Loading

Vsftp 服务配置

FTP连接及传输模式

  • 控制连接:TCP 21 ,用于发送FTP命令信息
  • 数据连接:TCP 20 ,用于上传、下载数据
  • 数据连接的建立类型:主动模式、被动模式

主动模式:服务器主动发起数据连接

  • 首先由客户端向服务端的21端口建立FTP控制连接
  • 当需要传输数据时,客户端以PORT命令告知服务器"我打开了某端口,你过来连接我" 于是服务器从20端口向客户端的该端口发送请求并建立数据连接

被动模式:服务器被动等待数据连接

  • 如果客户端所在网络防火墙禁止主动模式连接,通常会使用被动模式
  • 当需要传输数据时,客户端以PORT命令告诉服务器"我要连接你,你要被动等我",于是服务器告知客户端"我打开了某端口,你过来连接我"于是客户端向服务器的该端口(非20端口)发送请求并建立数据连接

PASV:被动

FTP连接及传输模式

  • 客户端与服务器建立好数据连接以后,就可以根据从控制连接中发送的FTP命令上传或下载文件了。
  • 在传输文件时,根据是否进行字符转换,分为文本模式和二进制模式
  • 文本模式:又称为ASCII(American Standard Code for Information
    Interchange,美国信息交换标准码)模式,这种模式在传输文件时使用ASCII标准字符序列,一般指用于纯文本文件的传输
  • 二进制模式:又称为Binary模式,这种模式不会转换文件中的字符序列,更适合传输程序、图片等非纯文本字符的文件
  • 使用二进制模式比纯文本模 式更有效率,大多数FTP客户端工具可以根据文件类型自动选择文件的传输模式,而无需用户手工指定

FTP用户类型:

  1. 匿名用户:用户名为ftp或anonymous,提供任意密码(包括空密码)都可以通过服务器的验证。一般用于公共文件的下载。
  2. 本地用户:直接使用本地的系统用户账号进行验证
  3. 虚拟账户:通过一份独立的用户数据库文件进行登陆验证,将FTP账户的关联性降至最低,为系统提供更好的安全性

FTP服务器软件的种类

  • 在Windows系统中,常见的FTP服务器软件包括FileZilla、Serv-U等
  • 在Linux系统中,vsftp是目前在Linux/UNIX领域应用十分广泛的一款FTP服务软件
  • Vsftpd服务的名称来源于"Very Secure FTP Daemon",该软件针对安全特性方面做了大量的设计。除了安全性以外,vsftp在速度和稳定性方面表现也相当突出

FTP客户端工具的种类

  • 最简单的FTP客户端工具莫过于FTP命令程序了
  • 除此以外,还有大量的图形化FTP客户端工具。Windows8中较常用的包括CuteFTP、
    FlashFXP、LeapFTP、Filezilla等
  • 还有一些下载工具软件,如FlashGet、Wget等,包括大多数网页浏览器程序,都支持 通过FTP协议下载文件,但因不具备FTP上传等管理功能,通常不称为FTP客户端工具

写入权限:阀门理论

  • 文件系统权限与服务配置权限需要同时满足
  • 文件系统权限高于服务配置权限

$(将里面的执行结果输出)&> /dev/null 屏幕不显示

搭建匿名访问的FTP服务器

  • 安装vsftp软件包
  • 准备匿名FTP访问的目录
  • 开放匿名用户哦欸只并启动vsftp服务
  • 测试匿名FTP服务器
yum -y install vsftpd
chkconfig --level 2345 vsftpd on
netstat -anyup | grep "vsftpd"
cd /var/ftp/(pub) 匿名登陆的默认目录(匿名用户或其他人不能有写权限)
把拥有者改成ftp 有写权限
vi /etc/vsftpd/vsftpd.conf 配置文件

anonynous_enable=YES    //匿名访问
write_enable=YES    //是否可写入
anon_upload_enable=YES  //匿名上传
anon_mkdir_write_enable=YES //匿名创建目录、
anon_other_write_enable=YES //除了创建目录其他的写权限(重命名)

登陆:

  • ftp IP
  • get ** 下载文件

搭建用户验证的FTP服务

* 基本的本地用户验证
local_enable=YES
write_enable=YES
local_umask=077 //修改本地用户默认权限掩码为077
chroot_local_user=YES   //开启本地用户的家目录锁定

userlist_enable=YES 启动userlist文件
userlist_deny=YES (YES里面用户无法登陆,NO里面用户可以登录)

·ftpusers与user_list用户列表的使用
(1)ftpusers文件:FTP服务器中的黑名单,优先级高于user_list文件
(2)user_list文件:此用户列表默认情况下也是黑名单,即在此用户列表中的用户不可访问FTP服务器,但可以通过vsftpd.conf主配置文件的修改将此名单改为白名单,且仅此名单中的用户可以访问。

·使用user_list用户列表文件(ftpusers只要里面出现的账号就不能登陆)

vsftpd服务的其他常用配置

  • 基于虚拟用户的FTP服务
  • 修改vsftpd服务的监听地址、端口
  • 允许使用FTP服务器的被动模式
  • 限制FTP连接的并发数、传输速率
  • 修改vsftpd服务的监听地址、端口:
  • netstat -antup | grep "vsftpd"
  • 0.0.0.0 所有的IP地址
vi /etc/vsftpd/vsftpd.conf 
listen_address=10.10.10.10
listen_port=222 
pasv_enable=YES
pasv_min_port=24500
pasv_max_port=24600

max_client=200 (最大连接客户端)
max_per_ip=2 (一个IP最多能打开多少个客户端)
anon_max_rate=50000
local_max_rate=200000

修改vsftpd服务的监听地址、端口

建立虚拟用户的账号数据库:

vsftpd服务使用Berkeley

  • DB格式的数据库文件来存放虚拟用户账户,建立这种数据库文件需要用到db_load工具
  • 步骤:
    1. 创建文本格式的用户名、密码列表
    2. 创建Berkeley DB格式的数据库文件
    3. 添加虚拟用户的映射账号,创建FTP根目录
/etc/vsftpd /
vi vusers.list 
用户名
密码
用户名 
密码
这些用户在Linux中不存在

yum -y install db4-utils-*

db_load -T -t hash -f vusers.list vusers.db
注:db_load命令-T:允许非Berkeley的程序使用该数据库-t:指定算法(hash:哈希,散列)-f:指定源文件注意:生成的数据库文件必须为“.db”格式

## 一般吧数据文件和权限文件改为600只有超级用户可读可写

## 添加虚拟用户的映射账号
useradd virtual -s /sbin/nologin -d /var/ftproot
chmod 755 /var/ftproot/

为vsftpd服务添加虚拟用户支持

  • 在vsftpd服务器中,用户认证是通过PAM(Pluggable Authentication
  • Module,可插拔认证模块)机制来实现的,该机制包括灵活的选择认证方式
  • 步骤
    1. 为虚拟用户建立PAM认证文件
    2. 修改vsftpd配置,添加虚拟用户支持
    3. 为不同的虚拟用户建立独立的配置文件
    4. 测试
#cd /etc/pam.d 
#cp -a su vsftpd.vu
#vim vsftpd.vu

auth    required    pam_userdb.so db=/etc/vsftpd/vusers
account required    pam_userdb.so db=/etc/vsftpd/vusers

#vi /etc/vsftpd/vsftpd.conf 
·local_enable=YES
·guest_enable=YES
·guest_username=virtual
·anon_umask=022
·pam_service_name=vsftpd.vu


#实现每个虚拟用户不同根目录、不同权限的管控(1)创建用户控制目录,并创建虚拟所对应的同名配置文件
·mkdir /etc/vsftpd/vusers_dir/
·cd /etc/vsftpd/vusers_dir/
·vi ***

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_max_rate=1
local_root=/var/***

#chown virtual /var/***

·vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers_dir
·/etc/init.d/vsftpd restart

其他配置:

  • listen=YES 是否开启监听段口
  • listen_address=10.10.10.10 监听IP地址
  • listen_port=2121 设置监听端口
  • pasv_enable=YES 是否开启被动模式
  • pasv_min_port=24500 被动模式端口下限
  • pasv_max_port=24600 被动模式端口上限
  • max_client=2000 最大*客户连接数,一般不限制
  • max_per_ip=2 每个IP限制最多打开几个客户端工具,一般不限制
  • anon_max_rate=50000 匿名最大传输速率
  • local_max_rate=20000 本地用户最大传输速率,一般不限制
posted @ 2017-04-16 19:54  魏美龍  阅读(3208)  评论(0编辑  收藏  举报