FTP简介以及主被动模式介绍

最新推荐文章于 2024-08-22 18:56:53 发布
最新推荐文章于 2024-08-22 18:56:53 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 文件共享服务器 文章标签: vsftpd配置文件详解 vsftp常用的配置项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L835311324/article/details/81874628
版权

FTP协议简介

文件传输协议(英文:File Transfer Protocol,缩写:FTP)是用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式。它属于网络传输协议的应用层。文件传送(file transfer)和文件访问(file access)之间的区别在于:前者由FTP提供,后者由如NFS等应用系统提供

FTP是一个8位的客户端-服务器协议,能操作任何类型的文件而不需要进一步处理,就像MIME或Unicode一样。但是,FTP有着极高的延时,这意味着,从开始请求到第一次接收需求数据之间的时间,会非常长;并且不时的必须执行一些冗长的登录进程。

优点

  • 促进文件的共享(计算机程序或数据)
  • 鼓励间接或者隐式的使用远程计算机
  • 向用户屏蔽不同主机中各种文件存储系统(File system)的细节
  • 可靠和高效的传输数据

缺点

  • 密码和文件内容都使用明文传输,可能发生窃听。
  • 因为必须开放一个随机的端口以创建连接,当防火墙存在时,客户端- 很难过滤处于主动模式下的FTP流量。这个问题,通过使用被动模式的FTP,得到了很大解决。
  • 服务器可能会被告知连接一个第三方计算机的保留端口。
  • 此方式在需要传输文件数量很多的小文件时,性能不好

主动模式和被动模式

主动模式
  1. 客户端打开一个随机的端口(端口号大于1024,在这里,我们称它为x),同时一个FTP进程连接至服务器的21号命令端口。此时,该tcp连接的来源地端口为客户端指定的随机端口x,目的地端口(远程端口)为服务器上的21号端口。
  2. 客户端开始监听端口(x+1),同时向服务器发送一个端口命令(通过服务器的21号命令端口),此命令告诉服务器客户端正在监听的端口号并且已准备好从此端口接收数据。这个端口就是我们所知的数据端口。
  3. 服务器打开20号源端口并且创建和客户端数据端口的连接。此时,来源地的端口为20,远程数据(目的地)端口为(x+1)。
  4. 客户端通过本地的数据端口创建一个和服务器20号端口的连接,然后向服务器发送一个应答,告诉服务器它已经创建好了一个连接
    示意图
    这里写图片描述
被动模式
  1. 客户端打开一个随机的端口(端口号大于1024,在这里,我们称它为x),同时一个FTP进程连接至服务器的21号命令端口。此时,该tcp连接的来源地端口为客户端指定的随机端口x,目的地端口(远程端口)为服务器上的21号端口。
  2. 客户端开始监听端口(x+1),同时向服务器发送一个PASV命令。服务端则发送一个大于1024号端口的一个随机端口Y。告知客户端可以用这个端口进行数据传输
  3. 客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接
  4. 服务端通过本地的数据端口创建一个和客户端的连接,然后向客户端发送一个应答,告诉客户端它已经创建好了一个连接
    示意图
    这里写图片描述

安装

ftp是一个协议,有许多的具体的实现,在linux比较常用的一个就是vsftpd
安装也比较简单

yum install -y vsftpd

看一下目录结构

[root@localhost vsftpd]# tree /etc/vsftpd/
/etc/vsftpd/
├── ftpusers   ##列在此文件中的用户 均禁止使用ftp服务
├── user_list  ##访问控制名单 可以做白名单或者黑名单
├── vsftpd.conf ##配置文件
└── vsftpd_conf_migrate.sh

用户类别:

  • 匿名用户:anonymous --> ftp, 家目录为/var/ftp,不需要密码
  • 系统用户: 因为ftp协议是明文传输的,所以账号密码很容易被抓包得到。为了安全,至少要禁止系统用户访问ftp服务
  • 虚拟用户:非系统用户,用户账号非为可登录操作系统的用户账号(非/etc/passwd);

配置文件常用的一些配置项

  • 匿名用户相关:
    • anonymous_enable=YES ##是否允许匿名用户登陆
    • anon_upload_enable=YES ##是否允许匿名用户上传文件
    • anon_mkdir_write_enable=YES##是否允许匿名用户拥有写权限
    • anon_other_write_enable=YES##如果设置为YES,则允许匿名用户执行除上载和创建目录之外的写操作,例如删除和重命名。 通常不建议这样做,但为了完整性而包括在内。
    • anon_umask=077
  • 系统用户相关:
    • local_enable=YES #是否允许本地用户登录
    • write_enable=YES#是否允许本地用户对ftp服务器文件拥有写权限
    • local_umask=022#本地用户 掩码默认077
    • chroot_local_user=YES #禁锢所有本地用户 于其家目录;需要事先去除用户对家目录的写权限;
    • chroot_list_enable=YES#用户登录FTP服务器后是否具有访问自己目录以外的其他文件的权限,设置为YES时,用户被锁定在自己的home目录中,
    • chroot_list_file=/etc/vsftpd/chroot_list #被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录,从而有利于FTP服务器的安全管理和隐私保护。此文件需自己建立需要事先去除用户对家目录的写权限;
  • 传输日志:
    • xferlog_enable=YES
    • xferlog_file=/var/log/xferlog
    • xferlog_std_format=YES
  • 控制可登录vsftpd服务的用户列表:
    • userlist_enable=YES #启用/etc/vsftpd/user_list文件来控制可登录用户;
    • userlist_deny=
      • YES:意味着此为黑名单;
      • NO:白名单;
  • 上传下载速率:
    • anon_max_rate=0 #匿名用户上传下载的最大速率
    • local_max_rate=0 #本地用户上传下载的最大速率
  • 并发连接数限制:
    • max_clients=2000 #最多允许多少客户端连接
    • max_per_ip=50 #每个ip最多可以建立多少链接

配置文件详解

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=no  #####是否允许匿名用户登录
#
# Uncomment this to allow local users to log in.
local_enable=YES  ###是否允许本地用户登录
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES   ###是否允许本地用户对ftp服务器文件拥有写权限,默认允许
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022 ########本地用户 掩码默认077
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES  ####是否允许匿名用户上传文件 需要打开write_enable=yes  默认yes
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES #####是否允许匿名用户创建新文件夹
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES     ####是否激活目录欢迎信息功能,当用户首次访问服务器的时候ftp显示欢迎功能  欢迎信息是通过该目录下的.message文件获得的 此文件保存自定义欢迎信息,由用户自己建立
#
# The target log file can be vsftpd_log_file or xferlog_file.
# This depends on setting xferlog_std_format parameter
xferlog_enable=YES  ####是否让系统自动维护和下载日志文件  默认情况该日志文件为/var/log/vsftpd.log也可以通过xferlog_file对日志文件路径进行设定
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES #####是否设定ftp服务器将启用ftp数据端口的连接请求
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!   
#chown_uploads=YES   #####设置想要改变的上传文件的属主和下一个选项配合使用
#chown_username=whoever #####设想要改变的上传文件属主,如果需要输入一个系统用户名可以吧上传的文件都改成root  whoever任何人
#
# The name of log file when xferlog_enable=YES and xferlog_std_format=YES
# WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log
#xferlog_file=/var/log/xferlog#########设定系统维护记录的ftp服务器上传和下载情况的日志文件
#
# Switches between logging into vsftpd_log_file and xferlog_file files.
# NO writes to vsftpd_log_file, YES to xferlog_file
xferlog_std_format=YES##是否以表真的xferlog格式书写传输日志文件默为/var/log/xferlog,也可以通过xferlog_file选项对其进行设定   默认no
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600####设置数据传输中断间隔时间,此语句表示空闲的用户会话中断时间为600秒,即当数据传输结束后,用户连接FTP服务器的时间不应超过600秒。可以根据实际情况对该值进行修改
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120####设置数据连接超时时间,该语句表示数据连接超时时间为120秒
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure####运行vsftpd需要的非特权系统用户,缺省是nobody
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES####是否识别异步ABOR请求。,如果FTP client会下达“async ABOR”这个指令时,这个设定才需要启用,而一般此设定并不安全,所以通常将其取消
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES####### 是否以ASCII方式传输数据。默认情况下,服务器会忽略ASCII方式的请求。启用此选项将允许服务器以ASCII方式传输数据不过,这样可能会导致由"SIZE /big/file"方式引起的DoS攻击
#ascii_download_enable=YES
# 此文件需用户自己创建,一行一个email address即可
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES###### 黑名单设置。如果很讨厌某些email address就可以使用此设定来取消他的登录权限,可以将某些特殊的email address抵挡住。
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails# 当上面的deny_email_enable=YES时,可以利用这个设定项来规定哪些邮件地址不可登录vsftpd服务器
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_local_user=YES
#chroot_list_enable=YES###### 用户登录FTP服务器后是否具有访问自己目录以外的其他文件的权限,设置为YES时,用户被锁定在自己的home目录中,vsftpd将在下面chroot_list_file选项值的位置寻找chroot_list文件,必须与下面的设置项配合
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list# 被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录,从而有利于FTP服务器的安全管理和隐私保护。此文件需自己建立
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES#### 是否允许递归查询。默认为关闭,以防止远程用户造成过量的I/O
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES# 是否允许监听。 如果设置为YES,则vsftpd将以独立模式运行,由vsftpd自己监听和处理IPv4端口的连接请求
#
# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6
# sockets, you must run two copies of vsftpd with two configuration files.
# Make sure, that one of the listen options is commented !!
#listen_ipv6=YES##### 设定是否支持IPV6。如要同时监听IPv4和IPv6端口,则必须运行两套vsftpd,采用两套配置文件,同时确保其中有一个监听选项是被注释掉的

pam_service_name=vsftpd设置PAM外挂模块提供的认证服务所使用的配置文件名,即/etc/pam.d/vsftpd文件
# 此文件中file=/etc/vsftpd/ftpusers字段,说明了PAM模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers中
userlist_enable=YES### 是否允许ftpusers文件中的用户登录FTP服务器,默认为NO
# 若此项设为YES,则user_list文件中的用户允许登录FTP服务器
# 而如果同时设置了userlist_deny=YES,则user_list文件为黑名单
tcp_wrappers=YES# 是否使用tcp_wrappers作为主机访问控制方式。
# tcp_wrappers可以实现linux系统中网络服务的基于主机地址的访问控制
# 在/etc目录中的hosts.allow和hosts.deny两个文件用于设置tcp_wrappers的访问控制
# 前者设置允许访问记录,后者设置拒绝访问记录。
# 如想限制某些主机对FTP服务器192.168.57.2的匿名访问,编缉/etc/hosts.allow文件,如在下面增加两行命令:
# vsftpd:192.168.57.1:DENY 和vsftpd:192.168.57.9:DENY
# 表明限制IP为192.168.57.1/192.168.57.9主机访问IP为192.168.57.2的FTP服务器
# 此时FTP服务器虽可以PING通,但无法连接
userlist_deny=NO#### 设置是否阻扯user_list文件中的用户登录FTP服务器,默认为YES
十五十六
关注
专栏目录
FTP动模式、被动模式介绍
09-30
介绍FTP动模式、被动模式介绍,需要的朋友可以参考下
FTP笔记-FTP动模式和被动模式
IT1995的博客
03-29 8010
FTP的全称为:File Transfer Protocol,也就是传文件的,分为动模式和被动模式,具体看下面的图: 这里有个要注意的地方:大部分情况下都是用的被动模式动模式基本上不推荐用。 因为涉及几个问题: ①安全性:客户端一般都有防火墙的,防火墙一般配置是不让随便进,但可以随便出。这样服务端20端口很难连接到客户端开放的端口上。 ②连通性:都在一台局域网的机器可以使用动模式,如果不在一个局域网,比如服务器是阿里云的,客户端是小区的网。这里很有可能,整个小区的宽带,就1个i.
FTP的两种模式详解
hljqfl的专栏
06-05 8506
在使用FTP时,如果客户端机器和FTP服务器双方之间的所有端口都是开放的,那连接不存在问题。如果客户端与服务器之间有防火墙,如果没配置好防火策略和采用合适的连接模式,会导致登录成功,但无法List列表的问题。要避免出现这样的问题,首先要了解FTP的工作模式。1. FTP的PORT(动模式)和PASV(被动模式)(1) PORT(动模式)PORT中文称为动模式,工作的原理: FTP客户端连接到FTP服务器的21端口,发送用户名和密码登录,登录成功后要list列表或者读取数据时,客户端随机开放一个端口(1
FTP服务器Serv-U本地Windows系统搭建配置与远程访问详细教程
最新发布
小沈.的博客
08-22 1434
FTP服务器Serv-U本地Windows系统搭建配置与远程访问详细教程
Linux实例搭建FTP站点
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
11-06 593
步骤 安装 vsftpd 配置 vsftpd 设置安全组 测试客户端 具体操作 1. 安装 vsftpd 远程连接到你的服务器后,安装 vsftpd # 安装 yum install -y vsftpd 2. 配置 vsftpd # 查看配置目录 cd /etc/vsftpd ls # 展示内容 ftpusers user_list vsftpd.conf vsftpd_conf_mi...
FTP被动模式详解FTP服务器的搭建及FileZilla的安装使用
空空bye.
01-26 5235
FileZilla是一个免费开源的FTP 软件,分为 客户端 版本和服务器版本,具备所有的FTP软件功能。可控性 、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具,而 FileZilla Server 则是一个小巧并且可靠的支持FTP&SFTPFTP服务器软件。
详解 ➾【FTP服务工作原理及连接模式】
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
07-14 1万+
🟢 该章详细介绍FTP服务工作原理(发出连接请求、建立FTP会话连接、数据传输、自动释放动态分配的端口)及连接模式(动模式&被动模式)。
FTP动模式和被动模式区别详解
09-30
要为大家详细介绍FTP动模式和被动模式区别的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Qt5的FTP上传下载,ftp动模式被动模式下载
12-09
使用Qt5实现Ftp上传下载,支持Ftp动模式,被动模式选择下载,ui输入ip,端口等配置信息,快速验证;使用QTcpSocket,QTcpServer实现,支持linux,windows,嵌入式linux运行,FTP标准命令。
教你如何进行FTP服务设置
A1100886的博客
04-18 6835
FTP服务器(File Transfer Protocol Server)是在互联网/局域网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。FTP(File Transfer Protocol: 文件传输协议)作用: Internet 上用来传送文件的协议常见FTP服务器:Linux:VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。模式:C/S 模式端口。
FTP协议(PORT和PASV模式)
m0_49864110的博客
12-05 2642
5、数据传输结束后,发送数据的一方发起关闭数据连接(关闭数据连接有时会使用四次挥手,有时会借助FTP报文实现数据连接关闭;等下次传输时再重新建立连接);客户端向服务器发送PASV命令,里面携带了客户端为服务器生成的服务器用于建立数据通信的临时端口号,并让服务器知道此次是被动连接方式;客户端向向服务其的临时端口建立TCP连接(源端口为 PASV命令使用的源端口+1,目的端口为PASV命令为服务器分配的端口)服务器收到客户端的Port命令后,动发起连接,向客户端使用的临时端口建立TCP连接。
关于ftp动模式(Active Mode)和被动模式(Passive Mode)
weixin_41903258的博客
05-12 3510
最近做一个目用到FTP和其它系统进行文件传输,结果在FTP网络连接的问题上花了很多时间,由于太久没搞多FTP,忘记了FTP不单单开放21端口,客户端采用不同连接模式对网络有不同。在此重温一下FTP动模式和被动模式的相关知识。
看懂FTP动和被动模式
Free雅轩的博客
09-16 891
第一个端口连接服务器的21端口,但与动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。
ftp被动模式
qq_35702095的博客
05-23 1399
网上一堆ftp被动模式的资料,自己梳理验证了一下 首先,ftp客户端通过命令端口(默认21)建立连接,称为命令通道 当客户端执行上传下载操作时, 动模式:客户端执行port指令,随机开一个端口,然后服务端用20端口去连接客户端随机端口,创建一个数据通道传输 被动模式:服务端用pasv命令,随机开一个端口,然后客户端用随机端口去连接服务端传输数据。 默认...
FTP模式及端口(数据端口、命令端口)
热门推荐
u012886185的博客
04-25 3万+
FTP是基于TCP的高级文件协议,在传输的过程中,要分为建立连接和数据传输两部分,响应的涉及到服务器端的命令端口和数据端口。建立连接是采用tcp的三次握手模型,对于ftp服务器来说,采用固定的21命令端口和客户端进行通信,在数据传输过程中,根据FTP传输的时候的服务端数据通信过程中选择不同数据端口,可以将ftp分为动模式(Port)和被动模式(Pasv),这两种模式,对于客户端来说,端口没有固定性,只是在创建的时候,可以动指定本地端口,或者是随机端口,而对于服务器来说,差异性在于采用...
FTP协议分析(动模式和被动模式
每天分享一个编程小知识
06-13 2821
FTP协议(File Transfer Protocol,文件传输协议)是一种用于计算机之间传输文件的标准网络协议。它允许用户在不同的计算机之间进行文件传输和共享。通过FTP协议,用户可以通过网络连接到远程计算机上的FTP服务器,并进行文件上传、下载和管理。FTP协议的功能非常简单,它不仅可以支持不同平台之间的文件传输,而且还支持多用户和多任务处理。FTP客户端和FTP服务器分别作为不同的实体进行交互。
ftp动模式与被动模式介绍
aa2650的专栏
05-11 1437
1.FTP仅仅支持TCP,不支持UDP。21是命令端口,20是数据端口。他有2种工作模式:FTP和被动FTP。<br />2.<br />FTP:<br />   命令连接:客户端 >1023端口 -> 服务器 21端口<br />   数据连接:客户端 >1023端口 <- 服务器 20端口 被动FTP:<br />   命令连接:客户端 >1023端口 -> 服务器 21端口<br />   数据连接:客户端 >1023端口 -> 服务器 >1023端口 <br />FTPFTP服务器的管
FTP动模式和被动模式详解
jingjing_2的博客
08-18 2366
FTP动和被动模式详解
CentOS 7 FTP服务搭建
didadidida_的博客
07-20 204
CentOS 7 FTP服务搭建 本目使用VSFTPD配置FTP服务器,实现以下功能: 开放实体用户登陆。使用者登陆FTP的时候显示欢迎消息;系统帐号不允许登陆;允许实体用户进行上传、下载、建立目录及修改文件;设置用户新建文件、目录的umask为002。 仅允许匿名登陆。匿名登陆时显示欢迎消息;仅开放anonymous登陆,且不需要密码;限制文件转输速度为30KB/s;文件连接过程超过60秒没有回应就断开连接;anonymous超过10分钟没有动作就断线;最大同时上线人数限制为50人,同一IP的最大连线
ftp动模式和被动模式
05-29
被动模式是指FTP客户端向FTP服务器发送PASV命令,告诉服务器应该使用被动模式。然后,FTP服务器打开一个本地端口,并告诉FTP客户端应该连接到该端口。在被动模式下,FTP服务器打开一个本地端口,并等待FTP客户端连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值