FTP连接及传输模式
本文内容:匿名用户、本地用户、虚拟用户、黑白名单
控制连接
TCP21
用于发送FTP命令信息
数据连接
TCP20
用于上传,下载数据
数据连接的建立类型
主动模式
服务器主动发起数据连接
首先由客户端向服务端的21端口建立FTP控制连接。客户端以PORT命令告知服务器。于是服务器从20端口。向客户端的该端口发送请求并建立数据连接
被动模式
服务器被动等待数据连接
如果客户端所在网络的防火墙禁用主动模式连接,通常会使用被动模式
首先由客户端向服务器21端口建立FTP控制连接。当需要传输数据时,服务器以被动命令告知客户端,于是客户端向服务器的该端口(非20)发送请求并建立数据连接
FTP用户类型
匿名用户
用户名未ftp或匿名提供任意密码都可以通过服务器验证,一般用于公共文件的下载
本地用户
直接使用本地的系统用户账户进行验证
虚拟用户
通过一份独立的用户数据库文件进行登陆验证,将FTP账户与Linux系统账户的管理学降至最低,为系统提供提供更好的安全性
安装服务
yum -y install vsftpd ftp
准备匿名FTP访问的目录
cd /var/ftp/ chown ftp pub/
cp vsftpd.conf{,.ori} 备份
匿名用户
开放匿名用户配置
vim vsftpd.conf
12.anorymous_enable=YSE 匿名用户登陆
29.anon_upload_enable=YES 允许匿名上传
30.anon_umak=000 权限掩码
34.anon_mkdir_write_enable=YES 允许其他人创建
35.anon_other_write_enable=YES 允许其他人写入
本地用户
恢复备份
cp vsftpd.conf.ori vsftpd.conf
vim vsftpd.conf
16.local_enavle=YES 允许本地用户上传
19.write_enavle=YES 允许本地用户修改
23.local_umask=022
103.chroot_local_user=YES 将用户锁在用户家目录中
104.allow_writeavle_chroot=YES 允许写入家目录
虚拟用户登录
虚拟用户使用Berkeley DB个数的数据库文件来存放虚拟用户账号,使用db_load工具生成数据库文件。
恢复备份
cp vsftpd.conf.ori vsftpd.conf
vim vsftpd.conf
输入匿名用户的配置,除了不允许其他人登录
cd /etc/vsftpd
vim vusers.txt
zhangsan 123 lisi 123 wangwu 123
db_load -T -t hash -f vusers.txt vusers.db
讲用户名相关文件修改为600权限
chmod 600 vusers.*
添加映射账号,为FTP根目录修改权限
useradd -d /var/ftproot -s /sbin/nologin vuser
增加PAM认证
cp /etc/pam.d/vsftpd{,.vu} 备份
vim /etc/pam.d/vsftpd.vu
#%PAM-1.0 auth required pam_userdb.so db=/etc/vsftpd/vusers account required pam_userdb.so db=/etc/vsftpd/vusers
#自动会识别后边的.db后缀,不要手动添加
修改vsfptd.conf配置文件
126 pam_service_name=vsftpd.vu 127 guest_enable=YES 128 guest_username=vuser 129 allow_writeable_chroot=YES 130 user_config_dir=/etc/vsftpd/vusers_dir/
实现每个虚拟用户不同根目录,不全权限的管控
创建用户控制目录,并创建虚拟所对应的同名配置文件
cd /etc/vsftpd
mkdir vusers_dir
vim vusers
anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES local_root=/ftp/zhangsan
mkdir -p /ftp/zhangsan
chown vuser /ftp/zhangsan
黑白名单
ftpusers文件:FTP服务器中的黑名单,优先级高于user_list文件
user_list文件:此用户列表默认情况下也是黑名单,即在此用户列表中的用户不可访问FTP服务器,但可以通过vsftpd.conf主配置文件的修改将此名单改为白名单,且仅此名单中的用户可以访问。
修改配置文件
vim vsftpd.conf
130 userlist_enable=YES 131 userlist_deny=NO
关闭防火墙与安全机制
systemctl stop firewalld setenforce 0
查看服务是否开启
netstat -anpt | grep :21
测试自身是否可以登陆
ftp 127.0.0.1
使用windows访问测试
打开资源管理器测试是否可以创建目录,下载,删除可以即为成功,反之创建失败
扩展配置文件中的其他配置
listen=YES listen_address=192.168.1.108 listen_port=2121 //设置监听端口 pasv_enable=YES //是否开启被动模式 pasv_min_port=24500 //被动模式端口下限 pasv_max_port=24600 //被动模式端口上限 max_clients=2000 //最大15000,最大客户连接数,一般不限制 max_per_ip=2 //每个ip限制最多打开几个客户端工具,一般不限制 anon_max_rate=50000 //匿名最大传输速率,一般不限制 local_max_rate=20000 //本地用户最大传输速率,一般不限制