存储基础知识、FTP服务介绍、vsftpd服务介绍、使用SSL实现FTPS、vsftpd虚拟用户

存储基础知识

DAS
直接存储(Direct Attached Storage)。存储设备与主机的紧密相连

DAS的管理成本较低，实施简单储时直接依附在服务器上，因此存储共享受到限制CPU必须同时完成磁盘存取和应用运行的双重任务，所以不利于CPU的指令周期的优化，增加系统负担

传输类型：SCSI、FC
数据类型：数据块
优点：磁盘与服务器分离，便于管理
缺点：连接距离短，数据分散，共享困难，空间利用率不高，扩展有限

NAS
网络连接存储(Network Attached Storage)，通过局域网在多个文件服务器之间实现了互联，基于文件的协议（ FTP、NFS、SMB/CIFS等 ），实现文件共享。

NAS的集中管理数据，从而释放带宽、提高性能，可提供跨平台文件共享功能，可靠性较差，适用于局域网或较小的网络

传输类型：IP
数据类型：文件
典型应用：文件服务器
优点：不占用应用服务器资源，广泛支持操作系统，扩展简单，安装方便即插即用
缺点：不适合储存大量的块级应用，数据备份和恢复占用网络带宽

SAN
存储区域网络(Storage Area Networks，SAN)，利用高速的光纤网络链接服务器与存储设备，基于SCSI，IP，ATM等多种高级协议，实现存储共享

SAN的服务器跟储存装置两者各司其职，利用光纤信道来传输数据，以达到一个服务器与储存装置之间多对多的高效能、高稳定度的存储环境实施复杂，管理成本高

传输类型：IP、FC、SAS
数据类型：数据块
典型应用：数据库应用
优点：高扩展，高可用，数据集中，易管理
缺点：比起NAS成本较高，安装、升级复杂

FTP服务

File Transfer Protocol 早期的三个应用级协议之一
基于C/S结构
双通道协议：数据和命令连接
数据传输格式：二进制（默认）和文本
两种模式：服务器角度

主动(PORT style)：服务器主动连接
命令（控制）：客户端：随机port —服务器：tcp21
数据：客户端：随机port—服务器：tcp20

被动(PASV style)：客户端主动连接
命令（控制）：客户端：随机port—服务器：tcp21
数据：客户端：随机port—服务器：随机port

服务器被动模式数据端口示例：
227 Entering Passive Mode (192,168,1,10,254,101)
服务器数据端口为：254*256+101

FTP服务器应用：

Wu-ftpd，Proftpd，Pureftpd，ServU，IIS
vsftpd:Very Secure FTP Daemon，CentOS默认FTP服务器高速，稳定，下载速度是WU-FTP的两倍
ftp.redhat.com数据:单机最多可支持15000个并发

客户端软件：

ftp，lftp，lftpget，wget，curl
ftp -A ftpserver port -A主动模式 –p 被动模式
lftp –u username ftpserver
lftp username@ftpserver
lftpget ftp://ftpserver/pub/file
gftp：GUI centos5 最新版2.0.19 (11/30/2008)
filezilla，CuteFtp，FlashFXP，LeapFtp
IE ftp://username:password@ftpserver

FTP状态码：

1XX：信息 125：数据连接打开
2XX：成功类状态 200：命令OK 230：登录成功
3XX：补充类 331：用户名OK
4XX：客户端错误 425：不能打开数据连接
5XX：服务器错误 530：不能登录

用户认证：

匿名用户：ftp,anonymous,对应Linux用户ftp
系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow
虚拟用户：特定服务的专用用户，独立的用户/密码文件nsswitch:network service switch名称解析框架pam:pluggable authentication module 用户认证/lib64/security /etc/pam.d/ /etc/pam.conf

vsftpd服务介绍

由vsftpd包提供
用户认证配置文件：/etc/pam.d/vsftpd
服务脚本： /usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd

配置文件：/etc/vsftpd/vsftpd.conf
man 5 vsftpd.conf
格式：option=value
注意：= 前后不要有空格

匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp
系统用户共享文件位置：用户家目录
虚拟用户共享文件位置：为其映射的系统用户的家目录

命令端口
listen_port=21

主动模式端口
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 （默认） 指定主动模式的端口

被动模式端口范围
linux 客户端默认使用被动模式
windows 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配
pasv_max_port=6010

使用当地时间
use_localtime=YES 使用当地时间（默认为NO，使用GMT）

匿名用户
anonymous_enable=YES 支持匿名用户
no_anon_password=YES(默认NO) 匿名用户略过口令检查
anon_world_readable_only (默认YES)只能下载全部读的文件
anon_upload_enable=YES 匿名上传，注意:文件系统权限
anon_mkdir_write_enable=YES 匿名建目录
anon_umask=0333 指定匿名上传文件的umask，默认077
anon_other_write_enable=YES 可删除和修改上传的文件

指定上传文件的默认的所有者和权限
chown_uploads=YES(默认NO)
chown_username=test
chown_upload_mode=0644

Linux系统用户
local_enable=YES 是否允许linux用户登录
write_enable=YES 允许linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限
guest_enable=YES 所有系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效，指定guest用户
local_root=/ftproot guest用户登录所在目录

禁锢所有系统用户在家目录中
chroot_local_user=YES（默认NO，不禁锢）禁锢系统用户

禁锢或不禁锢特定的系统用户在家目录中，与上面设置功能相反
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
当chroot_local_user=YES时，则chroot_list中用户不禁锢
当chroot_local_user=NO时，则chroot_list中用户禁锢

wu-ftp日志：默认启用
xferlog_enable=YES （默认） 启用记录上传下载日志
xferlog_std_format=YES （默认） 使用wu-ftp日志格式
xferlog_file=/var/log/xferlog （默认）可自动生成

vsftpd日志：默认不启用
dual_log_enable=YES 使用vsftpd日志格式，默认不启用
vsftpd_log_file=/var/log/vsftpd.log（默认）可自动生成

登录提示信息
ftpd_banner=“你丫的又来了"
banner_file=/etc/vsftpd/ftpbanner.txt 此文件优先级比上面的选项高

目录访问提示信息
dirmessage_enable=YES (默认)
message_file=.message(默认) 信息存放在指定目录下.message

使用pam(Pluggable Authentication Modules)完成用户认证
pam_service_name=vsftpd
pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录，如果sense=allow则变为只允许名单内的用户登录

是否启用控制用户登录的列表文件
userlist_enable=YES 默认有此设置
userlist_deny=YES(默认值) 黑名单,不提示口令，NO为白名单
userlist_file=/etc/vsftpd/users_list 此为默认值

vsftpd服务指定用户身份运行
nopriv_user=nobody (默认值)

连接数限制
max_clients=0 最大并发连接数
max_per_ip=0 每个IP同时发起的最大连接数

传输速率：字节/秒
anon_max_rate=0 匿名用户的最大传输速率
local_max_rate=0 本地用户的最大传输速率

连接时间：秒为单位
connect_timeout=60 主动模式数据连接超时时长
accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 无命令操作超时时长

优先以文本方式传输
ascii_upload_enable=NO
ascii_download_enable=NO
优先文本传输有可能会破坏数据

配置FTP服务以非独立服务方运行
vim /etc/vsftpd/vsftpd.conf/
listen=NO，默认为独立方式
vim /etc/xinetd.d/vsftpd
service ftp
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
log_on_failure += USERID
disable = no
}

使用SSL实现FTPS

查看程序是否支持SSL可以通过查看加载的模块来判断

使用命令
ldd `which vsftpd`

可以看到有加载libssl.so

FTPS实现步骤参考

1.创建自签名证书，这里可以用脚本快速生成

进入目录
cd /etc/pki/tls/certs/

然后使用命令
make ftps.pem
openssl x509 -in ftps.pem -noout –text

2.配置vsftpd服务支持SSL
vim /etc/vsftpd/vsftpd.conf
ssl_enable=YES 启用SSL
allow_anon_ssl=NO 匿名不支持SSL
force_local_logins_ssl=YES 本地用户登录加密
force_local_data_ssl=YES 本地用户数据传输加密
rsa_cert_file=/etc/pki/tls/certs/ftps.pem

3.用filezilla等工具测试是否成功

vsftpd虚拟用户

虚拟用户：
所有虚拟用户会统一映射为一个指定的系统帐号：访问共享位置，即为此系统帐号的家目录。各虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式：
文件：编辑文本文件，此文件需要被编码为hash格式，奇数行为用户名，偶数行为密码
db_load -T -t hash -f vusers.txt vusers.db

关系型数据库中的表中：
实时查询数据库完成用户认证
mysql库：pam要依赖于pam-mysql
/lib64/security/pam_mysql.so
/usr/share/doc/pam_mysql-0.7/README

实现基于文件验证的虚拟用户

1.创建用户数据库文件

编辑文件
vim /etc/vsftpd/vusers.txt
test
tttt112
test2
tttt113

编辑完后使用命令
cd /etc/vsftpd/
db_load -T -t hash -f vusers.txt vusers.db
chmod 600 vusers.db

2.创建用户和访问FTP目录
useradd -d /var/ftproot -s /sbin/nologin vuser
chmod 555 /var/ftproot/
mkdir /var/ftproot/upload
setfacl -m u:vuser:rwx /var/ftproot/upload
注意：默认根目录不能有写权限，否则无法登陆，上传需要在子文件夹里设置写权限来做上传路径

3.创建pam配置文件
vim /etc/pam.d/vsftpd.db
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
这里文件名不用加db后缀，可自动识别

4.指定pam配置文件
vim /etc/vsftpd/vsftpd.conf
guest_enable=YES
guest_username=vuser
pam_service_name=vsftpd.db

5.如果开启了SELINUX则
setsebool -P ftpd_full_access 1

6.虚拟用户建立独立的配置文件
先创建配置文件存放的路径
mdkir /etc/vsftpd/vusers.d/

然后编辑配置文件指定上面的路径
vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers.d/

进入目录编辑对应用户名的配置文件
cd /etc/vsftpd/vusers.d/

创建各用户自已的配置文件
vim test1
anon_upload_enable=YES 允许用户上传文件
anon_mkdir_write_enable=YES 允许用户建立和删除目录
anon_other_write_enable=YES 允许用户改名和删除文件

local_root=/test1root 登录目录改变至指定的目录

基于MYSQL的虚拟用户

1.准备好MYSQL服务器和FTP服务器，在FTP服务器上要额外安装pam_mysql模块，centos7可能没有rpm包，需要自己编译
编译步骤参考

下载源码pam_mysql-0.7RC1.tar.gz

解压
tar xvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1/

如果没有装pam-devel包需要先装上
yum pam-devel

编译安装
./configure --with-pam-mods-dir=/lib64/security --with-mysql=/usr --with-pam=/usr
make
make install

2.在mysql上创建虚拟用户账号

创建数据库
CREATE DATABASE vsftpd;

创建访问用的MYSQL账户
 GRANT SELECT ON vsftpd.* TO vsftpd@'127.0.0.1' IDENTIFIED BY 'test112';

刷新权限
FLUSH PRIVILEGES;

接下来创建表
USE vsftpd;
CREATE TABLE users (
id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,
name CHAR(50) BINARY NOT NULL,
password CHAR(48) BINARY NOT NULL
);

测试连接
mysql -uvsftpd -h 127.0.0.1 -ptest112

添加虚拟用户
为了安全应该使用PASSWORD函数加密其密码后存储
INSERT INTO users(name,password) values(‘test',password('test112'));

3.在FTP服务器上配置vsftpd服务
在FTP服务器上建立pam认证所需文件
vim /etc/pam.d/vsftpd.mysq

添加如下两行

auth required pam_mysql.so user=vsftpd passwd=test112 host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required pam_mysql.so user=vsftpd passwd=test112 host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

注意：参考README文档，选择正确的加密方式crypt是加密方式，
0表示不加密
1表示crypt(3)加密
2表示使用mysqlpassword()函数加密
3表示md5加密
4表示sha1加密

字段说明
auth 表示认证
account 验证账号密码正常使用
required 表示认证要通过
pam_mysql.so模块是默认的相对路径，是相对/lib64/security/路径而言，也可以写绝对路径；后面为给此模块传递的参数
user=vsftpd为登录mysql的用户
passwd=test112 登录mysql的的密码
host=127.0.0.1 mysql服务器的主机名或ip地址
db=vsftpd 指定连接msyql的数据库名称
table=users 指定连接数据库中的表名
usercolumn=name 当做用户名的字段
passwdcolumn=password 当做用户名字段的密码
crypt=2 密码的加密方式为mysql password()函数加密

4.建立相应用户和修改vsftpd配置文件，使其适应mysql认证
建立虚拟用户映射的系统用户及对应的目录
useradd -s /sbin/nologin -d /data/ftproot vuser
chmod 555 /data/ftproot

mkdir /data/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /data/ftproot/upload

确保/etc/vsftpd.conf中已经启用了以下选项
anonymous_enable=YES

添加下面两项
guest_enable=YES
guest_username=vuser

修改下面一项，原系统用户无法登录
pam_service_name=vsftpd.mysql

5.selinux如果开启，在FTP服务器上执行
restorecon -R /lib64/security
setsebool -P ftpd_connect_db 1
setsebool -P ftp_home_dir 1
chcon -R -t public_content_rw_t /var/ftproot/

6.在FTP服务器上配置虚拟用户具有不同的访问权限
vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限，每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录，只需要在vsftpd.conf指定其路径及名称即可

vim /etc/vsftpd/vsftpd.conf
添加如下选项
user_config_dir=/etc/vsftpd/vusers_config

创建所需要目录，并为虚拟用户提供配置文件
mkdir /etc/vsftpd/vusers_config/
cd /etc/vsftpd/vusers_config/
touch test1

配置虚拟用户的访问权限
虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如要让用户test1具有上传文件的权限，可修改/etc/vsftpd/vusers_config/test1文件，在里面添加如下选项并设置为YES即可,只读则设为NO
注意：需确保对应的映射用户对于文件系统有写权限
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_root=/ftproot 登录目录改变至指定的目录