服务:FTP服务简单搭建——vsftpd
转自:
1. http://www.cnblogs.com/hxgoto/p/7079757.html
2. http://www.cnblogs.com/ShaYeBlog/p/5867545.html
感谢博主无私分享!
Vsftpd介绍
vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序,特点是小巧轻快,安全易用.
vsftpd(Very Secure FTP Daemon,非常安全的FTP服务器),安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候,高安全性就是一个目标,同时随着版本的不断升级,Vsftpd在性能和稳定性上也取得了极大的进展。除了安全和性能方面很优秀的外,还有很好的易用性。
实验步骤
实验目标:实现简单的上传下载,并限制匿名用户访问。
1. 软件和工具安装
服务端vsftpd安装
[root@localhost ~]# yum install -y vsftpd lftp
客户端工具lftp安装
[root@localhost ~]# yum install -y lftp
2. 环境准备
创建ftp测试用户
[root@localhost ~]# useradd -M -d /var/ftp/ -s /sbin/nologin -g ftp ftpuser
[root@localhost ~]# id ftpuser
uid=1000(ftpuser) gid=50(ftp) groups=50(ftp)
[root@localhost ~]# echo ftpuser > /etc/vsftpd/user_list
[root@localhost ~]# cat /etc/vsftpd/user_list
ftpuser
[root@localhost ~]# echo 'ftpuser:123123' |chpasswd
准备测试文件并修改目录属主组
[root@localhost ~]# cd /var/ftp/
[root@localhost ftp]# echo 123 >get.txt
[root@localhost ftp]# ll -d .
drwxr-xr-x 3 root root 30 Jul 5 22:36 .
[root@localhost ftp]# chown -R ftpuser.ftp .
[root@localhost ftp]# ll -d .
drwxr-xr-x 3 ftpuser ftp 30 Jul 5 22:36 .
[root@localhost ftp]# ll
total 4
-rw-r--r-- 1 ftpuser ftp 4 Jul 5 22:36 get.txt
drwxr-xr-x 2 ftpuser ftp 6 Aug 3 2017 pub
3.不允许匿名用户访问的配置
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.ori
参考配置:/etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
4.启动服务并验证结果
服务端
[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
[root@localhost ~]# systemctl status vsftpd
客户端
[root@localhost ~]# echo 123 > put.txt
[root@localhost ~]# lftp 192.168.75.100
lftp 192.168.75.100:~> ls
ls: Login failed: 530 Permission denied.
lftp 192.168.75.100:~> exit
[root@localhost ~]# lftp 192.168.75.100 -u ftpuser
Password:
lftp ftpuser@192.168.75.100:~> ls
-rw-r--r-- 1 1000 50 4 Jul 05 14:36 get.txt
drwxr-xr-x 2 0 0 6 Aug 03 2017 pub
lftp ftpuser@192.168.75.100:~> get get.txt
4 bytes transferred
lftp ftpuser@192.168.75.100:~> put put.txt
4 bytes transferred
lftp ftpuser@192.168.75.100:~> ls
-rw-r--r-- 1 1000 50 4 Jul 05 14:36 get.txt
drwxr-xr-x 2 1000 50 6 Aug 03 2017 pub
-rw-r--r-- 1 1000 50 4 Jul 05 14:37 put.txt
Vsftpd安装文件列表
vsftp主要文件
[root@localhost ~]# rpm -ql vsftpd
/etc/logrotate.d/vsftpd
/etc/pam.d/vsftpd
/etc/vsftpd
/etc/vsftpd/ftpusers
/etc/vsftpd/user_list
/etc/vsftpd/vsftpd.conf
/etc/vsftpd/vsftpd_conf_migrate.sh
/usr/lib/systemd/system-generators/vsftpd-generator
/usr/lib/systemd/system/vsftpd.service
/usr/lib/systemd/system/vsftpd.target
/usr/lib/systemd/system/vsftpd@.service
/usr/sbin/vsftpd
...
/var/ftp
/var/ftp/pub
Vsftpd配置项目详解
1. 匿名用户相关设置
anonymous_enable=NO # 禁止匿名用户访问 ,将YES改为NO, 禁止匿名用户登陆
local_enable=YES # 允许本地用户访问
write_enable=YES # 具有写权限
local_umask=022 # 本地用户创建文件或目录的掩码
connect_from_port_20=YES # 开启20端口
2. FTP服务端口的指定
listen_port=8021 # 指定命令通道为8021,默认为21
listen_data_port=8020 # 指定数据通道为8020,默认为20
3. 上传模式的设置
pasv_enable=YES # 是否允使用被动模式,默认是允许的。
pasv_min_port=10000 # 指定使用被动模式时打开端口的最小值
pasv_max_port=10004 # 指定使用被动模式时打开端口的最大值
4. Vsftp服务器指定IP地址
listen_address=192.168.0.100 # 指定FTP的IP地址
注:只有当vsftp运行于独立模式时才允许使用指定IP,如果在/etc/xinetd.d目录下已经建立了vsfpd文件,就要将该文件中的disable设置为yes方可。
5. 锁定用户,禁止用户离开用户主目录
chroot_local_user=YES # 将其设为YES,就锁定在用户主目录,设为NO,可以切换
chroot_list_enable=YES # 将指定用户设置为锁定用户主目录
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
[root@localhost ~]#cat /etc/vsftpd/chroot_list # 在该文件中加入用户名单
ftpuser
6. FTP服务器的流量控制
max_clients=200 # 允许的最大连接数,定义为200,默认为0,表示没有限制
max_per_ip=5 # 每个IP允许的连接数,0表没有限制,需要运行于独立模式方可
anon_max_rate=50000 # 匿名用户最大带宽,单位为bps
local_max_rate=200000 # 系统用户最大带宽
user_config_dir=/etc/vsftpd/userconf # 对指定用户进行流量限制
创建文件并写入流量限制参数
[root@localhost ~]# echo 'local_max_rate=100000' > /etc/vsftpd/userconf/ftpuser
7. 定制欢迎信息
dirmessage_enable=YES #启用欢迎消息
ftpd_banner=Welcome to ftp.test.com!!!
#也可以使用欢迎消息文件:
banner_file=/etc/vsftpd/welcome
vsftpd的传输模式
TCP/IP协议中,FTP标准命令TCP端口号为21,Port方式数据端口为20。FTP协议的任务是从一台计算机将文件传送到另 一台计算机,它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台计算机通过ftp协议对话,并且能访问 Internet, 你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别,但是每种协议基本的命令结构是相同的。
FTP的传输有两种方式:ASCII传输模式和二进制数据传输模式。
1.ASCII传输方式:假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。
但是常常有这样的情况,用户正在传输的文件包含的不是文本文件,它们可能是程序,数据库,字处理文件或者压缩文件(尽管字处理文件包含的大部分是文本,其中也包含有指示页尺寸,字库等信息的非打印字符)。在拷贝任何非文本文件之前,用binary 命令告诉ftp逐字拷贝,不要对这些文件进行处理,这也是下面要讲的二进制传输。
2.二进制传输模式:在二进制传输中,保存文件的位序,以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例如,macintosh以二进制方式传送可执行文件到Windows系统,在对方系统上,此文件不能执行。
如果你在ASCII方式下传输二进制文件,即使不需要也仍会转译。这会使传输稍微变慢 ,也会损坏数据,使文件变得不能用。(在大多数计算机上,ASCII方式一般假设每一字符的第一有效位无意义,因为ASCII字符组合不使用它。如果你传输二进制文件,所有的位都是重要的。)如果你知道这两台机器是同样的,则二进制方式对文本文件和数据文件都是有效的。
vsftpd的工作模式
FTP支持两种模式,一种方式叫做Standard (也就是 PORT方式,主动方式),一种是 Passive (也就是PASV,被动方式)。 Standard模式 FTP的客户端发送 PORT 命令到FTP服务器。Passive模式FTP的客户端发送 PASV命令到 FTP Server。
下面介绍一个这两种方式的工作原理:
Port模式FTP 客户端首先和FTP服务器的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
Passive模式在建立控制通道的时候和Standard模式类似,但建立连接后发送的不是Port命令,而是Pasv命令。FTP服务器收到 Pasv命令后,随机打开一个高端端口(端口号大于1024)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务 器将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。
很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。