Linux服务篇-FTP-文件传输协议

一、FTP-文件传输协议

1、介绍

FTP服务器（File Transfer Protocol Server）是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务。是 TCP/IP 协议组中的协议之一
FTP是用来传输文件的
工作模式：C/S（客户机/服务器模式）
默认端口：20、21

FTP服务器

系统
windows	filezilla_server，它的 客户端是一个快速可靠的、跨平台的FTP,FTPS和SFTP客户端。具有图形用户界面(GUI)和很多有用的特性
Linux	ProFTPD（Professional FTP daemon）一个Unix平台上或是类Unix平台上（如Linux, FreeBSD等）的FTP服务器程序

filezilla很好用，免费开源的FTP解决方案
filezilla官网

FTP服务在Linux上的名字是vsftp

VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP
从此名称可以看出来，编制者的初衷是代码的安全。

从RHEL6开始，系统镜像中默认没有ftp客户端命令。取而代之的是lftp命令
lftp工具是Linux的客户端

Lftp是一个基于命令行的文件传输软件（也被称为FTP客户端），是一个功能强大的下载工具，由Alexander Lukyanov开发并以GNU GPL协议许可发行。除了FTP协议外，它还支持FTPS，HTTP，HTTPS，HFTP，FISH，以及SFTP(其中ftps和https需要在编译的时候包含openssl库)等协议。这个程序还支持FXP，允许数据绕过客户端直接在两个FTP服务器之间传输，llftp的界面非常好一个shell， 有命令补全，历史记录，允许多个后台任务执行等功能，使用起来非常方便。它还有书签、排队、镜像、断点续传、多进程下载等功能。
语法：
lftp ftpIP -u username,passwd
lftp ftpIP -u username

2、工作原理

FTP有主动模式和被动模式，以server为参照，反之亦然
主动模式是我服务器主动连接客户端
被动模式是服务器等待客户端连接
主动模式端口：20（传输数据）,21（传输控制信息）
被动模式端口：服务器端和客户端协商决定

被动模式：
客户端以随机非特权端口（>1024的，也称高位端口）连接服务端的21端口
服务端开启一个非特权端口为被动端口，并返回给客户端
客户端以非特权端口+1的端口主动连接服务端的被动端口

无论是被动模式还是主动模式，都是控制通道先建立连接，只是在传输上有区别

主动模式：ftp客户端连接到ftp服务器的21端口，发送用户名和密码，client随机开放高位端口，发送port到服务端，告诉服务器client采用主动模式并开放端口，ftp服务器收到port主动模式命令和端口后，通过20端口与client开放的端口进行连接

被动模式：PASV（passive，被动的），client连接服务器的21端口，发送用户名、密码，PASV命令到服务器，服务器在本地随机开放高位端口（>1024的），把开放的的端口告诉client，client连接服务器开放的高位端口传输数据

3、安装

先挂载之后在安装
安装，C/S两端都要装，vsftpd服务端是必须装的

 yum -y install vsftpd lftp

查看配置文件位置

配置文件	说明
ftpusers	用于指定哪些用户不能访问FTP 服务器,黑名单
user_list	指定允许使用vsftpd 的用户列表文件，白名单 ，如果userlist_deny=NO就是黑名单，默认YES
vsftpd.conf	vsftpd 的配置文件
vsftpd_conf_migrate.sh	vsftpd 的主要配置文件
/var/ftp/pub	默认匿名用户家目录的权限是755，这个权限不要改变

[root@qianshuiluyu ~]# ll /etc/vsftpd/*
-rw-------. 1 root root  125 3月   7 2014 /etc/vsftpd/ftpusers
# 用于指定哪些用户不能访问FTP 服务器,黑名单
-rw-------. 1 root root  361 3月   7 2014 /etc/vsftpd/user_list
# 指定允许使用vsftpd 的用户列表文件，白名单
-rw-------. 1 root root 5030 3月   7 2014 /etc/vsftpd/vsftpd.conf
# vsftpd 的主要配置文件
-rwxr--r--. 1 root root  338 3月   7 2014 /etc/vsftpd/vsftpd_conf_migrate.sh
# 是vsftpd 操作的一些变量和设置脚本
============================================================
[root@qianshuiluyu ~]# ll /var/ftp/* -d
drwxr-xr-x. 2 root root 6 3月   7 2014 /var/ftp/pub
# 默认匿名用户家目录的权限是755，这个权限不要改变。

如果userlist_deny= YES（默认），绝不允许在这个文件中的用户登录ftp，甚至不提示输入密码
userlist=no是黑名单，yes是白名单

启动

[root@qianshuiluyu ~]# systemctl start vsftpd
[root@qianshuiluyu ~]# systemctl enable vsftpd

查看端口

因为没有数据传输，所以只有21端口

4、配置文件

匿名用户权限配置
anonymous_enable=YES
# 允许匿名用户访问
anon_mkdir_write_enable=YES
# 是否允许匿名用户创建目录，NO只能访问不能创建目录
anon_upload_enable=YES
# 允许匿名用户上传文件
anon_other_write_enable=YES
# 允许匿名用户的其它权限，权限过大，谨慎使用，生产中一般不用

local_enable=YES
# 允许本地用户
write_enable=YES
#允许本地用户写权限
local_root=/WEB
# 设置本地用户的根目录，本地用户登录ftp访问的是那个
chroot_list_enable=YES
# 将所有本地用户限制在家目录中，NO 则不限制
chroot_list_file=/etc/vsftpd/chroot_list
# 设置锁定用户在根目录中的列表文件，此文件存放要锁定的用户名，不存在需要创建
allow_writeable_chroot=YES
# 允许锁定用户有写的权限
local_umask=022
#本地用户上传文件的权限反掩码
xferlog_enable=YES
#启动上传和下载的日志


SSL
# SSL  shezhi
ssl_enable=YES
# 启用SSL
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
# 上面4行force 表示强制匿名用户使用加密登陆和数据传输
ssl_tlsv1=YES
# vsftpd支持TLS v1
ssl_sslv2=YES
# vsftpd支持SSL v2
ssl_sslv3=YES
# vsftpd支持SSL v3
require_ssl_reuse=NO
# 不重用SSL会话,安全配置项
ssl_ciphers=HIGH
# 允许用于加密 SSL 连接的 SSL 算法，这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
# 指定 SSL 证书文件的位置
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem
# 指定 SSL 密钥文件的位置

5、权限

配置文件是否定义
系统定义文件或目录本身

当前登录服务用户的权限
服务在安装之后会自动创建这个服务的账户

二、FTP实战

1、匿名访问

ftp默认开启匿名访问，将配置文件的匿名访问注释掉也会开启
注意防火墙与selinux
安装完服务之后可以直接使用ftp看客户端去进行访问
因为此时没有设置用户访问，所以访问是匿名的，复制一些数据到匿名的目录下进行测试
匿名用户默认使用ftp用户登录

[root@qianshuiluyu ~]# cp /etc/passwd /var/ftp/pub/

1、访问
使用windows的资源管理器进行访问

或者使用ftp客户端工具访问

2.因为没有权限删除与创建都是不允许的


3.修改权限再实验

anon_mkdir_write_enable=YES
anon_upload_enable=YES

4.修改时候还是有问题，还是权限的问题，ftp服务目录的所属权限
设置完权限目录可以操作pub目录里面


此时就可以上传与建立目录了，如果还需要别的权限就需要添加其他的权限了

5.在linux客户端进行连接

6.使用浏览器进行访问

到这里匿名访问配置完成

7.查看是那个用户在运行服务

2、用户访问

1、实验
user1用户对FTP服务器进行维护，能登录FTP但不能登录系统，并限制根目录为/WEB目录（不能访问其他目录），只允许user1上传，禁止匿名

2、创建用户以及密码

[root@qianshuiluyu ~]# useradd -s /sbin/nologin user1;echo user1:123456|chpasswd 

3、修改配置文件

[root@qianshuiluyu ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#关闭匿名
local_enable=YES#开启本地用户登录
chroot_local_user=YES
#锁定家目录
local_root=/WEB
#设置访问路径
chroot_list_enable=YES
#允许本地用户登录ftp服务验证
chroot_list_file=/etc/vsftpd/chroot_list
#锁定家目录就要配置这个
allow_writeable_chroot=YES
#锁定用户设置写的权限

4、设置锁定用户文件

[root@qianshuiluyu ~]# vim /etc/vsftpd/chroot_list
user1
#一个用户一行

5、创建目录以及测试文件

[root@qianshuiluyu ~]# mkdir /WEB
[root@qianshuiluyu ~]# cp /etc/passwd /etc/shadow /WEB/
[root@qianshuiliyu ~]# chmod -R o+w /WEB/
#目录设置写权限

6、重启

[root@qianshuiluyu ~]# systemctl restart vsftpd.service 

7、客户登录

linux服务端

windows资源管理器

浏览器

8、这里登录显示不安全的提示，下面创建证书连接
FTP与HTTP一样缺省状态都是基于明文传输，所以要添加证书

3、添加证书

OpenSSL，开放式安全套接层协议

在计算机网络上，OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。

OpenSSL 部分参数	说明
newkey	指定证书密钥处理器
-req	是 X.509 Certificate Signing Request （CSR，证书签名请求）管理的一个命令
- X.509	证书数据管理
-out filename	指定加密后的文件存放路径
-days	定义证书的有效日期
-in filename	指定要加密的文件存放路径
-keyout	设置密钥存储文件
-out	设置证书存储文件，注意证书和密钥都保存在一个相同的文件

[root@qianshuiluyu ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650
Generating a 2048 bit RSA private key
...........+++
...+++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:zh
# 国家
State or Province Name (full name) []:nmg
# 省
Locality Name (eg, city) [Default City]:hhht
# 市
Organization Name (eg, company) [Default Company Ltd]:qianshuiliyu
# 组织名称
Organizational Unit Name (eg, section) []:qianshuiliyu
# 组织部门名称
Common Name (eg, your name or your server's hostname) []:qianshuiliyu.com
# 你的名字或域名
Email Address []:@qq.com
# 邮箱地址

将证书放到相应的地方以及权限设置

[root@qianshuiluyu ~]# mkdir -p /etc/vsftpd/.sslkey/
[root@qianshuiluyu ~]# cp vsftpd.pem  /etc/vsftpd/.sslkey/ 
[root@qianshuiluyu ~]# chmod 400 /etc/vsftpd/.sslkey/ 

修改配置文件SSl部分，添加内容，直接在下面继续添加就行，不要写在最后面

[root@qianshuiluyu ~]# vim /etc/vsftpd/vsftpd.conf
# SSL  shezhi
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES

ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem

重启服务

[root@qianshuiluyu ~]# systemctl restart vsftpd

此时使用资源管理器无法连接

我们使用FileZill客户端进行测试，浏览器不好测试

没有设置证书之前的连接状态

三、虚拟用户

搭建FTP 服务器，为客户提供相关文档的下载。对所有互联网开放共享目录，允许下载产品信息，禁止上传。伙伴能够使用FTP 服务器进行上传和下载，但不可以删除数据。需要保证服务器的稳定性并做优化。
创建ftp虚拟帐号。允许客户使用user3帐号下载文件。，伙伴帐号user5帐号可以上传文件。

安全方面，所以关闭实体用户登录，使用虚拟帐号验证机制，并对不同虚拟帐号设置不同的权限。还需要根据用户的等级，限制客户端的连接数及下载速度

1、创建用户数据库

[root@qianshuiluyu ~]# vim /etc/vsftpd/vm_user
user3
123456
user5
123456
# 格式：一行用户，一行密码

2、生成数据库
保存虚拟帐号和密码文件无法被系统帐号直接调用。我们需要使用db_load 命令生成db
没有db_load 就进行安装

[root@qianshuiluyu ~]# rpm -qf `which db_load `
libdb-utils-5.3.21-17.el7.x86_64
============================================================
[root@qianshuiluyu ~]# db_load -T -t hash -f /etc/vsftpd/vm_user /etc/vsftpd/vm_user_db
# 选项-T允许应用程序能够将文本文件转译载入进数据库。
# -t hash，使用hash码加密
# -f 指定包含用户名和密码文本文件。此文件格式要示：一行用户名、一行密码
# 将数据导进数据库，原来用户及密码文件vm_user可以删除了，保证安全

3、修改数据库的权限

[root@qianshuiluyu ~]# chmod 600 /etc/vsftpd/vm_user_db 

4、配置PAM模块
为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM 模块.

[root@qianshuiluyu ~]# vim /etc/pam.d/vsftpd 
auth	required	/lib64/security/pam_userdb.so  db=/etc/vsftpd/vm_user_db
# 认证相关
account	required	/lib64/security/pam_userdb.so  db=/etc/vsftpd/vm_user_db
用户相关

# 清空或者注释原来的内容，添加上面的内容

5、创建虚拟帐号对应的系统用户
因为需要配置不同的权限，可以将不同权限帐号的目录进行隔离（账号对应目录），控制用户的文件访问。user3对应系统账号user33，指定其主目录/var/ftp/user3，user5对应系统账号55，指定其主目录/var/ftp/user5

[root@qianshuiluyu ~]# useradd -d /var/ftp/user3 user33
[root@qianshuiluyu ~]# useradd -d /var/ftp/user5 user55
[root@qianshuiluyu ~]# chmod -R 500 /var/ftp/user3/
# user3 只允许下载，目录权限为rx 可读可执行。
[root@qianshuiluyu ~]# chmod -R 700 /var/ftp/user5/
# user5只允许上传和下载，目录权限rwx可读可写可执行。

6、配置文件设置
如果一个配置文件无法实现此功能，那就为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置

 vim /etc/vsftpd/vsftpd.conf
 
anonymous_enable=NO
local_enable=YES
chroot_local_user=YES
# 所有本地用户限制在家目录中
pam_service_name=vsftpd
# 配置vsftpd 使用的PAM 模块为vsftpd，在最后面有
user_config_dir=/etc/vsftpd/vm_user_home
# 配置虚拟账号的家目录
max_clients=100
# 置FTP 服务器最大接入客户端数为100 个
max_per_ip=10
# 设置每个IP 地址最大连接数为10 个

7、建立虚拟帐号配置文件
在user_config_dir 指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段

[root@qianshuiluyu ~]# mkdir /etc/vsftpd/vm_user_home
[root@qianshuiluyu ~]# touch /etc/vsftpd/vm_user_home/user3  /etc/vsftpd/vm_user_home/user5 

8、设置虚拟账号内容

[root@qianshuiluyu ~]# vim /etc/vsftpd/vm_user_home/user3
guest_enable=yes
# 开启虚拟帐号登录
guest_username=user33
# 设置ftp 对应的系统帐号为ftpuser
anon_world_readable_only=no
# 允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=50000
# 限定传输速率为50KB/s，在这个范围波动，可以略微高出
============================================================
[root@qianshuiluyu ~]# vim /etc/vsftpd/vm_user_home/user5 
guest_enable=yes
# 开启虚拟帐号登录
guest_username=user55
# 设置ftp 对应的系统帐号为user55
anon_world_readable_only=no
# 允许匿名用户浏览器整个服务器的文件系统
write_enable=yes
# 允许在文件系统写入权限
anon_mkdir_write_enable=yes
# 允许创建文件夹
anon_upload_enable=yes
# 开启匿名帐号的上传功能
anon_max_rate=100000
# 限定传输速度为100KB/s

9、测试
进行测试