一、原理简介
二、安装配置
三、三种用户的验证
一、简介
FTP即文件传输协议(File Transfer Protocol),完成各主机的文件共享功能,基于客户端-服务器的协议,工作在应用层,tcp的21号端口。
ftp有两个连接
命令连接:控制连接,21/tcp。客户端与服务端的tcp 21端口建立连接,发送命令
数据连接:客户端与服务端数据的传送。
数据连接又有两种模式
主动(Port)模式:客户端从一个随机端口N(N>1024)连接服务端的命令端口21。然后客户端打开端口N+1,并发送FTP命令"portN+1"到FTP服务器。接着服务器会从它自己的数据端口20连接到客户端的端口(N+1)。简单的说也就是在数据连接的过程中服务器端主动连接客户端。
被动(Passive)模式:由于服务器端主动连接客户端的主动模式导致客户端不安全性,所以出现被动模式。客户端从一个随机端口N(N>1024)连接服务端的命令端口21,服务器端返回一个报文,其中含有需要客户端来连接的数据端口信息,也就是服务器端打开的一个随机端口(此端口一般大于5000),然后客户端会用端口(N+1)去连接服务端的随机端口。因为防火墙的连接追踪功能,使得这几个连接为相关联的连接,所以服务器端的防火墙对客户端来连接的随机端口(大于5000)不会有影响。简单的说也就是在数据连接的过程中,是服务器端被动的让客户端来连接,又因为防火墙的连接追踪机制使得其端口连接能够进行。
ftp有两种数据传输方式
ASCII:一般为文本,数据库等。
二进制:一般为mp3,jpeg等格式文件。
ftp有较多的服务器端程序和客户端程序,以下:
服务器端程序:
wu-ftpd:Washington University-ftpd
vsftpd: Very Secure ftp Daemon
proftpd:
pureftpd
Filezilla
Serv-U:windows下的
客户端程序:
CLI:
ftp
lftp
GUI:
gftpd
FlashFXP
Cuteftp
Filezilla
也由于vsftpd主打的是安全性、完全开源及免费、速率高、支持IPv6、虚拟用户功能等等其他FTP服务端软件不具备的功能。此处使用vsftpd来搭建ftp服务。
二、vsftpd安装配置(centos 7)
服务器端和客户端都为192.168.1.222
yum install vsftpd –y
清空防火墙规则或关闭防火墙,关闭selinux。
安装完成后可以看到/etc/vsftpd下的几个文件,
用户禁止登陆列表
/etc/vsftpd/ftpusers
/etc/vsftpd/user_list
主配置文件
/etc/vsftpd/vsftpd.conf
三、三种用户的验证(匿名用户、普通用户、虚拟用户)
1.匿名用户模式
在vsftpd.conf文件中,找到参数如下去掉注释:
anonymous_enable=YES |
允许匿名访问模式。(默认) |
anon_umask=022 |
匿名用户上传文件的umask值。 |
anon_upload_enable=YES |
允许匿名用户上传文件 |
anon_mkdir_write_enable=YES |
允许匿名用户创建目录 |
anon_other_write_enable=YES |
允许匿名用户修改目录名或删除目录(此信息没有,需手动加) |
可利用客户端工具xftp或者ftp来检查是否有效,ftp命令用于使用FTP服务,格式为:"ftp [参数] [FTP主机]",yum install ftp –y安装即可。
安装完之后,操作可如下图:
此处我在登录ftp之前创建的anon目录,发现匿名用户创建不了目录。由于此目录的用户与其属组都为root,所以没有权限,可使用setfacl给个匿名用户权限
再来登录进去可见创建成功,重命名和文件的删除、上传也没问题(此处没有截图。还有可在ftp模式下使用help来查看可使用的命令)。
2.本地用户的验证
首先关闭之前的匿名用户相关配置,添加下列参数,没有的手动添加即可,重启服务。
anonymous_enable=NO |
禁止匿名访问模式。 |
local_enable=YES |
允许本地用户模式。 |
write_enable=YES |
设置可写入权限。 |
local_umask=022 |
本地用户模式创建文件的umask值。 |
userlist_deny=YES |
参数值为YES即禁止名单中的用户(需手动添加) |
userlist_enable=YES |
允许"禁止登陆名单",名单文件为ftpusers与user_list。 |
由于本地用户可随意进入系统各个目录,所以需添加参数。
新建用户hot
useradd hot并设置密码
然后登录验证,可看到创建目录,重命名删除等操作。
chroot_local_user=YES 禁锢本地用户于其家目录中,这样用户只能在其家目录下。
添加此参数,登录会出现500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Login failed.的错误,问题是因为用户的根目录可写,并且使用了chroot限制,而这在最近的更新里是不被允许的。要修复这个错误,可以用命令chmod a-w /home/hot去除用户根目录的写权限即可。
但是有个问题设置此参数之后,本地用户无法上传文件及创建文件和删除文件,(selinux和防火墙都关闭了)。最好使用下面参数!!
allow_writeable_chroot=YES |
允许禁锢的FTP根目录可写而不拒绝用户登入请求。 |
至于userlist_enable和userlist_deny这两个参数理解其意便知怎么用。上面配置文件图已给出说明。
3.虚拟用户的验证
虚拟用户模式的帐号密码都不是真实系统中存在的,所以只要配置妥当虚拟用户模式会比本地用户模式更加安全,但是Vsftpd服务配置虚拟用户模式的操作步骤相对复杂一些,具体流程如下:
第1步:建立虚拟FTP用户数据库文件。
第2步:创建FTP根目录及虚拟用户映射的系统用户。
第3步:建立支持虚拟用户的PAM认证文件。
第4步:在vsftpd.conf文件中添加支持配置。
第5步:为虚拟用户设置不同的权限。
第6步:重启vsftpd服务,验证实验效果。
PAM(Pluggable Authentication Modules)是一种认证机制,通过一些动态链接库和统一的API将系统提供的服务与认证方式分开,可以根据需求灵活的调整服务程序的不同认证方式。可以不必对应用程序做任何的修改,易用性很强,PAM采取了分层设计的思想——应用程序层、应用接口层、鉴别模块层,程序层调用接口层,接口调用模块层。
其目录/etc/pam.d:针对不同服务而定义好的pam配置文件。
例如vsftpd程序就会在其主配置文件("/etc/vsftpd/vsftpd.conf")中写入下面的参数:
pam_service_name=vsftpd
表示登陆FTP服务器时是根据/etc/pam.d/vsftpd的文件内容进行安全认证的。
第1步:建立虚拟FTP用户数据库文件。
# cd /etc/vsftpd/
创建用于生成FTP用户数据库的原始帐号和密码文件:
# vim vuser.list //单数行为帐号,双数行为密码。账号不是真实存在于系统中的,是借助于宿主账号nobody
使用db_load命令用HASH算法生成FTP用户数据库文件vuser.db:
# db_load -T -t hash -f vuser.list vuser.db
查看数据库文件的类型:
# file vuser.db
FTP用户数据库内容很敏感,所以权限给小一些:
# chmod 600 vuser.db
删除原始的帐号和密码文件:
# rm -f vuser.list
第2步:创建FTP根目录及虚拟用户映射的系统用户。
创建用户virtual并设置为不允许登陆系统并定义该用户的家目录:
# useradd -d /var/ftproot -s /sbin/nologin virtualftp
为保证其他用户可以访问,给予rwxr-xr-x权限:
# chmod -Rf 755 /var/ftproot/
第3步:建立支持虚拟用户的PAM认证文件:
# vim /etc/pam.d/vsftpd.vu
//参数db用于指向刚刚生成的vuser.db文件,但不要写后缀。
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
第4步:在vsftpd.conf文件中添加支持配置。
可以关闭匿名用户模式
参数 |
作用 |
anonymous_enable=NO |
禁止匿名开放模式。 |
local_enable=YES |
允许本地用户模式。 |
guest_enable=YES |
开启虚拟用户模式。 |
guest_username=virtualftp |
指定虚拟用户帐号。 |
pam_service_name=vsftpd.vu |
指定pam文件。 |
allow_writeable_chroot=YES |
允许禁锢的FTP根目录可写而不拒绝用户登入请求。 |
第5步:为虚拟用户设置不同的权限
权限默认是不能上传、创建、修改文件,可配置用户独立的用户权限。
指定用户独立的权限配置文件存放的目录:
# vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers_dir
创建用户独立的权限配置文件存放的目录:
# mkdir /etc/vsftpd/vusers_dir/
在该目录下创建空白的hdd的配置文件,指定hdd用户的具体权限:
第6步:重启vsftpd服务,验证实验效果。
如下图可以看到创建目录删除目录上传下载等功能都没有问题。也可以直接在windows下打开文件窗口输入ftp://IP 操作其功能。
以上。