码迷,mamicode.com
首页 > 系统相关 > 详细

Linux下ftp原理及其搭建

时间:2018-07-10 11:10:21      阅读:175      评论:0      收藏:0      [点我收藏+]

标签:use   lis   pad   src   关闭   sid   表示   hash算法   分享   

 

简介

FTP即文件传输协议(File Transfer Protocol),完成各主机的文件共享功能,基于客户端-服务器的协议,工作在应用层,tcp的21号端口。

 

ftp有两个连接

命令连接:控制连接,21/tcp。客户端与服务端的tcp 21端口建立连接,发送命令

数据连接:客户端与服务端数据的传送。

数据连接又有两种模式

技术分享图片

 

技术分享图片

    主动(Port)模式:客户端从一个随机端口N(N>1024)连接服务端的命令端口21。然后客户端打开端口N+1,并发送FTP命令"portN+1"到FTP服务器。接着服务器会从它自己的数据端口20连接到客户端的端口(N+1)。简单的说也就是在数据连接的过程中服务器端主动连接客户端。

    被动(Passive)模式:由于服务器端主动连接客户端的主动模式导致客户端不安全性,所以出现被动模式。客户端从一个随机端口N(N>1024)连接服务端的命令端口21,服务器端返回一个报文,其中含有需要客户端来连接的数据端口信息,也就是服务器端打开的一个随机端口(此端口一般大于5000),然后客户端会用端口(N+1)去连接服务端的随机端口。因为防火墙的连接追踪功能,使得这几个连接为相关联的连接,所以服务器端的防火墙对客户端来连接的随机端口(大于5000)不会有影响。简单的说也就是在数据连接的过程中,是服务器端被动的让客户端来连接,又因为防火墙的连接追踪机制使得其端口连接能够进行。

 

ftp有两种数据传输方式

    ASCII:一般为文本,数据库等。

    二进制:一般为mp3,jpeg等格式文件。

ftp有较多的服务器端程序和客户端程序,以下:

服务器端程序:

        wu-ftpd:Washington University-ftpd

        vsftpd: Very Secure ftp Daemon

        proftpd:

        pureftpd

        Filezilla

        Serv-U:windows下的

    客户端程序:

     CLI:

            ftp

            lftp

     GUI:

            gftpd

            FlashFXP

            Cuteftp

            Filezilla

也由于vsftpd主打的是安全性、完全开源及免费、速率高、支持IPv6、虚拟用户功能等等其他FTP服务端软件不具备的功能。此处使用vsftpd来搭建ftp服务。

 

vsftpd安装配置(centos 7)

技术分享图片

服务器端和客户端都为192.168.1.222

 

安装,可直接yum安装

yum install vsftpd –y

清空防火墙规则或关闭防火墙,关闭selinux。

安装完成后可以看到/etc/vsftpd下的几个文件,

用户禁止登陆列表    

/etc/vsftpd/ftpusers

/etc/vsftpd/user_list

 

主配置文件

/etc/vsftpd/vsftpd.conf

技术分享图片

 

 

 

 

 

  1. 首先来验证匿名用户模式,在vsftpd.conf文件中,找到参数如下去掉注释:

 

anonymous_enable=YES

允许匿名访问模式。(默认)

anon_umask=022

匿名用户上传文件的umask值。

anon_upload_enable=YES

允许匿名用户上传文件

anon_mkdir_write_enable=YES

允许匿名用户创建目录

anon_other_write_enable=YES

允许匿名用户修改目录名或删除目录(此信息没有,需手动加)

 

可利用客户端工具xftp或者ftp来检查是否有效,ftp命令用于使用FTP服务,格式为:"ftp [参数] [FTP主机]",yum install ftp –y安装即可。

安装完之后,操作可如下图:

技术分享图片

技术分享图片

此处我在登录ftp之前创建的anon目录,发现匿名用户创建不了目录。由于此目录的用户与其属组都为root,所以没有权限,可使用setfacl给个匿名用户权限

技术分享图片

 

再来登录进去可见创建成功,重命名和文件的删除、上传也没问题(此处没有截图。还有可在ftp模式下使用help来查看可使用的命令)。

技术分享图片

 

  2.本地用户的验证

    首先关闭之前的匿名用户相关配置,添加下列参数,没有的手动添加即可,重启服务。

 

anonymous_enable=NO

禁止匿名访问模式。

local_enable=YES

允许本地用户模式。

write_enable=YES

设置可写入权限。

local_umask=022

本地用户模式创建文件的umask值。

userlist_deny=YES

参数值为YES即禁止名单中的用户(需手动添加)

userlist_enable=YES

允许"禁止登陆名单",名单文件为ftpusers与user_list。

 

由于本地用户可随意进入系统各个目录,所以需添加参数

 

新建用户hot

useradd hot并设置密码

然后登录验证,可看到创建目录,重命名删除等操作。

技术分享图片

 

chroot_local_user=YES 禁锢本地用户于其家目录中,这样用户只能在其家目录下。

添加此参数,登录会出现500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Login failed.的错误,问题是因为用户的根目录可写,并且使用了chroot限制,而这在最近的更新里是不被允许的。要修复这个错误,可以用命令chmod a-w /home/hot去除用户根目录的写权限即可。

但是有个问题设置此参数之后,本地用户无法上传文件及创建文件和删除文件,(selinux和防火墙都关闭了)。最好使用下面参数!!

allow_writeable_chroot=YES

允许禁锢的FTP根目录可写而不拒绝用户登入请求。

 

 

至于userlist_enable和userlist_deny这两个参数理解其意便知怎么用。上面配置文件图已给出说明。

    

  3.虚拟用户的验证

  1. 虚拟用户模式的帐号密码都不是真实系统中存在的,所以只要配置妥当虚拟用户模式会比本地用户模式更加安全,但是Vsftpd服务配置虚拟用户模式的操作步骤相对复杂一些,具体流程如下:

    第1步:建立虚拟FTP用户数据库文件。

    第2步:创建FTP根目录及虚拟用户映射的系统用户。

    第3步:建立支持虚拟用户的PAM认证文件。

    第4步:在vsftpd.conf文件中添加支持配置。

    第5步:为虚拟用户设置不同的权限。

    第6步:重启vsftpd服务,验证实验效果。

     

PAM(Pluggable Authentication Modules)是一种认证机制,通过一些动态链接库和统一的API将系统提供的服务与认证方式分开,可以根据需求灵活的调整服务程序的不同认证方式。可以不必对应用程序做任何的修改,易用性很强,PAM采取了分层设计的思想——应用程序层、应用接口层、鉴别模块层,程序层调用接口层,接口调用模块层。

其目录/etc/pam.d:针对不同服务而定义好的pam配置文件。

例如vsftpd程序就会在其主配置文件("/etc/vsftpd/vsftpd.conf")中写入下面的参数:

pam_service_name=vsftpd

表示登陆FTP服务器时是根据/etc/pam.d/vsftpd的文件内容进行安全认证的。

 


第1步:建立虚拟FTP用户数据库文件。

# cd /etc/vsftpd/

创建用于生成FTP用户数据库的原始帐号和密码文件

# vim vuser.list //单数行为帐号,双数行为密码。账号不是真实存在于系统中的,是借助于宿主账号nobody

技术分享图片

 

使用db_load命令用HASH算法生成FTP用户数据库文件vuser.db:

# db_load -T -t hash -f vuser.list vuser.db

 

查看数据库文件的类型:

# file vuser.db

技术分享图片FTP用户数据库内容很敏感,所以权限给小一些:

# chmod 600 vuser.db

删除原始的帐号和密码文件:

# rm -f vuser.list

 

第2步:创建FTP根目录及虚拟用户映射的系统用户。

创建用户virtual并设置为不允许登陆系统并定义该用户的家目录:

# useradd -d /var/ftproot -s /sbin/nologin virtualftp

为保证其他用户可以访问,给予rwxr-xr-x权限:

# chmod -Rf 755 /var/ftproot/

技术分享图片

 

第3步:建立支持虚拟用户的PAM认证文件:

# vim /etc/pam.d/vsftpd.vu

//参数db用于指向刚刚生成的vuser.db文件,但不要写后缀。

auth required pam_userdb.so db=/etc/vsftpd/vuser

account required pam_userdb.so db=/etc/vsftpd/vuser

技术分享图片

 

第4步:在vsftpd.conf文件中添加支持配置。

可以关闭匿名用户模式

参数

作用

anonymous_enable=NO

禁止匿名开放模式。

local_enable=YES

允许本地用户模式。

guest_enable=YES

开启虚拟用户模式。

guest_username=virtualftp

指定虚拟用户帐号。

pam_service_name=vsftpd.vu

指定pam文件。

allow_writeable_chroot=YES

允许禁锢的FTP根目录可写而不拒绝用户登入请求。

   

第5步:为虚拟用户设置不同的权限

权限默认是不能上传、创建、修改文件,可配置用户独立的用户权限。


指定用户独立的权限配置文件存放的目录:

# vim /etc/vsftpd/vsftpd.conf

user_config_dir=/etc/vsftpd/vusers_dir

 

创建用户独立的权限配置文件存放的目录:

# mkdir /etc/vsftpd/vusers_dir/

在该目录下创建空白的hdd的配置文件,指定hdd用户的具体权限:

技术分享图片

 

第6步:重启vsftpd服务,验证实验效果。
如下图可以看到创建目录删除目录上传下载等功能都没有问题。也可以直接在windows下打开文件窗口输入ftp://IP 操作其功能。

技术分享图片

 

 

Linux下ftp原理及其搭建

标签:use   lis   pad   src   关闭   sid   表示   hash算法   分享   

原文地址:https://www.cnblogs.com/whych/p/9287189.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!