本文详细介绍了FTP服务,包括FTP的基本概念、架构、数据连接模式和用户认证。重点讲解了常用的FTP服务器软件vsftpd的安装、配置,涵盖了匿名用户和系统用户的设置,以及虚拟用户的详细配置步骤,确保不同用户有不同的权限访问FTP资源。
ftp
-
1、ftp简介
-
2、ftp架构包是否投屏的
-
3、ftp数据连接模式
-
4、用户认证
-
5、vsftpd
-
5.1vsftpd安装
-
5.2vsftpd配置
-
5.3vsftpd虚拟用户配置
-
5.4vsftpd匿名用户
-
5.5vsftpd系统用户
-
1.ftp简介
网络文件共享服务主流的主要有三种,分贝时ftp、nfs、samba。
FTP是File Transfer protocol(文件传输协议)的简称,用于Internet上的控制文件的双向传输。
FTP也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有的这些应用程序都遵守同一种协议传输文件。
在FTP的使用当中,用户经常遇到那两种概念:下载和上传
| 下载(Download) | 上传(Upload) |
|---|---|
| 从远程主机拷贝文件至自己的计算机上 | 将文件从自己的计算机上拷贝至远主机上 |
2.ftp架构
FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。其有多重客户端和服务端的应用程序,下面来简单介绍以下
| 客户端工具 | 服务端软件 |
|---|---|
| ftp | wu-ftpd |
| lftp,lfpget | proftpd (提供web接口的一种ftp服务端程序 |
| wget,curl | pureftp |
| filezilla | vstftpd (Very Secure) |
| gttp(Linux GUI) | ServU (windows平 台的一种强大ftp服务端程序) |
| 商业软件(flashfxp,cuteftp) |
3. ftp数据连接模式
ftp有2种数据连接模式:命令连接和数据连接
- 命令连接是指文件管理类命令, 始终在线的持久性连接,直到用户退出登录为止
- 数据连接是指数据传输,按需创建及关闭的连接
其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式
数据传输格式有以下两种:
- 文件传输
- 二进制传输
数据传输模式也有2种: - 主动模式:由服务器端创建数据连接
- 被动模式:由客户端创建连接
两种数据传输模式的建立过程:
| 传输模式 | 建立过程 |
|---|---|
| 主动模式 | 命令连接:Client(1025)–>Server(21)客户端以一个随机端口(大于1023)来连接服务端的21号端口数据连接:Server(20/tcp)–>Client(1025+1)服务端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口 |
| 被动模式 | 命令连接:Client(1110)–>Server(21)客户端以一个随机端口来连成服务端的21号端口数据连接:Client(1110.+1)–>Server(随机端口)客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接 |
主动模式有个弊端,因为客户端的端口是随机的,客户端如果开了防火墙,则服务端去连客户端创建数据连接时可能会被拒绝
4.用户认证
ftp的用户主要有三种:
- 虚拟用户:仅用于访问某特定服务中的资源
- 系统用户:可以登录系统的真实用户
- 匿名用户
5. vsftpd
此处我们要说的ftp应用程序是vsftpd,这也是在公司中用得最多的-款tp软件。
5.1 vsftpd安装
[root@service ~]# yum -y install vsftpd
Total download size: 169 k
Installed size: 348 k
Downloading packages :
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : vsftpd-3. 0.2-22.el7.x86_ 64Verifying : vsftpd-3.0.2-22.el7.x86_ 64Installed:
vsftpd.x86_ 64 0:3.0.2-22. el7
Complete!5.2 vsftpd配置
/etc/ pam.d/vsftpd //vs ftpd用户认证配置文件
/etc/vsftpd/ //配置文件目录
/etc/vsftpd/vsftpd. conf //主配置文件
//匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
//系统用户通过ftp访问的资源位置为用户的家目录
//虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录vsftpd常见的配置参数:
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 启用匿名用户登录 |
| anon_upload_enable=YES | 允许匿名用户上传 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录,但是不能删除 |
| anon_other_ write_enable=YES | 允许匿名用户创建和删除目录 |
| local _enable=YES | 启用本地用户登录 |
| write_enable=YES | 允许本地用户有写权限 |
| local_umask=022 | 通过ftp上传文件的默认遮罩码 |
| chroot_local_user=YES | 禁锢所有的tp本地用户于其家目录中 |
| chroot _list enable=YES | 开启禁锢文件列表 需要与chrootlist file参数一起使用 |
| chroot _list _fel/etc/sttpd/croo _ist | 指定禁锢列表文件路径 在此文件里面的用户将被禁锢在其家目录中 |
| allow writeable chroot=YES | 允许被禁铜的用户家目录有写权限 |
| xferlog_enable=YES | 是否启用传输日志,记录代P传输过程 |
| xferlog_std format=YES | 传输日志是否使用标准格式 |
| xferlog_file=/var/log/xferlog | 指定传输日志存储的位置 |
| chown uploads=YES | 是否启用改变上传文件属主的功能 指定要将上传的文件的属主改为哪个用户 |
| chown_username=whoever | 指定要将上传的文件的属主改为那个用户 此用户必须在系统中存在 |
| pam_service_ name=vsftpd | 指定vsftpd使用/etc/pam.d下的 哪个pam配置文件进行用户认证 |
| userist_enable=YES | 是否启用控制用户登录的列表文件: 默认为/etc/vsftpd/user list文件 |
| userlist_ deny=YES | 是否拒绝userlist指定的列表文件中存在的用户登录ftp |
| max _clients=# | 最大并发连接数 |
| max_ per_ip=# | 每个IP可同时发起的并发请求数 |
| anon_ max _rate | 匿名用户的最大传输速率,单位是“字节/秒” |
| local_max _rate | 本地用户的最大传输速率,单位是“字节/秒" |
| dirmessage_enable=YES | 启用某目录下的.message描述信息 假定有一个目录为/upload,在其下创建一个文件名为.message, 在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.messagel |
| message_file | 设置访问一个目录时获得的目录信息文件的文件名,默认是message |
| idle_ session_timeout=600 | 设置默认的断开不活跃session的时间 |
| data connection _timeout=120 | 设置数据传输超时时间 |
| tpd banner=“Welcome to chentf FTP service.” | 定制欢迎信息,登录tp时自动显示 |
//虚拟用户的配置:
//所有的能拟用户会被统一映射为一个指定的系统帐号访问的共享位置即为此系统帐号的家目录
//各虚拟用户可被展予不同的访问权限,通过匿名用户的权限控制参数进行指定
1.文件:编辑文件,此文件需要被编码为hash格式。
奇数行为用户名
偶数行为密码
2.关系型数据库的表中:
通过即时查询数据库完成用户认证
mysqL库: pam要依赖于pam mysql软件,可以通过epel源yum安装
5.3 vsftpd虚拟用户配置
vsftpd虚拟用户的配置步骤如下:
//进入yum目录进行下载
[root@service ~]# cd /etc/yum.repos.d/
[root@service yum.repos.d]# wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
--2020-04-01 13:13:10-- http://mirrors.163.com/.help/CentOS7-Base-163.repo
正在解析主机 mirrors.163.com (mirrors.163.com)... 59.111.0.251
正在连接 mirrors.163.com (mirrors.163.com)|59.111.0.251|:80... 已连接。
已发出 HTTP 请求,正在等待回应... 200 OK
长度:1572 (1.5K) [application/octet-stream]
正在保存至: “CentOS7-Base-163.repo”
100%[===============================================================================>] 1,572 --.-K/s 用时 0s
2020-04-01 13:13:10 (39.9 MB/s) - 已保存 “CentOS7-Base-163.repo” [1572/1572])
//将原有的yum文件移除
[root@service yum.repos.d]# ls
CentOS7-Base-163.repo man.repo redhat.repo
[root@service yum.repos.d]# mv man.repo /etc
[root@service yum.repos.d]# ls
CentOS7-Base-163.repo redhat.repo
[root@service yum.repos.d]# mv redhat.repo /etc
[root@service yum.repos.d]# ls
CentOS7-Base-163.repo
//更改里面的配置
[root@service ~]# sed -i 's/\$releasever/7/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@service ~]# sed -i 's/^enabled=.*/enabled=1/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@service ~]# cd /etc/yum.repos.d
[root@service yum.repos.d]# yum clean all
已加载插件:product-id, search-disabled-repos, subscription-manager
This system is not registered with an entitlement server. You can use subscription-manager to register.
正在清理软件源: base centosplus extras updates
Cleaning up everything
Maybe you want: rm -rf /var/cache/yum, to also free up space taken by orphaned data from disabled or removed repos
[root@service yum.repos.d]# yum -y install epel-release
[root@service yum.repos.d]# yum install -y vsftpd
//创建文本格式的用户名、密码列表
//这里的用户名和密码是一一对应的,前面输入的是账号,后面输入的是密码
[root@service ~]# echo 'tom' >> /etc/vsftpd/vu.list
[root@service ~]# echo '123' >> /etc/vsftpd/vu.list
[root@service ~]# echo 'jerry' >> /etc/vsftpd/vu.list
[root@service ~]# echo '456' >> /etc/vsftpd/vu.list
[root@service ~]# cat /etc/vsftpd/vu.list
tom
123
jerry
456
//安装db4工具
[root@service ~]# yum -y install db4*
//将刚创建的文本格式用户名、密码文件使用db4转化成数据库文件(-T表示转换,-t表示加密方式使用db4工具转化成的)
[root@service ~]# db_load -T -t hash -f /etc/vsftpd/vu.list /etc/vsftpd/vu.db//为提高虚拟账户文件的安全性,应将文件权限设置为600,避免数据泄露
[root@service ~]# chmod 600 /etc/vsftpd/vu.*
[root@service ~]# ll /etc/vsftpd/vu.*
-rw-------. 1 root root 12288 4月 1 13:46 /etc/vsftpd/vu.db
-rw-------. 1 root root 18 4月 1 13:38 /etc/vsftpd/vu.list
//添加虚拟用户的映射账号、创建ftp根目录。例如要将使用ftp根目录设置为/var/ftproot,映射账号的名称为vftp,可以执行以下操作
[root@service ~]# useradd -d /var/ftproot -s /sbin/nologin vftp
[root@service ~]# chmod 755 /var/ftproot/
[root@service ~]# ll -d /var/ftproot/
drwxr-xr-x. 2 vftp vftp 62 4月 1 13:57 /var/ftproot/
//为虚拟用户创建PAM认证
[root@service ~]# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
[root@service ~]# vim /etc/pam.d/vsftpd //仅保存以下三行
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vu
account required pam_userdb.so db=/rtc/vsftpd/vu
//修改vdftpd配置文件,添加虚拟用户支持
[root@service ~]# echo 'guest_enable=YES' >> /etc/vsftpd/vsftpd.conf
[root@service ~]# echo 'gues_username=vftp' >> /etc/vsftpd/vsftpd.conf//为不同的虚拟用户创建独立的配置文件
[root@service ~]# echo 'user_config_dir=/etc/vsftpd/vusers_dir' >> /etc/vsftpd/vsftpd.conf
[root@service ~]# echo 'allow_writeable_chroot=YES' >> /etc/vsftpd/vsftpd.conf//有了上述配置后,就可以在/etc/vsftpd/vusers_dir目录中为每个虚拟用户分别建立配置文件
了。例如,若要使用虚拟用户tom能够上传文件、创建目录,而Jerry只有默认的下载权限,可以执行以下操作
[root@service ~]# mkdir /etc/vsftpd/vusers_dir
[root@service ~]# ll /etc/vsftpd/
总用量 36
-rw-------. 1 root root 125 10月 31 2018 ftpusers
-rw-------. 1 root root 361 10月 31 2018 user_list
-rw-------. 1 root root 5218 4月 1 14:22 vsftpd.conf
-rwxr--r--. 1 root root 338 10月 31 2018 vsftpd_conf_migrate.sh
-rw-------. 1 root root 12288 4月 1 13:46 vu.db
-rw-------. 1 root root 18 4月 1 13:38 vu.list
drwxr-xr-x. 2 root root 6 4月 1 14:25 vusers_dir
//设置tom用户可上传文件、创建目录
[root@service ~]# echo 'anon_upload_enable=YES' >> /etc/vsftpd/vusers_dir/tom
[root@service ~]# echo 'anon_mkdir_write_enable=YES' >> /etc/vsftpd/vusers_dir/tom//设置Jerry用户只有默认的下载权限,只需要创建一个名为Jerry的空文件即可
[root@service ~]# touch /etc/vsftpd/vusers_dir/jerry
//注意:虚拟用户是通过匿名访问的,所以必须开启匿名访问的功能//启动服务
[root@service ~]# systemctl start vsftpd
[root@service ~]# ss -antl
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 *:22 *:*
LISTEN 0 100 127.0.0.1:25 *:*
LISTEN 0 32 :::21 :::*
LISTEN 0 128 :::22 :::*
LISTEN 0 100 ::1:25 :::*
//关闭防火墙
[root@service ~]# systemctl stop firewalld
[root@service ~]# systemctl disable firewalld
[root@service ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled //更改为disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@service ~]# setenforce 0//客户端验证
//安装客户端工具lftp
[root@client ~]# yum install -y lftp//使用tom用户登录
[root@client ~]# lftp -u tom,123 192.168.20.187
lftp tom@192.168.20.187:~> //在服务端创建一个文件,客户端在远程主机上下载
[root@service ~]# cd /var/ftproot/
[root@service ftproot]# touch hello
[root@service ftproot]# ls
hello
[root@client ~]# lftp -u tom,123 192.168.20.187
lftp tom@192.168.20.187:~> ls
-rw-r--r-- 1 0 0 0 Apr 01 07:11 hello
[root@client ~]# ls
anaconda-ks.cfg hello
//在远程主机
lftp tom@192.168.20.187:~> mkdir xixi
mkdir 成功, 建立 `xixi'
lftp tom@192.168.20.187:/> ls
-rw-r--r-- 1 0 0 0 Apr 01 07:11 hello
drwx------ 2 1000 1000 6 Apr 01 07:17 xixi
//使用Jerry用户登录
[root@client ~]# lftp -u jerry,456 192.168.20.187
lftp jerry@192.168.20.187:~>
//在远程主机上下载文件
lftp jerry@192.168.20.187:~> ls
-rw-r--r-- 1 0 0 0 Apr 01 07:11 hello
drwx------ 2 1000 1000 6 Apr 01 07:17 xixi
lftp jerry@192.168.20.187:/> lcd /opt/
lcd 成功, 本地目录=/opt
lftp jerry@192.168.20.187:/> get hello
[root@service ~]# cd /opt
[root@service opt]# ls5.4vsftpd匿名用户
//安装vsftpd
[root@service ~]# yum install -y vsftpd//修改 /etc/vsftpd/vsftp.conf 文件:(建议复制一个备份文件在同一目录下,以防直接修改错误,而无法恢复。)
//例如匿名用户有创建目录和上传文件的权限
[root@service ~]# echo 'anon_mkdir_write_enable=YES' >>/etc/vsftpd/vsftpd.conf
[root@service ~]# echo 'anon_upload_enable=YES' >>/etc/vsftpd/vsftpd.conf//保存退出,重启FTP服务
[root@service ~]# systemctl restart vsftpd//关闭防火墙
[root@service ~]# systemctl stop firewalld
[root@service ~]# systemctl disable firewalld
[root@service ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@service ~]# setenforce 0//在 /var/ftp 目录下创建文件abc
[root@service ~]# cd /var/ftp/
[root@service ftp]# touch abc
[root@service ftp]# ls
abc pub
//客户端验证
//下载lftp
[root@client ~]# yum install -y lftp
[root@client ~]# lftp -u ftp 192.168.20.187
口令:
lftp ftp@192.168.20.187:~> ls
-rw-r--r-- 1 0 0 0 Apr 02 07:05 abc
drwxr-xr-x 2 0 0 6 Oct 30 2018 pub
lftp ftp@192.168.20.187:/>
//将/var/ftp/ 目录权限改为777 (不然不能创建和上传)
[root@service ftp]# chmod -R 777 /var/ftp///在远程主机上创建文件
lftp ftp@192.168.20.187:/> mkdir hehe
mkdir 成功, 建立 `hehe'
[root@service ftp]# ls
abc hehe pub
//从远程主机上上传文件
lftp ftp@192.168.20.187:/> put hello
[root@service ftp]# ls
abc hehe hello pub//删除文件会失败因为没有删除的权限
lftp ftp@192.168.20.187:/> ls
-rwxrwxrwx 1 0 0 0 Apr 02 07:05 abc
drwx------ 2 14 50 6 Apr 02 07:08 hehe
-rw------- 1 14 50 0 Apr 02 07:10 hello
drwxrwxrwx 2 0 0 6 Oct 30 2018 pub
lftp ftp@192.168.20.187:/> rm -f hello
lftp ftp@192.168.20.187:/> ls
-rwxrwxrwx 1 0 0 0 Apr 02 07:05 abc
drwx------ 2 14 50 6 Apr 02 07:08 hehe
-rw------- 1 14 50 0 Apr 02 07:10 hello
drwxrwxrwx 2 0 0 6 Oct 30 2018 pub5.5vsftpd系统用户
//安装vsftpd
[root@service ~]# yum install -y vsftpd//修改 /etc/vsftpd/vsftp.conf 文件:(建议复制一个备份文件在同一目录下,以防直接修改错误,而无法恢复。)
[root@service ~]# echo 'chroot_local_user=YES' >>/etc/vsftpd/vsftpd.conf
[root@service ~]# echo 'chroot_list_enable=YES' >>/etc/vsftpd/vsftpd.conf
[root@service ~]# echo 'chroot_list_file=/etc/vsftpd/chroot_list' >>/etc/vsftpd/vsftpd.conf//保存退出,重启FTP服务器
[root@service ~]#systemctl restart vsftpd//设置用户名和密码
[root@service ~]# useradd natasha -d /data
[root@service ~]# echo "12" |passwd --stdin natasha
更改用户 natasha 的密码 。
passwd:所有的身份验证令牌已经成功更新。//在 /etc/vsftpd 目录下建立chroot_liste文件,将用户名添加进去
[root@service ~]# touch /etc/vsftpd/chroot_list
[root@service ~]# echo 'natasha' >/etc/vsftpd/chroot_list//关闭防火墙
[root@service ~]# systemctl stop firewalld
[root@service ~]# systemctl disable firewalld
[root@service ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@service ~]# setenforce 0
//客户端上下载lftp
[root@client ~]# yum install -y lftp
[root@client ~]# lftp -u natasha,12 192.168.20.187
lftp natasha@192.168.20.187:~> //在服务端上创建文件,在客户端查看
[root@service ~]# cd /data/
[root@service data]# touch yqm
[root@service data]# ls
yqm
[root@client ~]# lftp -u natasha,12 192.168.20.187
lftp natasha@192.168.20.187:~> ls
-rw-r--r-- 1 0 0 0 Apr 02 07:29 yqm
//在客户端创建建目录
lftp natasha@192.168.20.187:~> mkdir ww
mkdir 成功, 建立 `ww'
lftp natasha@192.168.20.187:~> ls
drwxr-xr-x 2 1001 1001 6 Apr 02 07:31 ww
-rw-r--r-- 1 0 0 0 Apr 02 07:29 yqm
//删除目录
lftp natasha@192.168.20.187:~> rm -rf ww
rm 成功, 删除 `ww'
lftp natasha@192.168.20.187:~> ls
-rw-r--r-- 1 0 0 0 Apr 02 07:29 yqm//上传和下载
l
ftp natasha@192.168.20.187:~> get qq
get: Access failed: 550 Failed to open file. (qq)
lftp natasha@192.168.20.187:~> exit
[root@client ~]# ls
anaconda-ks.cfg hello xixi qq
//因为put、get都只能对文件进行操作所以可以使用mirror对目录进行镜像
//从远程主机上下载目录到本地
lftp natasha@192.168.20.187:~> mkdir kk
mkdir 成功, 建立 `kk'
lftp natasha@192.168.20.187:~> ls
drwxr-xr-x 2 0 0 6 Apr 02 07:34 123
drwxr-xr-x 2 1001 1001 6 Apr 02 07:42 kk
-rw-r--r-- 1 0 0 0 Apr 02 07:29 yqm
lftp natasha@192.168.20.187:~> mirror kk
Total: 1 directory, 0 files, 0 symlinks
lftp natasha@192.168.20.187:~> exit
[root@client ~]# ls
anaconda-ks.cfg hello kk xixi
//从本地上传目录至远程主机
[root@client ~]# mkdir mm
[root@client ~]# lftp -u natasha,12 192.168.20.187
lftp natasha@192.168.20.187:~> mirror -R mm
Total: 1 directory, 0 files, 0 symlinks
lftp natasha@192.168.20.187:~> ls
drwxr-xr-x 2 0 0 6 Apr 02 07:34 123
drwxr-xr-x 2 1001 1001 6 Apr 02 07:42 kk
drwxr-xr-x 2 1001 1001 6 Apr 02 07:44 mm
-rw-r--r-- 1 0 0 0 Apr 02 07:29 yqm
[root@service data]# ls
123 kk mm yqm
扫一扫
1758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
