Linux--FTP

最新推荐文章于 2023-04-28 17:01:46 发布

weixin_30690833

最新推荐文章于 2023-04-28 17:01:46 发布

阅读量121

点赞数

文章标签：网络运维操作系统

原文链接：http://www.cnblogs.com/Yuanbangchen/p/5800010.html

版权

Linux--FTP

一、FTP服务原理

FTP(File Transfer Protocol)是一个非常古老并且应用十分广泛的文件传输协议，FTP协议是现今使用最为广泛的网络文件共享协议之一，我们现在也一直有在用着FTP协议来进行各种文件的传输，FTP为我们提供了一种可靠的方式在网络上进行文件的共享

FTP是C/S架构的服务，拥有一个服务器端和一个客户端，FTP底层通过TCP协议来作为传输协议，所以FTP协议是一种可靠的文件传输方式，FTP提供了两个端口号，20和21号端口，20号是数据接口，提供数据之间的传输，21号是命令接口，提供命令之间的传输

FTP服务端与客户端连接一般有两种模式：主动模式(Active Mode)和被动模式(Passive Mode)

①主动模式的原理如下图所示：

主动模式下，客户端首先会向服务器端的21号端口发出一个连接命令，请求与服务器端建立连接，此时服务器端响应回去给客户端，并要求客户端发送一个用于传送数据的端口，该端口号要 > 1023 ，此时服务器端的20号端口就会与该数据端口主动建立连接，客户端与服务器端进行数据的传送

②被动模式的原理如下图所示：

与主动模式不同的是，在被动模式下，客户端也是首先与服务器端的21端口建立连接，此时后服务器端会开启一个 > 1023 号的数据传送端口，并返回给客户端，这个时候客户端也会开启一个 > 1023 的端口，然后客户端会主动的去跟服务器端的数据传输端口建立连接，两者之间来进行数据的传送

所以说，主动模式与被动模式的区别就在于究竟是服务器端的20端口主动发起于客户端建立连接，还是服务器端开放一个随机端口，等待客户端与其主动建立连接。在我们的生产环境中，通常还是使用的是被动连接的模式，因为我们的服务器端都有配置防火墙，而防火墙对于内网连接外网的端口一般是放行的，而外网来连接内网的端口则一般是有限制的，所以我们这时如果使用主动模式连接的话，端口可能被防火墙拦截，从而不能提供我们的FTP服务

二、vsfptd的安装

在Linux下，我们应用最广泛的FTP服务程序是 vsftpd (Very Secure FTP Daemon),从名字我们也可以看出，其提供了非常安全的FTP服务。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字，它可以运行在诸如 Linux, BSD, Solaris, HP-UX 以及 IRIX 上面。它支持很多其他的 FTP 服务器不支持的特征。例如：

①非常高的安全性需求　　②带宽限制　　③创建虚拟用户的可能性　　④高速　　...

可以说 vsftpd 给我们提供了一个快速的、稳定的且相当安全的FTP服务

在CentOS下默认没有安装 vsftpd 这个FTP程序，我们通过 yum install vsfptd 来进行安装

[root@localhost Server]# yum install vsfptd

[root@localhost Server]# rpm -ivh vsftpd-2.0.5-16.el5.x86_64.rpm

启动服务

[root@localhost Server]# service vsftpd stop

关闭 vsftpd： [确定]
[root@localhost Server]# service vsftpd start
为 vsftpd 启动 vsftpd： [确定]

查看信息。
[root@localhost Server]# netstat -utlpn | grep vsftp
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 5513/vsftpd
[root@localhost Server]# netstat -tnl | grep 21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN

在安装好后我们可以来看一下 vsftpd 这个程序的一些配置文件，其所有的配置文件都保存在了 /etc/vsftpd/ 这个目录下里面一共有四个配置文件，vsftpd.conf 是我们的主配置文件，ftpusers是我们的黑名单用户配置文件，通常我们的系统用户还有根用户都是放在这个配置文件里面的，因为这些用户的权限很大，如果使用ftp服务可能造成一些问题，user_list是我们的用户列表文件，我们可以通过在主配置文件里设置该用户是黑名单用户还是白名单拥有，最后一个是我们的ftp服务迁移脚本

配置文件

[root@localhost Server]# ll /etc/vsftpd/

-rw------- 1 root root 125 2009-05-13 ftpusers
-rw------- 1 root root 361 2009-05-13 user_list
-rw------- 1 root root 4579 2009-05-13 vsftpd.conf
-rwxr--r-- 1 root root 338 2009-05-13 vsftpd_conf_migrate.sh

ftp默认家目录路径文件，也可以在配置文件中更改家目录，不能将匿名用户的家目录的权限设置为777权限，也就是 /var/ftp 这个目录，而只能设置其子目录的权限为 777，因为vsftp认为这样是很不安全的，如果这样设置了，vsftpd将禁止访问匿名用户的家目录。

[root@localhost Server]# ll /var/ftp/
drwxr-xr-x 2 root root 4096 2009-05-13 pub

三、验证方式

访问FTP服务器时需要经过验证,只有经过了FTP服务器的相关验证,用户才能访问和传输文件.vsftpd提供了3种ftp登录形式:

(1)anonymous(匿名帐号)

在vsftpd安装的时候会创建一个 ftp 系统用户，这个用户就是用来进行匿名登陆的用户，ftp匿名用户默认登陆到的目录是 /var/ftp/ 目录，没有任何访问限制权限的文件都能提供给匿名用户进行共享。

[root@localhost Server]# cat /etc/passwd

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

(2)real(真实帐号)

real也称为本地帐号,就是以真实的用户名和密码进行登录,但前提条件是用户在FTP服务器上拥有自己的帐号.用真实帐号登录后,其登录的目录为用户自己的目录,该目录在系统建立帐号时系统就自动创建.

(3)guest(虚拟帐号)

如果用户在FTP服务器上拥有帐号,但此帐号只能用于文件传输服务,那么该帐号就是guest,guest是真实帐号的一种形式,它们的不同之处在于,geust登录FTP服务器后,不能访问除宿主目录以外的内容.

四.FTP相关配置文件说明

其相关配置文件有/etc/vsftpd/vsftpd.conf, /etc/vsftpd.ftpusers, /etc/vsftpd.user_list,在配置FTP服务器时,主要是修改这些文件中的相关语句.

1.vsftpd.conf文件说明

匿名类

anonymous_enable=YES //是否允许anonymous登录FTP服务器,默认是允许的.

anon_upload_enable=YES//是否允许匿名账户在FTP服务器中上传

anon_mkdir_write_enable=YES //是否允许匿名账户在FTP服务器中创建目录

anon_root=/var/ftproot 更改匿名的根目录。在/var目录要先创建，默认为/var/ftp, 注意这项的更换，要注意selinux的设置。建议关闭selinux测试

anon_other_write_enable=YES //是否允许匿名账户在FTP服务器中修改文件。删除重命名。

anon_umask=022 上传之后的文件生成掩码。

no_anon_password=YES/NO（NO）// 若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。

ftp_username=ftp 定义匿名登入的使用者名称。默认值为ftp。

anon_world_readable_only=YES/NO//（YES）如果设为YES，则允许匿名登入者下载可阅读的档案（可以下载到本机阅读，不能直接在FTP服务器中打开阅读）。默认值为YES。

chown_uploads=YES/NO（NO）// 设置是否改变匿名用户上传文件（非目录）的属主。默认值为NO。

chown_username=username// 设置匿名用户上传文件（非目录）的属主名。建议不要设置为root。

anon_umask=077// 设置匿名登入者新增或上传档案时的umask 值。默认值为077，则新建档案的对应权限为700。

deny_email_enable=YES/NO（NO）// 若是启动这项功能，则必须提供一个档案/etc/vsftpd/banner_emails，内容为email address。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。默认值为NO。

banned_email_file=/etc/vsftpd/banner_emails// 此文件用来输入email address，只有在deny_email_enable=YES时，才会使用到此档案。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。

2.本地用户类

local_root=/var/www/html 系统用户登录 vsftpd 服务后的根目录是系统用户的家目录。默认用户家目录。要注意selinux的设置。建议关闭selinux测试

local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许

write_enable=YES //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许

local_umask=022 //设置本地用户的文件生成掩码为022,默认是077

dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息

xferlog_enable=YES //启用上传和下载日志功能

connect_from_port_20=YES //启用FTP数据端口的连接请求

xferlog_file=/var/log/vsftpd.log //设置日志文件的文件名和存储路径,这是默认的

xferlog_std_format=YES//是否使用标准的ftpd xferlog日志文件格式

idle_session_timeout=600 //设置空闲的用户会话中断时间,默认是10分钟

data_connection_timeout=120//设置数据连接超时时间,默认是120秒.

max_clients=20 #连接ftp的最大客户端

max_per_ip=20 #最多20个IP能连接ftp

#nopriv_user=ftpsecure

#async_abor_enable=YES

#ascii_upload_enable=YES

#ascii_download_enable=YES //是否允许使用ASCII格式来上传和下载文件

#ftpd_banner=Welcome to blah FTP service.//在FTP服务器中设置欢迎登录的信息.

#deny_email_enable=YES

#chroot_list_enable=YES //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项,如果设置chroot_list_enable=YES,那么只允许/etc/vsftpd.chroot_list中列出的用户具有该功能.如果希望所有的本地用户都执行者chroot,可以增加一行:chroot_local_user=YES

pam_service_name=vsftpd //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.

userlist_enable=YES //是否启用用户列表。也就是/etc/vsftpd/user_list。

userlist_deny=YES//用户列表中的用户是否允许登录FTP服务器. userlist_enable=YES时才会生效设定。值为YES时，表中用户不能访问，当设置NO时，表中用户可以访问。

listen=YES //使vsftpd 处于独立启动模式

tcp_wrappers=YES //使用tcp_wrqppers作为主机访问控制方式

pasv_enable=NO 关闭被动模式。也就是使用主动模式。

2.vsftpd.ftpusers文件说明

这个文件是用来记录"不允许"登录到FTP服务器的用户,通常是一些系统默认的用户.

下面是该文件中默认的不允许登录的名单:

root //默认情况下,root和它以下的用户是不允许登录FTP服务器的.可以将不允许登录的用户添加到这里来.但切记每个用户都要单独占用一行.

bin

daemon

adm

user_list文件说明

其实它的内容跟上面文件内容一样,只是在系统对文件vsftpd.conf 进行检测时,会检测到"userlist_deny=YES",因此这个文件必须存在.这个文件的用户能否登入是由userlist_deny=NO userlist_deny=NOuserlist_deny=YES决定的。下面是这个文件的内容.

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers

# for users that are denied.

root

bin

daemon

adm

http://www.cnblogs.com/hhuai/archive/2011/02/12/1952647.html

=================================================================================================================

=================================================================================================================

3.匿名用户（anonymous）设置

anonymous_enable=YES/NO（YES）

控制是否允许匿名用户登入，YES 为允许匿名登入，NO 为不允许。默认值为YES。

write_enable=YES/NO（YES）

是否允许登陆用户有写权限。属于全局设置，默认值为YES。

no_anon_password=YES/NO（NO）

若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。

ftp_username=ftp

定义匿名登入的使用者名称。默认值为ftp。

anon_root=/var/ftp

使用匿名登入时，所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性，即匿名用户的家目录不能有777的权限。

anon_upload_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者有上传文件（非目录）的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。

anon_world_readable_only=YES/NO（YES）

如果设为YES，则允许匿名登入者下载可阅读的档案（可以下载到本机阅读，不能直接在FTP服务器中打开阅读）。默认值为YES。

anon_mkdir_write_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者有新增目录的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。

anon_other_write_enable=YES/NO（NO）

如果设为YES，则允许匿名登入者更多于上传或者建立目录之外的权限，譬如删除或者重命名。（如果anon_upload_enable=NO，则匿名用户不能上传文件，但可以删除或者重命名已经存在的文件；如果anon_mkdir_write_enable=NO，则匿名用户不能上传或者新建文件夹，但可以删除或者重命名已经存在的文件夹。）默认值为NO。

chown_uploads=YES/NO（NO）

设置是否改变匿名用户上传文件（非目录）的属主。默认值为NO。

chown_username=username

设置匿名用户上传文件（非目录）的属主名。建议不要设置为root。

anon_umask=077

设置匿名登入者新增或上传档案时的umask 值。默认值为077，则新建档案的对应权限为700。

deny_email_enable=YES/NO（NO）

若是启动这项功能，则必须提供一个档案/etc/vsftpd/banner_emails，内容为email address。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。默认值为NO。

banned_email_file=/etc/vsftpd/banner_emails

此文件用来输入email address，只有在deny_email_enable=YES时，才会使用到此档案。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。

4.本地用户设置

local_enable=YES/NO（YES）

控制是否允许本地用户登入，YES 为允许本地用户登入，NO为不允许。默认值为YES。

local_root=/home/username

当本地用户登入时，将被更换到定义的目录下。默认值为各用户的家目录。

write_enable=YES/NO（YES）

是否允许登陆用户有写权限。属于全局设置，默认值为YES。

local_umask=022

本地用户新增档案时的umask 值。默认值为077。

file_open_mode=0755

本地用户上传档案后的档案权限，与chmod 所使用的数值相同。默认值为0666。

5.欢迎语设置

dirmessage_enable=YES/NO（YES）

如果启动这个选项，那么使用者第一次进入一个目录时，会检查该目录下是否有.message这个档案，如果有，则会出现此档案的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。默认值为开启。

message_file=.message

设置目录消息文件，可将要显示的信息写入该文件。默认值为.message。

banner_file=/etc/vsftpd/banner

当使用者登入时，会显示此设定所在的档案内容，通常为欢迎话语或是说明。默认值为无。如果欢迎信息较多，则使用该配置项。

ftpd_banner=Welcome to BOB's FTP server

这里用来定义欢迎话语的字符串，banner_file是档案的形式，而ftpd_banner 则是字符串的形式。预设为无。

6.控制用户是否允许切换到上级目录

在默认配置下，本地用户登入FTP后可以使用cd命令切换到其他目录，这样会对系统带来安全隐患。可以通过以下三条配置文件来控制用户切换目录。

chroot_list_enable=YES/NO（NO）

设置是否启用chroot_list_file配置项指定的用户列表文件。默认值为NO。

chroot_list_file=/etc/vsftpd.chroot_list

用于指定用户列表文件，该文件用于控制哪些用户可以切换到用户家目录的上级目录。

chroot_local_user=YES/NO（NO）

用于指定用户列表文件中的用户是否允许切换到上级目录。默认值为NO。

通过搭配能实现以下几种效果：

①当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd.chroot_list文件中列出的用户，可以切换到其他目录；未在文件中列出的用户，不能切换到其他目录。

②当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd.chroot_list文件中列出的用户，不能切换到其他目录；未在文件中列出的用户，可以切换到其他目录。

③当chroot_list_enable=NO，chroot_local_user=YES时，所有的用户均不能切换到其他目录。

④当chroot_list_enable=NO，chroot_local_user=NO时，所有的用户均可以切换到其他目录。

7.数据传输模式设置

FTP在传输数据时，可以使用二进制方式，也可以使用ASCII模式来上传或下载数据。

ascii_upload_enable=YES/NO（NO）

设置是否启用ASCII 模式上传数据。默认值为NO。

ascii_download_enable=YES/NO（NO）

设置是否启用ASCII 模式下载数据。默认值为NO。

8.访问控制设置

两种控制方式：一种控制主机访问，另一种控制用户访问。

①控制主机访问：

tcp_wrappers=YES/NO（YES）

设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用，则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置，来决定请求连接的主机，是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。

比如：若要仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器，则在/etc/hosts.allow文件中添加以下内容：

vsftpd:192.168.0. :allow

all:all :deny

②控制用户访问：

对于用户的访问控制可以通过/etc目录下的vsftpd.user_list和ftpusers文件来实现。

userlist_file=/etc/vsftpd.user_list

控制用户访问FTP的文件，里面写着用户名称。一个用户名称一行。

userlist_enable=YES/NO（NO）

是否启用vsftpd.user_list文件。

userlist_deny=YES/NO（YES）

决定vsftpd.user_list文件中的用户是否能够访问FTP服务器。若设置为YES，则vsftpd.user_list文件中的用户不允许访问FTP，若设置为NO，则只有vsftpd.user_list文件中的用户才能访问FTP。

/etc/vsftpd/ftpusers文件专门用于定义不允许访问FTP服务器的用户列表（注意:如果userlist_enable=YES,userlist_deny=NO,此时如果在vsftpd.user_list和ftpusers中都有某个用户时，那么这个用户是不能够访问FTP的，即ftpusers的优先级要高）。默认情况下vsftpd.user_list和ftpusers，这两个文件已经预设置了一些不允许访问FTP服务器的系统内部账户。如果系统没有这两个文件，那么新建这两个文件，将用户添加进去即可。

9.访问速率设置

anon_max_rate=0

设置匿名登入者使用的最大传输速度，单位为B/s，0 表示不限制速度。默认值为0。

local_max_rate=0

本地用户使用的最大传输速度，单位为B/s，0 表示不限制速度。预设值为0。

10.超时时间设置

accept_timeout=60

设置建立FTP连接的超时时间，单位为秒。默认值为60。

connect_timeout=60

PORT 方式下建立数据连接的超时时间，单位为秒。默认值为60。

data_connection_timeout=120

设置建立FTP数据连接的超时时间，单位为秒。默认值为120。

idle_session_timeout=300

设置多长时间不对FTP服务器进行任何操作，则断开该FTP连接，单位为秒。默认值为300 。

11.日志文件设置

xferlog_enable= YES/NO（YES）

是否启用上传/下载日志记录。如果启用，则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。

xferlog_file=/var/log/vsftpd.log

设置日志文件名和路径，默认值为/var/log/vsftpd.log。

xferlog_std_format=YES/NO（NO）

如果启用，则日志文件将会写成xferlog的标准格式，如同wu-ftpd 一般。默认值为关闭。

log_ftp_protocol=YES|NO（NO）
如果启用此选项，所有的FTP请求和响应都会被记录到日志中，默认日志文件在/var/log/vsftpd.log。启用此选项时，xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。

12.定义用户配置文件

在vsftpd中，可以通过定义用户配置文件来实现不同的用户使用不同的配置。

user_config_dir=/etc/vsftpd/userconf

设置用户配置文件所在的目录。当设置了该配置项后，用户登陆服务器后，系统就会到/etc/vsftpd/userconf目录下，读取与当前用户名相同的文件，并根据文件中的配置命令，对当前用户进行更进一步的配置。

例如：定义user_config_dir=/etc/vsftpd/userconf，且主机上有使用者 test1,test2，那么我们就在user_config_dir 的目录新增文件名为test1和test2两个文件。若是test1 登入，则会读取user_config_dir 下的test1 这个档案内的设定。默认值为无。利用用户配置文件，可以实现对不同用户进行访问速度的控制，在各用户配置文件中定义local_max_rate=XX，即可。

13.FTP的工作方式与端口设置

FTP有两种工作方式：PORT FTP（主动模式）和PASV FTP（被动模式）

listen_port=21

设置FTP服务器建立连接所监听的端口，默认值为21。

connect_from_port_20=YES/NO

指定FTP使用20端口进行数据传输，默认值为YES。

ftp_data_port=20

设置在PORT方式下，FTP数据连接使用的端口，默认值为20。

pasv_enable=YES/NO（YES）

若设置为YES，则使用PASV工作模式；若设置为NO，则使用PORT模式。默认值为YES，即使用PASV工作模式。

pasv_max_port=0

在PASV工作模式下，数据连接可以使用的端口范围的最大端口，0 表示任意端口。默认值为0。

pasv_min_port=0

在PASV工作模式下，数据连接可以使用的端口范围的最小端口，0 表示任意端口。默认值为0。

14.与连接相关的设置

listen=YES/NO（YES）

设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好的方式，此时listen必须设置为YES，此为默认值。建议不要更改，有很多与服务器运行相关的配置命令，需要在此模式下才有效。若设置为NO，则vsftpd不是以独立的服务运行，要受到xinetd服务的管控，功能上会受到限制。

max_clients=0

设置vsftpd允许的最大连接数，默认值为0，表示不受限制。若设置为100时，则同时允许有100个连接，超出的将被拒绝。只有在standalone模式运行才有效。

max_per_ip=0

设置每个IP允许与FTP服务器同时建立连接的数目。默认值为0，表示不受限制。只有在standalone模式运行才有效。

listen_address=IP地址

设置FTP服务器在指定的IP地址上侦听用户的FTP请求。若不设置，则对服务器绑定的所有IP地址进行侦听。只有在standalone模式运行才有效。

setproctitle_enable=YES/NO（NO）

设置每个与FTP服务器的连接，是否以不同的进程表现出来。默认值为NO，此时使用ps aux |grep ftp只会有一个vsftpd的进程。若设置为YES，则每个连接都会有一个vsftpd的进程。

15.虚拟用户设置

虚拟用户使用PAM认证方式。

pam_service_name=vsftpd

设置PAM使用的名称，默认值为/etc/pam.d/vsftpd。