FTP服务与配置
FTP简介
网络文件共享服务主流的主要有三种,分别是ftp、nfs、samba。
FTP是File Transfer Protocol(文件传输协议)的简称,用于internet上的控制文件的双向传输。
FTP也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
FTP架构
FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。
以下是一些常用的FTP工具:
- 客户端工具:
- ftp
- lftp、lftpget
- wger、curl
- filezilla
- gftp(Linux GUI)
- 商业FTP软件(如flashfxp,cuteftp)
- 服务端软件:
- wu-ftpd
- proftpd(提供web接口的一种ftp服务端程序)
- pureftp
- vsftpd(Very Secure)
- ServU(Windows平台)
FTP的数据连接模式
ftp有2种数据连接模式:命令连接和数据连接
- 命令连接:是指文件管理类命令,始终在线的持久性连接,直到用户退出登录为止
- 数据连接:是指数据传输,按需创建及关闭的连接
其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式
数据传输格式有以下两种:
- 文件传输
- 二进制传输
数据传输模式也有2种:
- 主动模式:由服务器端创建数据连接
- 被动模式:由客户端创建数据连接
两种数据传输模式的建立过程:
主动模式:
- 命令连接:客户端以一个随机端口(大于1023)来连服务器端的21号端口。
- Client(1025)--> Server(21)
- 数据连接:服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号。
- Server(20/tcp) --> Client(1025+1)
主动模式的弊端:因为客户端的端口是随机的,客户端如果开了防火墙,
则服务器端去连客户端创建数据连接时可能会被拒绝
被动模式:
- 命令连接:客户端以一个随机端口来连成服务器端的21号端口,服务器告知客户端数据连接的目标端口
- Client(1110) --> Server(21)
- 数据连接:客户端以创建命令连接的端口+1的端口号去连服务器端数据端口来创建数据连接
- Client(1110+1) --> Server(随机端口)
FTP的用户认证
FTP有三种主要用户认证方式:
- 虚拟用户:仅用于访问某特定服务中的资源
- 系统用户:可以登录系统的真实用户
- 匿名用户
vsftp
安装
[root@lynk ~]# yum -y install vsftpd
配置
#vsftpd用户认证配置文件
/etc/pam.d/vsftpd
#配置文件目录
/etc/vsftpd/
#主配置文件
/etc/vsftpd/vsftpd.conf
#匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
#系统用户通过ftp访问的资源位置为用户的家目录
#虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录
#虚拟用户的配置:
#所有的虚拟用户会被统一映射为一个指定的系统帐号,访问的共享位置即为此系统帐号的家目录
#各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
#虚拟用户帐号的存储方式:
1.文件:编辑文件,此文件需要被编码为hash格式。
奇数行为用户名
偶数行为密码
2.关系型数据库的表中:
通过即时查询数据库完成用户认证
mysql库:pam要依赖于pam_mysql软件,可以通过epel源yum安装
vsftpd常见的配置参数
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 启用匿名用户登录 |
| anon_upload_enable=YES | 允许匿名用户上传 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录,但是不能删除 |
| anon_other_write_enable=YES | 允许匿名用户创建和删除目录 |
| local_enable=YES | 启用本地用户登录 |
| write_enable=YES | 允许本地用户有写权限 |
| local_umask=022 | 通过ftp上传文件的默认遮罩码 |
| chroot_local_user=YES | 禁锢所有的ftp本地用户于其家目录中 |
| chroot_list_enable=YES | 开启禁锢文件列表,需要与chroot_list_file参数一起使用 |
| chroot_list_file=/etc/vsftpd/chroot_list | 指定禁锢列表文件路径,在此文件里面的用户将被禁锢在其家目录中 |
| allow_writeable_chroot=YES | 允许被禁锢的用户家目录有写权限 |
| xferlog_enable=YES | 是否启用传输日志,记录ftp传输过程 |
| xferlog_std_format=YES | 传输日志是否使用标准格式 |
| xferlog_file=/var/log/xferlog | 指定传输日志存储的位置 |
| chown_uploads=YES | 是否启用改变上传文件属主的功能 |
| chown_username=whoever | 指定要将上传的文件的属主改为哪个用户,此用户必须在系统中存在 |
| pam_service_name=vsftpd | 指定vsftpd使用/etc/pam.d下的哪个pam配置文件进行用户认证 |
| userlist_enable=YES | 是否启用控制用户登录的列表文件:默认为/etc/vsftpd/user_list文件 |
| userlist_deny=YES | 是否拒绝userlist指定的列表文件中存在的用户登录ftp |
| max_clients=# | 最大并发连接数 |
| max_per_ip=# | 每个IP可同时发起的并发请求数 |
| anon_max_rate | 匿名用户的最大传输速率,单位是“字节/秒” |
| local_max_rate | 本地用户的最大传输速率,单位是“字节/秒” |
| dirmessage_enable=YES | 启用某目录下的.message描述信息。假定有一个目录为/upload,在其下创建一个文件名为.message,在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容 |
| message_file | 设置访问一个目录时获得的目录信息文件的文件名,默认是.message |
| idle_session_timeout=600 | 设置默认的断开不活跃session的时间 |
| data_connection_timeout=120 | 设置数据传输超时时间 |
| ftpd_banner="Welcome to chenlf FTP service." | 定制欢迎信息,登录ftp时自动显示 |
实例:
1.配置匿名访问,允许匿名用户上传文件,可以读写新建删除文件/文件夹
#修改配置文件
[root@lynk ~]# vim /etc/vsftpd/vsftpd.conf
1.取消注释anon_mkdir_write_enable=YES和anon_upload_enable=YES
2.在上一条后面插入anon_other_write_enable=YES
3.在上一条后面插入anon_umask=022
4.修改listen=YES,让FTP服务监听在ipv4
5.注释listen_ipv6=YES,不允许在ipv6监听(ipv6和ipv4不能共存)
#添加权限
[root@lynk ~]# chmod 777 /var/ftp/pub
#关闭防火墙
[root@lynk ~]# systemctl stop firewalld
[root@lynk ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
#修改selinux状态
[root@lynk ~]# setenforce 0
#启动ftp服务
[root@lynk ~]# systemctl restart vsftpd
2.配置虚拟用户认证,允许虚拟用户上传文件,可以读写新建删除文件/文件夹
#更换为阿里云的国内源(下载速度比较快)
[root@lynk ~]# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
[root@lynk ~]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
[root@lynk ~]# yum clean all
#安装db4
[root@lynk ~]# yum -y install db4*
#编写用户、密码列表文件
[root@lynk ~]# vim /etc/vsftpd/vu.list
[root@lynk ~]# cat /etc/vsftpd/vu.list
link
1234
zelda
5678
#使用db4将用户列表转换为数据库文件
[root@lynk ~]# db_load -T -t hash -f /etc/vsftpd/vu.list /etc/vsftpd/vu.db
[root@lynk ~]# chmod 600 /etc/vsftpd/vu.*
#创建一个映射用户并修改ftp根目录权限
[root@lynk ~]# useradd -d /var/ftproot -s /sbin/nologin vftp
[root@lynk ~]# chmod 755 /var/ftproot/
#为虚拟用户建立PAM认证
[root@lynk ~]# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
[root@lynk ~]# vim /etc/pam.d/vsftpd
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vu
account required pam_userdb.so db=/etc/vsftpd/vu
#修改配置文件
[root@lynk ~]# vim /etc/vsftpd/vsftpd.conf
在最后插入:
guest_enable=YES
guest_username=vftp
user_config_dir=/etc/vsftpd/vusers_dir
allow_writeable_chroot=YES
#为不同的虚拟用户建立独立的配置文件
[root@lynk ~]# mkdir /etc/vsftpd/vusers_dir
[root@lynk ~]# vim /etc/vsftpd/vusers_dir/link
[root@lynk ~]# cat /etc/vsftpd/vusers_dir/link
anon_upload_enable=YES
anon_mkdir_write_enable=YES
[root@lynk ~]# vim /etc/vsftpd/vusers_dir/zelda
[root@lynk ~]# cat /etc/vsftpd/vusers_dir/zelda
anon_upload_enable=YES
anon_mkdir_write_enable=YES
#启动服务
[root@lynk ~]# systemctl start vsftpd
3.配置本地用户认证(不推荐,有泄漏本地用户名及密码的风险)
注:不能与匿名用户共存,需要把原来匿名用户的配置注释掉
#修改配置文件
[root@lynk ~]# vim /etc/vsftpd/vsftpd.conf
保证以下内容生效:
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
userlist_enable=YES
#新建一个用来登陆的用户
[root@lynk ~]# useradd ftplocal -g ftp -s /bin/nologin
[root@lynk ~]# passwd ftplocal
