码迷,mamicode.com
首页 > 其他好文 > 详细

FTP简述之CentOS平台vsftpd参数讲解

时间:2017-01-25 00:06:59      阅读:277      评论:0      收藏:0      [点我收藏+]

标签:ftp   vsftp   chroot   deny   

FTP知识概述

FTP的全称为“File Transfer Protocol”即(文件传输协议),用于在Internet或Intranet的两台主机之间传输文件,利用FTP可以传输文本文件和二进制文件; 
该协议的简称叫“FTP”,现如今已然成为文件传输的代名词;
FTP 是Internet上最早出现且使用也最为广泛的一种文件传输服务。基于C/S架构,工作在应用层且通过该服务可在FTP服务器和FTP客户端之间建立连接,实现FTP服务器和FTP客户端之间的数据文件传输;

构建FTP基础

要使用FTP在两台计算机之间传输文件,两台计算机必须各自扮演不同的角色;
即一台计算机必须是FTP客户端,而另一台则必须是FTP服务器端;

技术分享

FTP连接传输模式

相比于HTTP,FTP协议要独特一些。其原因是FTP协议要用到两个TCP连接; 
一个是命令连接,用来在FTP客户端与服务器之间传递命令(固定监听端口TCP/21); 
另一个是数据连接,用来上传或下载数据(监听端口TCP/20); 
        命令连接:传输命令
                客户端发出请求,服务端响应 ;
        数据连接:传输数据
                数据连接必须是通过某个命令连接发起 ;
        协议安全: 
                明文传输即认证时传输账号和密码的传输亦是明文 ; 
                                    请参考上图

FTP数据连接传输模式

FTP协议有两种工作模式:站在服务器的角度即为主动模式和被动模式
        主动模式:服务器端通过固定TCP/20端口主动去连接客户端的命令连接的端口+1的端口(PORT模式); 
                         服务器端口:固定,客户端口:随机; 
         被动模式:客户端发出数据请求后,服务端会响应一个打开的临时随机端口给客户端(PASV模式); 
                         服务器端口:随机(半随机);
被动模式端口建立的计算方法: 
        (1)、客户端通过命令连接发数据请求给服务器端,服务器端与客户端通过命令建立数据连接后会

                自动响应并告诉客户端这次传输我们两个用哪个端口,比如44442端口;
        (2)、服务器端一般会传回给客户端“两个数字(如132,与221);
        (3)、其计算方法是: 
                        拿44442/256=结果必是(商+余)。商就是132,余就是221; 
                        然后服务器端把商和余当作两个数字传给客户端; 
                        然后客户端通过计算:商*256+余数,来推断出端口号从而建立数据连接; 
        (4)、以此类推,来体现出服务器端的高风亮节,即把方便留给他人;       

FTP里的用户类型

基于vsftp用户模型讲解

        (1) 匿名用户(映射至某一固定的系统用户),ftp,vsftp映射路径是var/ftp/; 
        (2) 本地用户(也叫系统用户),即root及系统用户,通常为0-999之间的数字; 
        (3) 虚拟用户 借助于其它存储系统或是非本地的/etc/passwd、shadow当中的用户及密码; 
                    vsftp认证需要用到PAM模块即插入式认证模块(Plugable Authentication Modules) 
                    还有个NSSWITCH(Name Server Switch),这个用不到只是提下,叫名称解析服务;

依据以上基础讲解在CentOS系统上vsftp的功能实现

        vsftpd (Very Secure FTP Daemon) ;
        是一个为UNIX类系统开发的轻量,稳定和安全的FTP服务器端;

vsftp应用程序特点

        (1)、安全,稳定这毋庸置疑; 
        (2)、不执行任何外部程序,减少安全隐患; 
        (3)、支持两种认证方式(PAP或xinetd/ tcp_wrappers); 
        (4)、支持带宽限制; 
        (5)、支持虚拟目录; 
        (6)、等其它功能,可参考Google

vsftp应用程序安装

        配置环境基于CentOS 7.2实现; 
        此程序已收录于base仓库可直接yum安装; 
          ~]# yum info vsftpd 
          ~]# rpm -q vsftpd 
          ~]# yum install vsftpd -y

vsftp程序环境及文件

[root@node1 ~]# rpm -ql vsftpd
主配置文件:/etc/vsftpd/vsftpd.conf;
主程序文件:/usr/sbin/vsftpd;
Unit File:/usr/lib/systemd/system/vsftpd.service
文件路径映射:/var/ftp (如 ftp://ftp.glances.org/pub/a.txt  --> /var/ftp/pub/a.txt);
用户家目录映射:访问ftp必须以某个系统用户的身份,此用户的家目录即文档目录;
匿名用户:anonymous,要映射为某固定一个系统用户;

vsftp服务管理首次启动

在了解了以上的简单内容后,我们接下来就简单实现服务启动; 
确保selinux与iptables处于关闭状态; 
        在CentOS 7 上服务管理可通过脚本实现
                ~]# setenforce 0 //把selinux设置为 permissive模式; 
                ~]# iptables -F //清理防火墙规则链; 
                ~]# yum install -y vsftpd //安装vsftp应用程序; 
                ~]# systemctl start vsftpd.service //启动vsftpd守护进程; 
        确保服务端口被监听(TCP/21端口); 
                ~]# ss -tnl 
        打开浏览器测试可否正常连接; 
         ftp://172.16.5.40 
可新建用户进行上传下载文件测试; 
                ~]# useradd centos; 
                ~]# echo centos | passwd –stdin centos; 
                ~]# lftp -u centos,centos 172.16.5.40 //用lftp命令-u选项指明用户名密码ip后访问ftp; 
                ~]# lcd /etc //lcd是切换到本地目录; 
                ~]# put fstab //上传一个文件测试;

主配置文件说明/etc/vsftpd.conf

配置文件内语法指令 directive value 
        注意:directive 之前不能有任何字符; 
vsftpd]# cp vsftpd.conf{,.back} 
        匿名用户: 
                anonymous_enable=YES //是否启用匿名访问(把显示改为no,而不是注释); 
                anon_upload_enable=YES //是否允许匿名用户上传文件,依赖于write_enable=YES; 
                write_enable=YES //是否允许修改文件系统,全局配置; 
                anon_other_write_enable=YES //是否允许远程匿名用户删除、重命名文件权限; 
                anon_mkdir_write_enable=YES //是否允许远程用户在ftp服务器上创建目录; 
                重点提示: 
                匿名用户是映射到一个系统用户,/var/ftp的属主属组权限都是root情况下不允许上传文件;
                            报错代码530 
                            可修改文件的属主:chown ftp upload 
                    目录管理是独立权限,依赖于anon_mkdir_write_enable=YES 
                            报错代码550 
                    在远端删除文件的权限,依赖于anon_other_write_enable=YES 
                            报错代码550 
        本地用户:
                local_enable=YES //是否开发本地用户登录访问ftp服务yes启用,任何/etc/passwd用户都                                可能登录对所有非匿名用户和虚拟用户想工作起来,必须启用此项; 
                            如果只开放匿名用户local_enable=NO 
                write_enable=YES //是否允许修改文件系统,全局配置; 
        其它指令:
                local_umask=022 //设定本地用户上传文件和目录权限掩码; 
                            只能本地用户能访问,文件权限644,目录权限755; 
                dirmessage_enable=YES //定义目录消息显示(lftp命令不支持,支持ftp客户端) 
                  用户第一次进入目录vsftpd会查看.message文件并将其内容显示给用户,可指定
                  文件路径,而不使用默认的.message; 
                            ~]# cd /var/ftp/upload 
                                    vim .message 
                                        – upload dir 
                                        – ftp.glances.org 
                            ~]# ftp ip -u 
                ftpd_banner=Welcome to blah FTP service //每一次登录都显示一条横幅,欢迎信息; 
        数据传输日志: 
                xferlog_std_format=YES 是否使用标准传输日志格式; 
                xferlog_enable=YES //是否打开上传下载日志功能; 
                        默认/var/log/ftp.log 
                xferlog_file=/var/log/xferlog //用于定义传输日志的日志文件名; 
        数据传输模式: 
                connect_from_port_20=YES //是否启用PORT模式; 
                        到底使用什么模式,需要客户端发起请求,二者进行协商来决定的; 
        修改匿名用户上传的文件的属主: 
                chown_uploads=YES //是否修改‘; 
                chown_username=whoever; 
                        如果启用chown_uploads指令时将文件属主修改为此指令的指定用户,默认为root; 
                chown_upload_mode //设定匿名用户上传的文件的权限,默认600; 
        设定会话超时时长: 
                idle_session_timeout=600 //设定空闲会话超时时长; 
                cannect_timeout //在主动模式下服务器连接客户端的超时时长; 
                data_connection_timeout //设定数据传输的超时时长; 
        命令连接的监听端口: 
                Listen_port; 
        设定连接传输速率: 
                local_max_rate //设定默认连接传输速率,单位为字节,默认为零表示无显示; 
                max_clients //设定最大并发连接数,默认2000,零表示无限制; 
                max_per_ip //设定每个ip所允许发起的最大连接数; 
                anon_max_rate //设定匿名用户的传输速率,单位为字节; 
        设定文本传输: 
                ascii_upload_enable=YES;
                ascii_download_enable=YES; 
                以上设置是否允许以文本方式上传下载文件; 
        禁锢用户: 
                chroot_local_users=YES //禁锢所有本地用户; 
                        注意:要求用户不能对家目录有写权限,报错代码421,500; 
                chroot_list_enable=YES //是否启用禁锢列表; 
                chroot_list_file=/etc/vsftpd/chroot_list //禁锢列表文件,需单独创建; 
                禁锢指定的文件中的用户于自己的家目录中;但需要事先移除用户对家目录的写权限; 
                注意:chroot_local_users=YES,chroot_list_file=/etc/vsftpd/chroot_list 不可同时使用; 
        控制可登录vsftpd服务的用户列表: 
                禁止登录ftp的所有用户:ftpusers(黑名单); 
                userlist_enable=YES 

  启用时将加载一个由userlist_file指令指定的用户列表文件,此文件中的用户是否能访问vsftpd服务取决于userlist_deny指令; 
                        userlist_deny=YES 表示此列表为黑名单; 
                        userlist_deny=NO 表示此列表为白名单;

配置基于Mysql虚拟用户的认证实现

1、下载pam—mysql程序包 
        下载链接:http://pam-mysql.sourceforge.net/ 
        程序包:pam_mysql-0.7RC1.tar.gz 
2、安装开发环境 
        ~]# yum groupinstall Development Tools 
3、安装mysql 
        ~]# yum install mariadb-server mariadb-devel openssl-devel pam-devel -y 
                启动mysql :systemctl start mariadb.service 
                自启mysql:systemctl enable mariadb.service 
4、解压pam_mysql-0.7RC1.tar.gz文件,并进入到目录中; 
5、编译安装pam_mysql模块 
        # ./configure –with-pam=/usr –with-mysql=/usr –with-pam-mods-dir=/usr/lib64/security 
        # make 
        # make install 
        验证下:~]# ls /lib64/security/ 
6、准备数据库

登录mysql并创建数据库
mysql> CREATE DATABASE vsftpd;
mysql> CREATE TABLE vsftpd.users (id INT NOT NULL AUTO_INCREMENT PRIMARY KEY, name CHAR(30) NOT NULL UNIQUE KEY,password CHAR(48));
mysql> INSERT INTO vsftpd.users (name,password) VALUES (‘tom‘,PASSWORD(‘tom‘)),(‘jerry‘,PASSWORD(‘jerry‘));        
mysql> GRANT ALL ON vsftpd.* TO ‘vsftpd‘@‘localhost‘ IDENTIFIED BY ‘centos‘;
mysql> GRANT ALL ON vsftpd.* TO ‘vsftpd‘@‘127.0.0.1‘ IDENTIFIED BY ‘centos‘;
mysql> FLUSH PRIVILEGES;    

7、vsftpd通过pam_mysql进行认证的配置文件路径是/etc/pam.d/vsftpd.mysql 

参考格式文件是/etc/pam.d/vsftpd;
在此目录下新建mysql的独立认证文件:vim vsftpd.mysql,写入如下内容
auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2         
认证,此项检查成功才通过,使用的模块,登录mysql用户,登录mysl密码,主机是谁,连接哪一个数据库,表是哪个,登录用户名的字段,登录密码的字段,密码加密的方式
account required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2                    
验证 此项检查成功才通过 后续内容解释同上

以上参数字段的解释:
user:连接mysql服务器的用户名,此用户要有权限访问认证vsftpd服务的数据库;
passwd:上面的用户的密码; 
host:mysql服务器主机地址;
db:认证vsftpd服务的数据库名称;
table:存放了用户和密码的表;
usercolumn:用户名对应的字段;
passwdcolumn:密码对应的字段;
crypt:密码加密方法;

8、准备匿名用户映射的系统用户账号

~]# mkdir /ftproot 
~]# useradd  -s /sbin/nologin -d /ftproot  vuser
~]# mkdir /ftproot/{pub,upload}
~]# setfacl -m u:vuser:rwx  /ftproot/upload

9、配置vsftpd.conf文件,增加以下内容

其它的参数不动,加入
pam_service_name=vsftpd.mysql  //指明认证文件的路径;
guest_enable=YES //是否允许来宾账号访问;
guest_username=vuser //把所有来宾账号都映射为vuser;
重启vsftpd,确定21号端口被监听;
~]# systemctl start vsftpd
如有故障请认证排查,vsftpd对权限很敏感,对写权限要谨慎;

10、配置每匿名用户有单独的权限设定

修改配置文件vsftpd.conf:
注释掉anon_upload_enable=YES,在文件尾部加入
user_config_dir=/etc/vsftpd/vusers_conf
创建目录:
~]# mkdir /etc/vsftpd/vusers_conf
~]# cd /etc/vsftpd/vusers_conf
为每用户提供配置文件:		
~]# vim tom
   anon_upload_enable=YES //tom允许上传文件
~]# vim jerry		
   anon_upload_enable=NO //jerry不允许上传文件
重启vsftpd服务在客户端进行文件上传测试
~]# systemctl restart vsftpd.service
使用tom登录到ftp,put一个文件。如果put成功,则更换jerry测试;
测试直到满足我们的要求即可

done@@@

本文出自 “51eA” 博客,请务必保留此出处http://51eat.blog.51cto.com/11892702/1894086

FTP简述之CentOS平台vsftpd参数讲解

标签:ftp   vsftp   chroot   deny   

原文地址:http://51eat.blog.51cto.com/11892702/1894086

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!