本文章分为2部分,分别是FTP的理论部分和实战部分
FTP原理以及相关理论
FTP文件传输协议,是典型的C/S结构的应用层协议,需要由服务端软件、客户端软件两部分共同实现文件传输功能。
FTP文件传输协议提供文件上传和下载,可以在局域网使用,也可以在互联网使用。
FTP属于应用层协议,同时也属于TCP,TCP的好处:安全、可靠、有连接、速度慢,通过ftp可以传输文件
FTP连接及传输模式
ftp默认使用TCP协议的21号端口、20号端口与client进行通信,
20 号端口用于建立数据连接,然后传输文件(上传、下载)
21 号端口用户控制连接,用于发送命令信息,
1)主动模式
1 服务器主动发起
2 客户端想服务器21号端口建立ftp连接,如果需要传输数据,客户端以PORT命令告诉服务端,我开了一个端口(1024~65535),
3 服务器从20号端口想客户端开的某个端口发送请求并建立数据连接
2)被动模式
1 服务器等着
2 客户端主动发起请求(局域网的防火墙禁止主动模式)
3 客户端向服务端21端口建立ftp的控制连接,
4 当需要传输文件时,服务器以PASV命令告知客户端,我打开了某个端口
5 客户端向服务器的某端口发起数据连接
FTP传输模式
文本模式:ASCII 模式,以文本序列传输数据,适合纯文本
二进制模式:Binary 模式,以二进制序列传输数据,非纯文本:图片等
FTP的用户类型
1 匿名用户(无密码)
anonymous
ftp
2 本地用户
和系统有关,就是系统的普通用户
3 虚拟用户户
和系统无关,独立账户和密码,不能登录到系统中,非常安全,特别安全,老安全了
常见的 FTP 服务器程序
IIS、Serv-U
wu-ftpd、Proftpd
vsftpd(Very Secure FTP Daemon)
常见的FTP客户端程序
ftp 命令
CuteFTP、FlashFXP、LeapFTP、Filezilla
gftp、kuftp
用户列表文件
1 ftpusers
禁止登录到FTP服务器(里面的用户);不管在user_list文件是怎么样的,不能访问
2 user_list
包含可能禁止登录的用户
1) userlist_enable=YES/NO //是否启用user_list用户列表
2) userlist_deny=YES/NO //是否禁止user_list列表中的用户
举例
zhs用户用于访问FTP中的资源,zhs用户记录在user_list文件中,vsftpd配置选项中userlist_enable=YES;
userlist_deny=NO;然后zhs用户又存在ftpusers文件中,问zhs用户到底能不能访问FTP中的资源
vsftpd配置文件中的参数
用的全局配置项
listen=YES/NO:是否以独立运行的方式监听服务
listen_address=192.168.4.1:设置监听的 IP 地址
listen_port=21:设置监听 FTP 服务的端口号
write_enable=YES/NO:是否启用写入权限
download_enable=YES/NO:是否允许下载文件
userlist_enable=YES/NO:是否启用 user_list 列表文件
userlist_deny=YES/NO:是否禁用 user_list 中的用户
max_clients=0:限制并发客户端连接数
max_per_ip=0:限制同一个IP 地址的并发连接数
常用的匿名 FTP 配置项
anonymous_enable=YES:启用匿名访问,默认为YES
anon_umask=022:匿名用户所上传文件的权限掩码;文件默认权限=666-022,结果为644;目录默认权限=777-022,结果为755
anon_root=/var/ftp:匿名用户的 FTP 根目录,默认就是/var/ftp,如果更改,请设置好目录的属主,否则匿名用户无法访问
anon_upload_enable=YES/NO:允许上传文件
anon_mkdir_write_enable=YES/NO:允许创建目录
anon_other_write_enable=YES/NO:开放其他写入权
anon_max_rate=0:限制最大传输速率(字节/秒)
常用的本地用户 FTP 配置项
local_enable=YES:是否启用本地系统用户,默认启用
local_umask=022:本地用户所上传文件的权限掩码
local_root=/var/ftp:设置本地用户的 FTP 根目录
chroot_local_user=YES:是否将用户禁锢在主目录,不能切换其他目录,如:etc boot 等
local_max_rate=0:限制最大传输速率(字节/秒)
实战部分
注意:如果出现问题可能是pam文件写的有问题或者db文件+用户密码文件没有给600权限。
实现一个用户使用一个访问目录,基于实际环境,例如销售部只能看销售部的文件,财务部只能看财务部的文件,还有一个公共目录,大家都可以看
1.关闭iptables、setenforce0(如果不关闭则在防火墙上允许20/21端口)
2.创建文本格式的用户名、密码列表(此文件中奇数行为用户名,偶数行为用户对应的密码)
vim /etc/vsftpd/vusers.list
lisi
123.com
zhangsan
456.com
3.创建Berkeley DB格式的数据库文件
cd /etc/vsftpd
db_load -T -t hash -f vusers.list vusers.db
file vusers.db //查看属性
vusers.db: Berkeley DB (Hash, version 9, native byte-order)
chmod 600 /etc/vsftpd/vusers.* (必做,否则会失败)
4.添加虚拟用户的映射账号、创建FTP根目录
useradd -d /var/ftproot -s /sbin/nologin virtual
chmod 755 /var/ftproot/
5.为vsftpd服务添加虚拟用户支持
5.1.为虚拟用户建立pam认证文件
vim /etc/pam.d/vsftpd.vu
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
5.2.修改vsftpd配置,添加虚拟用户支持
vim /etc/vsftpd/vsftpd.conf
local_enable=YES
write_enable=YES
anon_umask=022
guest_enable=YES
pam_service_name=vsftpd.vu
user_config_dir=/etc/vsftpd/vusers_dir
5.3.为不同虚拟用户建立独立的配置文件
mkdir vusers_dir
cd vusers_dir/
建立财务部的目录
vim lisi
local_root=/caiwu
anon_upload_enable=YES
anon_mkdir_write_enable=YES
建立销售部的目录
vim zhangsan
local_root=/xiaoshou
anon_upload_enable=YES
anon_mkdir_write_enable=YES
建立公共目录,使用匿名用户,只有下载权限没有写入权限
vim /etc/vsftpd/vsftpd.conf
增加
local_root=/var/ftp
5.4重启服务即可
systemctl restart vsftpd
5.5验证
