FTP(File Transfer Protocol,文件传输协议)

FTP

File Transfer Protocol,文件传输协议，应用层的文件共享服务

应用程序  架构C/S

客户端

服务端

端口

TCP21    命令

TCP20    数据    

模式

被动模式/passive/pasv方式

主动模式/standard/port方式,服务器使用20端口连接客户端

主动模式FTP：

主动模式下，FTP客户端从任意的非特殊的端口（N > 1023）连入到FTP服务器的命令端口--21

端口。然后客户端在N+1（N+1 >= 1024）端口监听，并且通过N+1（N+1 >= 1024）端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口，比如20端口。

以服务器端防火墙为立足点，要支持主动模式FTP需要打开如下交互中使用到的端口：

    FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）

    FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）

    FTP服务器数据（20）端口到客户端端口（>1023）（服务器初始化数据连接到客户端数据端口）

    FTP服务器数据（20）端口接受客户端端口（>1023）（客户端发送ACK包到服务器的数据端口）

用图表示如下：

被动模式FTP

为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被

动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:

FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）

FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）

FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据连接到服务器指定的任意端口）

FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

用图表示如下：

 

 

优缺点：

主动模式对ftp对服务器管理有利，是由FTP服务器主动与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞。而被动模式对客户端管理有效，它是企图 与服务端的随机端口建立连接但是这个端口很可能又会被服务端的防火墙所拒绝。

一般做安全措施我们是在被动模式下做，由于主动模式是打开一个端口给客户端传送数据，我们做安全措施都是基于端口来做所以不太好做，一般也不建议去做。但是被动模式也是在不停地放端口，所以慢慢的ftp慢慢的在淘汰。

防火墙的意义

链接追踪/RELATED------

自动监听该端口，并且设置防火墙允许被人来访问该端口

ftp用户

匿名用户-->系统用户                                      

虚拟用户-->系统用户

主配置文件：

vim /etc/vsftpd/vsftpd.conf

从配置文件

vim /var/ftp/pub 

主配置文件详解

anonymous_enable=YES  是否启用匿名用户

local_enable=YES        

write_enable=YES 允许写入(无论是匿名用户还是本地用户要实现上传就需要快开启它)

local_umask=022  默认本地用户上传文件权限755

dirmessage_enable=YES  显示每个目录下的文件信息

xferlog_enable=YES  日志启用

connect_from_port_20=YES   主动请求的数据端口

chown_uploads=YES   所有匿名用户上传的文件所属用户将会被改成chown_username

chown_username=whoever  匿名上传的所属用户名是whoever

xferlog_file=/var/log/xferlog   启用的日志文件

xferlog_std_format=YES  

idle_session_timeout=600 空闲连接超时  

data_connection_timeout=120  数据连接超时

nopriv_user=ftpsecure   当服务器运行于最底层时使用的用户名

chroot_list_enable=YES    chroot_local_user=YES  所有文件列出用户， 可以切换到其他目录

chroot_list_file=/etc/vsftpd/chroot_list  

listen=NO   服务将自己监听处理listen_ipv6=YES

pam_service_name=vsftpd 设置PAM认证模块使用名称预设为vsftpd

userlist_enable=YES   

tcp_wrappers=YES   服务端和客户端访问控制策略（服务器级别的一种防火墙）

Mime        

  

案例一：

匿名用户#######################################

[下载]

默认配置即可实现

window资源管理器中：ftp://192.168.140.

案例二：[上传]

#修改配置文件中匿名上传的相关选项

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

#修改匿名用户目录的权限

[root@ldap ftp]# chmod 777 pub/

>>测试可以上传 和下载文件但是不能删除文件

#修改匿名上传布尔值

[root@ldap var]# getsebool -a | grep ftpd_anon_write

ftpd_anon_write --> on

[root@ldap ftp]# setsebool ftpd_anon_write on

#修改匿名上传的上下文权限

[root@ldap var]# ll -Z /var/ftp

drwxr-xrwx. root root system_u:object_r:public_content_rw_t:s0 pub

[root@ldap ftp]# chcon -t public_content_rw_t pub/

[删除]

#修改配置文件，添加如下选项

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

anon_other_write_enable=YES

>>再上传下载的前提下可以删除文件，以及替换文件

本地用户

######################################################

[下载]

#修改主配置文件开启本地用户权限

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

默认上来是在用户的家目录，匿名用户上来默认是在/var/ftp/pub目录下

#修改布尔值打开/home目录的权限

[root@localhost haha]# getsebool -a | grep ftp_home_dir

ftp_home_dir --> off

[root@localhost haha]# setsebool -P ftp_home_dir on

[本地用户上传]

#修改主配置文件开启本地用户权限

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

write_enable=YES

>>测试：访问ftp://ip需要通过用户名密码进行登录，默认访问的界面是该用户目录下的所有文件，(注意除root用户)，可以通过本地用户上传文件和下载文件也可以删除文件。弊端是：可以来回切换都可以通过本地用户的身份看到/下的所有东西。

[删除]

同上传配置

[遍历]

#首先开启chroot选项

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

allow_writeable_chroot=YES

#然后使用下面两个选项之一，第一种是本地用户不能上下翻，第二种是指定列表用户不能翻。

#指定本地用户不能chroot，不能翻

chroot_local_user=YES

#开启通过列表的方式来指定用户

chroot_list_enable=YES

#指定用户列表文件

chroot_list_file=/etc/vsftpd/chroot_list

#在当前目录创建用户列表文件

[root@localhost vsftpd]# cat chroot_list

haha

1、当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd/chroot_list文件中列出的用户，可以切换到其他目录；未在文件中列出的用户，不能切换到其他目录。

2、当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd.chroot_list 文件中列出的用户，不能切换到其他目录；未在文件中列出的用户，可以切换到其他目录。

3、当chroot_list_enable=NO，chroot_local_user=YES时，所有的用户均不能切换到其他目录。

4、当chroot_list_enable=NO，chroot_local_user=NO时，所有的用户均可以切换到其他目录。

虚拟用户

#################################################

#创建系统用户，禁止该用户进行登陆

[root@ldap ftp]# useradd -s /sbin/nologin vhaha

#修改用户家目录权限

[root@localhost vsftpd]# chmod 704 /home/vhaha/

#修改主配置文件，增加以下三个选项

[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf

guest_enable=YES                客人模式

guest_username=vhaha        #vhaha为系统用户

virtual_use_local_privs=YES   本地虚拟用户特权开启

#创建虚拟用户数据库文件：

#创建虚拟用户文件如下：

#格式为一行用户名，一行密码，示例中abc为用户名，redhat为密码

[root@localhost vsftpd]# cat vhaha

abc

redhat

xixi

redhat

haha

redhat

#将虚拟用户文件转换成用户数据库文件

[root@localhost vsftpd]# db_load -T -t hash -f vhaha vhaha.db

#修改虚拟用户数据库文件权限

[root@localhost vsftpd]# chmod 600 vhaha.db

#查看虚拟用户数据库文件的上下文权限

[root@localhost vsftpd]# ll -Z user.db

-rw-------. root root unconfined_u:object_r:etc_t:s0   user.db

#修改PAM认证方式

#编辑认证配置文件

[root@localhost vsftpd]# vi /etc/pam.d/vsftpd

#mv /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak

pam_service_name=vsftpd 设置PAM认证模块使用名称预设为vsftpd

#注释掉所有行，并添加以下两行：

auth    required    pam_userdb.so    db=/etc/vsftpd/vhaha

account    required    pam_userdb.so    db=/etc/vsftpd/vhaha

#注：（.so动态连接库）数据库文件名的“.db”不用输入

#完成以上配置后，重启服务进行测试

是虚拟用户不能进行登录   使用chroot_local