Linux-ftp文件传输协议

FTP工作原理

文件传输协议：file transfer protocol    早期的三个应用级协议之一

数据传输格式：二进制和文本

双通道协议：命令和数据连接

两种模式：从服务器角度

• 主动（POPT style）:服务器主动连接
  • • 命令(控制)：客户端：随机port-->服务器：21/tcp
• 被动（PASV style）：客服端主动连接
  • • 命令（控制）：客服端：随机port-->服务器：21/tcp
  • 数据：客户端：随机port-->服务器：随机port/tcp

服务器数据端口为：224*256+59

FTP服务状态码：

1XX：信息	2XX：成功类状态	3XX：补充类	4XX：客户端错误	5XX：服务器错误
125：数据连接打开	200：命令OK	331：用户名OK	425：不能打开数据连接	530：不能登录
	230：登录成功

 

用户认证：

• 匿名用户：ftp,anonymous,对应Linux用户ftp
• 系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow
• 虚拟用户：特定服务的专用用户，独立的用户/密码文件

FTP服务器端软件

vsftpd：Very Secure FTP Daemon，CentOS 默认FTP服务器

vsftpd 软件介绍

• 由vsftpd包提供
• 用户认证配置文件：/etc/pam.d/bsftpd

启动服务相关文件：

/usr/lib/systemd/system/vsftpd.service

/etc/rc.d/init.d/vsftpd

配置文件：

/etc/vsftpd/vsftpd.conf

配置文件格式：

option=value
注意：= 前后不要有空格

用户和其共享目录

• 匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp
• 系统用户共享文件位置：用户家目录
• 虚拟用户共享文件位置：专用于FTP服务的用户帐号, 为其映射的系统用户的家目录

vsftpd服务创建配置

listen_port=2121 默认值为21

主动模式端口

connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 （默认） 指定主动模式的端口

被动模式端口范围

linux 　　　　  ftp 　 客户端默认使用被动模式
windows　　　　 ftp 　 客户端默认使用主动模式
pasv_min_port=6000   0为随机分配，端口范围会影响客户端的并发数
pasv_max_port=6010

使用当地时间

有的浏览器会自动校对时间，没有校对时间的，时间差8个小时

use_localtime=YES 使用当地时间（默认为NO，使用GMT）

匿名用户登录

anonymous_enable=YES 　　支持匿名用户，CentOS8 默认不允许匿名
no_anon_password=YES 　　匿名用户略过口令检查 , 默认NO

匿名用户上传

anon_upload_enable=YES 　　　 　匿名上传，注意:文件系统权限
anon_mkdir_write_enable=YES    匿名建目录
setfacl -m u:ftp:rwx /var/ftp/pub

注意：还需要开启文件系统访问的权限，不能给FTP根目录写权限，只能给子目录写权限，否则报如 下错误

anon_world_readable_only=NO  只能下载全部读的文件, 默认YES
anon_umask=0333 　　　　　　　　指定匿名上传文件的umask，默认077，注意：0333中的0不能省略
anon_other_write_enable=YES   可删除和修改上传的文件，默认NO

 指定匿名用户的上传文件的默认的所有者和权限

chown_uploads=YES        #默认NO
chown_username=wang
chown_upload_mode=0644

Linux系统用户

local_enable=YES 　　　　是否允许linux用户登录
write_enable=YES　　　　 允许linux用户上传文件
local_umask=022　　　　  指定系统用户上传文件的默认权限对应umask

将所有系统用户映射为指定的guest用户

guest_enable=YES 　　　　　　 　　　　　　　所有系统用户都映射成guest用户
guest_username=ftp   　　　 　　　　　　　 配合上面选项才生效，指定guest用户
local_root=/ftproot 　　　　　　　　　 　　指定guest用户登录所在目录,但不影响匿名用户的登录目录
user_config_dir=/etc/vsftpd/conf.d/ 　　每个用户独立的配置文件目录

禁锢系统用户

禁锢所有系统用户在家目录中

chroot_local_user=YES 　　#禁锢系统用户，默认NO，即不禁锢

禁锢或不禁锢特定的系统用户在家目录中，与上面设置功能相反

chroot_list_enable=YES     　　　　　　　　　　　　　　 #默认是NO
chroot_list_file=/etc/vsftpd/chroot_list  　　　　   #默认值
  
当chroot_local_user=YES和chroot_list_enable=YES时，则chroot_list中用户不禁锢，即白名单
当chroot_local_user=NO和chroot_list_enable=YES时， 则chroot_list中用户禁锢，即黑名单

日志

#wu-ftp 日志：默认启用
xferlog_enable=YES 　　　　　　　　　　　   #启用记录上传下载日志，此为默认值
xferlog_std_format=YES 　　　　　　　　　　 #使用wu-ftp日志格式，此为默认值
xferlog_file=/var/log/xferlog 　　　　　　 #可自动生成， 此为默认值

#vsftpd日志：默认不启用
dual_log_enable=YES 　　　　　　　　　　　　 使用vsftpd日志格式，默认不启用
vsftpd_log_file=/var/log/vsftpd.log 　　 可自动生成， 此为默认值

提示信息

登录前提示信息

ftpd_banner="welcome to mage ftp server"
banner_file=/etc/vsftpd/ftpbanner.txt

目录访问提示信息

dirmessage_enable=YES #此为默认值
message_file=.message #信息存放在指定目录下.message ，此为默认值,只支持单行说明

PAM模块实现用户访问控制

pam_service_name=vsftpd
#pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录，默认是黑名单，但也可以是白名单

#修改PAM配置，使ftpusers成为白名单
#将sense=deny 修改为 sense=allow
auth       required     pam_listfile.so item=user sense=allow
file=/etc/vsftpd/ftpusers onerr=succeed

是否启用控制用户登录的列表文件

never allow users in this file, and do not even prompt for a password.

userlist_enable=YES   此为默认值
userlist_deny=YES(默认值) 黑名单,不提示口令，NO为白名单
userlist_file=/etc/vsftpd/user_list 此为默认值

vsftpd服务指定用户身份运行

nopriv_user=nobody   此为默认值

连接数限制

max_clients=0 #最大并发连接数

max_per_ip=0 #每个IP同时发起的最大连接数

传输速率，单位：字节/秒

限速

anon_max_rate=0 　　 　　匿名用户的最大传输速率,以字节为单位,比如:1024000表示1MB/s
local_max_rate=0　　    本地用户的最大传输速率

连接时间：秒为单位

connect_timeout=60 　　　　  主动模式数据连接超时时长
accept_timeout=60 　　　　　　被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 　　 无命令操作超时时长

以文本方式传输

以文本方式传输文件时,会自动对文件进行格式转换,比如转换成windows的文本格式

#启用此选项可使服务器在ASCII模式下实际对文件进行ASCII处理。
#默认是禁用,禁用后，服务器将假装允许ASCII模式，但实际上会忽略激活它的请求
ascii_upload_enable=YES
ascii_download_enable=YES

注意：只适用于文本文件传输，其它格式的文件会被破坏。