FTP文件传输服务
一 FTP服务概述
1 FTP连接及传输模式
控制连接:TCP 21,用于发送FTP命令信息
数据连接:TCP 20,用于上传、下载数据
2 数据连接的建立类型
主动模式:服务端从20端口主动向客户端发起连接
被动模式:服务端在指定范围内某个端口被动等待客户端连接
3 FTP传输模式
文本模式:ASCII模式,以文本序列传输数据
二进制模式:Binary模式,以二进制序列传输数据
4 FTP用户的类型
匿名用户:anonymous或ftp
本地用户:帐号名称、密码等信息保存在passwd、shadow文件中
虚拟用户: 使用独立的帐号/密码数据文件
5 常见的FTP服务器程序
IIS、Serv-U
wu-ftpd、Proftpd
vsftpd(Very Secure FTP Daemon)
6 常见的FTP客户端程序
ftp命令
CuteFTP、FlashFXP、LeapFTP、Filezilla
gftp、kuftp
二 vsftpd软件
1 vsftpd服务介绍
官方站点:http://vsftpd.beasts.org/
主程序:/usr/sbin/vsftpd
服务名:vsftpd
用户控制列表文件: /etc/vsftpd/ftpusers(黑名单)、/etc/vsftpd/user_list
主配置文件:/etc/vsftpd/vsftpd.conf
2 主配置文件vsftpd.conf
1)常用的全局配置项
listen=YES:是否以独立运行的方式监听服务
listen_address=192.168.4.1:设置监听的IP地址
listen_port=21:设置监听FTP服务的端口号(可修改)
write_enable=YES:是否启用写入权限
download_enable=YES:是否允许下载文件
userlist_enable=YES:是否启用user_list列表文件
userlist_deny=YES:是否禁用user_list中的用户
max_clients=0:限制并发客户端连接数
max_per_ip=0:限制同一IP地址的并发连接数
Connect_from_port_20=YES 允许主动模式
pasv_enable=YES 允许被动模式连接
pasv_min_port=24500 被动模式的下限端口
pasv_max_port=24600 被动模式的上限端口
Pam_server_name=vsftpd 设置用于用户认证的PAM文件位置
2)常用的匿名FTP配置项
anonymous_enable=YES:启用匿名访问
anon_umask=022:匿名用户所上传文件的权限掩码
anon_root=/var/ftp:匿名用户的FTP根目录
anon_upload_enable=YES:允许上传文件
anon_mkdir_write_enable=YES:允许创建目录
anon_other_write_enable=YES:开放其他写入权
anon_max_rate=0:限制最大传输速率(字节/秒)
3)常用的本地用户FTP配置项
local_enable=YES:是否启用本地系统用户
local_umask=022:本地用户所上传文件的权限掩码
local_root=/var/ftp:设置本地用户的FTP根目录
chroot_local_user=YES:是否将用户禁锢在主目录
local_max_rate=0:限制最大传输速率(字节/秒)
三 基于系统用户的FTP服务
1 构建可匿名上传的FTP服务
- 安装vsftp软件 yum install vsftpd 2)准备匿名FTP访问的目录(默目录,可更改) chown ftp /var/ftp/pub/ 使匿名用户FTP对该目录有写入权限
- 开放匿名用户配置,并启动vsftpd服务
- 只允许上传文件 vim /etc/vsftpd/vsftpd.con (其他设置默认) anonymous_enable=YES 开放匿名 anon_umask=022 上传后的文件的权限掩码 anon_upload_enable=YES 允许上传文件 B)只允许上传文件、文件夹 anonymous_enable=YES anon_umask=022 anon_upload_enable=YES anon_mkdir_write_enable=YES C) 允许删除、覆盖、重命名 anonymous_enable=YES anon_umask=022 anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES
2 构建需用户验证的FTP服务
- 准备访问目录 默认为系统用户宿主目录(可更改),拥有多有权限
- 创建系统用户(默认所有系统用户都有权访问FTP) useradd lisi 3)开放用户验证 只需禁止匿名访问即可 anonymous_enable=NO
- 使用user_list黑白名单用户列表文件控制系统用户的访问
- 编辑黑白名单 vim /etc/vsftpd/user_list 一行一个写入需要控制的用户 Lisi Wangwu B)使用名单并规定黑白 userlist_enable=YES 开启列表 userlist_deny=YES 不允许列表中的用户访问(黑明单) 或 userlist_deny=NO 只允许列表中的用户访问(白名单)
四 构建基于虚拟用户的FTP服务
1 建立虚拟用户的账号数据库
- 安装制作.db格式数据库的软件(vstfpd服务使用它存放虚拟用户) yum install db4-utils
- 创建文本合适的用户名和密码列表 vim /etc/vsftpd/vusers.list 奇数行用户名,偶数行密码 u1 123 u2 456 3)转换为DB格式的数据库文件 db_load -T -t hash -f /etc/vsftpd/vusers.list /etc/vsftpd/vusers.db chmod 600 /etc/vsftpd/vusers.* 避免数据外泄设置合适权限
2 添加虚拟用户的映射账户(所有虚拟用户对应到同一个系统用户)
useradd -d /var/ftp/public -s /sbin/nologin mazi 指定宿主目录(FTP根目录)
chmod -R 755 /var/ftp/ 调整权限
3 添加虚拟用户支持
- 为虚拟用户建立PAM认证文件 vim /etc/pam.d/vsftpd.vu #%PAM-1.0 auth required pam_userdb.so db=/etc/vsftpd/vusers account required pam_userdb.so db=/etc/vsftpd/vusers 2)修改配置文件,添加虚拟用户支持(一下配置可上传下载文件) vim /etc/vsftpd/vsftpd.conf anonymous_enable=NO local_enable=YES 需映射本地用户,所以启用此项 write_enable=YES 可写 anon_umask=022 虚拟用户被认作匿名用户处理以降低权限 pam_service_name=vsftpd.vu 指定新的PAM认证文件 guest_enable=YES 启用用户映射功能 guest_username=mazi 指定映射的系统用户的名称 如果不能上传,查看根目录和上级目录的权限
4 为不同用户创建独立的配置文件
1)分别创建配置文件(每个用户用必须都要有,即使是空文件)
mkdir /etc/vsftpd/vusers_dir 创建配置文件目录
vim /etc/vsftpd/vusers_dir/u1
anon_upload_enable=YES 允许上传
vim /etc/vsftpd/vusers_dir/u2
anon_upload_enable=NO 禁止上传
2) 加载独立的配置文件
vim /etc/vsftpd/vsftpd.conf
user_config_dir/etc/vsftpd/vusers_dir
5 重载
service vsftpd rreload
五 客户端验证访问
1 匿名服务的访问
1:ftp 192.168.1.100 //登陆FTP
Name (192.168.1.100:root): ftp //匿名用户的用户名一般为ftp
Password: //密码为空
2:ls //查看目录列表确定要下载的文件
3:lcd /var //转到本地存放文件的位置
4:get ceshi.tar.gz //执行下载测试文件
5:quit //退出ftp
6:ls /var //确认
2 用户验证的访问
1:ftp 192.168.1.100 //登陆FTP
Name (192.168.1.100:root): u1 //本地用户名
Password: //密码
2:ls //查看目录列表确定要下载的文件
3:lcd /var //转到本地存放文件的位置
4:get ceshi.tar.gz //执行下载测试文件
5:quit //退出ftp
6:ls /var //确认
实验中本地用户无法登录,分析原因是selinux安全机制服务的问题,我们可以关闭此服务,也可以配置里面关于FTP的参数,也可以只关闭对FTP的监控
setsebool ftpd_disable_trans 1 //关闭selinux对ftp的安全监控
vim /etc/selinux/confige //打开selinux配置文件
SELINUX=disabled //关闭
