网络服务-VSFTP

网络服务-VSFTP

VSFTP简介

​ FTP是 File Transfer Protocol(文件传输协议)的英文简称,用于 Internet上的文件的双向
传输。使用FTP来传输时,是具有一定程度的危险性,因为数据在因特网上面是完全没有受到保护
的明文传输方式!
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是 Very Secure FTP,
从名称定义上基本可以看出,这是为了解决ftp传输安全性问题的。

安全特性

1.vsftp程序的运行者一般是普通用户，降低了相对应进程的权限，提高了安全性。
2.任何需要执行较高权限的指令都需要上层程序许可。
3.ftp所需要使用的绝大多数命令都被整合到了vsftp中，基本不需要系统额外提供命令。
4.拥有chroot功能，可以改变用户的根目录，限制用户只能在自己的家目录。

VSFTP连接类型

​ 控制连接(持续连接) → TCP21(命令信道) → 用户收发FTP命令

​ 数据连接(按需连接) → TCP20(数据信道) → 用于上传下载数据

VSFTP工作模式

Port模式
FTP客户端首先和服务器的TCP21端口建立连接，用来发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。

Passive模式
FTP客户端首先和服务器的TCP21端口建立连接，用来建立控制通道发送命令，但建立连接后客户端发送Pasv命令。服务器收到Pasv命令后，打开一个临时端口（端口大于1023小于65535)并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器的临时端口，然后FTP服务器将通过这个端口传输数据。

VSFTP传输模式

Binary模式：不对数据进行任何处理，适合进行可执行文件、压缩文件、图片等
ASCII模式：进行文本传输时，自动适应目标操作系统的结束符，如回车符等

在Linux的红帽发行版中VSFTP默认采用的是Binary模式，这样能保证绝大多数文件传输后能正常使用切换方式：在ftp>提示符下输入ascii即转换到ACSII方式，输入bin，即转换到Binary方式。

VSFTP软件信息

服务端软件名：vsftpd
客户端软件名：ftp
服务名：vsftpd
端口号：20、21、指定范围内随机端口

配置文件：/etc/vsftpd/vsftpd.conf

登录验证方式

匿名用户验证：
用户账号名称：ftp或anonymous
用户账号密码：无密码
工作目录：/var/ftp
默认权限：默认可下载不可上传，上传权限由两部分组成（主配置文件和文件系统)

本地用户验证：
用户账号名称：本地用户(/etc/passwd)
用户账号密码：用户密码(/etc/shadow)
工作目录：登录用户的宿主目录
权限：最大权限（drwx---------)

虚拟（virtual)用户验证：
1.创建虚拟用户用来代替本地用户，减少本地用户曝光率
2.使用本地用户作为虚拟用户的映射用户，为虚拟用户提供工作目录和权限控制
3.能够设置严格的权限(为每一个用户生成单独的配置文件）

匿名用户验证实验:

匿名权限控制:

匿名权限控制：
anonymous_enable=YES #启用匿名访问
anon umask=022 #匿名用户所上传文件的权限掩码
anon_root=/var/ftp #匿名用户的FTP根目录
anon_upload_enable=YES #允许上传文件
anon_mkdir _write_enable=YES #允许创建目录
anon other write enable=YES #开放其他写入权（删除、覆盖、重命名)
anon max rate=0 #限制最大传输速率（0为不限速，单位：bytes/秒）

实验需求与流程:

注意:在客户端登录后,默认情况下是可以下载的,但不能上传

1.实现可以上传

a.anon_upload_enable=YES
b.在/var/ftp/下创建上传目录
c.修改上传目录的权限或所有者，让匿名用户有写入权限

2.实现创建目录和文件其他操作

anon_mkdir write enable=YES#允许创建目录

anon_ other write enable=YES#删除文件、文件改名、文件覆盖

3.用户进入某个文件夹时,弹出相应的说明

a.在对应目录下创建.message文件，并写入相应内容

b.确认dirmessage_enable=YES是否启用
c.尝试切换目录查看效果（同一次登录仅提示一次）

4.实现上传的文件可下载
默认情况下开放上传权限后,上传的文件是无法被下载的,因为文件的其他人位置没有r权限

​ 设置 anon umask=022,可以让上传的文件其他人位置拥有r权限,然后才能被其他人下载

本地用户验证实验

本地用户权限控制：
local enable=YES #是否启用本地系统用户
local umask=022 #本地用户所上传文件的权限掩码
local root=/var/ftp #设置本地用户的FTP根目录
chroot_local_user=YES #是否将用户禁铜在主目录
local max rate=0 #限制最大传输速率
ftpd banner=Welcome to blah FTP service #用户登录时显示的欢迎信息
userlist_enable-YES & userlist_deny=YES
#禁止/etc/vsftpd/user _list文件中出现的用户名登录FTP
userlist_enable=YES & userlist_deny=NO
#仅允许/etc/vsftpd/user_list文件中出现的用户名登录FTP
配置文件：ftpusers (黑名单)
#禁I止/etc/vsftpd/fipusers文件中出现的用户名登录FTP.权限比user_list更高，即时生效

实验需求与流程：
1.服务端需要创建用户并设置密码（所创建的用户，不需要登录操作系统，仅用来登录VSFTP)
useradd -s /sbin/nologin username

useradd-s /sbin/nologin zhangsan  #创建一个无法登录但是有家目录的用户zhangsan

2.将所有用户禁锢在自己的家目录下
注：默认没有禁锢用户时，客户端登录后可以随意切换目录，查看文件所在位置和文件名
chroot _local user=YES
#开启用户家目录限制，限制所有用户不能随便切换目录
3.将部分用户禁铜在自己的家目录下
chroot_list_enable=YES
#开启白名单功能，允许白名单中的用户随意切换目录
chroot_list_file=/etc/vsftpd/chroot_list
#白名单文件所在位置（需自己创建）
4.配置文件：/etc/vsftpd/ftpusers
所有写入此文件内的用户名都不允许登录ftp，立刻生效。
5.修改被动模式数据传输使用端口
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=35000

虚拟用户验证实验

1.建立FTP的虚拟用户的用户数据库文件（在/etc/vsftpd/)
vim vsftpd.user
注：该文件名可以随便定义，文件内容格式：奇数行用户，偶数行密码

 db_load -T -t hash -f vsftpd.user vsftpd.db
#将用户密码的存放文本转化为数据库类型,并使用hash加密  
chmod 600 vsftpd db    
#修改文件权限为600,保证其安全性

2.创建FTP虚拟用户的映射用户，并制定其用户家目录

    useradd -d /var/ftproot -s /sbin/nologin virtual
    #创建 virtual用户作为ftp的虚拟用户的映射用户

3.建立支持虚拟用户的PAM认证文件，添加虚拟用户支持

 cp-a/etc/pam.d/vsftpd /etc/pam.d/vsftpd.pam
    #使用模板生成自己的认证配置文件，方便一会调用

4.编辑新生成的文件vsftpd.pam（清空原来内容，添加下列两行）

    auth required pam_userdb.so db=/etc/vsftpd/vsftpd
    account required pam_userdb.so db=/etc/vsftpd/vsftpd

在vsftpd.conf文件中添加支持配置
修改：
pam_service_name=vsftpd.pam
添加：
guest_enable=YES
guest_username=Virtual
user_config_ dir=/etc/vsftpd/dir

4.为虚拟用户建立独立的配置文件,启动服务并测试
注:做虚拟用户配置文件设置时,将主配置文件中自定义的匿名用户相关设置注释掉

在/etc/vsftpd/dir/路径下，vim 虚拟用户名。

用户可以上传：
anon_upload_enable=YES#允许上传文件
用户可以创建目录或文件：
anon_mkdir_write_enable=YES#允许创建目录
用户可以修改文件名：
anon_upload_enable=YES#允许上传文件（为了覆盖开启的）
anon_other_write_enable=YES#允许重名和删除文件、覆盖
注：给映射用户的家目录设置o+r让虚拟用户有读权限。

openssl+vsftpd加密验证方式

拓展：使用tcpdump工具进行指定端口抓包，抓取ftp登录过程中的数据包
tcpdump -i eth0- nn -X -vv tcp port 21 and ip host 来源ip
-i#interface：指定tcpdump需要监听的接口
-n#对地址以数字方式显式，否则显式为主机名
-nn#除了-n的作用外，还把端口显示为数值，否则显示端口服务名
-X#输出包的头部数据，会以16进制和ASCII两种方式同时输出

1.查看是否安装了openssl
rpm-q openssl
2.查看vsftpd是否支持openssl
ldd/usr/sbin/vsftpd | grep libssl
3.生成加密信息的秘钥和证书文件
位置：/etc/ssl/certs/
a.openssl genrsa -out vsftpd.key 1024
#建立服务器私钥，生成RSA密钥

​ b. openssl req -new -key vsftpd. key -out vsftpd. csr

#需要依次输入国家,地区,城市,组织,织单位, Email等信息。最重要的是有一个 common name, 可以写你的名字或者域名。如果为了 https 申请,这个必须和域名吻合,否则会引发浏览器警报。 生成的csr文件交给CA签名后形成服务端自己的证书

c. openssl x509 -req -days 365 -sha256 -in vsftpd. csr -signkey vsftpd. key -out

#使用CA服务器签发证书,设置证书的有效期等信息

注意1：生成完秘钥和证书文件后，将本目录{/etc/ss1/certs/}的权限修改为500.
注意2：在实验环境中可以用命令生成测试，在生产环境中必须要在https证书厂商注册（否则浏览器不识别）

修改主配置文件/etc/vsftpd/vsftpd.conf

​ ssl_enable=YES
​ #启用ssl认证
​ ssl_t1svl=YES
​ ssl_sslv2=YES
​ ssl_sslv3=YES
​ #开启t1sv1、sslv2、sslv3都支持
​ allow_anon ssl1=YES
​ #允许匿名用户{虚拟用户}
​ force_anon_logins_ssl=YES
​ force_anon_data_ssl=YES
​ #匿名登录和传输时强制使用ssl
​ force_local_logins_ssl=YES
​ force_local_data ssl=YES
​ #本地登录和传输时强制使用ssl
​ rsa_cert_file=/etc/ssl/certs/vsftpd.crt
​ #rsa格式的证书
​ rsa_private_key_file=/etc/ssl/certs/vsftpd.key
​ #rsa格式的密钥

注：密钥文件要在配置文件中单独声明(写入配置文件时，注释要单独一行，否则会报错)

s_ssl=YES
​ force_local_data ssl=YES
​ #本地登录和传输时强制使用ssl
​ rsa_cert_file=/etc/ssl/certs/vsftpd.crt
​ #rsa格式的证书
​ rsa_private_key_file=/etc/ssl/certs/vsftpd.key
​ #rsa格式的密钥

注：密钥文件要在配置文件中单独声明(写入配置文件时，注释要单独一行，否则会报错)

重启服务：service vsftpd restart