeBSD: src/etc/ftpusers,v 1.13 2004/06/30 16:47:08 maxim Exp $
#
# list of users disallowed any ftp access.
# read by ftpd(8).
root
toor
daemon
operator
bin
tty
kmem
games
news
@guest
...

　　我们可以看到该档案中已经有一些使用者不可以登入 FTP。这些使用者都是系统预设的账号，我们也可以经由修改它来加入其它使用者。

　　在 /etc/ftpusers 中，如果开头是 "@" 表示群组名称。例如上述档案内容中的 @guest 表示群组 guest 不可以登入系统。

　　除了控制使用者账号外，在「inetd」模式下，我们还可以控制联机来源。所有 FreeBSD 中由 inetd 所启动的服务都可以经由修改 /etc/hosts.allow 以使用 TCP Wrappd 来限制联机来源。下列为预设的 /etc/hosts.allow 内容：

　　 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : .nice.guy.example.com : allow
ftpd : .evil.cracker.example.com : deny
ftpd : ALL : allow

　　如果我们要限制某几个 IP 或网域不能使用 FTP，可以使用下列范例：

　　 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 210.122.13.5 : deny
ftpd : .evil.cracker : deny
ftpd : ALL : allow

　　我们在上述范例中拒绝 IP 210.122.13.5 及 evil.cracker 网域的主机使用 FTP，并在最后一行设定其它来源都许可。

　　如果您要设定只有某些来源可以使用 FTP，而拒绝大多数的主机，则可以设定：

　　 # Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 192.168.0. : allow
ftpd : my.friend.com : allow
ftpd : ALL : deny

　　我们设定了只有本机 (localhost)、192.168.0.x、及 my.friend.com 才可以使用 FTP，其它联机都拒绝。

　　修改登陆的目录路径 chroot

　　一般使用者登入后，预设会进入自己的家目录中。使用者可以改变工作路径到系统的任何目录中。如果您希望使用者登入后只能在自己的家目录中活动，而不能进入其它系统目录中，可以使用 chroot 的功能。

　　所谓的 chroot 就是将某一个目录变成使用者看到的根目录。例如，我们让使用者 alex 登入后，将 /home/alex 变成根目录。则 alex 在使用指令「cd /」时，还是会停留在 /home/alex。如果他使用指令「pwd」查看目前所在路径，则会显示 /。如此一来，我们就可以确保使用者不会到处乱跑，进入一些不该进入的地方。这个功能对于提升 FTP 的安全性有莫大的助益。

　　设定 chroot 的方法很简单，只要修改 /etc/ftpchroot 即可。chroot 的设定是以使用者、群组的基础，以下是几个设定范例：

　　 alex
@guest
john /var/ftp
@other /var/ftp

　　上述范例中的第一行是设定使用者 alex 登入后，以自己的家目录为根目录。第二行的 @guest 表示只要是群组为 guest 的使用者，都以自己的家目录为根目录。而第三、四行分别表示使用者 john 及群组 other 都以 /var/ftp 为根目录。

　　只要我们善用 chroot 的功能，就可以加强保护系统其它目录，让没有权利的使用者不可以进入系统目录中。建议您在开放 FTP 服务时，将所有使用者都加入 /etc/ftpchroot 中。