FTP–服务部署流程

版权声明：原创作品，谢绝转载！否则将追究法律责任。 ————— 作者：kirin

 

FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候，通常利用FTP协议把网页或程序传到Web服务器上。此外，由于FTP传输效率非常高，在网络上传输大的文件时，一般也采用该协议。

默认情况下FTP协议使用TCP端口中的 20和21这两个端口，其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。

同大多数Internet服务一样，FTP也是一个客户/服务器系统。用户通过一个客户机程序连接至在远程计算机上运行的服务器程序。依照 FTP 协议提供服务，进行文件传送的计算机就是 FTP服务器，而连接FTP服务器，遵循FTP协议与服务器传送文件的电脑就是FTP客户端。用户要连上FTP 服务器，就要用到 FTP 的客户端软件，通常 Windows自带“ftp”命令，这是一个命令行的 FTP客户程序，另外常用的 FTP 客户程序还有FileZilla、 CuteFTP、Ws_FTP、Flashfxp、LeapFTP、流星雨-猫眼等。

FTP支持两种模式，一种方式叫做Standard (也就是 PORT方式，主动方式)，一种是 Passive(也就是PASV，被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTP服务器。Passive模式FTP的客户端发送 PASV命令到 FTP Server。下面介绍一下这两种方式的工作原理：

Port

FTP 客户端首先和FTP服务器的TCP 21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。

Passive

在建立控制通道的时候和Standard模式类似，但建立连接后发送的不是Port命令，而是Pasv命令。FTP服务器收到Pasv命令后，随机打开一个高端端口（端口号大于1024）并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器此端口，通过三次握手建立通道，然后FTP服务器将通过这个端口进行数据的传送。

很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网的FTP服务器不支持PASV模式，因为客户端无法穿过防火墙打开FTP服务器的高端端口；而许多内网的客户端不能用PORT模式登陆FTP服务器，因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接，造成无法工作。

FXP说简单点就是一个FTP客户端控制两个FTP服务器，在两个FTP服务器之间传送文件。FXP的全称为File Exchange Protocol――文件交换协议，可以认为FXP本身其实就是FTP的一个子集，因为FXP方式实际上就是利用了FTP服务器的Proxy命令，不过它的前提条件是FTP服务器要支持PASV，且支持FXP方式。

FXP传送时，文件并不下载至本地，本地只是发送控制命令，故FXP传送时的速度只与两个FTP服务器之间的网络速度有关，而与本地速度无关。因FXP方式本地只发送命令，故在开始传送后，只要本地不发送停止的命令，就算是本地关机了，FXP仍在传送，直至一个文件传送完成或文件传送出错后，FTP服务器等待本地发送命令时，才会因不能接收到命令而终止FXP传送。

因为上述的原因，FXP传送出错时，本地的用户进程还留在FTP服务器中，并没有退出，如此时再次连接FTP服务器，可能会因用户线程超过允许，FTP服务器提示客户已登陆并拒绝客户端的连接，直至服务器中的傀儡进程因超时或其他原因被FTP服务器杀死后，才能再次连接FTP服务器。

成功FXP有两个必要条件：①两个FTP服务器均支持FXP；②两个FTP服务器均支持PASV方式。但并不是说满足这两个条件的FTP服务器均经本地操作成功FXP，这还与本地与FTP服务器的网络状况有关。故有时会出现同样两个FTP，别人可以FXP，而你不可以的情况。

---

---

授权

要连上 FTP 服务器（即“登陆”），必须要有该 FTP 服务器授权的帐号，也就是说你只有在有了一个用户标识和一个口令后才能登陆FTP服务器，享受FTP服务器提供的服务。

地址格式

FTP地址如下：ftp://用户名：密码@FTP服务器IP或域名：FTP命令端口/路径/文件名上面的参数除FTP服务器IP或域名为必要项外，其他都不是必须的。如以下地址都是有效FTP地址：

ftp://foolish.6600.org

ftp://list:list@foolish.6600.org

ftp://list:list@foolish.6600.org:2003

ftp://list:list@foolish.6600.org:2003/soft/list.txt

匿名

互联网中有很大一部分 FTP 服务器被称为“匿名”（Anonymous）FTP 服务器。这类服务器的目的是向公众提供文件拷贝服务，不要求用户事先在该服务器进行登记注册，也不用取得FTP服务器的授权。

Anonymous（匿名文件传输）能够使用户与远程主机建立连接并以匿名身份从远程主机上拷贝文件，而不必是该远程主机的注册用户。用户使用特殊的用户名“anonymous”登陆FTP服务，就可访问远程主机上公开的文件。许多系统要求用户将Email地址作为口令，以便更好地对访问进行跟综。匿名FTP一直是Internet上获取信息资源的最主要方式，在Internet成千上万的匿名FTP主机中存储着无以计数的文件，这些文件包含了各种各样的信息，数据和软件。人们只要知道特定信息资源的主机地址，就可以用匿名FTP登录获取所需的信息资料。虽然使用WWW环境已取代匿名FTP成为最主要的信息查询方式，但是匿名FTP仍是 Internet上传输分发软件的一种基本方法。如red hat 、autodesk等公司的匿名站点。

---

---

传输模式

FTP协议的任务是从一台计算机将文件传送到另一台计算机，它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台计算机通过ftp协议对话，并且能访问Internet，

你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别，但是每种协议基本的命令结构是相同的。

FTP的传输有两种方式：ASCII传输模式和二进制数据传输模式。

ASCII传输模式

假定用户正在拷贝的文件包含的简单ASCII码文本，如果在远程机器上运行的是不同的操作系统，当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。但是常常有这样的情况，用户正在传输的文件包含的不是文本文件，它们可能是程序，数据库，字处理文件或者压缩文件（尽管字处理文件包含的大部分是文本，其中也包含有指示页尺寸，字库等信息的非打印字符）。

二进制传输模式

在二进制传输中，保存文件的位序，以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例如，macintosh以二进制方式传送可执行文件到Windows系统，在对方系统上，此文件不能执行。

如果你在ASCII方式下传输二进制文件，即使不需要也仍会转译。这会使传输稍微变慢 ，也会损坏数据，使文件变得不能用。（在大多数计算机上，ASCII方式一般假设每一字符的第一有效位无意义，因为ASCII字符组合不使用它。如果你传输二进制文件，所有的位都是重要的。）如果你知道这两台机器是同样的，则二进制方式对文本文件和数据文件都是有效的。

---

---

第一步：关闭selinux

# getenforce
# sed -i '7c SELINUX=disabled' /etc/selinux/config

第二步：防火墙

#  systemctl stop firewalld
#  systemctl disable firewalld

第三步：查看系统是否安装vsftp

#  rpm -qa|grep vsftp
如果安装就rpm -e 卸载重新安装

第四步：使用yum命令安装vsftp

#  yum install -y vsftp

第五步：启动vsftp

#  systemctl start vsftpd
#  systemctl enable  vsftpd

第六步： 查看21端口是否存在

#  netstat -lntop|grep 21
如果不存在就开一个
# nc -l 21 （nc命令默认可能没有安装，需要yum install -y nmap-ncat）

第七步：创建FTP用户并设置密码

# echo "ftp01"|sed -r 's#(.*)#useradd \1;echo "123456"|passwd --stdin \1#g'

第八步： 限制该用户只能访问FTP，不能直接登录服务器

# usermod -s /sbin/nologin ftp01

第九步：创建FTP文件存储路径

#  mkdir -p /var/www  （创建主目录）
#  mkdir -p /var/www/html  （文件存储目录）

第十步：设置访问权限 （设置主目录没有写权限。文件目录所有人都有读写执行权限）

# chmod a-w /var/www && chmod 777 -R /var/www/html

第十一步：修改系统用户的存储目录

#  vim /etc/vsftpd/vsftpd.conf
#  local_root=/var/www/      (针对系统用户的存储目录)
#  anon_root=/var/www/    （针对匿名用户的存储目录）

第十二步：配置FTP权限

13.1 vsftpd 的配置目录：etc/vsftpd
vsftpd.conf 为主要配置文件
ftpusers 配置禁止访问FTP服务器的用户列表
user_list  配置用户的访问控制
PS：建议备份vsftpd.conf文件：cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.backup

第十三步：关闭匿名访问和切换根目录权限

#  vim /etc/vsftpd/vsftpd.conf
	#anonymous_enable=NO
	#chroot_local_user=YES
        user_config_dir=/etc/vsftpd/userconfig