FTP工作原理

文件传输协议:file transfer protocol    早期的三个应用级协议之一

数据传输格式:二进制和文本

双通道协议:命令和数据连接

两种模式:从服务器角度

  • 主动(POPT style):服务器主动连接
  • 命令(控制):客户端:随机port-->服务器:21/tcp
  • 被动(PASV style):客服端主动连接
  • 命令(控制):客服端:随机port-->服务器:21/tcp
  • 数据:客户端:随机port-->服务器:随机port/tcp

服务器数据端口为:224*256+59

FTP服务状态码:

1XX:信息

2XX:成功类状态

3XX:补充类

4XX:客户端错误

5XX:服务器错误

125:数据连接打开

200:命令OK    

331:用户名OK

425:不能打开数据连接

530:不能登录

 

 230:登录成功

 

 

 

 

用户认证:

  • 匿名用户:ftp,anonymous,对应Linux用户ftp
  • 系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
  • 虚拟用户:特定服务的专用用户,独立的用户/密码文件

FTP服务器端软件

vsftpd:Very Secure FTP Daemon,CentOS 默认FTP服务器

vsftpd 软件介绍

  • 由vsftpd包提供
  • 用户认证配置文件:/etc/pam.d/bsftpd

启动服务相关文件:

/usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd

配置文件:

/etc/vsftpd/vsftpd.conf

配置文件格式:

option=value
注意:= 前后不要有空格

用户和其共享目录

  • 匿名用户(映射为系统用户ftp )共享文件位置:/var/ftp
  • 系统用户共享文件位置:用户家目录
  • 虚拟用户共享文件位置:专用于FTP服务的用户帐号, 为其映射的系统用户的家目录

vsftpd服务创建配置

listen_port=2121 默认值为21

主动模式端口

connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 (默认) 指定主动模式的端口

被动模式端口范围

linux       ftp   客户端默认使用被动模式
windows     ftp   客户端默认使用主动模式
pasv_min_port=6000   0为随机分配,端口范围会影响客户端的并发数
pasv_max_port=6010

使用当地时间

有的浏览器会自动校对时间,没有校对时间的,时间差8个小时

use_localtime=YES 使用当地时间(默认为NO,使用GMT)

匿名用户登录

anonymous_enable=YES   支持匿名用户,CentOS8 默认不允许匿名
no_anon_password=YES   匿名用户略过口令检查 , 默认NO

匿名用户上传

anon_upload_enable=YES      匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES    匿名建目录
setfacl -m u:ftp:rwx /var/ftp/pub

注意:还需要开启文件系统访问的权限,不能给FTP根目录写权限,只能给子目录写权限,否则报如 下错误
anon_world_readable_only=NO  只能下载全部读的文件, 默认YES
anon_umask=0333         指定匿名上传文件的umask,默认077,注意:0333中的0不能省略
anon_other_write_enable=YES   可删除和修改上传的文件,默认NO

 指定匿名用户的上传文件的默认的所有者和权限

chown_uploads=YES        #默认NO
chown_username=wang
chown_upload_mode=0644

Linux系统用户

local_enable=YES     是否允许linux用户登录
write_enable=YES     允许linux用户上传文件
local_umask=022      指定系统用户上传文件的默认权限对应umask

将所有系统用户映射为指定的guest用户

guest_enable=YES               所有系统用户都映射成guest用户
guest_username=ftp               配合上面选项才生效,指定guest用户
local_root=/ftproot             指定guest用户登录所在目录,但不影响匿名用户的登录目录
user_config_dir=/etc/vsftpd/conf.d/   每个用户独立的配置文件目录

禁锢系统用户

禁锢所有系统用户在家目录中

chroot_local_user=YES   #禁锢系统用户,默认NO,即不禁锢

禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反

chroot_list_enable=YES                    #默认是NO
chroot_list_file=/etc/vsftpd/chroot_list         #默认值
  
当chroot_local_user=YES和chroot_list_enable=YES时,则chroot_list中用户不禁锢,即白名单
当chroot_local_user=NO和chroot_list_enable=YES时, 则chroot_list中用户禁锢,即黑名单

日志

#wu-ftp 日志:默认启用
xferlog_enable=YES               #启用记录上传下载日志,此为默认值
xferlog_std_format=YES            #使用wu-ftp日志格式,此为默认值
xferlog_file=/var/log/xferlog        #可自动生成, 此为默认值

#vsftpd日志:默认不启用
dual_log_enable=YES              使用vsftpd日志格式,默认不启用
vsftpd_log_file=/var/log/vsftpd.log    可自动生成, 此为默认值

提示信息

登录前提示信息

ftpd_banner="welcome to mage ftp server"
banner_file=/etc/vsftpd/ftpbanner.txt

目录访问提示信息

dirmessage_enable=YES #此为默认值
message_file=.message #信息存放在指定目录下.message ,此为默认值,只支持单行说明

PAM模块实现用户访问控制

pam_service_name=vsftpd
#pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录,默认是黑名单,但也可以是白名单
#修改PAM配置,使ftpusers成为白名单
#将sense=deny 修改为 sense=allow
auth       required     pam_listfile.so item=user sense=allow
file=/etc/vsftpd/ftpusers onerr=succeed

是否启用控制用户登录的列表文件

never allow users in this file, and do not even prompt for a password.

userlist_enable=YES   此为默认值
userlist_deny=YES(默认值) 黑名单,不提示口令,NO为白名单
userlist_file=/etc/vsftpd/user_list 此为默认值

vsftpd服务指定用户身份运行

nopriv_user=nobody   此为默认值

连接数限制

max_clients=0 #最大并发连接数
max_per_ip=0 #每个IP同时发起的最大连接数

传输速率,单位:字节/秒

限速

anon_max_rate=0      匿名用户的最大传输速率,以字节为单位,比如:1024000表示1MB/s
local_max_rate=0      本地用户的最大传输速率

连接时间:秒为单位

connect_timeout=60       主动模式数据连接超时时长
accept_timeout=60       被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60    无命令操作超时时长

以文本方式传输

以文本方式传输文件时,会自动对文件进行格式转换,比如转换成windows的文本格式

#启用此选项可使服务器在ASCII模式下实际对文件进行ASCII处理。
#默认是禁用,禁用后,服务器将假装允许ASCII模式,但实际上会忽略激活它的请求
ascii_upload_enable=YES
ascii_download_enable=YES

注意:只适用于文本文件传输,其它格式的文件会被破坏。