FTP匿名和本地用户

一.FTP信息

1.主动模式

在主动模式的 FTP 中，客户端从一个随机的非系统端口(N > 1023)连接到 FTP 服务器的命令端口端口 21。然后，客户端开始监听端口 N+1，并将 FTP 命令端口 N+1 告诉 FTP 服务器，“请把数据发送给我的 N+1 端口”。然后，服务器将从本地数据端口 (端口20) 连接回客户端的数据端口，也就是 N+1 端口。

因为服务器防火墙的隔离作用，我们应该确保服务器 FTP 到客户端的一下几个通道的畅通:

FTP 服务器端口 21 （接受全部客户端）

FTP 服务器端口 21 到 > 1023 的端口 ( 服务器响应客户端控制端口 )

FTP 服务器端口 20 到 > 1023 的端口 ( 服务器发起到客户端的数据端口的连接 )

从 > 1023的端口到 FTP 服务器端口 20 ( 客户端发送 ack 到服务器的数据端口 )

第 1 步，客户端的命令端口与服务器的命令端口连接并发送命令端口 1027。然后，服务器在第 2 步时将一个 ACK 发送回客户端的命令端口。第 3 步，服务器在其本地数据端口上启动连接，连接到前面指定的客户端的数据端口。最后，客户端返回 ACK，如第 4 步所示。

主动模式的 FTP 主要问题实际上落在客户端。FTP 的客户端并不会主动连接到服务器的数据端口，而是是告诉服务器它正在监听哪个端口，然后服务器发起连接到客户端上指定的端口。但是，这样的连接有时候会被客户端的防火墙阻止。‘
 

 2.被动模式

为了解决服务器主动发起到客户端连接会北阻止的问题，另一种更完善的工作模式出现了，它就是 FTP 的被动模式，缩写作 PASV，它工作的前提是客户端明确告知 FTP 服务器它使用被动模式。

在被动模式的 FTP 中，客户端启动到服务器的两个连接，解决了防火墙阻止从服务器到客户端的传入数据端口连接的问题。FTP 连接建立后，客户端在本地打开两个随机的非系统端口 N 和 N + 1(N > 1023)。第一个端口连接服务器上的 21 端口，但是客户端这次将会发出 PASV 命令，也就是不允许服务器连接回其数据端口。这样，服务器随后会打开一个随机的非系统端口 P (P > 1023)，并将 P 发送给客户端作为 PASV 命令的响应。然后客户端启动从端口 N+1 到端口 P 的连接来传输数据。

在被动模式中，要保持一下通道的畅通：

FTP服务器的 21 端口（接受所有客户端）

FTP服务器的 21端口到 > 1023 的远程端口 ( 服务器响应客户端控制端口 )

FTP服务器 > 1023 的端口（接受所有客户端发起的连接到服务器指定的随机端口）

FTP服务器 > 1023 的端口到 > 1023 的远程端口（服务器发送 ack 和数据到客户端数据端口）
 

第 1 步，客户端在命令端口上与服务器连接，并发出 PASV 命令。然后，服务器在第 2 步时使用端口 2024 进行响应，告诉客户端它正在监听的数据连接端口。第 3 步，客户端启动从其数据端口到指定服务器数据端口的数据连接。最后，服务器在第 4 步将 ACK 发送回客户端的数据端口。

服务器防火墙需要给 FTP 的被动模式开放一个端口范围允许所有客户端连接，比如 5000 - 6000。

以上关于主动和被动FTP的解释，可以简单概括为以下两点：
    1、主动FTP： 
            命令连接：客户端 >1024端口 -> 服务器 21端口 
            数据连接：客户端 &gt;1024端口 <- 服务器 20端口
    2、被动FTP：
            命令连接：客户端 >1024端口 -&gt; 服务器 21端口
            数据连接：客户端 &gt;1024端口 -&gt; 服务器 &gt;1024端口

3.  主动与被动FTP优缺点

  主动FTP对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。

二.匿名

#匿名访问测试
在windows系统打开开始菜单，输入cmd 命令打开命令提示符#建立ftp连接
ftp 192.168.80.10
#匿名访问，用户名为ftp，密码为空，直接回车即可完成登录ftp> pwd
#匿名访问ftp的根目录为Linux系统的/var/ftp/目录
ftp> ls
#查看当前目录
ftp> cd pub
#切换到pub目录
ftp> get文件名#下载文件到当前windows本地目录ftp> put文件名#上传文件到ftp目录
ftp> quit
#退出

1.开启服务，关闭防火墙和增强型安全功能

systemctl start vsftpd

systemctl stop firewalld

setenforce o

2.下载vsftpd

yum install -y vsftpd

cd /etc/vsftpd/

cp vsftpd.conf vsftpd.conf.bak

3.设置文件

vim letc/vsftpd/vsftpd. conflocal_enable=Yes
#启用本地用户
anonymous_enable=NO
#关闭匿名用户访问
write_enable=YES
#开放服务器的写权限（若要上传，必须开启)
local_umask=077
#可设置仅宿主用户拥有被上传的文件的权限(反掩码)
chroot_local_user=YES
#将访问禁锢在用户的宿主目录中
allow_writeable chroot=YES
#允许被限制的用户主目录具有写权限
#anon mkdir write enable=YES注释
#anon_other write enable=YES注释

4.重启服务

systemctl restart vsftpd

ftp 192.168.10.12

5.使用user_list用户列表文件

vim letc/vsftpd/user_list zhangsan//末尾添加zhangsan用户

vim letc/vsftpd/vsftpd.conf
userlist_enable=YEs#启用user_list用户列表文件userlist_deny=NO
#设置白名单，仅允许user_list用户列表文件的用户访问。默认为YEs，为黑名单，禁用

三.本地用户

1.开启服务，关闭防火墙和增强型安全功能

systemctl start vsftpd

systemctl stop firewalld

setenforce o

2.下载vsftpd

yum install -y vsftpd

cd /etc/vsftpd/

cp vsftpd.conf vsftpd.conf.bak

3.修改配置文件

vim /etc/vsftpd/vsftpd. conf

local_enable=Yes
#启用本地用户
anonymous_enable=NO
#关闭匿名用户访问
write_enable=YES
#开放服务器的写权限（若要上传，必须开启)
local_umask=077
#可设置仅宿主用户拥有被上传的文件的权限（反掩码)
chroot_local_user=YES
#将访问禁锢在用户的宿主目录中
allow_writeable_chroot=YES
#允许被限制的用户主目录具有写权限
#anon_ mkdir_write_enable=YEs注释
#anon_other_write_enable=YES注释

4.重启服务

systemctl restart vsftpd

ftp 192.168.10.12