#####################################
FTP简介
vsftpd基本使用
明文传输带来的安全隐患
安全通信方式
vsftpd + PAM + mysql实现虚拟用户
#####################################
FTP简介
文件传输服务位于应用层,监听21/tcp端口,数据传输模式为自适应,没有交叉编码能力Mine,遵循原文件本身格式,基于TCP协议实现,它有两个连接,命令连接和数据连接,它的工作模式有两种,主动模式和被动模式。
主动模式
被动模式
vsftpd基本使用
特性
文件服务权限等于文件系统权限和文件共享权限的交集
支持虚拟用户
家目录在/var/ftp目录下,/目录被锁定为其家目录
支持匿名用户
支持系统用户
家目录目录在/home/username目录下,/目录没有锁定,可以切换 lcd
支持基于PAM实现用户认证
安装
yum install vsftpd service vsftpd start chkconfig vsftpd on /etc/vsftpd 配置文件 /etc/init.d/vsftpd 服务脚本 /usr/sbin/vsftpd 守护进程 /etc/pam.d/* 配置文件 /lib/security 认证模块 /var/ftp 文件目录,不允许除root用户之外的其他用户具有写权限
常用选项
anonymous_enable=YES 启用匿名用户anonymous
local_enable=YES 启用系统用户
write_enable=YES 开启写入
anon_upload_enable=YES 开启上传
anon_mkdir_write_enable=YES 开启目录创建
anon_other_write_enable=YES 开启其他写权限,例如delete等……
dirmessage_enable=YES 开启目录进入欢迎提示
vim /var/ftp/upload/.message 当用户切换到此目录时候会显示
xferlog_enable=YES 开启传输日志
xferlog_file=/var/log/vsftpd.log 定义传输日志存储位置和名称
#chown_uploads=YES 是否开启修改用户上传之后修改用户属主
#chown_username=whoever 修改为谁?
#idle_session_timeout=600 命令连接超时时间
#data_connection_timeout=120 数据连接超时时间
#ascii_upload_enable=YES 文本模式上传
#ascii_download_enable=YES 文本模式下载
chroot_list_enable=YES 禁锢用户至自己家目录
chroot_list_file=/etc/vsftpd/chroot_list通过用户列表禁锢那些用户
#chroot_local_user=YES 禁锢所有用户至自己家目录,需要注释上面两项
listen=YES vsftpd是否工作为一个独立守护进程类型;
独立守护进程适合于 (访问量大,在线时间长的服务)
瞬时守护进程 (访问量比较小,在线时间不长的服务)
pam_service_name=vsftpd 基于pam的认证
/etc/vsftpd/ftpusers (文件中用户不能登录,清空/etc/vsftpd/user_list后才真正由此文件控制)
userlist_enable=YES 文件的用户不允许登录(/etc/vsftpd/user_list)
userlist_deny=NO 仅允许文件中的用户可以登录(/etc/vsftpd/user_list)
tcp_wrappers=YES
max_clients 最多允许几个IP访问
max_per_ip 一个IP最多几个请求举例:让匿名用户可以上传文件
anon_upload_enable=YES 开启 mkdir /var/ftp/upload setfacl -m u:ftp:rwx /var/ftp/upload/ getfacl /var/ftp/upload/
明文传输带来的安全隐患
使用客户端连接FTP服务器
在服务器端使用tcpdum命令抓包
tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 192.168.1.30
安全通信方式
ftps:ftp+ssl/tls
sftp:OpenSSH,SubSystem,sftp(SSH)
创建私有CA
cd /etc/pki/CA mkdir certs newcerts crl echo 01 > serial (umask 077;openssl genrsa -out private/cakey.pem 2048)创建私钥 openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650生成自签证书
生成证书颁发请求并签署
mkdir /etc/vsftpd/ssl cd /etc/vsftpd/ssl (umask 077; openssl genrsa -out vsftpd.key 2048;) 生成私钥 openssl req -new -key vsftpd.key -out vsftpd.csr 生成证书颁发请求 openssl ca -in vsftpd.csr -out vsftpd.crt 签署证书
修改配置文件etc/vsftpd/vsftpd.conf支持ssl、tsl功能
# ssl or tls ssl_enable=YES ssl_sslv3=YES ssl_tlsv1=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key
客户端软件登陆
本文中使用FlashFXP作为FTP客户端
点击连接
成功连接
在服务器端抓包发现是明文
tcpdump -i eth0 -nn -X -vv tcp port 21 and ip host 192.168.1.30
vsftpd + PAM + mysql实现虚拟用户
一、安装所需要程序
事先安装好开发环境和mysql数据库;
yum -y install mysql-server mysql-devel yum -y groupinstall "Development Tools" "Development Libraries"
安装pam_mysql-0.7RC1
tar zxvf pam_mysql-0.7RC1.tar.gz cd pam_mysql-0.7RC1 ./configure --with-mysql=/usr --with-opensslrpm包的mysql make make install
安装vsftpd
yum -y install vsftpd
二、创建虚拟用户账号
准备数据库及相关表,首先请确保mysql服务已经正常启动。而后,按需要建立存储虚拟用户的数据库即可,这里将其创建为vsftpd数据库。
mysql> create database vsftpd;
mysql> grant select on vsftpd.* to vsftpd@localhost identified by 'vsftpd';
mysql> grant select on vsftpd.* to vsftpd@127.0.0.1 identified by 'vsftpd';
mysql> flush privileges;
mysql> use vsftpd;
mysql> create table users (
-> id int AUTO_INCREMENT NOT NULL,
-> name char(20) binary NOT NULL,
-> password char(48) binary NOT NULL,
-> primary key(id)
-> );添加测试的虚拟,用户pam_mysql的password()函数与MySQL的password()函数可能会有所不同。
insert into users (name,password) value ('bob','123'),('tom','321'),('lucy','333');三、配置vsftpd
建立pam认证所需文件vi /etc/pam.d/vsftpd.mysql
auth required /usr/lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0 account required /usr/lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0
修改vsftpd的配置文件,使其适应mysql认证,建立虚拟用户映射的系统用户及对应的目录
useradd -s /sbin/nologin -d /var/ftproot vuser chmod go+rx /var/ftproot
请确保/etc/vsftpd.conf中已经启用了以下选项
anonymous_enable=YES local_enable=YES write_enable=YES anon_upload_enable=YES anon_mkdir_write_enable=NO chroot_local_user=YES
修改为NO,验证不通过SSL
force_local_data_ssl=NO force_local_logins_ssl=NO
而后添加以下选项
guest_enable=YES 启用来宾用户 guest_username=vuser 来宾用户为
并确保pam_service_name选项的值如下所示
pam_service_name=vsftpd.mysql
四、启动vsftpd服务并测试
启动服务
service vsftpd start chkconfig vsftpd on 自动启动
查看端口开启情况
netstat -tnlp |grep :21
查看数据库
FTP客户端工具登录验证pam是否生效
五、配置虚拟用户具有不同的访问权限
为虚拟用户使用配置文件目录
vim /etc/vsftpd/vsftpd.conf user_config_dir=/etc/vsftpd/vusers_dir
创建所需要目录,并为虚拟用户提供配置文件
mkdir /etc/vsftpd/vusers_dir/ touch /etc/vsftpd/vusers_dir/bob /etc/vsftpd/vusers_dir/tom
配置虚拟用户的访问权限;所有虚拟用户的家目录为/var/ftproot;所有的虚拟用户映射到vuser中,而vuser属于匿名用户,因此虚拟用户的访问权限是通过匿名用户指令生效的。
bob可以上传、创建、删除
vim /etc/vsftpd/vusers_dir/bob anon_upload_enable=YES (配置文件中已经开启,这里不写也可以) anon_mkdir_write_enable=YES anon_other_write_enable=YES
tom不可以上传
vim /etc/vsftpd/vusers_dir/tom anon_upload_enable=NO
lucy可以上传
主配置文件中匿名上传已启用anon_upload_enable=YES,所以不需要做任何修改
bob测试
tom测试
lucy测试
