FTP
是File Transfer Protocol(文件传输协议)的简写形式,用于在因特网上控制文件的双向传输。
FTP的主要作用就是让用户连接一个远程计算机(计算机上运行着FTP服务器程序),并查看远程计算机中的文件,然后把文件从远程计算机复制到本地计算机,或把本地计算机的文件传送到远程计算机。
15.1 使用vsftpd搭建FTP服务
CentOS或者Red Hat Linux上有自带的FTP软件vsftpd
,默认没有安装,使用yum安装,安装后不用配置,启动后便可以直接使用。
安装vsftpd
- 使用yum安装vsftpd:
# yum install -y vsftpd db4-utils
这里安装了两个软件包,其中db4-utils
用来生成密码库文件,同时也会把依赖包安装上。
建立账号
vsftpd默认可以支持使用系统账号体系登录,但这样不够安全,所以建议使用虚拟账号体系登录。
- 先创建与虚拟账号相关联的系统账号:
# useradd virftp -s /sbin/nologin
- 建立与虚拟账户相关的文件:
# vim /etc/vsftpd/vsftpd_login
test1
123456
test2
abcdef #该文件的奇数行为用户名,偶数行为上一行用户的密码
- 更改该文件的权限,提升安全性:
# chmod 600 /etc/vsftpd/vsftpd_login
- 生成对应的库文件(因为vsftpd使用的密码文件不是明文):
# db_load -T -t hash -f /etc/vsftpd/vsftpd_login /etc/vsftpd/vsftpd_login.db
- 创建与虚拟账户相关的目录及配置文件:
# mkdir /etc/vsftpd/vsftpd_user_conf
# cd /etc/vsftpd/vsftpd_user_conf/
创建和用户对应的配置文件
用户的配置文件是单独存在的,每一个用户都有一个自己的配置文件,文件名和用户名一致。
- 创建用户test1的配置文件:
# vim test1
local_root=/home/virftp/test1
anonymous_enable=NO
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
idle_session_timeout=600
data_connection_timeout=120
max_clients=10
max_per_ip=5
local_max_rate=50000
上面,
local_root test1账号的家目录
anonymous_enable 用来限制是否允许匿名账号登录(NO表示不允许匿名账号登录)
write_enable YES表示可写
local_umask 指定umask值
anon_upload_enable 表示是否允许匿名账号上传文件(NO表示不允许匿名账号上传文件)
anon_mkdir_write_enable 表示是否允许匿名账号可写(NO表示匿名账号不可写)
- 创建用户test2的步骤和test1一样:
# vim test2
local_root=/home/virftp/test2
anonymous_enable=NO
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
idle_session_timeout=600
data_connection_timeout=120
max_clients=10
max_per_ip=5
local_max_rate=50000
- test1用户还需要配置:
# mkdir /home/virftp/test1
# touch /home/virftp/test1/lzx.txt
# chown -R virftp:virftp /home/virftp
# vim /etc/pam.d/vsftpd #在最前面增加下面两行
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vdftpd_login
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vdftpd_login
CentOS 7 为64位系统,所以库文件路径为/lib64/security/pam_userdb.so
,而32位系统的库文件路径为/lib/security/pam_userdb.so
。
修改全局配置文件/etc/vsftpd/vsftpd.conf
- 首先编辑
vsftpd.conf
文件:
# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
- 再增加下面内容(还是在配置文件里修改):
chroot_local_user=YES
guest_enable=YES
guest_username=virftp
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/vsftpd_user_conf
allow_writeable_chroot=YES
- 然后启动vsftpd服务,测试:
# systemctl start vsftpd
# ps aux |grep vsftpd #查看进程是否存在
root 5837 0.0 0.0 53256 576 ? Ss 15:42 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
# yum install -y lftp #安装lftp客户端软件
# lftp test1@127.0.0.1
口令: #这里的口令就是之前创建的密码,test1的密码是123456,test2的密码是abcdef
lftp test1@127.0.0.1:~> ls
ls: 登录失败: 500 OOPS: bad bool value in config file for: anonymous_enable #提示登录失败
- 解决上面提示的错误:
# cat -E test1
local_root=/home/virftp/test1$
anonymous_enable=NO $ #这里可以看到,我们之前编辑的文件后面有空格,而这个文件每行后面不能留空格
write_enable=YES$
local_umask=022$
anon_upload_enable=NO$
anon_mkdir_write_enable=NO$
idle_session_timeout=600$
data_connection_timeout=120$
max_clients=10$
max_per_ip=5$
local_max_rate=50000$
# vim test1 #重新编辑,删除anonymous_enable后面的空格
# cat -E test1
local_root=/home/virftp/test1$
anonymous_enable=NO$
write_enable=YES$
local_umask=022$
anon_upload_enable=NO$
anon_mkdir_write_enable=NO$
idle_session_timeout=600$
data_connection_timeout=120$
max_clients=10$
max_per_ip=5$
local_max_rate=50000$
- 重启服务,再次测试:
# systemctl restart vsftpd
# lftp test1@127.0.0.1
口令:
lftp test1@127.0.0.1:~> ls
-rw-r--r-- 1 1002 1002 0 Jul 14 07:03 lzx.txt
使用lftp成功登录vsftpd,且ls列出test1用户家目录下的lzx.txt,其中1002为virftp用户的uid和gid。上面这一步很容易遇到错误,我们也可以查看/var/log/secure日志。
15.2 安装配置pure-ftpd
pure-ftpd
是另外一款比较小巧实用的FTP软件。
安装pure-ftpd
CentOS默认没有该命令,且yum源中也没有,需要安装epel扩展源之后安装pure-ftpd。
# yum install -y epel-release
# yum install -y pure-ftpd
配置pure-ftpd
- 在启动pure-ftpd之前,需要先配置文件
/etc/pure-ftpd/pure-ftpd.conf
:
# vim /etc/pure-ftpd/pure-ftpd.conf
PureDB /etc/pure-ftpd/pureftpd.pdb
- 然后关闭vsftpd,因为有端口冲突:
# systemctl stop vsftpd
- 启动pure-ftpd:
# systemctl start pure-ftpd
# ps aux |grep pure-ftpd
root 2134 0.0 0.0 202520 1204 ? Ss 16:04 0:00 pure-ftpd (SERVER)
建立账户
pure-ftpd使用的账号不是linux的系统账号,而是虚拟账户。
- 首先创建一个账号:
# mkdir /data/ftp/
# useradd -u 1010 pure-ftp
# chown -R pure-ftp:pure-ftp /data/ftp
# pure-pw useradd ftp_user1 -u pure-ftp -d /data/ftp/
Password:
Enter it again:
上面最后一条命令,
-u 将虚拟用户ftp_user1 与系统用户 pure-ftp 关联在一起,使用ftp_user1账号登录FTP后,会以pure-ftp的身份来读取和下载文件
-d 指定后面的目录为ftp_user1账号的家目录,这样使ftp_user1只能访问其家目录/data/ftp/
- 然后创建用户信息数据库文件(这一步比较关键):
# pure-pw mkdb
其中,pure-pw
还可以列出当前的FTP账号及删除某个账号。
- 再创建一个账号:
# pure-pw useradd ftp_user2 -u pure-ftp -d /tmp
Password:
Enter it again:
# pure-pw mkdb
- 列出当前账号:
# pure-pw list
ftp_user1 /data/ftp/./
ftp_user2 /tmp/./
- 如果想删除账号:
# pure-pw userdel ftp_user2
测试pure-ftpd
- 测试过程如下:
# lftp ftp_user1@127.0.0.1
口令: #这里口令就是之前创建ftp_user1是设置的密码
lftp ftp_user1@127.0.0.1:~> ls
drwxr-xr-x 2 1010 pure-ftp 6 Jul 14 16:08 .
drwxr-xr-x 2 1010 pure-ftp 6 Jul 14 16:08 .. #可以显示结果,说明没问题
- 上传文件:
lftp ftp_user1@127.0.0.1:/> put /etc/fstab #登录后,使用put命令可以上传系统文件到ftp服务器上
501 bytes transferred
lftp ftp_user1@127.0.0.1:/> ls
drwxr-xr-x 2 1010 pure-ftp 19 Jul 14 16:29 .
drwxr-xr-x 2 1010 pure-ftp 19 Jul 14 16:29 ..
-rw-r--r-- 1 1010 pure-ftp 501 Jul 2 01:59 fstab #这里可以看到刚上传的 /etc/fstab
15.3 FTP的工作模式
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动模式和被动模式。
主动FTP
主动模式的FTP工作原理:客户端从一个任意的非特权端口N连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
任何大于1024的端口到FTP服务器的21端口。(客户端初始化的连接)
FTP服务器的21端口到大于1024的端口。 (服务器响应客户端的控制端口)
FTP服务器的20端口到大于1024的端口。(服务器端初始化数据连接到客户端的数据端口)
大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口)
被动FTP
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端发起,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。
当开启一个 FTP连接时,客户端打开两个任意的非特权本地端口(N > 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
从任何大于1024的端口到服务器的21端口(客户端初始化的连接)
服务器的21端口到任何大于1024的端口(服务器响应到客户端的控制端口的连接)
从任何大于1024端口到服务器的大于1024端口(客户端初始化数据连接到服务器指定的任意端口)
服务器的大于1024端口到远程的大于1024的端口(服务器发送ACK响应和数据到客户端的数据端口)
以上关于主动和被动FTP的解释,可以简单概括为以下两点:
1.主动FTP:
命令连接:客户端 >1024端口 → 服务器 21端口
数据连接:客户端 >1024端口 ← 服务器 20端口
2.被动FTP:
命令连接:客户端 >1024端口 → 服务器 21端口
数据连接:客户端 >1024端口 ← 服务器 >1024端口
主动FTP对FTP服务器的管理和安全很有利,但对客户端的管理不利,而被动FTP则反之。
更多资料参考: