文章目录
- 一、FTP协议
- 二、VSFTPD服务介绍
- 基础配置
- 匿名用户访问(默认开启)
- 本地用户访问
- 虚拟用户访问
一、FTP协议
FTP协议:文件传输协议(File Transfer Protocol)
- 协议定义了一个在远程计算机系统和本地计算机系统之间传输文件的一个标准
- FTP运行在OSI模型的应用层,并利用传输协议TCP在不同的主机之间提供可靠的数据传输
- FTP在文件传输中还支持断电续传功能,可以大幅度减少CPU网络带宽的开销
FTP模型
- 用户接口:提供一个用户接口并使用客户端协议解释器的服务
- 客户端协议解释器:向远程服务器发送命令并建立客户数据传输过程
- 服务端协议解释器:响应客户协议机发出的命令并驱动服务端数据传输过程
- 客户端数据传输协议:负责完成和服务器数据传输过程及客户端本地文件系统的通信
- 服务端数据传输协议:负责完成和客户数据过程及服务器端文件系统的通信
控制连接(端口号21)
- 主要用来传送在实际通信过程中需要执行的FTP命令及命令的响应
- 只需要很小的网络带宽
- FTP服务端监听21端口号来等待控制连接建立
- 建立控制连接后,还需要验证客户身份,决定是否建立数据连接
- 当需要目录列表,传输文件时,才建立数据连接,并且每次客户端都是用不同的端口号来建立数据连接。数据传输完毕,就中断这条临时的数据连接
- 在FTP连接期间,控制连接始终保持通常的连接状态。在数据连接存在期间,控制连接必须存在;一旦控制连接断开,数据连接会自动关闭。
数据连接(端口号20)
- FTP服务端监听20端口来等待数据连接
- 数据连接依赖于控制连接
- 建立方式(主动被动都是相对服务器而言)
主动模式
- 通过三次握手,建立控制连接;客户端的源端口是高位随机端口,目标端口是21端口
- 控制连接建立后,客户端进行身份验证,协商数据连接采用主动模式;随后客户端会向FTP服务器发送Port报文,表明自己监听的IP+端口,并等待FTP服务器(20端口)向自己监听的IP+端口发起数据连接请求。
- 服务端发起数据连接请求,建立数据连接
被动模式
- 通过三次握手,建立控制连接;客户端的源端口是高位随机端口,目标端口是21端口;
- 控制连接建立后,客户端进行身份验证,协商数据连接采用被动模式;随后客户端向服务器发送PASV报文,表示我们采用被动模式
- 服务端收到PASV报文,于是向客户端发送Port报文,表明自己监听的IP+端口
- 客户端发起数据连接请求,建立数据连接
分为控制连接(端口号21)和数据连接(端口号20)
二、VSFTPD服务介绍
- 服务包:vsftpd
- 服务类型:由systemd启动的守护进程
- 配置单元:
/usr/lib/system/vsftpd.service - 守护进程:
/usr/sbin/vsftpd - 端口:
21(ftp),20(ftp-data) - 主配置文件:
/etc/vsftpd/vsftpd.conf - 用户访问控制配置文件:
/etc/vsftpd/ftpusers/etc/vsftpd/user_list - 日志文件:
/etc/logrotate.d/vsftpd - 配置文件参数
| 参数 | 作用 |
|---|---|
| listen=NO | 是否以独立运行的方式监听服务 |
| listen_address=ip地址 | 设置要监听的IP地址 |
| listen_port=21 | 设置FTP服务的监听端口 |
| download_enable=YES | 是否允许下载文件 |
| userlist_enable=YES | 设置用户列表为“允许” |
| userlist_deny=YES | 设置用户列表为“禁止” |
| max_clients=0 | 最大客户端连接数,0为不限制 |
| max_per_ip=0 | 同一IP地址的最大连接数,0为不限制 |
| anonymous_enable=YES | 是否允许匿名访问 |
| anon_upload_enable=YES | 是否允许匿名用户上传文件 |
| anon_umask | 匿名用户上传文件的umask |
| anon_root=/var/ftp | 匿名用户的ftp根目录 |
| anon_mkdir_write_enable=YES | 是否允许匿名用户创建目录 |
| anon_other_write_enable=YES | 是否开放匿名用户的其他写入权限(重命名、删除等) |
| anon_max_rate=0 | 匿名用户的最大传输速率,0为不限制 |
| local_enable=yes | 是否允许本地用户登录 |
| local_umask=022 | 本地用户上传文件的umask值 |
| local_root=/var/ftp | 本地用户的ftp根目录 |
| chroot_local_user=YES | 是否将用户权限禁锢在ftp目录,以确保安全 |
| local_max_rate=0 | 本地用户的最大传输速率,0为不限制 |
基础配置
安装vsftp
[root@localhost ~]#yum -y install vsftpd
准备分发的文件
[root@localhost ~]#touch /var/ftp/abc.txt
启动服务
[root@localhost ~]#systemctl start vsftpd
[root@localhost ~]#systemctl enable vsftpd
关闭防火墙
[root@localhost ~]#systemctl stop firewalld
[root@localhost ~]#setenforce 0
- 客户端工具
Linux中
安装的都是客户端连接工具
- 第一种
[root@localhost ~]#yum install ftp -y
[root@localhost ~]#ftp <IP地址>
username:.......anonymous
password:.......
- 第二种
[root@localhost ~]#yum install lftp -y
[root@localhost ~]#lftp <IP地址>
- 区别
- ftp工具是一定要输入用户名称和密码的,登录成功或者失败会给出提示。lftp不会直接给出登录成功或者失败的提示,需要输入ls工具才可以发现是否连接成功,优点在于连接更加方便
windows中
第一种
- 可以在浏览器、允许窗口或者资源管理器中输入
ftp://IP地址/,这样访问的是ftp的根位置,如果需要访问相关目录可以输入ftp://IP地址/目录/文件名
第二种
- 在cmd窗口中,输入命令
ftp <IP地址>即可访问
匿名用户访问(默认开启)
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=Yes
anon_mkdir_write_enable=Yes
anon_other_write_enable=Yes
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
linux的目录权限会限制我们不允许往里新建文件,但是如果直接添加目录的w权限会导致触发他的安全判断问题,所以就把ftp里的pub目录的属主属组改成ftp解决,并且添加写权限
chown ftp:ftp /var/ftp/pub
chmod 777 /var/ftp/pub
现在就可以往里写文件了
本地用户访问
使用本地用户(在linux服务端下创建的可以登录的用户)登录成功时位置在家目录的位置
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
注意:出现在/etc/vsftpd/ftpuser /etc/vsftpd/user_list这两个文件 中的内容将会被定义为黑名单
虚拟用户访问
1、创建用于进行FTP认证的用户数据库文件,其中奇数行为账户名,偶数行为密码。
[root@localhost ~]# cd /etc/vsftpd/
[root@localhost vsftpd]# vi vuser.list
eagle
centos
cisco
centos
huawei
centos
2、使用db_load命令用哈希(hash)算法将原始的明文信息文件转换成数据库文件
3、降低数据库文件的权限(避免其他人看到数据库文件的内容)
4、把原始的明文信息文件删除。
[root@localhost vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@localhost vsftpd]# file vuser.db
vuser.db: Berkeley DB (Hash, version 9, native byte-order)
[root@localhost vsftpd]# chmod 600 vuser.db
[root@localhost vsftpd]# rm -f vuser.list
5、创建一个本地用户,用来做虚拟用户在本地的代理,为了安全起见,禁止这个本 地用户登录
[root@localhost vsftpd]# useradd -d /var/ftproot -s /sbin/nologin virtual
[root@localhost vsftpd]# ls -ld /var/ftproot/
drwx------. 2 virtual virtual 59 8月 10 23:04 /var/ftproot/
[root@localhost vsftpd]# chmod -Rf 777 /var/ftproot/
6、新建一个用于虚拟用户认证的PAM文件vsftpd.vu,利用pam模块(linux内核的一个认证模块)做一个认证
[root@localhost vsftpd]# vi /etc/pam.d/vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
7、配置文件
[root@localhost vsftpd]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
[root@localhost vusers_dir]# systemctl restart vsftpd
用刚刚创建好的用户登录,但是只能登录,不能写文件,想要给权限,这个用户的权限是被匿名用户权限控制的
8、如果想要针对不同的用户设置不同的权限
[root@localhost vsftpd]# mkdir /etc/vsftpd/vusers_dir/
[root@localhost vsftpd]# cd /etc/vsftpd/vusers_dir/
[root@localhost vusers_dir]# touch huawei
[root@localhost vusers_dir]# vi eagle
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@localhost vusers_dir]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu #记得修改这里为我们自己的认证文件
userlist_enable=YES
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/vusers_dir #告诉主配置文件,我们下面还有配置
[root@localhost vusers_dir]# systemctl restart vsftpd
huawei没有权限
eagle有权限
