文章目录
一、文件传输协议
文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载文件。 FTP 基于TCP协议生成一个虚拟的连接,主要用于控制FTP连接信息,同时再生成一个单独的TCP连接用于FTP数据传输。用户可以通过客户端向FTP服务器端上传、下载、删除文件,FTP服务器端可以同时提供给多人共享使用。
FTP服务是Client/Server(简称C/S)模式,基于FTP协议实现FTP文件对外共享及传输的软件称之为FTP服务器源端,客户端程序基于FTP协议,则称之为FTP客户端,FTP客户端可以向FTP服务器上传、下载文件
二、FTP传输模式
FTP基于C/S模式,FTP客户端与服务器端有两种传输模式,分别是FTP主动模式、FTP被动模式
- 主动模式:FTP 服务器主动向客户端发起连接请求。
- 被动模式:FTP 服务器等待客户端发起连接请求(FTP 的默认工作模式)。
- FTP主动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器,FTP服务器以数据端口(20)连接到客户端指定的数据端口(N+1)。
- FTP被动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,客户端提交 PASV命令,服务器会开启一个任意的端口(P >1024),并发送PORT P命令给客户端。客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
在企业实际环境中,如果FTP客户端与FTP服务端均开放防火墙,FTP需以主动模式工作,这样只需要在FTP服务器端防火墙规则中,开放20、21端口即可。
三、Vsftpd服务器简介
目前主流的FTP服务器端软件包括:Vsftpd、ProFTPD、PureFTPd、Wuftpd、Server-U FTP、FileZilla Server等软件,其中Unix/Linux使用较为广泛的FTP服务器端软件为Vsftpd 。
非常安全的FTP服务进程(Very Secure FTP daemon,Vsftpd),Vsftpd在Unix/Linux发行版中最主流的FTP服务器程序,优点小巧轻快,安全易用、稳定高效、满足企业跨部门、多用户的使用等。
四、Vsftp安装与配置
检查是否安装:
rpm -qa | grep vsftpd
卸载vsftpd
yum remove vsftpd
安装vsftpd
yum install vsftpd -y
启动
systemctl start vsftpd
重启
systemctl restart vsftpd
查看是否启动
pe -ef | grep vsftpd
安装ftp
yum install ftp -y
配置文件
/etc/vsftpd/vsftpd.conf这个文件是vsftpd服务的核心配置文件!我们在修改配置文件的时候,最好先备份一份!
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
vsftpd.conf默认配置文件详解如下:
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 开启匿名用户访问 |
| local_enable=YES | 启用本地系统用户访问 |
| write_enable=YES | 本地系统用户写入权限 |
| local_umask=022 | 本地用户创建文件及目录默认权限掩码 |
| dirmessage_enable=YES | 打印目录显示信息,通常用于用户第一次访问目录时,信息提示 |
| xferlog_enable=YES | 启用上传/下载日志记录 |
| connect_from_port_20=YES | FTP使用20端口进行数据传输 |
| xferlog_std_format=YES | 日志文件将根据xferlog的标准格式写入 |
| listen=NO | Vsftpd不以独立的服务启动,通过Xinetd服务管理,建议改成YES |
| listen_ipv6=YES | 启用IPV6监听 |
| pam_service_name=vsftpd | 登录FTP服务器,依据/etc/pam.d/vsftpd中内容进行认证 |
| userlist_enable=YES | Vsftpd.user_list和ftpusers配置文件里用户禁止访问FTP |
| tcp_wrappers=YES | 设置vsftpd与tcp wrapper结合进行主机的访问控制,Vsftpd服务器检查/etc/hosts.allow 和/etc/hosts.deny中的设置,来决定请求连接的主机,是否允许访问该FTP服务器 |
用户访问模式配置
vsftpd 作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到 FTP 服务器上。
-
匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到 FTP 服务器。
-
本地用户模式:是通过 Linux 系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息,就可以畅通无阻地登录 FTP 服务器,从而完全控制整台服务器。
-
虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为 FTP 服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。
匿名开放模式
可以向匿名用户开放的权限参数以及作用
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 允许匿名访问模式 |
| anon_umask=022 | 匿名用户上传文件的 umask 值 |
| anon_upload_enable=YES | 允许匿名用户上传文件 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录 |
| anon_other_write_enable=YES | 允许匿名用户修改目录名称或删除目录 |
修改配置文件
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES #允许匿名访问模式
anon_umask=022 #匿名用户上传文件的 umask 值
anon_upload_enable=YES #允许匿名用户上传文件
anon_mkdir_write_enable=YES #允许匿名用户创建目录
anon_other_write_enable=YES #允许匿名用户修改目录名称或删除目录
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
由于默认Vsftpd匿名用户有两种:anonymous、ftp,所以匿名用户如果需要上传文件、删除及修改等权限,需要ftp用户对/var/ftp/pub目录有写入权限,使用如下chown和chmod任意一种即可,设置命令如下:
chown -Rf ftp /var/ftp/pub
chmod o+w var/ftp/pub/
如果报错,一般是因为SELinux导致的,或者防火墙的问题
getsebool 命令查看与 FTP 相关的 SELinux 域策略都有哪些:
getsebool -a | grep ftp
修改该策略规则:
setsebool -P ftpd_full_access=on
本地用户模式
本地用户模式使用的权限参数以及作用
| 参数 | 作用 |
|---|---|
| anonymous_enable=NO | 禁止匿名访问模式 |
| local_enable=YES | 允许本地用户模式 |
| write_enable=YES | 设置可写权限 |
| local_umask=022 | 启用“禁止用户名单”,名单文件为 ftpusers 和 user_list |
| userlist_enable=YES | 允许匿名用户修改目录名称或删除目录 |
| userlist_deny=YES | 开启用户作用名单文件功能 |
创建测试用户user1、user2 密码都为“123456”
useradd user1
useradd user2
--stdin:从标准输入接收用户密码
echo 123456 | passwd --stdin user1
echo 123456 | passwd --stdin user2
修改配置文件
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO #禁止匿名访问模式
local_enable=YES #允许本地用户模式
write_enable=YES #设置可写权限
local_umask=022 #本地用户模式创建文件的 umask 值
userlist_enable=YES
userlist_deny=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
/etc/vsftpd目录下有两个文件
- ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单!该文件存放的是一个禁止访问FTP的用户列表,**通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。
- user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单!
userlist_enable=YES时,userlist_deny项的配置才有效,user_list文件才会被使用;当其为NO时,无论userlist_deny项为何值都是无效的。
当userlist_enable=YES时,userlist_deny=YES时,user_list是一个黑名单,所有出现在名单中的用户都会被拒绝登入。
当userlist_enable=YES时,userlist_deny=NO时:user_list是一个白名单,只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);另外需要特别提醒的是:使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous
查看名单
cat /etc/vsftpd/user_list
添加用户到白名单
vim /etc/vsftpd/user_list
user1
user2
需要再次开启 SELinux 域中对 FTP 服务的允许策略
setsebool -P ftpd_full_access=on
虚拟用户模式
- 建立虚拟FTP用户的帐号
useradd -s /sbin/nologin vu
- 创建虚拟用户文件
基数行代表用户名,偶数行代表密码
cd /etc/vsftpd/
vim user
user1
123456
user2
123456
- 通过db_load工具创建出Berkeley DB格式的数据库文件
db_load -T -t hash -f user user.db
-f 指定数据原文件
-T 允许非Berkeley DB的应用程序使用文本格式转换的DB数据文件
-t hash 读取文件的基本方法
- 建立支持虚拟用户的PAM认证文件
vim /etc/pam.d/vsftpd.vu
加入以下两行
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/user
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/user
对应刚才生成user.db的文件
- 修改配置文件
利用 PAM 文件进行认证时使用的参数以及作用
| 参数 | 作用 |
|---|---|
| anonymous_enable=NO | 禁止匿名访问模式 |
| local_enable=YES | 允许本地用户模式 |
| guest_enable=YES | 开启虚拟用户模式 |
| guest_username=virtual | 指定虚拟用户账户 |
| pam_service_name=vsftpd.vu | 指定 PAM 文件 |
| allow_writeable_chroot=YES | 允许对禁锢的FTP 根目录执行写入操作,而且不拒绝用户的登录请求 |
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/user_dir
- 为用户建立独立的配置目录及文件
mkdir /etc/vsftpd/user_dir
cd /etc/vsftpd/user_dir
vim user
local_root=/etc/vsftpd/data
虚拟用户数据的存放路径
创建虚拟用户数据存放目录
cd /etc/vsftpd
mkdir data
chmod 777 data/
重启服务
systemctl restart vsftpd
五、配置文件详解
常用的匿名FTP配置项
anonymous_enable=YES # 是否允许匿名用户访问
anon_umask=022 # 匿名用户所上传文件的权限掩码
anon_root=/var/ftp # 设置匿名用户的FTP根目录
anon_upload_enable=YES # 是否允许匿名用户上传文件
anon_mkdir_write_enable=YES # 是否允许匿名用户允许创建目录
anon_other_write_enable=YES # 是否允许匿名用户有其他写入权(改名,删除,覆盖)
anon_max_rate=0 # 限制最大传输速率(字节/秒)0为无限制
常用的本地用户FTP配置项
local_enable=YES # 是否允许本地系统用户访问
local_umask=022 # 本地用户所上传文件的权限掩码
local_root=/var/ftp # 设置本地用户的FTP根目录
chroot_list_enable=YES # 表示是否开启chroot的环境,默认没有开启
chroot_list_file=/etc/vsftpd/chroot_list # 表示写在/etc/vsftpd/chroot_list文件里面的用户是不可以出chroot环境的。默认是可以的。
Chroot_local_user=YES # 表示所有写在/etc/vsftpd/chroot_list文件里面的用户是可以出chroot环境的,和上面的相反。
local_max_rate=0 # 限制最大传输速率(字节/秒)0为无限制
常用的全局配置项
listen=YES # 是否以独立运行的方式监听服务
listen_address=192.168.4.1 # 设置监听FTP服务的IP地址
listen_port=21 # 设置监听FTP服务的端口号
write_enable=YES # 是否启用写入权限(上传,删除文件)
download_enable=YES # 是否允许下载文件
dirmessage_enable=YES # 用户切换进入目录时显示.message文件
xferlog_enable=YES # 启用日志文件,记录到/var/log/xferlog
xferlog_std_format=YES # 启用标准的xferlog日志格式,禁用此项将使用vsftpd自己的格式
connect_from_port_20=YES # 允许服务器主动模式(从20端口建立数据连接)
pasv_enable=YES # 允许服务器被动模式
pasv_max_port=24600 # 设置被动模式服务器的最大端口号
pasv_min_port=24500 # 设置被动模式服务器的最小端口号
pam_service_name=vsftpd # 用户认证的PAM文件位置(/etc/pam.d/vsftpd.vu)
userlist_enable=YES # 是否启用user_list列表文件
userlist_deny=YES # 是否禁用user_list中的用户
max_clients=0 # 限制并发客户端连接数
max_per_ip=0 # 限制同一IP地址的并发连接数
tcp_wrappers=YES # 是否启用tcp_wrappers主机访问控制
chown_username=root # 表示匿名用户上传的文件的拥有人是root,默认关闭
ascii_upload_enable=YES # 表示是否允许用户可以上传一个二进制文件,默认是不允许的
ascii_download_enable=YES # 这个是代表是否允许用户可以下载一个二进制文件,默认是不允许的
nopriv_user=vsftpd # 设置支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户
async_abor_enable=YES # 设定支持异步传输功能
ftpd_banner=Welcome to FTP # 设定Vsftpd的登陆标语
guest_enable=YES # 设置启用虚拟用户功能
guest_username=ftpuser # 指定虚拟用户的宿主用户
virtual_use_local_privs=YES # 设定虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vconf # 设定虚拟用户个人Vsftp的配置文件存放路径