zoukankan      html  css  js  c++  java
  • 文件服务器:FTP服务器详解

    文件服务器:FTP服务器

    数据传输原理

    功能简介

    1. 文件的传输与管理

    2. 不同等级的用户身份:user、guest、anonymous

      • 实体用户。权限较完整
      • 匿名用户。下载资源的能力
    3. 命令记录与日志文件记录

      /var/log 里面可找到用户曾经使用过的命令和传输的数据
      使用的服务是syslogd

    4. 限制用户活动的目录:(change root,简称:chroot)

      用户的工作范围局限在用户的主目录下。ftp后显示的就是根目录就是用户的主目录。

    工作流程和使用到的端口(以ftp默认的主动式连接为例)

    1. 两个连接

      • 命令通道
      • 数据流通道

      因为是TCP数据包,所以每次连接都需要经过三次握手

    2. 连接过程

      • 建立命令通道的连接

      客户端随机取一个大于1024的端口与ftp服务器的port 21端口实现连接,这个连接来对ftp服务器执行命令

      • 通知ftp服务器端使用Active并告知连接的端口号

      客户端在需要数据的情况下,会告知服务器使用什么方式来连接,如果是主动式(Active)连接时,客户端会先随机启用一个端口,且通过命令通道告知FTP服务器这两个消息,并等待ftp服务器的连接

      • FTP服务器主动向客户端连接

      ftp服务器通过命令了解到客户端的需求之后,默认使用port 22向客户端发起请求,经过三次握手,现在就可以开始传输数据了

    备注:数据传输通道是在有数据传输行为的时候,才会建立的通道,并不是一开始就连接ftp服务器的时候就立刻建立起的通道

    在主动连接的FTP服务器与客户端之间具有防火墙

    很多局域网络都会使用防火墙的NAT功能

    让我们来梳理一下问题发生的过程吧!

    1. 用户与服务器之间命令通道的建立

      NAT会主动记录由内部送往外部的连接信息,而由于命令通道的建立是由客户端向服务器端发起的,故这条连接顺利建立

    2. 用户与服务器之间数据通道建立的通知

      client启动数据传输通道,并通过命令告知ftp服务器,等待服务器端的主动连接

    3. 服务器主动连到NAT等待转递至客户端的连接问题

      经过NAT转换,服务器端只能得知NAT的IP而不是客户端的IP。因此ftp服务器会以port 20主动向NAT发起port发起主动连接的请求。但NAT并没有启动port来监听ftp服务器的连接

    在ftp的主动式连接中,NAT将会被视为客户端,但是NAT并不是客户端,这就造成了问题。

    如果你有时发现连接上服务器了,但是无法获取文件名的列表,而是在超过一段时间后显示“can’t build data connection:connection refused”,"无法进行数据传输"之类的信息,那就是这个原因困扰的。

    简易的解决办法:

    1. iptables提供的ftp检测模块

      使用modprobe这个命令加载ip_conntrack_ftp及ip_nat_ftp等模块,这几个模块会主动的分析目标是port 21的连接信息,就可以得到客户端的数据传输通道的端口信息,就能接收服务器的连接了。

      但是如果ftp服务器使用的不是默认端口21的话,那就无法顺利解析了

    2. 客户端选择被动式(Passive)连接模式

      主动式是服务器向客户端发起连接,那被动式就是客户端向服务器端发起连接。

    客户端选择被动式的连接模式

    1. 用户与服务器建立命令通道

    2. 客户端发起PASV的连接请求

      当使用数据通道命令时,客户端可通过命令通道发出PASV的被动式连接要求,并等待服务器的回应

    3. ftp服务器启动数据端口,并通知客户端连接

      如果你所使用的ftp服务器是支持被动式连接的,那么就会启动一个监听端口,也可以自定义某一范围的端口,这要看ftp服务器软件而定。然后ftp服务器会通过命令通道告知客户端已经启动的端口(port PASV)

    4. 客户端随机取用大于1024的端口进行连接

      客户端随机取用大于1024的端口来进行对ftp服务器的port PASV连接。

    潜在问题:

    1. 被动式的ftp数据通道的连接方向是由客户端向服务器端连接的。那么,如果ftp服务器也是在NAT后端怎么办?

    2. 服务器在没有设置的情况下随机选取大于1024的端口来提供客户端连接使用。但如果此端口有问题的话,怎么办呢?很难追踪来自入侵者攻击的日志信息。 passive ports限制 port number

    vsftpd服务器基础设置

    较为安全的ftp服务器软件的特点

    1. 启动者身份为一般用户,对于Linux系统的权限较低,危害相对降低。此外,vsftpd利用chroot()函数进行改换根目录的操作,使系统工具不被利用

    2. 任何需要具有较高执行权限的vsftpd命令均以一个特殊的上层程序所控制,该上层程序享有的较高执行权限能力已经被限制的相当低了

    3. 绝大部分的ftp命令已经被整合到vsftpd主程序中,不要使用额外的系统提供的命令,比较安全

    4. 较高执行权限的命令需经过相当程度的身份确认后,才可使用

    所需软件及软件结构

    1. 软件:vsftpd

    2. 配置文件:/etc/vsftpd/vsftpd.conf

      参数=设置值
      等号两边不能有空白

    3. 文件/etc/pam.d/vsftpd

      主要作为身份认证使用,阻挡一些用户身份的功能

    4. 文件/etc/vsftpd/ftpusers

      系统账号默认是无法使用vsftpd
      限制某些用户无法使用vsftpd

    5. 文件/etc/vsftpd/user_list

      不允许登陆vsftpd的账号写入这里,与ftpusers的作用相同
      但是这个文件是否生效是由vsftpd.conf来决定(userlist_deny与userlist_enable = {YES/NO})

    6. 文件/etc/vsftpd/chroot_list

      此文件默认不存在,需要手动建立。
      功能:将某些账号的用户chroot建立在他们的默认用户主目录下。但是这个文件生效与vsftpd.conf内的chroot_list_enable、chroot_list_file两个参数有关

    7. 文件/usr/sbin/vsftpd

      vsftpd的主要执行文件。只有这一个执行文件

    8. 目录/var/ftp

      匿名用户登陆的根目录

  • 相关阅读:
    安卓手机批量导入通讯录 Vcard文件和excel
    关于vue项目中文件上传,复现,模版下载常见用法(el-upload)
    用scrollTop实现固定定位
    自己对闭包的理解(保证能看懂)
    el-progress组件使用:自动计算percentage,format自定义显示文字
    css背景图片位置:background的position
    2018款Mac mini通过外置移动硬盘安装windows10系统
    TypeError: Constructor parameter should be str
    aiohttp使用方法
    json解析出错:json.decoder.JSONDecodeError: Invalid escape:
  • 原文地址:https://www.cnblogs.com/cherishry/p/5886017.html
Copyright © 2011-2022 走看看