Linux--FTP（文件传输协议）

一、什么是ftp

FTP代表文件传输协议。FTP是TCP / IP提供的标准Internet协议，用于将文件从一台主机传输到另一台主机。它主要用于将网页文件从其创建者传输到充当Internet上其他计算机的服务器的计算机。它还用于将文件从其他服务器下载到计算机。

FTP两种模式

FTP支持两种模式，一种方式叫做standard（也就是active，主动方式），另一种叫做Passive（也就是PASV被动方式）

1、主动模式

主动模式下，FTP客户端从任意的非特殊的端口（N > 1023）连入到FTP服务器的命令端口–21端口。然后客户端在N+1（N+1 >= 1024）端口监听，并且通过N+1（N+1 >= 1024）端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口，比如20端口。

以服务器端防火墙为立足点，要支持主动模式FTP需要打开如下交互中使用到的端口：

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据（20）端口到客户端端口（>1023）（服务器初始化数据连接到客户端数据端口）
• FTP服务器数据（20）端口接受客户端端口（>1023）（客户端发送ACK包到服务器的数据端口）

FTP客户端首先和FTP Server的TCP 21端口建立连接，通过这个通道发送命令，客户端需要按收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口发送数据。FTPserver必须和客户端建立一个新的连接用来传送数据。

2、被动模式

为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。

在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据连接到服务器指定的任意端口）
• FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

在建立控制通道的时候和standard模式类似，当客户端通过这个通道发送PASV命令的时候，FTPserver打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTP server将通过这个端口进行数据的传送，这个时候FTP server不再需要建立一个新的和客户端之间的连接。

二、搭建和配置FTP服务

• 下载FTP服务

yum install -y vsftpd

FTP服务的服务包为vsftpd

• 开启服务

• 备份

• 修改配置文件

  #修改配置文件
  vim /etc/vsftpd/vsftpd.conf
  anonymous_enable=YES    #开启匿名用户访问。默认已开启
  write_enable=YES    #开放服务器的写权限(若要上传，必须开启)。默认已开启
  anon_umask=022    #设置匿名用户所上传数据的权限掩码(反掩码)。
  anon_upload_enable=YES    #允许匿名用户.上传文件。默认已注释，需取消注释
  anon_mkdir_write_enable=YES   #允许匿名用户创建(上传)目录。默认已注释，需取消注释
  anon_other_write_enable=YES    #允许删除、重命名、覆盖等操作。需添加
  chmod 777 /var/ftp/pub/ #为匿名访问ftp的根目录下的pub子目录设置最大权限，以便匿名用户.上传数据
  

  通过注释，修改配置文件得到相应权限

• 修改文件/var/ftp/pub 权限

  chmod -R 777 /var/ftp/pub
  

• 重启服务

  systemctl restart vsftpd
  

三、匿名访问测试

在Windows虚拟机中打开开始菜单，输入cmd 命令打开命令提示符

1.建立ftp连接

ftp 192.168.80.10      

2.匿名访问

匿名访问，用户名为ftp，密码为空，直接回车即可完成登录
ftp> pwd          #匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls           #查看当前目录
ftp> cd pub       #切换到pub目录
ftp> get文件名    #下载文件到当前Windows本地目录
ftp> put 文件名   #上传文件到ftp目录
ftp> quit         #退出

四、用户登录模式

设置本地用户验证访问ftp，并禁止切换到ftp以外的目录(默认登录的根目录为本地用户的家目录)

1.修改配置文件

vim /etc/vsftpd/vsftpd. conf
local_enable=Yes              #启用本地用户
anonymous_enable=NO          #关闭匿名用户访问
write_enable=YES              #开放服务器的写权限(若要上传，必须开启) 
local_umask=077               #可设置仅宿主用户拥有被上传的文件的权限(反掩码)
chroot_local_user=YES         #将访问禁锢在用户的宿主目录中
allow_writeable_chroot=YES    #允许被限制的用户主目录具有写权限

#anon_mkdir_write_enable=YES  注释	
#anon_other_write_enable=YES  注释

2.重启服务

systemctl restart vsftpd

3.切换到windows查看是否连接成功

ftp 192.168.80.10

4.修改匿名用户

ftp://zhangsan@192.168.10.12
修改匿名用户、本地用户登录的默认根目录
anon_root=/var/www/html       #anon_root 针对匿名用户
local_root=/var/www/html      #local_root针对系统用户

5.使用user_list用户列表文件

vim /etc/vsftpd/user_list
//末尾添加zhangsan用户
zhangsan

6.将用户拉黑

vim /etc/vsftpd/vsftpd.conf
userlist_enable=YES    #启用user_list用户列表文件
userlist_deny=NO       #设置白名单，仅允许user_list用户列表文件的用户访问。默认为YES，为黑名单，禁用