FTP Server档案传输伺服器的建立与管理

Server 专栏
FTP Server档案传输伺服器的建立与管理

王国泰

　　在网际网路这个资讯高速公路上， FTP（ File Transfer Protocol）占了相当重要的角色。透过 FTP所提供的「档案传输」功能，可以与远在数千里外的电脑做资料档案的传输交换，早在 WWW尚未风行之前， FTP占了网际网路使用量的首位，足见 FTP在网路服务上不可或缺的地位。因此我们「建构 Internet Server」系列到此就开始进入「建立 FTP Server」的话题。

FTP Server初步

　　如果我们将一个 FTP Server所服务的对象来区分，原则上可以分为两种：

第一种是「伺服器上的合法使用者」：: 在一般 UNIX环境里，都至少会提供让此伺服器自身的合法使用者可以透过 FTP来存取使用本身帐号目录下的档案资料，这是相当基本的需求。
第二种则是所谓「匿名使用者」（ Anonymous FTP Server ）：: 在国际网路的连通世界里，并不是每个人都拥有许多主机的使用帐号，为了有些较为共通性的存取档案方式，於是就有此「匿名」的产生。一般使用者只要以使用者代号为 “ anonymous” 的身分，并以自己的 E-Mail作为登录的密码登录该系统，使用者就可存取位於特定目录系统下的档案，而这也正是公益软体（ Public Domain）的大本营。

　　再来把 FTP Server依架构来划分也可分为两个部份。

1、 FTP Server执行档：

在 Linux系统里， /usr/sbin/in.ftpd正是 FTP Server的执行档所在。 “ in.ftpd” 所负责的工作除了网路传输的指令处理之外也首先处理了使用者的身分确认工作， “ in.ftpd” 会使用 /etc/passwd作为使用者身分确认的根据。在确认身分後，才进一步的核准使用者存取档案。

　　要确定目前系统所使用的 FTP Server 执行档正确所在，可以检查 /etc/inetd.conf 中关於 FTP的设定。

图一 etc/inetd.conf关於 FTP Server程式执行设定

2、档案系统（ File System）：

既然是档案传输，那麽就要有摆放档案的空间，因此 FTP Server的另一个部份就是档案系统。如果是一般的使用者（也就是有使用者帐号者）使用 FTP连线登录後， FTP Server会直接将档案系统指到该使用者的所属目录去，如果使用者是以 “ ftp” 或是 “ anonymous” 的身分登录系统，则会根据 /etc/passwd中定义＂ ftp″ 这个使用者的所属目录为何。在 Linux大都指向 /home/ftp 这个目录中。而对於该目录档案的存取权限就端看这个使用者的权限是否符合该档案系统的定义了。

　　简单而笼统的介绍过 FTP Server之後，接下来我们开始进入真正的主题「如何设定 FTP Server」。而我们将把重点放在如何设定与管理一个 “ Anonymous” FTP Server。

关於 WU-FTP

　　如果今天架设 FTP Server的需求只是提供伺服器上的使用者作档案传输之用那麽使用原先标准的＂ ftpd″ 伺服程式就应该足够应付了，但是如果是要提供作为 “ Anonymous FTP Server” 的服务时，建议各位不妨使用 Washington University版的 “ ftpd” （通称 WU-FTP），因为它提供了比原先＂ ftpd″ 更多的选择性功能，利於伺服器管理上不同的需求。目前常见的版本是＂ 2.4.2″ Slackware 3.0、 RedHat 2.x/3.0都已经将它定为系统的 FTP Server伺服程式。

WU-FTP有那些主要的特色呢？

可以依据需求将不同网域或主机作分类，然後在给予不同的存取档案权限设定，甚至可以设定可存取的时段，达到控管的目地。
提供使用者在下载档案的同时，对所传输的档案自动压缩、解压缩。
可记录使用者档案上传、下传的情形。
可以暂时将 FTP Server进行「关机」的动作，以便於系统维护。
有部份显示讯息的功能，让使用者在适当时机接收系统讯息。
可以设定系统最多连线人数的限制，以符合系统运作的效率。

　　林林总总下来 WU-FTP的确多了许多不错的功能，这相当有利於传输量较大的 FTP Server管理需求。也因此，下面开始就来我们就一步步说明 WU-FTP的设定方式，让读者可以妥善安排自己的 FTP Server成为一个具有水准的伺服器。

WU-FTP系统设定档

　　FTP Server的系统管理者要使用 WU-FTP 所提供许多控制上的设定选择，就需要透过设定主要的数个系统参数档而来（分别是 /etc/ftpaccess、 /etc/ftpconversions、 /etc/ftphosts、 /etc/ftpusers）。

1、 /etc/ftpconversions：: 主要定义使用者在下载同时进行，档案压缩、解压缩的处理方式。
2、 /etc/ftpaccess：: 这是 WU-FTP最主要的设定档，在这个系统参数档案里可以进行多项关於使用权限上的设定，以及与讯息相关的档案名称与路径。
3、 /etc/ftphosts：: 可以指定哪些网路位址的机器不可使用哪个使用者身分与本伺服器连线。
4、 /etc/ftpusers：: 性质与 /etc/ftpusers相似，这档案里可以限制哪些使用者不可以执行 FTP进行传档。（例如： root、 nobody）

/etc/ftpconversions

　　WU-FTP提供使用者传输的同时，直接将正在传输的档案经过适当的处理（例如：压缩、解压缩、 TAR等等），这样子就不必担心使用者没有这些档案的解压缩、压缩程式而伤脑筋。而处理档案的规则就定义在 /etc/ftpconversions中。 WU-FTP软体已经预先设定好常用的 /etc/ftpconversions内容，所以如何设定内容倒也不需多作改变。


： .Z： ： ： /bin/compress -d -c %s： T_REG|T_ASCII： O_UNCOMPRESS： UNCOMPRESS

：    ：  ： .Z： /bin/compress -c %s： T_REG： O_COMPRESS： COMPRESS

： .gz：  ：   ： /bin/gzip -cd %s： T_REG|T_ASCII： O_UNCOMPRESS： GUNZIP

：    ：  ： .gz： /bin/gzip -9c %s： T_REG： O_COMPRESS： GZIP

：    ：  ： .tar： /bin/tar -cf - %s： T_REG|T_DIR： O_TAR： TAR

：    ：  ： .tar.gz： /bin/tar -czf - %s： T_REG|T_DIR： O_COMPRESS|O_TAR： TAR+GZIP

　　究竟 WU-FTP是如何使用 /etc/ftpconversions的，我们用些例子说明一下：

当使用者执行 “ get README.gz” 时， WU-FTP会先行寻找档名为 “ README.gz” 的档案准备传输，这时若没找到该档案则会依据 ftpconversions中的定义寻找＂ README″ 的档案，如果档案存在就将＂ README″ 依据所设定的执行＂ /bin/gzip -cd...″ 来进行压缩，然後传档。
图二在下载档案时，由 WU-FTP自动压缩
图叁传输时，同时将档案解压缩
与前者大致相同原理，当使用者执行 “ get README” 时， WU-FTP若没找到该档案则会依据 ftpconversions中的定义依序寻找 README.Z、 README.gz、 README.tar、 README.tar.gz的档案，哪一个档案先找到就将＂ README.xxx″ 依据所设定的处理执行然後传档。

　　档案中所定义的 /bin/gzip执行档，并非位於 Linux系统根目录下，而是指到 /home/ftp/bin/gzip这个档案，希望读者能了解这点，因为接下来有些档案名称路径也是相对於 FTP Server的档案系统，而非原有的 Linux档案系统。

/etc/ftpusers、 /etc/ftphosts

　　在某些时候基於安全上的考量，系统管理者必需限制某些特定人士或机器不得进入此 FTP Server，对於这些将被限制的「访客」名单就定义於 /etc/ftpusers、 /etc/ftphosts 这些档案中。下面是【 RedHat Linux】系统的 /etc/ftpusers预设内容。

图四受限制的使用者代号

　　根据这个定义 root、 news、 nobody.. 等使用者，是不可以使用 FTP由此伺服器进行档案传输的行为，或许读者会有点疑惑，为什麽＂ root″ 这位超级使用者不可以使用呢？理由是，这个使用者权限太大了，哪天不小心被人偷到了密码，那这个伺服器上的档案都可能不保，实在有点危险，所以把他列为黑名单中比较妥当些。

图五使用者无权使用 FTP

/etc/ftpaccess

　　先前我们在介绍时，说了许多关於 WU-FTP 所提供的功能，而这些大部分的功能设定就都放在 /etc/ftpaccess里面，因为这里的设定实在非常多样，在篇幅的限制下，配合着 /etc/ftpaccess范例图形中的标示，重点说明主要设定的意义与方式。

图六 /etc/ftpaccess功能设定

1、限定允许使用者错误登录的次数

loginfails 2表示可以有两次输入密码错误的机会，如果两次都错， FTP Server会自动切断这个连线通道。

2、设定使用者类别

WU-FTP的使用者种类有叁种：

real：有实际上合法帐号的使用者。
anonymous：匿名登录此伺服器的使用者。
guest：另行定义某些使用群组的使用者。

　　有了这叁种使用者种类後，在 ftpaccess 设定里就可以定义不同使用者种类可能有不同的控制。但是，如果这叁个基本分类还不够时，那麽我们可以利用 class这个控制命令来自行定义使用者种类。

class classname type... address......

class all real， guest， anonymous*定义种类＂ all″ ，表示任何一台机器上的使用者。

3、设定非法使用者连线时所显示的讯息

deny这个设定可以有两个作用：
(1)设定哪个特定网路机器不允许连线。
(2)当该网路机器使用者尝试连线时，可以指定显示哪个讯息档。

　　这样一来，该使用者也不会一头雾水，被拒绝的不知所以然来。
deny*.gov.ch/etc/ftpmsgs/msg.denied
当来自 *.gov.ch的使用者连线时，系统显示 ” msg.denied:来告知使用者。

　　而 deny还有个选项 “ ！ nameserved” （如范例），它的用意是在要求与此伺服器连线的使用者主机一定是可以经由网路名称伺服器（ DNS）查询的到的主机。如果加上这个选项，那麽像国内一般 HiNet、 SeedNet 的拨接用户就无法与此伺服器连线，因为这些拨接用户的网路位址并没有建立於名称伺服器中。

4、设定同时最多允许多少人连线

limit可以设定哪些类别的使用，在哪些时段，最多可同时几个人连线。
limit all 20 Any/etc/msgs/msg.toomany
使用者类别＂ all″ ，在任何时段最多可以有 20个使用者如果超过时，後来要连线的使用者将会被拒绝，并且系统会显示 “ msg.toomany” 的内容给该使用者。

5、讯息显示的设定

Wu_FTP可以让使用者在连线时、登录时、更换目录时分别显示不同的讯息。而这些显示讯息的来源则分别透过 banner、 message、 readme、 shutdown来指定。
banner/etc/ftp.banner
设定当使用者刚开始连上本伺服器时 FTP Server显示的讯息，通常是本主机的介绍。

　　banner所指定的档案名称并不是相对於 FTP Server的档案系统，而是位於 Linux档案系统，这点与其它的有所差异。这个范例的原始档案如下：

图七 /etc/ftp.banner原始档案

　　在这个 banner讯息档中，可以包含一些巨集变数，这些变数将会在显示时由 WU-FTP以适当的字串取代。在这里列举常用的变数：


%E      ： FTP Server管 理 者 的 E-Mail信 箱 。 

%L      ： 主 机 名 称 。 

%M      ： 最 多 允 许 多 少 使 用 者 连 线 。 

%N      ： 目 前 有 几 个 使 用 者 连 线 。 

%T      ： 时 间 。

messages/welcome.msg login
当使用者成功登录此伺服器後， WU-FTP显示＂ welcome.msg″ 作为欢迎的讯息。

图八 /welcome.msg讯息

messages.message cwd=*
当使用者在更改目录时， WU-FTP会显示该目录下的＂ .message″ 作为辅助说明。

6、传档即时压缩、解压缩的使用设定

虽然 WU-FTP提供传档前做压缩、解压缩的处理，不过仍需要在此设定哪些使用者可以使用这样的功能。

7、 anonymous使用者密码的检查原则

使用者可以以匿名者（ anonymous）的身分登录 FTP Server，密码的部份一般是输入使用者本身的 E-Mail 地址，但是因为我们根本无法确定使用者所输入的信箱是否有效，在无从考察的情况下， WU-FTP提供一个选项，由 WU-FTP检查使用者所输入的密码是否真的像是个 E-Mail的格式（ user@hostname），然後对於不太像的使用者是给予一个「警告」的讯息，或是强制它要输入正确格式的密码。
passwd-check rfc822 warn
如果密码不是 E-Mail格式时，显示警告讯息，仍可登录。
passwd-check rfc822 enforce
如果密码不是 E-Mail格式时，请使用者重新输入。

图九 Check Password

8、设定系统使用记录的内容项目

WU-FTP会将指定的记录项目写至位於 /var/adm或 /var/log目录中的＂ xferlog″ 档案中。

9、指定 FTP Server关机的讯息档

如果所指定的档案存在，则当使用者要与本伺服器连线时，会得到系统关机的讯息，而这讯息就定义於所指定的档案。这个档案名称目录也是相对於 Linux档案系统而非 FTP Server档案系统。如果要让 FTP Server恢复正常运作，则只要将指定的讯息档案删除即可。而如何让 FTP Server关机， WU-FTP 也另外提供一个小程式让管理者「关机」，我们稍後会提及。

10、定义使用权限

这些都是在定义使用者对於伺服器上的档案存取操作的权限。

11、定义 FTP Server系统管理者的 E-Mail

WU-FTP工具小程式

WU-FTP除了提供 FTP Server伺服程式之外，同时也附上了几个工具程式让系统管理者检视目前 FTP Server的运作情形。

ftpcount：显示目前 FTP Server使用者个数。
ftpwho：显示目前 FTP Server使用者连线情形，类似 ftpcount，但比较详细些。
图十 ftpcount/ftpwho讯息
ftpshut：对 FTP Server进行关机动作。
ftpshut now“ Shutdown the FTP Server..”

　　这样子， ftpshut会根据 ftpaccess中的＂ shutdown″ 设定，将＂ Shutdown the..″ 写入该档案中，然後接下来要连线的使用者就会因为这个档案的存在，而无法登录。如果要恢复运作，只要把该档案删除就好了！

结语

　　一路讲下来希望能给各位一些足够的讯息来管理自己的 FTP Server，不论您使用的是 Slackware、 RedHat、 Linux-FT等等各个不同公司或团体整理的 Linux。基本上 FTP Server大都已经万事具备，所以如果没有特别需求，您可能都不会改到这里所讲的内容，但无论如何，了解这些对於管理一个 FTP Server绝对有帮助。最後，感谢读者的支持，如果文中有疏失的地方，欢迎告知，祝各位同好经营 Linux愉快！