FTP
1. ftp简介
网络文件共享服务主流的主要有三种,分别是ftp、nfs、samba。
FTP是File Transfer Protocol(文件传输协议)的简称,用于internet上的控制文件的双向传输。
FTP也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
在FTP的使用当中,用户经常遇到两种概念:下载和上传
| 下载(Download) | 上传(Upload) |
|---|---|
| 从远程主机拷贝文件至自己的计算机上 | 将文件从自己的计算机上拷贝至远程主机上 |
2. ftp架构
FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。其有多种客户端和服务端的应用程序,下面来简单介绍一下
| 客户端工具 | 服务端软件 |
|---|---|
| ftp lftp,lftpget wget,curl filezilla gftp(Linux GUI) 商业软件(flashfxp,cuteftp) | wu-ftpd proftpd(提供web接口的一种ftp服务端程序) pureftp vsftpd(Very Secure) ServU(windows平台的一种强大ftp服务端程序) |
3. ftp数据连接模式
ftp有2种数据连接模式:命令连接和数据连接
- 命令连接:是指文件管理类命令,始终在线的持久性连接,直到用户退出登录为止
- 数据连接:是指数据传输,按需创建及关闭的连接
其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式
数据传输格式有以下两种:
- 文件传输
- 二进制传输
数据传输模式也有2种:
- 主动模式:由服务器端创建数据连接
- 被动模式:由客户端创建数据连接
两种数据传输模式的建立过程:
| 传输模式 | 建立过程 |
|---|---|
| 主动模式 | 命令连接: Client(1025)–> Server(21) 客户端以一个随机端口(大于1023)来连服务器端的21号端口 数据连接: Server(20/tcp) --> Client(1025+1) 服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号 |
| 被动模式 | 命令连接: Client(1110) --> Server(21) 客户端以一个随机端口来连成服务器端的21号端口 数据连接: Client(1110+1) --> Server(随机端口) 客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接 |
主动模式有个弊端,因为客户端的端口是随机的,客户端如果开了防火墙,
则服务器端去连客户端创建数据连接时可能会被拒绝
4. 用户认证
ftp的用户主要有三种:
- 虚拟用户:仅用于访问某特定服务中的资源
- 系统用户:可以登录系统的真实用户
- 匿名用户
5. vsftpd
此处我们要说的ftp应用程序是vsftpd,这也是在公司中用得最多的一款ftp软件。
vsftpd安装
[root@cjy ~]# yum -y install vsftpd
..................................
..................................
..................................
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Installing : vsftpd-3.0.5-5.el9.x86_64 1/1
Running scriptlet: vsftpd-3.0.5-5.el9.x86_64 1/1
Verifying : vsftpd-3.0.5-5.el9.x86_64 1/1
Installed:
vsftpd-3.0.5-5.el9.x86_64
Complete!
vsftpd配置
/etc/pam.d/vsftpd vsftpd用户认证配置文件
/etc/vsftpd/ 配置文件目录
/etc/vsftpd/vsftpd.conf 主配置文件
匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
系统用户通过ftp访问的资源位置为用户的家目录
虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录
vsftpd常见的配置参数:
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 启用匿名用户登录 |
| anon_upload_enable=YES | 允许匿名用户上传 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录,但是不能删除 |
| anon_other_write_enable=YES | 允许匿名用户创建和删除目录 |
| local_enable=YES | 启用本地用户登录 |
| write_enable=YES | 允许本地用户有写权限 |
| local_umask=022 | 通过ftp上传文件的默认遮罩码 |
| chroot_local_user=YES | 禁锢所有的ftp本地用户于其家目录中 |
| chroot_list_enable=YES | 开启禁锢文件列表 需要与chroot_list_file参数一起使用 |
| chroot_list_file=/etc/vsftpd/chroot_list | 指定禁锢列表文件路径 在此文件里面的用户将被禁锢在其家目录中 |
| allow_writeable_chroot=YES | 允许被禁锢的用户家目录有写权限 |
| xferlog_enable=YES | 是否启用传输日志,记录ftp传输过程 |
| xferlog_std_format=YES | 传输日志是否使用标准格式 |
| xferlog_file=/var/log/xferlog | 指定传输日志存储的位置 |
| chown_uploads=YES | 是否启用改变上传文件属主的功能 |
| chown_username=whoever | 指定要将上传的文件的属主改为哪个用户 此用户必须在系统中存在 |
| pam_service_name=vsftpd | 指定vsftpd使用/etc/pam.d下的 哪个pam配置文件进行用户认证 |
| userlist_enable=YES | 是否启用控制用户登录的列表文件: 默认为/etc/vsftpd/user_list文件 |
| userlist_deny=YES | 是否拒绝userlist指定的列表文件中存在的用户登录ftp |
| max_clients=# | 最大并发连接数 |
| max_per_ip=# | 每个IP可同时发起的并发请求数 |
| anon_max_rate | 匿名用户的最大传输速率,单位是“字节/秒” |
| local_max_rate | 本地用户的最大传输速率,单位是“字节/秒” |
| dirmessage_enable=YES | 启用某目录下的.message描述信息 假定有一个目录为/upload,在其下创建一个文件名为.message, 在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容 |
| message_file | 设置访问一个目录时获得的目录信息文件的文件名,默认是.message |
| idle_session_timeout=600 | 设置默认的断开不活跃session的时间 |
| data_connection_timeout=120 | 设置数据传输超时时间 |
| ftpd_banner=“Welcome to chenlf FTP service.” | 定制欢迎信息,登录ftp时自动显示 |
虚拟用户的配置:
所有的虚拟用户会被统一映射为一个指定的系统帐号,访问的共享位置即为此系统帐号的家目录
各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
虚拟用户帐号的存储方式:
1.文件:编辑文件,此文件需要被编码为hash格式。
奇数行为用户名
偶数行为密码
2.关系型数据库的表中:
通过即时查询数据库完成用户认证
mysql库:pam要依赖于pam_mysql软件,可以通过epel源yum安装
vsftpd用户配置
vsftpd匿名用户的配置步骤如下:
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
开启匿名登录将no改成yes
anonymous_enable=yes
关闭防火墙和selinux并启动服务
[root@cjy vsftpd]# systemctl enable --now vsftpd
Created symlink /etc/systemd/system/multi-user.target.wants/vsftpd.service → /usr/lib/systemd/system/vsftpd.service.
[root@cjy vsftpd]# systemctl disable --now firewalld
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".
[root@cjy vsftpd]# setenforce 0
[root@cjy vsftpd]# vim /etc/selinux/config
[root@cjy vsftpd]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
LISTEN 0 32 *:21 *:*
一般情况下配置文件里面都已经启用匿名用户登录,如果未启动添加下行命令进配置文件
anonymous_enable=YES
此时匿名用户已经可以下载但是无法上传
需要设置允许匿名用户上传
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
取消下列这行的注释
anon_upload_enable=YES
此时还是不能上传,因为该文件的属主权限是root需要修改
[root@cjy vsftpd]# cd /var/ftp/
[root@cjy ftp]# ls
pub
[root@cjy ftp]# chown -R ftp /var/ftp/pub
[root@cjy ftp]# ll
total 0
drwxr-xr-x. 2 ftp root 6 Oct 30 14:29 pub
此时就可以上传了
如何允许匿名用户创建目录,但是不能删除
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
需要取消下列这行的注释
anon_mkdir_write_enable=YES
如何允许匿名用户创建和删除目录
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
添加下列这行
anon_other_write_enable=YES
因为是ftp用户,所以现在上传的文件权限都是600
[root@cjy pub]# ll
total 4
-rw-------. 1 ftp ftp 3 Dec 13 15:58 666.txt
修改上传文件的权限需要设置匿名用户的遮障码
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
添加下列参数
anon_umask=022
上述操作只要是配置文件发生了变化就必需重启服务
[root@cjy vsftpd]# systemctl restart vsftpd
现在上传文件权限变成了644
[root@cjy pub]# ll
total 4
-rw-------. 1 ftp ftp 3 Dec 13 15:58 666.txt
-rw-r--r--. 1 ftp ftp 0 Dec 13 16:00 777.txt
vsftpd本地用户的配置步骤如下:
先查看本地有没有用户没有就创建一个
[root@cjy ~]# ls /home/
[root@cjy ~]# useradd tom
[root@cjy ~]# echo '123' | passwd --stdin tom
Changing password for user tom.
passwd: all authentication tokens updated successfully.
先启用本地用户登录
[root@cjy ~]# vim /etc/vsftpd/vsftpd.conf
local_enable=YES
本地用户上传文件权限是644
local_umask=022
上传文件查看效果
[root@cjy ~]# su - tom
[tom@cjy ~]$ ll
total 4
-rw-r--r--. 1 tom tom 3 Dec 13 16:07 666.txt
此时的本地用户可以看到根目录下的所有文件,需要禁锢所有的ftp本地用户于其家目录中
[root@cjy ~]# vim /etc/vsftpd/vsftpd.conf
取消此行注释
chroot_local_user=YES
同时需要允许被禁锢的用户家目录有写权限
allow_writeable_chroot=YES
发现现在无法查看
允许本地用户有写权限
write_enable=YES
发现可以创建文件
vsftpd虚拟用户的配置步骤如下:
例如若要添加两个用户yy、cc,密码分别为123、456
[root@cjy ~]# vim /etc/vsftpd/vu.list
[root@cjy ~]# cat /etc/vsftpd/vu.list
yy
123
cc
456
注意虚拟用户不可与本地用户重名
这里的用户名和密码是一一对应的,前面输的是帐号,后面跟的是密码
但是这个文件所有人都可以看到,需要加密
安装db工具,先查找
[root@cjy ~]# yum provides *bin/db_load
Last metadata expiration check: 1:05:43 ago on Wed 13 Dec 2023 03:22:46 PM CST.
libdb-utils-5.3.28-53.el9.x86_64 : Command line tools for managing Berkeley DB databases
Repo : appstream
Matched from:
Other : *bin/db_load
[root@cjy ~]# yum -y install libdb-utils
将刚创建的文本格式用户名、密码文件使用db工具转换成数据库文件
[root@cjy ~]# cd /etc/vsftpd/
[root@cjy vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh vu.list
[root@cjy vsftpd]# db_load -T -t hash -f /etc/vsftpd/vu.list /etc/vsftpd/vu.db
-T表示转换,-t表示加密方式使用hash算法加密
[root@cjy vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh vu.db vu.list
[root@cjy vsftpd]# file vu*
vu.db: Berkeley DB (Hash, version 9, native byte-order)
vu.list: ASCII text
为提高虚拟用户帐号文件的安全性,应将文件权限设置为600,以避免数据外泄
[root@cjy vsftpd]# ll vu.db
-rw-r--r--. 1 root root 12288 Dec 13 16:30 vu.db
[root@cjy vsftpd]# chmod 600 /etc/vsftpd/vu.db
[root@cjy vsftpd]# ll vu.db
-rw-------. 1 root root 12288 Dec 13 16:30 vu.db
添加虚拟用户的映射帐号、创建data根目录。例如要将使用的ftp根目录设置为data
映射帐号的名称为vftp,可以执行以下操作
[root@cjy ~]# useradd -d /data -s /sbin/nologin vftp
[root@cjy ~]# ll / |grep data
drwx------. 2 vftp vftp 62 Dec 13 16:36 data
[root@cjy ~]# chmod 755 /data/
[root@cjy ~]# ll / |grep data
drwxr-xr-x. 2 vftp vftp 62 Dec 13 16:36 data
为虚拟用户建立PAM认证
[root@cjy ~]# cd /etc/pam.d/
[root@cjy pam.d]# ls
config-util other remote sshd sudo-i vlock
crond passwd runuser sssd-shadowutils su-l vmtoolsd
fingerprint-auth password-auth runuser-l su system-auth vsftpd
login postlogin smartcard-auth sudo systemd-user
[root@cjy pam.d]# file vsftpd
vsftpd: ASCII text
cp一份原文件以免改错不能恢复
[root@cjy pam.d]# cp vsftpd vsftpd.bak
[root@cjy pam.d]# vim vsftpd
[root@cjy pam.d]# cat vsftpd
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vu
account required pam_userdb.so db=/etc/vsftpd/vu
此时本地用户将不能登录,虚拟用户和本地用户是冲突的
修改vsftpd配置文件,添加虚拟用户支持
[root@cjy ~]# vim /etc/vsftpd/vsftpd.conf
guest_enable=YES
guest_username=vftp
为不同的虚拟用户建立独立的配置文件
[root@cjy ~]# mkdir /etc/vsftpd/vusers_dir
[root@cjy ~]# cd etc/vsftpd/
[root@cjy vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh vu.db vu.list vusers_dir
[root@cjy vsftpd]# vim /etc/vsftpd/vsftpd.conf
加入这两行
user_config_dir=/etc/vsftpd/vusers_dir
allow_writeable_chroot=YES
有了上述配置后,就可以在/etc/vsftpd/vusers_dir目录中为每个虚拟用户分别建立配置文件了。
例如,若要使用虚拟用户yy能够上传文件、创建目录,而cc只有默认的下载权限,
可以执行以下操作
[root@cjy pam.d]# mkdir /etc/vsftpd/vusers_dir
[root@cjy etc]# cd vsftpd/
[root@cjy vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh vu.db vu.list vusers_dir
[root@cjy vsftpd]# cd vusers_dir/
[root@cjy vusers_dir]# touch yy cc
[root@cjy vusers_dir]# ls
cc yy
设置yy用户可上传文件、创建目录
[root@cjy vusers_dir]# vim yy
[root@cjy vusers_dir]# cat yy
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_umask=022
设置cc用户只有默认的下载权限,
[root@cjy vusers_dir]# vim cc
[root@cjy vusers_dir]# cat cc
然后重启服务
[root@cjy vusers_dir]# systemctl restart vsftpd
注意:虚拟用户是通过匿名访问的,所以必须开启匿名访问功能!!!
启动服务
[root@cjy ~]# systemctl start vsftpd
[root@cjy vsftpd]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
LISTEN 0 128 0.0.0.0:22 0.0.0.0:*
LISTEN 0 128 [::]:22 [::]:*
LISTEN 0 32 *:21 *:*
3269
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
