FTP-文件传输协议(File Transfer Protocol)
应用层的文件共享服务
(1)应用程序:
- 架构C/S
- 客户端
- 服务端
(2)服务端口:
- TCP21 命令
- TCP20 数据
(3)服务模式:
- 被动模式-/passive/pasv方式
- 主动模式-/standard/port方式,服务器使用20端口连接客户端
1、主动模式FTP:
主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口–21端口。然后客户端在N+1(N+1 >= 1024)端口监听,并且通过N+1(N+1 >= 1024)端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口,比如20端口。
以服务器端防火墙为立足点,要支持主动模式FTP需要打开如下交互中使用到的端口:
- FTP服务器命令(21)端口接受客户端任意端口(客户端初始连接)
- FTP服务器命令(21)端口到客户端端口(>1023)(服务器响应客户端命令)
- FTP服务器数据(20)端口到客户端端口(>1023)(服务器初始化数据连接到客户端数据端口)
- FTP服务器数据(20)端口接受客户端端口(>1023)(客户端发送ACK包到服务器的数据端口)
用图表示如下:
2、被动模式FTP
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
- FTP服务器命令(21)端口接受客户端任意端口(客户端初始连接)
- FTP服务器命令(21)端口到客户端端口(>1023)(服务器响应客户端命令)
- FTP服务器数据端口(>1023)接受客户端端口(>1023)(客户端初始化数据连接到服务器指定的任意端口)
- FTP服务器数据端口(>1023)到客户端端口(>1023)(服务器发送ACK响应和数据到客户端的数据端口)
用图表示如下:
3、优缺点:
主动模式对ftp对服务器管理有利,是由FTP服务器主动与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞。而被动模式对客户端管理有效,它是企图 与服务端的随机端口建立连接但是这个端口很可能又会被服务端的防火墙所拒绝。
一般做安全措施我们是在被动模式下做,由于主动模式是打开一个端口给客户端传送数据,我们做安全措施都是基于端口来做所以不太好做,一般也不建议去做。但是被动模式也是在不停地放端口,所以慢慢的ftp慢慢的在淘汰。
防火墙的意义:
链接追踪/RELATED------
自动监听该端口,并且设置防火墙允许被人来访问该端口
FTP的用户转换:
匿名用户–>系统用户
虚拟用户–>系统用户
4、相关配置如下:
FTP服务在Linux环境下的配置:
[root@csa ~]# yum install vsftpd -y
[root@csa ~]# systemctl restart vsftpd
打开主配置文件:
[root@csa ~]# vim /etc/vsftpd/vsftpd.conf
打开从配置文件:
[root@csa ~]# vim /var/ftp/pub
主配置文件的详解:
anonymous_enable=YES //是否启用匿名用户
local_enable=YES
write_enable=YES //允许写入(无论是匿名用户还是本地用户要实现上传就需要快开启它)
local_umask=022 //默认本地用户上传文件权限755
dirmessage_enable=YES //显示每个目录下的文件信息
xferlog_enable=YES //日志启用
connect_from_port_20=YES //主动请求的数据端口
chown_uploads=YES //所有匿名用户上传的文件所属用户将会被改成chown_username
chown_username=whoever //匿名上传的所属用户名是whoever
xferlog_file=/var/log/xferlog //启用的日志文件
xferlog_std_format=YES
idle_session_timeout=600 //空闲连接超时
data_connection_timeout=120 //数据连接超时
nopriv_user=ftpsecure //当服务器运行于最底层时使用的用户名
chroot_list_enable=YES chroot_local_user=YES //所有文件列出用户, 可以切换到其他目录
chroot_list_file=/etc/vsftpd/chroot_list
listen=NO //服务将自己监听处理listen_ipv6=YES
pam_service_name=vsftpd //设置PAM认证模块使用名称预设为vsftpd
userlist_enable=YES
tcp_wrappers=YES //服务端和客户端访问控制策略(服务器级别的一种防火墙)
Mime
匿名用户
1、[下载]
默认配置即可实现
[root@csa ~]# echo hehe > /var/ftp/pub/hehe.txt
去ie浏览器访问:ftp://192.168. .
windows资源管理器中:ftp://192.168. .
2、[上传]
#修改配置文件中匿名上传的相关选项
[root@ldap ftp]# vim /etc/vsftpd/vsftpd.conf
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
#修改匿名用户目录的权限
[root@ldap ftp]# chmod 777 pub/
>>测试可以上传 和下载文件但是不能删除文件
#修改匿名上传布尔值
[root@ldap var]# getsebool -a | grep ftpd_anon_write
ftpd_anon_write --> on
[root@ldap ftp]# setsebool ftpd_anon_write on
#修改匿名上传的上下文权限
[root@ldap var]# ll -Z /var/ftp
drwxr-xrwx. root root system_u:object_r:public_content_rw_t:s0 pub
[root@ldap ftp]# chcon -t public_content_rw_t pub/
3、[删除]
#修改配置文件,添加如下选项
[root@ldap ftp]# vim /etc/vsftpd/vsftpd.conf
anon_other_write_enable=YES
>>再上传下载的前提下可以删除文件,以及替换文件
本地用户
1、[下载]
#修改主配置文件开启本地用户权限
[root@ldap ftp]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
默认上来是在用户的家目录,匿名用户上来默认是在/var/ftp/pub目录下
注释以下三行:
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
#修改布尔值打开/home目录的权限
[root@localhost haha]# getsebool -a | grep ftp_home_dir
ftp_home_dir --> off
[root@localhost haha]# setsebool -P ftp_home_dir on
2、[上传]
#修改主配置文件开启本地用户权限
[root@ldap ftp]# vim /etc/vsftpd/vsftpd.conf
write_enable=YES
测试访问:ftp://ip需要通过用户名密码进行登录,默认访问的界面是该用户目录下的所有文件,(注意除root用户),可以通过本地用户上传文件和下载文件也可以删除文件。弊端是:可以来回切换都可以通过本地用户的身份看到/下的所有东西。
3、[删除]
同上传配置
4、[遍历]
#首先开启chroot选项
[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf
allow_writeable_chroot=YES
#然后使用下面两个选项之一,第一种是本地用户不能上下翻,第二种是指定列表用户不能翻。
#指定本地用户不能chroot,不能翻
chroot_local_user=YES
#开启通过列表的方式来指定用户
chroot_list_enable=YES
#指定用户列表文件
chroot_list_file=/etc/vsftpd/chroot_list
#在当前目录创建用户列表文件
[root@localhost vsftpd]# cat chroot_list
haha
- 当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd/chroot_list文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录。
- 当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd/chroot_list 文件中列出的用户,不能切换到其他目录;未在文件中列出的用户,可以切换到其他目录。
- 当chroot_list_enable=NO,chroot_local_user=YES时,所有的用户均不能切换到其他目录。
- 当chroot_list_enable=NO,chroot_local_user=NO时,所有的用户均可以切换到其他目录。
虚拟用户
#创建系统用户,禁止该用户进行登陆
[root@ldap ftp]# useradd -s /sbin/nologin vhaha
#修改用户家目录权限
[root@localhost vsftpd]# chmod 704 /home/vhaha/
#修改主配置文件,增加以下三个选项
[root@ldap ftp]# vi /etc/vsftpd/vsftpd.conf
guest_enable=YES //客人模式
guest_username=vhaha #vhaha为系统用户
virtual_use_local_privs=YES //本地虚拟用户特权开启
#创建虚拟用户数据库文件:
#创建虚拟用户文件如下:
#格式为一行用户名,一行密码,示例中abc为用户名,redhat为密码
[root@localhost vsftpd]# cat vhaha
abc
redhat
xixi
redhat
haha
redhat
#将虚拟用户文件转换成用户数据库文件
[root@localhost vsftpd]# db_load -T -t hash -f vhaha vhaha.db
#修改虚拟用户数据库文件权限
[root@localhost vsftpd]# chmod 600 vhaha.db
#查看虚拟用户数据库文件的上下文权限
[root@localhost vsftpd]# ll -Z user.db
-rw-------. root root unconfined_u:object_r:etc_t:s0 user.db
#修改PAM认证方式
#编辑认证配置文件
[root@localhost vsftpd]# vi /etc/pam.d/vsftpd
#mv /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
pam_service_name=vsftpd //设置PAM认证模块使用名称预设为vsftpd
#注释掉所有行,并添加以下两行:
auth required pam_userdb.so db=/etc/vsftpd/vhaha
account required pam_userdb.so db=/etc/vsftpd/vhaha
#注:(.so动态连接库)数据库文件名的“.db”不用输入
#完成以上配置后,重启服务进行测试
是虚拟用户不能进行登录,使用chroot_local
创作者:Eric· Charles