FTP

FTP（file transfer protocol,文件传输协议）

FTP是在互联网中进行文件传输的一种协议，基于c/s模式。有一个服务端，一个客户端

FTP默认有2个工作端口

　　一个是20端口，用于数据的传输端口

　　一个是21端口，是FTP服务端用于接收客户端发来的FTP指令和参数

ftp服务器按照ftp协议在互联网上提供文件存储，以便客户端能够快捷的访问数据

ftp客户端向服务端寻求资料

FTP工作模式主要分为两种

　　主动模式:FTP服务器主动向客户端发起连接请求

　　被动模式:ftp服务在等待 ，等待客户端发来请求

 

安装ftp服务

FTP是一种文件传输协议，在linux系统下，有一款工具实现ftp协议，名为vsftpd

非常安全的ftp守护进程服务

对于centos系统平台，直接yum安装即可

yum install vsftpd -y #默认的yes确认安装，阿里云的yum

 

学习修改vsftpd的配置文件   /etc/vsftpd/vsftpd.conf

linux默认安装的软件配置文件都在/etc目录

grep -Ev "^[# ]|^$" /etc/vsftpd/vsftpd.conf

 [root@localhost ~]# grep -Ev "^[# ]|^$" /etc/vsftpd/vsftpd.conf

anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
listen=YES
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

 

vsftpd服务程序

vsftpd允许用户用三种认证的模式，登录到ftp服务器

本地用户模式，基于linux的本地账号密码进行验证，配置简单，但是安全隐患存在，一旦ftp账号密码被破解

服务器就无安全可言

匿名用户登录模式，任何人不需要密码直接登录ftp

虚拟用户模式，单独为ftp工具创建用户数据库，基于口令验证账号密码的信息， 这些数据库仅仅用于ftp的服务，不影响其他程序，

是最安全的形式

 

对于ftp客户端，需要安装ftp命令工具，方可使用

 

 

 

匿名用户登录模式

匿名用户是最不安全的方式，一般用于在公开展示一些不重要的消息，允许所有人可以查看的数据，

ftp匿名登录模式，一般打开在企业内网盘平台下，并且受防火墙规则控制，以保证ftp的基本安全性

vsftpd配置文件，默认就已经开启了匿名模式，修改配置文件如下

[root@localhost ~]# grep '^anon' /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES

 

 

 链接失败 可能是防火墙的原因

关闭防火墙服务 systemctl stop firewalld.service，

永久关闭防火墙，systemctl disable firewalld.service

 

重启vsftpd进程，加载ftp服务

 

 

 

 

   

使用本地用户进行账号密码验证

 

 

 

 

 

 

 /etc/vsftpd/ftpusers

ftp虚拟用户模式
虚拟用户认证方式,就是虚拟创建出来的用户，对于服务器而已也是最安全的方式

1.安装DB工具，能够转化普通文件为vsftpd识别的数据库加密文件

yum  install db4 db4-utils -y

2.创建用于验证vsftpd的数据文件，方便管理直接在/etc/vsftp  下创建

[root@localhost vsftpd]# vim ftp_user.txt
[root@localhost vsftpd]# cat ftp_user.txt
bob
123456
haden
13sg

3.由于这样的普通文件很不安全，vsftpd也无法识别该txt的文件数据，因此还得使用 db_load 命令

对于这个ftp_user.txt文件进行加密，并且修改他的文件属性，让普通用户无权查看

3.1 加密文件

db_load -T -t hash -f /etc/vsftpd/ftp_user.txt  /etc/vsftpd/ftp_user.db

3.2 降低文件的读写权限

chmod 600 ftp_user.db

3.3删除旧的文本数据

rm ftp_user.txt

4 创建当虚拟用户登录ftp之后进入的文件夹路径，且和linux中的一个用户做一个映射关系，防止虚拟用户登录后

创建了文件夹，但是系统没有此用户会报错的问题

4.1 创建一个系统用户和虚拟用户做映射，且不需要家目录，禁止用户登录shell

useradd -d /var/ftpdir -s /sbin/nologin vs_x

4.2 检查该用户的家目录

[root@localhost /]# ll -ld /var/ftpdir/   
drwx------ 2 vs_x vs_x 62 Jun 30 15:00 /var/ftpdir/

4.3更改文件夹权限

chmod -Rf 755 /var/ftpdir/

4.4修改vs_x 用户添加到ftpsuer文件中，增大系统安全，禁止该用户登录ftp 

该操作不会影响虚拟用户的操作

echo "vs_x" >> /etc/vsftpd/ftpusers

5.需要修改vsfftpd的配置文件，添加一个支持虚拟用户验证的PAM文件

PAM是一组安全机制的模块，认证文件路径在/etc/pam.d/vsftpd

修改，添加如下参数，仅仅添加有关 自定义的vsftpd的配置

[root@localhost /]# cat /etc/pam.d/vsftpd
#%PAM-1.0

这些都得注释
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth

这都是自带的

这些都得注释

auth required pam_userdb.so db=/etc/vsftpd/ftp_user
account required pam_userdb.so db=/etc/vsftpd/ftp_user  

6.修改vsftpd的配置文件，加载支持虚拟用户模式 注释写在笔记里，不要写在配置文件中

 

[root@localhost /]# grep -Ev '^#|^$' /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
guest_enable=YES
guest_username=vs_x                   #指定虚拟用户账号
allow_writeable_chroot=YES               #如果用户被限制只能在其家目录，允许用户可以对家目录写入数据

 7.针对不同的虚拟用户设置不同的权限

bob  针对该用户，允许它能够上传，新建，修改，查看，删除等权限

haden 只读权限

8.如上的操作，需要修改vsftpd文件，定义  user_config_dir参数

8.1创建一个管理虚拟用户的家目录,并且创建虚拟用户的配置文件

mkdir /etc/vsftpd/virtual_user_dir

 

 

 分别添加参数，给2个虚拟用户的配置文件

[root@localhost virtual_user_dir]# cat bob
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@localhost virtual_user_dir]#

[root@localhost virtual_user_dir]# cat haden
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

9.修改vsftpd主配置文件，加载如上的权限控制

修改/etc/vsftpd/vsftpd.conf  添加如下参数，自定义的csftpd的用户配置文件

user_config_dir=/etc/vsftpd/virtual_user_dir

10.重启服务