本文介绍了FTP协议的工作原理,包括主动模式和被动模式,并详细讲解了Linux上的Vsftpd服务程序,特别是其匿名访问模式、本地用户模式和虚拟用户模式的安全特性。在匿名访问模式中,重点讨论了开启权限、SELinux策略调整以及测试读写权限的过程。此外,还提及了TFTP协议的简单特性及其在特定场景下的优势。
11.1 文件传输协议
FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口20(数据端口)用于进行数据传输,端口21(命令端口)用于接受客户端发出的相关FTP命令与参数。
FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机,FTP客户端则是向服务器发送连接请求,以建立数据传输链路的主机。FTP协议有下面两种工作模式。
主动模式:FTP服务器主动向客户端发起连接请求。
被动模式:FTP服务器等待客户端发起连接请求(FTP的默认工作模式)。
vsftpd(very secure ftp daemon,非常安全的FTP守护进程)是一款运行在Linux操作系统上的FTP服务程序,不仅完全开源而且免费,此外,还具有很高的安全性、传输速度,以及支持虚拟用户验证等其他FTP服务程序不具备的特点。
11.2 Vsftpd服务程序
vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。
(1)匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。
(2)本地用户模式:是通过Linux系统本 地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。 但是如果被黑客破解了账户的信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。
(3)虚拟用户模式:是这三种模式中最安全的一种认证模式,**它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用。**这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。
11.2.1 匿名访问模式
开启匿名开放模式与打开权限:
(1)修改vim /etc/vsftpd/vsftpd.conf打开匿名开放模式
(2)在vsftpd服务程序的主配置文件中正确填写参数,然后保存并退出。还需要重启vsftpd服务程序,让新的配置参数生效。
(3)测试是否有写入权限
发现没有写入权限(只有root才能修改文件),查看并修改权限
系统提示“创建目录的操作失败”(Create directory operation failed),是SELinux服务的问题,用getsebool查看ftp相关的SELiunx策略有哪些。
然后开启服务
就能正常的读写了:
11.2.2 本地用户模式
vsftpd服务程序所在的目录中默认存放着两个名为“用户名单”的文件(ftpusers和user_list)。在这两个文件中的用户不被允许登录到FTP服务器上。
11.2.3 虚拟用户模式
未完成
11.3 TFTP简单文件传输协议
简单文件传输协议(Trivial File Transfer Protocol,TFTP)是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议。
TFTP的命令功能不如FTP服务强大,甚至不能遍历目录,在安全性方面也弱于FTP服务。而且,由于TFTP在传输文件时采用的是UDP协议,占用的端口号为69,因此文件的传输过程也不像FTP协议那样可靠。但是,因为TFTP不需要客户端的权限认证,也就减少了无谓的系统和网络带宽消耗,因此在传输琐碎(trivial)不大的文件时,效率更高。
(1)下载软件
(2)在RHEL 7系统中,TFTP服务是使用xinetd服务程序来管理的。xinetd服务可以用来管理多种轻量级的网络服务,而且具有强大的日志功能。简单来说,在安装TFTP软件包后,还需要在xinetd服务程序中将其开启,把默认的禁用(disable)参数修改为no:
启xinetd服务并将它添加到系统的开机启动项中,以确保TFTP服务在系统重启后依然处于运行状态。考虑到有些系统的防火墙默认没有允许UDP协议的69端口,因此需要手动将该端口号加入到防火墙的允许策略中:
TFTP的根目录为/var/lib/tftpboot。在使用tftp命令访问文件时,可能会用到表11-5中的参数。
1299
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
