搭建FTP服务器

(1).实验环境

  FTP服务器:youxi1  192.168.1.6

  测试主机:youxi2  192.168.1.7

  VSFTP是C/S模式,默认端口21传输指令,20传输数据

(2).工作原理

  FTP会话包含了两个通道,数据通道和命令通道。FTP的工作模式有两种,主动模式(PORT模式)和被动模式(PASV模式),均以FTP服务器作为参照物。FTP服务器主动连接客户端为主动模式,FTP服务器等待客户端连接为被动模式。

1)主动模式工作原理:

  建立控制通道:客户端发起连接请求,包含用户名、密码、客户端随机开放的一个高位端口(1024以上)以及连接模式PORT命令等。服务器接收后响应客户端,服务器的21端口与提供的随机高位端口建立控制通道。

  建立数据通道:服务器发送连接请求,包含服务器的20端口。客户端接收后响应请求,随机开放一个高位端口(1024以上),客户端的随机高位端口与服务器的20端口建立数据通道。

 

2)被动模式工作原理:

  建立控制通道:客户端发起连接请求,包含用户名、密码、客户端随机开放的一个高位端口(1024以上)以及连接模式PASV命令等。服务器接收后响应客户端,服务器的21端口与提供的随机高位端口建立控制通道。

  建立数据通道:服务器会随机开放一个高位端口(1024以上)告知客户端用于建立数据通道,客户端开放一个随机高位端口(1024以上)与服务器随机开放的高位端口连接。

 

  底下这张是Windows下的FTP被动连接:

(3).实验

1)服务器端安装vsftpd,客户端安装lftp

  服务器端

[root@youxi1 ~]# yum -y install vsftpd

  客户端

[root@youxi2 ~]# yum -y install lftp

2)服务器端相关文件

  /etc/vsftpd/vsftpd.conf  核心配置文件

  /etc/vsftpd/ftpusers  指定不能访问FTP服务器的用户,即黑名单

  /etc/vsftpd/user_list  当/etc/vsftpd/vsftpd.conf配置文件中userlist_deny= YES,那么该文件是黑名单;反之userlist_deny= NO,那么只允许该文件的用户登录

  /etc/vsftpd/vsftpd_conf_migrate.sh  vsftpd操作的一些变量和设置脚本

  /var/ftp/  默认情况下匿名用户的根目录

 3)匿名用户访问

  在/etc/vsftpd/vsftpd.conf配置文件中与匿名用户有关的参数如下:

anonymous_enable=YES  //允许匿名用户登录FTP,默认为YES
anon_upload_enable=YES  //允许匿名用户上传,默认为NO
anon_mkdir_write_enable=YES  //允许匿名用户创建目录,默认为NO
anon_other_write_enable=YES  //给予匿名用户写权限,默认为NO

  根据相关需求将参数修改成指定要求。

  接着将FTP服务器youxi1上的匿名用户的根目录/etc/ftp/属主和属组改为ftp,这样匿名用户才能操作目录下的文件:

[root@youxi1 pub]# chown ftp:ftp /var/ftp/pub

  注意:vsftp是相对安全的FTP工具,所以并不允许/var/ftp/给予匿名用户写权限

  然后启动vsftpd服务,并开机自启:

[root@youxi1 pub]# systemctl start vsftpd
[root@youxi1 pub]# systemctl enable vsftpd

  这时可以使用Window匿名登录,创建文件夹、上传文件

  也可以在Linux上使用lftp匿名登录

[root@youxi2 ~]# lftp 192.168.1.6
lftp 192.168.1.6:~> ls
drwxr-xr-x    2 14       50             28 May 18 14:52 pub
lftp 192.168.1.6:/> cd pub/
lftp 192.168.1.6:/pub> 

  当然并不建议开启匿名登录。

4)使用指定的系统用户只能访问指定的目录

   在FTP服务器youxi1上添加普通用户,但禁止登录系统,并赋予密码:

[root@youxi1 ~]# useradd -s /sbin/nologin ftp1
[root@youxi1 ~]# useradd -s /sbin/nologin ftp2
[root@youxi1 ~]# echo "ftp1:123456" | chpasswd
[root@youxi1 ~]# echo "ftp2:123456" | chpasswd 

  在/etc/vsftpd/vsftpd.conf配置文件中与之相关的参数如下:

local_enable=YES  //允许本地用户登录
#chroot_local_user=YES  //设置是否将所有本地用户囚禁在主目录,默认为NO
local_root=/www/html  //设置本地用户访问的根目录
chroot_list_enable=YES  //激活chroot功能(激活囚禁用户列表功能),默认为NO
chroot_list_file=/etc/vsftpd/chroot_list  //设置被囚禁的用户列表存放的文件
allow_writeable_chroot=YES  //允许被囚禁的用户具有写权限,默认为NO

  将匿名用户相关参数取消,修改或添加相关参数。

  创建被囚禁用户的主目录/www/html/,以及被囚禁用户列表文件

[root@youxi1 ~]# mkdir -p /www/html
[root@youxi1 ~]# vim /etc/vsftpd/chroot_list
ftp1
ftp2

  修改被囚禁用户的主目录权限

[root@youxi1 ~]# chmod o+w /www/html/  //如果是已存在文件,需要使用-R选项递归
[root@youxi1 ~]# ls -ld /www/html/
drwxr-xrwx 2 root root 6 5月  19 14:13 /www/html/

  重启vsftpd服务

[root@youxi1 ~]# systemctl restart vsftpd

  到测试主机youxi2上测试

[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1,123456
lftp ftp1@192.168.1.6:~> ls
ls: 登录失败: 530 Login incorrect. 

  网上找了找相关问题,一个是/etc/vsftpd/vsftpd.conf配置文件参数应该如下:

pam_service_name=vsftpd  //这个我原本就是

  还有一个是/etc/pam.d/vsftpd注释掉如下参数:

#auth       required    pam_shells.so

  然后再重启vsftpd服务

[root@youxi1 ~]# systemctl restart vsftpd

  这时候再到测试主机youxi2上

[root@youxi2 pam.d]# lftp 192.168.1.6 -u ftp1
口令: 
lftp ftp1@192.168.1.6:~> ls           
-rw-r--r--    1 0        0             968 May 19 06:21 passwd

(4).OpenSSL加密FTP传输

   使用OpenSSL生成自签证书

//req是 X.509 Certificate Signing Request (CSR,证书签名请求)管理的一个命令
//-x509是X.509 证书数据管理
//-days是定义证书有效时间
//-keyout是设置密钥存储文件
//-out是设置证书存储位置,注意证书与密钥保存在同一个文件
[root@youxi1 ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650
Generating a 2048 bit RSA private key
..........................................................................+++
.................................+++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:ZH^H^H^H^H^H^C
[root@youxi1 ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650
Generating a 2048 bit RSA private key
..............................................................................................................+++
.......................................................................................................................................+++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN  //输入国家名称(2个字母代码)
State or Province Name (full name) []:BeiJing  //州或省的全称
Locality Name (eg, city) [Default City]:Beijing  //地点名称(例如城市)
Organization Name (eg, company) [Default Company Ltd]:TengXun  //组织名称(例如公司)
Organizational Unit Name (eg, section) []:IT  //组织单位名称(例如部门)
Common Name (eg, your name or your server's hostname) []:youxi1  //公用名(例如你的或你的服务器的主机名)
Email Address []:youxi1@qq.com  //邮件地址

  将文件保存到/etc/vsftpd/.sslkey/目录下,并设置400权限

[root@youxi1 ~]# mkdir /etc/vsftpd/.sslkey/
[root@youxi1 ~]# mv vsftpd.pem /etc/vsftpd/.sslkey/
[root@youxi1 ~]# chmod 400 /etc/vsftpd/.sslkey/vsftpd.pem

  添加以下参数到配置文件/etc/vsftpd/vsftpd.conf,使其支持OpenSSL:(以下参数需要加在配置文件中间,否则会报错)

ssl_enable=YES  //开启SSL支持
allow_anon_ssl=NO
//下面四行表示强制匿名用户使用加密登录和数据传输
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
ssl_tlsv1=YES  //指定vsftpd支持TLS v1
ssl_sslv2=YES  //指定vsftpd支持SSL v2
ssl_sslv3=YES  //指定vsftpd支持SSL v3
require_ssl_reuse=NO  //不重用SSL会话,安全配置项
ssl_ciphers=HIGH  //允许用于加密SSL连接的SSL算法
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem  //证书位置
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem  //密钥位置

  重启vsftpd服务

[root@youxi1 ~]# systemctl restart vsftpd

  如果FTP客户端是CentOS的lftp,直接使用会报错。如下:

[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1
口令: 
lftp ftp1@192.168.1.6:~> ls           
ls: 严重错误: Certificate verification: Not trusted

  此时需要在客户端的lftp配置文件/etc/lftp.conf最后添加一行参数,不验证SSL(也不知道会不会出问题),如下:

set ssl:verify-certificate no  //

  测试主机youxi2再次使用lftp连接就正常了

[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1
口令: 
lftp ftp1@192.168.1.6:~> ls           
-rw-r--r--    1 0        0             968 May 19 06:21 passwd

  

posted @ 2019-05-19 21:44  苦逼运维  阅读(1829)  评论(0编辑  收藏  举报