Linux环境下安装配置vsftpd服务(三种认证模式)

    

一、FTP简介

文件传输协议(英文:File Transfer Protocol,缩写:FTP)是用于在网络上进行文件传输的一套标准协议。它工作于网络传输协议的应用层,使用客户/服务器模式,主要是用来在服务器与客户端之间进行数据传输。FTP 其实是以 TCP 封包的模式进行服务器与客户端计算机之间的联机,当联机建立后,使用者可以在客户端端连上 FTP 服务器来进行文件的下载与上传,此外,也可以对 FTP 服务器上面的文档进行管理等。

FTP传输模式
文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载文件。
FTP基于C/S模式,FTP客户端与服务器端有两种传输模式,分别是FTP主动模式、FTP被动模式(默认的工作模式)。主被动模式均是以FTP服务器端为参照。

FTP主动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器,FTP服务器以数据端口(20)连接到客户端指定的数据端口(N+1)。

    

FTP被动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,客户端提交 PASV命令,服务器会开启一个任意的端口(P >1024),并发送PORT P命令给客户端。客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

    

在企业实际环境中,如果FTP客户端与FTP服务端均开放防火墙,FTP需以主动模式工作,这样只需要在FTP服务器端防火墙规则中,开放20、21端口即可。

环境准备

属性 FTP服务端 FTP客户端
节点 wencheng-1 windows10
系统 CentOS Linux release 7.5.1804 (Minimal) windows10 企业版
内核 3.10.0-862.el7.x86_64 windows10 企业版2019 x64
IP地址 172.16.70.185 172.16.70.50
SELinux setenforce 0 | disabled  

FTP服务端操作步骤

  • 1.服务端安装vsftpd服务。
[root@wencheng-1 ~]# yum install -y vsftpd
[root@wencheng-1 ~]# rpm -qa | grep vsftpd
vsftpd-3.0.2-28.el7.x86_64

[root@wencheng-1 ~]# rpm -ql vsftpd 
/etc/pam.d/vsftpd    # vsftpd 使用PAM模块时的配置文件,主要做认证功能
/etc/vsftpd/ftpusers    # 用户登录黑名单,拒绝ftpusers列表内的用户登录vsftpd,一行一个账号
/etc/vsftpd/user_list    # 默认为用户登录黑名单,拒绝user_list列表内的用户登录vsftpd,一行一个账号,这个
配置是否能够生效与 vsftpd.conf 内的参数 userlist_enable, userlist_deny 有关
/etc/vsftpd/vsftpd.conf    # vsftpd 服务器的主配置文件,配置格式使用 [参数=设定值] 来设定,注意,等号两边不能有空白
/etc/vsftpd/vsftpd_conf_migrate.sh    # 迁移脚本
/usr/sbin/vsftpd    # vsftpd命令执行脚本文件
/var/ftp    # 匿名用户访问根目录

[root@wencheng-1 ~]# systemctl start vsftpd
[root@wencheng-1 ~]# ps -ef | grep vsftpd
root      10988      1  0 16:20 ?        00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
root      10990   1583  0 16:21 pts/1    00:00:00 grep --color=auto vsftpd

[root@wencheng-1 ~]# ps -ef | grep vsftpd
root      10988      1  0 16:20 ?        00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
root      10992   1583  0 16:21 pts/1    00:00:00 grep --color=auto vsftpd

[root@wencheng-1 ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

 注意:从现在开始,凡是涉及到服务的配置,就要考虑防火墙和SELinux的因素,很多教程和书籍上都是直接关闭防火墙和selinux,虽然这样在学习阶段可以避免干扰,但是这样非常不安全。另外凡是配置了服务,都要加入开机启动中,让其每次重启自动生效。

  •  2.服务端修改配置文件/etc/vsftpd/vsftpd.conf
[root@wencheng-1 ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak
[root@wencheng-1 ~]# grep -Ev "^$|#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf

[root@wencheng-1 ~]# cat /etc/vsftpd/vsftpd.conf    # 默认配置文件详解
# 默认匿名用户配置
anonymous_enable=YES           # 开启匿名用户访问;

# 默认本地用户配置
local_enable=YES               # 启用本地系统用户访问;
local_umask=022                # 本地用户创建文件及目录默认权限掩码;

# 默认全局配置
write_enable=YES               # 本地系统用户写入权限;
dirmessage_enable=YES          # 打印目录显示信息,通常用于用户第一次访问目录时,信息提示;
xferlog_enable=YES             # 启用上传/下载日志记录; 
connect_from_port_20=YES       # FTP使用20端口进行数据传输;
xferlog_std_format=YES         # 日志文件将根据xferlog的标准格式写入;
listen=NO                      # Vsftpd不以独立的服务启动,通过Xinetd服务管理,建议改成YES;
listen_ipv6=YES                # 启用IPV6监听;
pam_service_name=vsftpd        # 登录FTP服务器,依据/etc/pam.d/vsftpd中内容进行认证;
userlist_enable=YES            # Vsftpd.user_list和ftpusers配置文件里用户禁止访问FTP;
tcp_wrappers=YES               # 设置vsftpd与tcp wrapper结合进行主机的访问控制,Vsftpd服务器检查/etc/hosts.allow 和/etc/hosts.deny中的设置,
                   来决定请求连接的主机,是否允许访问该FTP服务器。
  • 3.vsftpd三种认证模式

  vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上:匿名开放模式、本地用户模式、虚拟用户模式。实际生产环境中虚拟用户模式用的较多。

  首先要在防火墙添加ftp,20,21端口。

# firewalld 添加ftp,20,21端口
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-service=ftp --permanent
success
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-port=20/tcp --permanent
success
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-port=21/tcp --permanent
success

[root@wencheng-1 ~]# firewall-cmd --zone=public --list-ports    # 查看firewalld开放的端口
20/tcp 21/tcp
[root@wencheng-1 ~]# firewall-cmd --get-services | grep -o 'ftp'  # 查看firewalld开放的协议
ftp

[root@wencheng-1 ~]# systemctl restart firewalld
  • 3.1 匿名开放模式:任何人都可以无需密码验证而直接登录到FTP服务器,是一种最不安全的认证模式。
[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全局配置
write_enable=YES               # 本地系统用户写入权限;
local_umask=022                # 本地用户创建文件及目录默认权限掩码;
dirmessage_enable=YES          # 打印目录显示信息,通常用于用户第一次访问目录时,信息提示;
xferlog_enable=YES             # 启用上传/下载日志记录; 
connect_from_port_20=YES       # FTP使用20端口进行数据传输;
xferlog_std_format=YES         # 日志文件将根据xferlog的标准格式写入;
listen=NO                      # Vsftpd不以独立的服务启动,通过Xinetd服务管理,建议改成YES;
listen_ipv6=YES                # 启用IPV6监听;
pam_service_name=vsftpd        # 登录FTP服务器,依据/etc/pam.d/vsftpd中内容进行认证;
userlist_enable=YES            # Vsftpd.user_list和ftpusers配置文件里用户禁止访问FTP;
tcp_wrappers=YES               # 设置vsftpd与tcp wrapper结合进行主机的访问控制,Vsftpd服务器检查/etc/hosts.allow 和/etc/hosts.deny中的设置,
                   来决定请求连接的主机,是否允许访问该FTP服务器。

# 本地用户配置
local_enable=YES               # 启用本地系统用户访问;
local_umask=022                # 本地用户创建文件及目录默认权限掩码;
local_root=/data/ftpdata    # 修改本地用户登录时访问的目录路径

# 匿名用户访问配置(最大权限)
anonymous_enable=YES           # 开启匿名用户访问;
anon_umask=022          # 匿名用户上传文件的umask值
anon_upload_enable=YES      # 允许匿名用户上传文件
anon_mkdir_write_enable=YES   # 允许匿名用户创建目录
anon_other_write_enable=YES     # 允许匿名用户修改目录名称或删除目录
anon_root=/data/ftpdata      # 修改匿名用户登录时访问的目录路径

注:工作中,匿名用户只是只读访问,写的权限也没有的。

[root@wencheng-1 ~]# ls -l /data/ftpdata
drwxr-xr-x. 2 root root 18 Mar 25 16:26 ftppub
[root@wencheng-1 ~]# ls -ld /data/ftpdata
drwxr-xr-x. 3 root root 17 Mar 25 14:53 /data/ftpdata

# 修改目录权限
[root@wencheng-1 ~]# chmod o+w /data/ftpdata/ftppub
# 修改目录属主
[root@wencheng-1 ~]# chown ftp /data/ftpdata/ftppub/ -R
[root@wencheng-1 ~]# ls -ld /data/ftpdata/ftppub/
drwxr-xrwx. 2 ftp root 18 Mar 25 16:26 /data/ftpdata/ftppub

[root@wencheng-1 ~]# systemctl restart vsftpd

 3.1.1 匿名访问测试。

Win10测试访问ftp路径。

    

 并能执行上传/下载/删除操作。

     

FTP服务端查看。

    

  • 3.2 本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式。如果被黑客破解了账户信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。

   a.将anonymous_enable=YES改为NO,即关闭了匿名模式,此时就不能在使用匿名模式登陆了。

   b.另外前面新加的与匿名配置参数可以保留,也可以直接删除,只要总开关anonymous_enable关闭了就禁用了匿名登录。

[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全局配置
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 本地用户配置
local_enable=YES
local_umask=022
local_root=/data/ftpdata

# 匿名用户设置
anonymous_enable=NO    # 仅修改此项为NO
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_root=/data/ftpdata

[root@wencheng-1 ~]# systemctl restart vsftpd

3.2.1 此时已需要账号密码登录。

    

3.2.2 添加一个ftp用户并创建密码,用来登录ftp服务器。

[root@wencheng-1 ~]# useradd ftpuser -s /sbin/nologin
[root@wencheng-1 ~]# passwd ftpuser
Changing password for user ftpuser.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.

[root@wencheng-1 ~]# grep ftpuser /etc/passwd
ftpuser:x:1000:1000::/home/ftpuser:/sbin/nologin

 3.2.3 再次尝试访问ftppub目录。

    

    

  • 3.3 虚拟用户模式:需要为FTP服务单独 建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在 服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。这样,即使 黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。是三种模式中最安全的一种认证模式。

Vsftpd虚拟用户企业案例配置步骤如下:

a.安装Vsftpd虚拟用户需用到的软件及认证模块:

[root@wencheng-1 ~]# yum install pam* libdb-utils libdb* --skip-broken -y

 b.创建包含用户信息的文件vuser.list(文件名字任意取),文件中奇数行表示账号名,偶数行表示密码。

[root@wencheng-1 ~]# vim /etc/vsftpd/vuser.list
vuser1
123456
vuser2
123456

 c.生成Vsftpd虚拟用户数据库认证文件,设置权限700。

[root@wencheng-1 ~]# db_load -T -t hash -f /etc/vsftpd/vuser.list /etc/vsftpd/vsftpd_login.db
[root@wencheng-1 ~]# chmod 700 /etc/vsftpd/vsftpd_login.db

 d.配置PAM认证文件,/etc/pam.d/vsftpd行首加入如下两行。

[root@wencheng-1 ~]# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd_bak
[root@wencheng-1 ~]# vim /etc/pam.d/vsftpd
auth      required        pam_userdb.so  db=/etc/vsftpd/vsftpd_login
account   required        pam_userdb.so  db=/etc/vsftpd/vsftpd_login

 e.所有Vsftpd虚拟用户需要映射到一个系统用户,该系统用户不需要密码,也不需要登录,主要用于虚拟用户映射使用。

[root@wencheng-1 ~]# useradd -d /data/ftpdir -s /sbin/nologin ftpvuser  # /data/ftpdir 为虚拟用户默认访问目录
[root@wencheng-1 ~]# chmod -Rf /data/ftpdir/
[root@wencheng-1 ~]# ls -ld /data/ftpdir/
drwxr-xr-x. 2 ftpvuser ftpvuser 76 Mar 29 23:51 /data/ftpdir/

 f.创建虚拟用户各自的配置文件

 假设我们要区别对待vuser1和vuser2,只允许vuser1查看文件,而允许vuser2上传、创建、修改、查看、删除文件。这种需求在企业真实环境中是常见的。

[root@wencheng-1 ~]# mkdir -p /etc/vsftpd/vsftpd_users_conf
[root@wencheng-1 ~]# cd /etc/vsftpd/vsftpd_users_conf
[root@wencheng-1 vsftpd_users_conf]# touch vuser1
[root@wencheng-1 vsftpd_users_conf]# vim vuser2
 anon_upload_enable=YES
 anon_mkdir_write_enable=YES
 anon_other_write_enable=YES

g.修改配置文件/etc/vsftpd/vsftpd.conf。

[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全局配置
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 本地用户配置
local_enable=YES
local_umask=022
#local_root=/data/ftpdata

# 虚拟用户设置
anonymous_enable=NO    # 禁止匿名开放模式
guest_enable=YES      # 开启虚拟用户模式
guest_username=ftpvuser  # 映射虚拟用户至系统用户ftpvuser
allow_writeable_chroot=YES  # 允许对禁锢的FTP根目录执行写入操作,而且不拒绝用户的登录请求
user_config_dir=/etc/vsftpd/vsftpd_users_conf   # 设置虚拟用户配置文件所在的目录

[root@wencheng-1 ~]# systemctl restart vsftpd

测试通过Windows10客户端资源管理器访问登录。

[root@wencheng-1 ~]# echo 11 > /data/ftpdir/Vfire1
[root@wencheng-1 ~]# echo 22 > /data/ftpdir/Vfire2
[root@wencheng-1 ~]# echo 33 > /data/ftpdir/Vfire3
[root@wencheng-1 ~]# ls /data/ftpdir/
Vfire1  Vfire2  Vfire3

客户端操作步骤

测试账号:vuser1;密码:123456  

   

 无法执行删除操作。

    

 测试账号:vuser2;密码:123456

    

 删除成功。

    

 至此,已实现vsftpd服务的三种认证模式。

 

posted @ 2021-06-28 09:03  讲文张字  阅读(1073)  评论(2编辑  收藏  举报
返回顶部