搭建FTP服务器
(1).实验环境
FTP服务器:youxi1 192.168.1.6
测试主机:youxi2 192.168.1.7
VSFTP是C/S模式,默认端口21传输指令,20传输数据
(2).工作原理
FTP会话包含了两个通道,数据通道和命令通道。FTP的工作模式有两种,主动模式(PORT模式)和被动模式(PASV模式),均以FTP服务器作为参照物。FTP服务器主动连接客户端为主动模式,FTP服务器等待客户端连接为被动模式。
1)主动模式工作原理:
建立控制通道:客户端发起连接请求,包含用户名、密码、客户端随机开放的一个高位端口(1024以上)以及连接模式PORT命令等。服务器接收后响应客户端,服务器的21端口与提供的随机高位端口建立控制通道。
建立数据通道:服务器发送连接请求,包含服务器的20端口。客户端接收后响应请求,随机开放一个高位端口(1024以上),客户端的随机高位端口与服务器的20端口建立数据通道。
2)被动模式工作原理:
建立控制通道:客户端发起连接请求,包含用户名、密码、客户端随机开放的一个高位端口(1024以上)以及连接模式PASV命令等。服务器接收后响应客户端,服务器的21端口与提供的随机高位端口建立控制通道。
建立数据通道:服务器会随机开放一个高位端口(1024以上)告知客户端用于建立数据通道,客户端开放一个随机高位端口(1024以上)与服务器随机开放的高位端口连接。
底下这张是Windows下的FTP被动连接:
(3).实验
1)服务器端安装vsftpd,客户端安装lftp
服务器端
[root@youxi1 ~]# yum -y install vsftpd
客户端
[root@youxi2 ~]# yum -y install lftp
2)服务器端相关文件
/etc/vsftpd/vsftpd.conf 核心配置文件
/etc/vsftpd/ftpusers 指定不能访问FTP服务器的用户,即黑名单
/etc/vsftpd/user_list 当/etc/vsftpd/vsftpd.conf配置文件中userlist_deny= YES,那么该文件是黑名单;反之userlist_deny= NO,那么只允许该文件的用户登录
/etc/vsftpd/vsftpd_conf_migrate.sh vsftpd操作的一些变量和设置脚本
/var/ftp/ 默认情况下匿名用户的根目录
3)匿名用户访问
在/etc/vsftpd/vsftpd.conf配置文件中与匿名用户有关的参数如下:
anonymous_enable=YES //允许匿名用户登录FTP,默认为YES anon_upload_enable=YES //允许匿名用户上传,默认为NO anon_mkdir_write_enable=YES //允许匿名用户创建目录,默认为NO anon_other_write_enable=YES //给予匿名用户写权限,默认为NO
根据相关需求将参数修改成指定要求。
接着将FTP服务器youxi1上的匿名用户的根目录/etc/ftp/属主和属组改为ftp,这样匿名用户才能操作目录下的文件:
[root@youxi1 pub]# chown ftp:ftp /var/ftp/pub
注意:vsftp是相对安全的FTP工具,所以并不允许/var/ftp/给予匿名用户写权限
然后启动vsftpd服务,并开机自启:
[root@youxi1 pub]# systemctl start vsftpd [root@youxi1 pub]# systemctl enable vsftpd
这时可以使用Window匿名登录,创建文件夹、上传文件
也可以在Linux上使用lftp匿名登录
[root@youxi2 ~]# lftp 192.168.1.6 lftp 192.168.1.6:~> ls drwxr-xr-x 2 14 50 28 May 18 14:52 pub lftp 192.168.1.6:/> cd pub/ lftp 192.168.1.6:/pub>
当然并不建议开启匿名登录。
4)使用指定的系统用户只能访问指定的目录
在FTP服务器youxi1上添加普通用户,但禁止登录系统,并赋予密码:
[root@youxi1 ~]# useradd -s /sbin/nologin ftp1 [root@youxi1 ~]# useradd -s /sbin/nologin ftp2 [root@youxi1 ~]# echo "ftp1:123456" | chpasswd [root@youxi1 ~]# echo "ftp2:123456" | chpasswd
在/etc/vsftpd/vsftpd.conf配置文件中与之相关的参数如下:
local_enable=YES //允许本地用户登录 #chroot_local_user=YES //设置是否将所有本地用户囚禁在主目录,默认为NO local_root=/www/html //设置本地用户访问的根目录 chroot_list_enable=YES //激活chroot功能(激活囚禁用户列表功能),默认为NO chroot_list_file=/etc/vsftpd/chroot_list //设置被囚禁的用户列表存放的文件 allow_writeable_chroot=YES //允许被囚禁的用户具有写权限,默认为NO
将匿名用户相关参数取消,修改或添加相关参数。
创建被囚禁用户的主目录/www/html/,以及被囚禁用户列表文件
[root@youxi1 ~]# mkdir -p /www/html [root@youxi1 ~]# vim /etc/vsftpd/chroot_list ftp1 ftp2
修改被囚禁用户的主目录权限
[root@youxi1 ~]# chmod o+w /www/html/ //如果是已存在文件,需要使用-R选项递归 [root@youxi1 ~]# ls -ld /www/html/ drwxr-xrwx 2 root root 6 5月 19 14:13 /www/html/
重启vsftpd服务
[root@youxi1 ~]# systemctl restart vsftpd
到测试主机youxi2上测试
[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1,123456 lftp ftp1@192.168.1.6:~> ls ls: 登录失败: 530 Login incorrect.
网上找了找相关问题,一个是/etc/vsftpd/vsftpd.conf配置文件参数应该如下:
pam_service_name=vsftpd //这个我原本就是
还有一个是/etc/pam.d/vsftpd注释掉如下参数:
#auth required pam_shells.so
然后再重启vsftpd服务
[root@youxi1 ~]# systemctl restart vsftpd
这时候再到测试主机youxi2上
[root@youxi2 pam.d]# lftp 192.168.1.6 -u ftp1 口令: lftp ftp1@192.168.1.6:~> ls -rw-r--r-- 1 0 0 968 May 19 06:21 passwd
(4).OpenSSL加密FTP传输
使用OpenSSL生成自签证书
//req是 X.509 Certificate Signing Request (CSR,证书签名请求)管理的一个命令 //-x509是X.509 证书数据管理 //-days是定义证书有效时间 //-keyout是设置密钥存储文件 //-out是设置证书存储位置,注意证书与密钥保存在同一个文件 [root@youxi1 ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650 Generating a 2048 bit RSA private key ..........................................................................+++ .................................+++ writing new private key to 'vsftpd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:ZH^H^H^H^H^H^C [root@youxi1 ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650 Generating a 2048 bit RSA private key ..............................................................................................................+++ .......................................................................................................................................+++ writing new private key to 'vsftpd.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CN //输入国家名称(2个字母代码) State or Province Name (full name) []:BeiJing //州或省的全称 Locality Name (eg, city) [Default City]:Beijing //地点名称(例如城市) Organization Name (eg, company) [Default Company Ltd]:TengXun //组织名称(例如公司) Organizational Unit Name (eg, section) []:IT //组织单位名称(例如部门) Common Name (eg, your name or your server's hostname) []:youxi1 //公用名(例如你的或你的服务器的主机名) Email Address []:youxi1@qq.com //邮件地址
将文件保存到/etc/vsftpd/.sslkey/目录下,并设置400权限
[root@youxi1 ~]# mkdir /etc/vsftpd/.sslkey/ [root@youxi1 ~]# mv vsftpd.pem /etc/vsftpd/.sslkey/ [root@youxi1 ~]# chmod 400 /etc/vsftpd/.sslkey/vsftpd.pem
添加以下参数到配置文件/etc/vsftpd/vsftpd.conf,使其支持OpenSSL:(以下参数需要加在配置文件中间,否则会报错)
ssl_enable=YES //开启SSL支持 allow_anon_ssl=NO //下面四行表示强制匿名用户使用加密登录和数据传输 force_local_data_ssl=YES force_local_logins_ssl=YES force_anon_logins_ssl=YES force_anon_data_ssl=YES ssl_tlsv1=YES //指定vsftpd支持TLS v1 ssl_sslv2=YES //指定vsftpd支持SSL v2 ssl_sslv3=YES //指定vsftpd支持SSL v3 require_ssl_reuse=NO //不重用SSL会话,安全配置项 ssl_ciphers=HIGH //允许用于加密SSL连接的SSL算法 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem //证书位置 rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem //密钥位置
重启vsftpd服务
[root@youxi1 ~]# systemctl restart vsftpd
如果FTP客户端是CentOS的lftp,直接使用会报错。如下:
[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1 口令: lftp ftp1@192.168.1.6:~> ls ls: 严重错误: Certificate verification: Not trusted
此时需要在客户端的lftp配置文件/etc/lftp.conf最后添加一行参数,不验证SSL(也不知道会不会出问题),如下:
set ssl:verify-certificate no //
测试主机youxi2再次使用lftp连接就正常了
[root@youxi2 ~]# lftp 192.168.1.6 -u ftp1 口令: lftp ftp1@192.168.1.6:~> ls -rw-r--r-- 1 0 0 968 May 19 06:21 passwd