FTP工作原理
文件传输协议:file transfer protocol 早期的三个应用级协议之一
数据传输格式:二进制和文本
双通道协议:命令和数据连接
两种模式:从服务器角度
- 主动(POPT style):服务器主动连接
- 命令(控制):客户端:随机port-->服务器:21/tcp
- 被动(PASV style):客服端主动连接
- 命令(控制):客服端:随机port-->服务器:21/tcp
- 数据:客户端:随机port-->服务器:随机port/tcp
服务器数据端口为:224*256+59
FTP服务状态码:
1XX:信息 | 2XX:成功类状态 | 3XX:补充类 | 4XX:客户端错误 | 5XX:服务器错误 |
125:数据连接打开 | 200:命令OK | 331:用户名OK | 425:不能打开数据连接 | 530:不能登录 |
| 230:登录成功 | | | |
用户认证:
- 匿名用户:ftp,anonymous,对应Linux用户ftp
- 系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
- 虚拟用户:特定服务的专用用户,独立的用户/密码文件
FTP服务器端软件
vsftpd:Very Secure FTP Daemon,CentOS 默认FTP服务器
vsftpd 软件介绍
- 由vsftpd包提供
- 用户认证配置文件:/etc/pam.d/bsftpd
启动服务相关文件:
/usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd
配置文件:
/etc/vsftpd/vsftpd.conf
配置文件格式:
option=value
注意:= 前后不要有空格
用户和其共享目录
- 匿名用户(映射为系统用户ftp )共享文件位置:/var/ftp
- 系统用户共享文件位置:用户家目录
- 虚拟用户共享文件位置:专用于FTP服务的用户帐号, 为其映射的系统用户的家目录
vsftpd服务创建配置
listen_port=2121 默认值为21
主动模式端口
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 (默认) 指定主动模式的端口
被动模式端口范围
linux ftp 客户端默认使用被动模式
windows ftp 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配,端口范围会影响客户端的并发数
pasv_max_port=6010
使用当地时间
有的浏览器会自动校对时间,没有校对时间的,时间差8个小时
use_localtime=YES 使用当地时间(默认为NO,使用GMT)
匿名用户登录
anonymous_enable=YES 支持匿名用户,CentOS8 默认不允许匿名
no_anon_password=YES 匿名用户略过口令检查 , 默认NO
匿名用户上传
anon_upload_enable=YES 匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES 匿名建目录
setfacl -m u:ftp:rwx /var/ftp/pub
注意:还需要开启文件系统访问的权限,不能给FTP根目录写权限,只能给子目录写权限,否则报如 下错误
anon_world_readable_only=NO 只能下载全部读的文件, 默认YES
anon_umask=0333 指定匿名上传文件的umask,默认077,注意:0333中的0不能省略
anon_other_write_enable=YES 可删除和修改上传的文件,默认NO
指定匿名用户的上传文件的默认的所有者和权限
chown_uploads=YES #默认NO
chown_username=wang
chown_upload_mode=0644
Linux系统用户
local_enable=YES 是否允许linux用户登录
write_enable=YES 允许linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限对应umask
将所有系统用户映射为指定的guest用户
guest_enable=YES 所有系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效,指定guest用户
local_root=/ftproot 指定guest用户登录所在目录,但不影响匿名用户的登录目录
user_config_dir=/etc/vsftpd/conf.d/ 每个用户独立的配置文件目录
禁锢系统用户
禁锢所有系统用户在家目录中
chroot_local_user=YES #禁锢系统用户,默认NO,即不禁锢
禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反
chroot_list_enable=YES #默认是NO
chroot_list_file=/etc/vsftpd/chroot_list #默认值
当chroot_local_user=YES和chroot_list_enable=YES时,则chroot_list中用户不禁锢,即白名单
当chroot_local_user=NO和chroot_list_enable=YES时, 则chroot_list中用户禁锢,即黑名单
日志
#wu-ftp 日志:默认启用
xferlog_enable=YES #启用记录上传下载日志,此为默认值
xferlog_std_format=YES #使用wu-ftp日志格式,此为默认值
xferlog_file=/var/log/xferlog #可自动生成, 此为默认值
#vsftpd日志:默认不启用
dual_log_enable=YES 使用vsftpd日志格式,默认不启用
vsftpd_log_file=/var/log/vsftpd.log 可自动生成, 此为默认值
提示信息
登录前提示信息
ftpd_banner="welcome to mage ftp server"
banner_file=/etc/vsftpd/ftpbanner.txt
目录访问提示信息
dirmessage_enable=YES #此为默认值
message_file=.message #信息存放在指定目录下.message ,此为默认值,只支持单行说明
PAM模块实现用户访问控制
pam_service_name=vsftpd
#pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录,默认是黑名单,但也可以是白名单
#修改PAM配置,使ftpusers成为白名单
#将sense=deny 修改为 sense=allow
auth required pam_listfile.so item=user sense=allow
file=/etc/vsftpd/ftpusers onerr=succeed
是否启用控制用户登录的列表文件
never allow users in this file, and do not even prompt for a password.
userlist_enable=YES 此为默认值
userlist_deny=YES(默认值) 黑名单,不提示口令,NO为白名单
userlist_file=/etc/vsftpd/user_list 此为默认值
vsftpd服务指定用户身份运行
nopriv_user=nobody 此为默认值
连接数限制
max_clients=0 #最大并发连接数
max_per_ip=0 #每个IP同时发起的最大连接数
传输速率,单位:字节/秒
限速
anon_max_rate=0 匿名用户的最大传输速率,以字节为单位,比如:1024000表示1MB/s
local_max_rate=0 本地用户的最大传输速率
连接时间:秒为单位
connect_timeout=60 主动模式数据连接超时时长
accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 无命令操作超时时长
以文本方式传输
以文本方式传输文件时,会自动对文件进行格式转换,比如转换成windows的文本格式
#启用此选项可使服务器在ASCII模式下实际对文件进行ASCII处理。
#默认是禁用,禁用后,服务器将假装允许ASCII模式,但实际上会忽略激活它的请求
ascii_upload_enable=YES
ascii_download_enable=YES
注意:只适用于文本文件传输,其它格式的文件会被破坏。