标签:lin directory conf 2.3 51cto sid 图片 端口 iptables
????本文将介绍如何在Linux中实现文件传输,这里主要使用FTP、SFTP。
????废话少说,直接进入正题,需要注意,FTP采用Client/Server架构,并且有两个信道(控制信道、数据信道)。
????
????当Client发起连接时,目标端口为TCP/21 ,Server对其身份验证通过后,建立连接,也就是控制信道,此信道用于Client传输FTP指令,例如ls、cd、get、put, user等; 当Server收到指令后,在本端分析将结果传输至Client,注意此时传输的命令执行后的内容是需要另建连接,也就是数据信道。
????
根据数据信道发起者的身份不同分为,FTP将其分为主动模式、被动模式:
????
1. 主动模式: Server端主动与Client建立连接。
a. 控制信道建立: Client 与 Server建立三次握手后,Client将自己的地址、监听端口发送至Server , a , b ,c ,d 为IP地址,e*256+f 为端口。
b. 数据信道建立: Server主动发起连接,源端口TCP/20, 目标端口为Client发送的端口(e*256+f)。
?
?2. 被动模式:Server端随机生成一串数字作为Server端的端口等待客户端连接。
a. 控制信道建立: Client与Server建立三次握手后,Client发送FTP指令PASV 表示采用被动模式,等待Server的地址(a,b,c,d)、端口信息(e*256+f)。
b. 数据信道建立: Client收到Server的地址、端口信息后,Client发起连接,源端口随机,目标端口e*256+f 。
????FTP仅是一种协议、规范,而vsftpd就是众多FTP协议、规范中的一种实现,其在安全方面较为优秀。
1.通过YUM方式安装VSFTPD
[root@localhost ~]# yum -y install vsftpd
2.VSFTPD程序文件结构:
/etc/vsftpd/vsftpd.conf #主配置文件
/etc/vsftpd/ftpuser #
/etc/vsftpd/user_list #
/etc/pam.d/vsftpd #FTP通过pam对用户进行认真
/var/ftp #默认vsftpd定义的共享目录
3.创建一个匿名FTP下载站点:
/myftp/pub #共享目录,所有用户都可以创建、删除、修改
???????a.首先关闭防火墙、SELinux 避免影响实验
[root@localhost ~]# iptables -F
[root@localhost ~]# setenforce 0
????????b.创建相应目录并修改其权限:
[root@localhost ~]$ mkdir -pv /myftp/{doc,pub}
mkdir: created directory ‘/myftp’
mkdir: created directory ‘/myftp/pub’
[root@localhost ~]# cp /etc/fstab /myftp/pub/
[root@localhost ~]# chown -R ftp /myftp/
?????????c.修改配置文件
[root@localhost ~]# cp /usr/share/doc/vsftpd-3.0.2/EXAMPLE/INTERNET_SITE/vsftpd.conf /etc/vsftpd/vsftpd.conf
[root@localhost ~]# systemctl restart vsftpd
???? d. 修改ftp用户的家目录,因为匿名用户实际上是访问映射至ftp用户的家目录。
[root@localhost ~]# vim /etc/passwd
ftp:x:14:50:FTP User:/myftp:/sbin/nologin
????e.注意事项:
i. 匿名用户不能被chroot,否则会报错,如果不需要本地用户,建议如下配置:
chroot_local_user=NO
local_enable=NO
ii.自vsftpd 2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。
Login failed: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
解决方法:
chmod a-w /var/ftp -R 去掉主目录的写权限或者添加指令允许写入
allow_writable_chroot=YES
iii. anon_world_readable_only 指令,当值未YES时(默认),其他用户必须要对文件有读权限,才能下载;值为NO时,只要FTP用户有读权限即可下载。
标签:lin directory conf 2.3 51cto sid 图片 端口 iptables
原文地址:http://blog.51cto.com/jying/2149770