简介
FTP协议:文件传输协议(File Transfer Protocol)
- 协议定义了一个在远程计算机系统和本地计算机系统之间传输文件的一个标准
- FTP运行在OSI模型的应用层,并利用传输协议TCP在不同的主机之间提供可靠的数据传输
- FTP 在文件传输中还支持断点续传功能,可以大幅度减少CPU网络带宽的开销
FTP模型
- 用户接口:提供一个用户接口并使用客户端协议解释器的服务
- 客户端协议解释器:向远程服务器发送命令并建立客户数据传输过程
- 服务端协议解释器:响应客户协议机发出的命令并驱动服务端数据传输过程
- 客户端数据传输协议:负责完成和服务器数据传输过程及客户端本地文件系统的通信
- 服务端数据传输协议:负责完成和客户数据过程及服务器端文件系统的通信
控制连接(端口号21)
- 主要用来传送在实际通信过程中需要执行的FTP命令以及命令的响应
- 只需要很小的网络带宽
- FTP服务端监听21端口号来等待控制连接建立
- 建立控制连接后,还需要验证客户身份,决定是否建立数据连接
- 当需要目录列表,传输文件时,才建立数据连接,并且每次客户端都是用不同的端口号来建立数据连接。数据传输完毕,就中断这条临时的数据连接
- 在FTP连接期间,控制连接始终保持通常的连接状态。在数据连接存在期间,控制连接必须存在;一旦控制连接断开,数据连接会自动关闭。
数据连接(端口号20)
- FTP服务端监听20端口来等待数据连接
- 数据连接依赖于控制连接
建立方式
-
主动模式
* 通过三次握手,建立控制连接;客户端的源端口是高位随机端口,目标端口是21端口 * 控制连接建立后,客户端进行身份验证,协商数据连接采用主动模式;随后客户端会主动向FTP服务器发送Port报文,表明自己监听的IP+端口,并等待FTP服务器(20端口)向自己监听的IP+端口发起数据连接请求。 * 服务端发起数据连接请求,建立数据连接 * 主动模式要求客户端有公网IP,不然客户端从内网经过NAT防火墙后可能会更改转发的端口号,服务端传输数据时不能通过端口号找到源主机。 -
被动模式
* 通过三次握手,建立控制连接;客户端的源端口是高位随机端口,目标端口是21端口; * 控制连接建立后,客户端进行身份验证,协商数据连接采用被动模式;随后客户端会向服务器发送PASV报文,表示我们用被动模式 * 服务端收到PASV报文,于是向客户端发送Port报文,表明自己监听的IP+端口 * 客户端发起数据连接请求,建立数据连接
VSFTPD服务介绍
- 服务包:vsftpd
- 服务类型:由Systemd启动的守护进程
- 配置单元:
/usr/lib/systemd/system/vsftpd.service - 守护进程:
/usr/sbin/vsftpd - 端口:
21(ftp),20(ftp‐data) - 主配置文件:
/etc/vsftpd/vsftpd.conf - 用户访问控制配置文件:
/etc/vsftpd/ftpusers /etc/vsftpd/user_list - 日志文件:
/etc/logrotate.d/vsftpd - 配置文件参数
| 参数 | 作用 |
|---|---|
| listen=NO | 是否以独立运行的方式监听服务 |
| listen_address=ip地址 | 设置要监听的IP地址 |
| listen_port=21 | 设置FTP服务的监听端口 |
| download_enable=YES | 是否允许下载文件 |
| userlist_enable=YES | 设置用户列表为"允许" |
| userlist_deny=YES | 设置用户列表为"禁止" |
| max_clients=0 | 最大客户端连接数,0为不限制 |
| max_per_ip=0 | 同一IP地址的最大连接数,0为不限制 |
| anonymous_enable=YES | 是否允许匿名用户访问 |
| anon_upload_enable=YES | 是否允许匿名用户上传文件 |
| anon_umask | 匿名用户上传文件的umask |
| anon_root=/var/ftp | 匿名用户的ftp根目录 |
| anon_mkdir_write_enable=YES | 是否允许匿名用户创建目录 |
| anon_other_write_enable=YES | 是否开放匿名用户的其他写入权限(重命名、删除等) |
| anon_max_rate=0 | 匿名用户的最大传输速率,0为不限制 |
| local_enable=yes | 是否允许本地用户登录 |
| local_umask=022 | 本地用户上传文件的umask值 |
| local_root=/vat/ftp | 本地用户的ftp根目录 |
| chroot_local_user=YES | 是否将用户权限禁锢在ftp目录,以确保安全 |
| local_max_rate=0 | 本地用户的最大传输速率,0为不限制 |
基础配置
- 安装vsftp
[root@localhost ~]#yum -y install vsftpd
- 准备分发的文件
[root@localhost ~]#touch /var/ftp/abc.txt
- 启动服务
[root@localhost ~]#systemctl start vsftpd
[root@localhost ~]#systemctl enable vsftpd
- 关闭防火墙
[root@localhost ~]#systemctl stop firewalld
[root@localhost ~]#setenforce 0
客户端工具
Linux中
- 第一种
[root@localhost ~]#yum install ftp -y
[root@localhost ~]#ftp <IP地址>
username:.......
password:.......
- 第二种
[root@localhost ~]#yum install lftp -y
[root@localhost ~]#lftp <IP地址>
- 区别
- ftp工具是一定要输入用户名称和密码的,登录成功或者失败会给出提示。lftp不会直接给出登录成功或者失败的
- 提示,需要输入ls工具才可以发现是否连接成功,优点在于连接更加方便
Windows中
第一种
-
- 可以在浏览器、运行窗口或者资源管理器中输入
ftp://IP地址/,这样访问的是ftp的根位置,如果需要访问相关 - 目录可以输入
ftp://IP地址/目录/文件名
- 可以在浏览器、运行窗口或者资源管理器中输入
第二种
-
- 在cmd窗口中,输入命令
ftp <IP地址>即可访问
- 在cmd窗口中,输入命令
需要注意的是直接访问ftp服务器的IP地址时访问的根位置目录是
/var/ftp如下图,比如如果需要访问pub里的test可以访问ftp://192.168.80.129/pub/test。
案例1,匿名用户访问(默认开启)
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=Yes
anon_mkdir_write_enable=Yes
anon_other_write_enable=Yes
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
# 去除文件中的注释、
grep -Ev "^[ ]*$|^#" /etc/vsftpd/vsftpd.conf
案例2,本地用户访问
使用本地用户登录成功时位置在家目录的位置
[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd
注意:出现在/etc/vsftpd/ftpuser /etc/vsftpd/user_list这两个文件
中的内容将会被定义为黑名单
案例3,虚拟用户访问
- 创建用于进行FTP认证的用户数据库文件,其中奇数行为账户名,偶数行为密码。
[root@localhost ~]# cd /etc/vsftpd/
[root@localhost vsftpd]# vi vuser.list
eagle
centos
cisco
centos
huawei
centos
- 使用db_load命令用哈希(hash)算法将原始的明文信息文件转换成数据库文件
- 降低数据库文件的权限(避免其他人看到数据库文件的内容)
- 把原始的明文信息文件删除。
[root@localhost vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@localhost vsftpd]# file vuser.db
vuser.db: Berkeley DB (Hash, version 9, native byte-order)
[root@localhost vsftpd]# chmod 600 vuser.db
[root@localhost vsftpd]# rm -f vuser.list
- 创建一个本地用户,用来做虚拟用户在本地的代理,为了安全起见,禁止这个本 地用户登录
[root@localhost vsftpd]# useradd -d /var/ftproot -s /sbin/nologin virtual
[root@localhost vsftpd]# ls -ld /var/ftproot/
drwx------. 2 virtual virtual 59 8月 10 23:04 /var/ftproot/
[root@localhost vsftpd]# chmod -Rf 755 /var/ftproot/
- 新建一个用于虚拟用户认证的PAM文件vsftpd.vu
[root@localhost vsftpd]# vi /etc/pam.d/vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
- 配置文件
[root@localhost vsftpd]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
[root@localhost vsftpd]#
- 如果想要针对不同的用户设置不同的权限
[root@localhost vsftpd]# mkdir /etc/vsftpd/vusers_dir/
[root@localhost vsftpd]# cd /etc/vsftpd/vusers_dir/
[root@localhost vusers_dir]# touch huawei
[root@localhost vusers_dir]# vi cisco
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@localhost vusers_dir]#
[root@localhost vusers_dir]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/vusers_dir
[root@localhost vusers_dir]# systemctl restart vsftpd
3906
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
