FTP 的全称为 "File Transfer Protocol" 即(文件传输协议),用于在 Internet 或 Intranet 的两台主机之间传输文件,利用 FTP 可以传输文本文件和二进制文件;
该协议的简称叫 "FTP",现如今已然成为文件传输的代名词;
FTP 是 Internet 上最早出现且使用也最为广泛的一种文件传输服务。基于 C/S 架构,工作在应用层且通过该服务可在 FTP 服务器和 FTP 客户端之间建立连接,实现 FTP 服务器和 FTP 客户端之间的数据文件传输;
要使用 FTP 在两台计算机之间传输文件,两台计算机必须各自扮演不同的角色;
即一台计算机必须是 FTP 客户端,而另一台则必须是 FTP 服务器端;
FTP 连接传输模式
相比于 HTTP,FTP 协议要独特一些。其原因是 FTP 协议要用到两个 TCP 连接;
一个是命令连接,用来在 FTP 客户端与服务器之间传递命令 (固定监听端口 TCP/21);
另一个是数据连接,用来上传或下载数据 (监听端口 TCP/20);
命令连接:传输命令
客户端发出请求,服务端响应 ;
数据连接:传输数据
数据连接必须是通过某个命令连接发起 ;
协议安全:
明文传输即认证时传输账号和密码的传输亦是明文 ;
请参考上图
FTP 协议有两种工作模式:站在服务器的角度即为主动模式和被动模式
主动模式:服务器端通过固定 TCP/20 端口主动去连接客户端的命令连接的端口 + 1 的端口(PORT 模式);
服务器端口:固定,客户端口:随机;
被动模式:客户端发出数据请求后,服务端会响应一个打开的临时随机端口给客户端(PASV 模式);
服务器端口:随机(半随机);
被动模式端口建立的计算方法:
(1)、客户端通过命令连接发数据请求给服务器端,服务器端与客户端通过命令建立数据连接后会
自动响应并告诉客户端这次传输我们两个用哪个端口,比如 44442 端口;
(2)、服务器端一般会传回给客户端 " 两个数字(如 132, 与 221);
(3)、其计算方法是:
拿 44442/256 = 结果必是(商 + 余)。商就是 132,余就是 221;
然后服务器端把商和余当作两个数字传给客户端;
然后客户端通过计算:商 * 256 + 余数,来推断出端口号从而建立数据连接;
(4)、以此类推,来体现出服务器端的高风亮节,即把方便留给他人;
基于 vsftp 用户模型讲解
(1) 匿名用户(映射至某一固定的系统用户),ftp,vsftp 映射路径是 var/ftp/;
(2) 本地用户(也叫系统用户),即 root 及系统用户,通常为 0-999 之间的数字;
(3) 虚拟用户 借助于其它存储系统或是非本地的 / etc/passwd、shadow 当中的用户及密码;
vsftp 认证需要用到 PAM 模块即插入式认证模块(Plugable Authentication Modules)
还有个 NSSWITCH(Name Server Switch),这个用不到只是提下,叫名称解析服务;
vsftpd (Very Secure FTP Daemon) ;
是一个为 UNIX 类系统开发的轻量,稳定和安全的 FTP 服务器端;
(1)、安全,稳定这毋庸置疑;
(2)、不执行任何外部程序,减少安全隐患;
(3)、支持两种认证方式(PAP 或 xinetd/ tcp_wrappers);
(4)、支持带宽限制;
(5)、支持虚拟目录;
(6)、等其它功能,可参考 Google
配置环境基于 CentOS 7.2 实现;
此程序已收录于 base 仓库可直接 yum 安装;
- ~]# yum info vsftpd
- ~]# rpm -q vsftpd
- ~]# yum install vsftpd -y
- [root@node1 ~]# rpm -ql vsftpd
- 主配置文件:/etc/vsftpd/vsftpd.conf;
- 主程序文件:/usr/sbin/vsftpd;
- Unit File:/usr/lib/systemd/system/vsftpd.service;
- 文件路径映射:/var/ftp (如 ftp://ftp.glances.org/pub/a.txt --> /var/ftp/pub/a.txt);
- 用户家目录映射:访问ftp必须以某个系统用户的身份,此用户的家目录即文档目录;
- 匿名用户:anonymous,要映射为某固定一个系统用户;
在了解了以上的简单内容后,我们接下来就简单实现服务启动;
确保 selinux 与 iptables 处于关闭状态;
在 CentOS 7 上服务管理可通过脚本实现
~]# setenforce 0 // 把 selinux 设置为 permissive 模式;
~]# iptables -F // 清理防火墙规则链;
~]# yum install -y vsftpd // 安装 vsftp 应用程序;
~]# systemctl start vsftpd.service // 启动 vsftpd 守护进程;
确保服务端口被监听 (TCP/21 端口);
~]# ss -tnl
打开浏览器测试可否正常连接;
可新建用户进行上传下载文件测试;
- ftp://172.16.5.40
配置文件内语法指令 directive value
注意:directive 之前不能有任何字符;
vsftpd]# cp vsftpd.conf{,.back}
匿名用户:
anonymous_enable=YES // 是否启用匿名访问 (把显示改为 no,而不是注释);
anon_upload_enable=YES // 是否允许匿名用户上传文件,依赖于 write_enable=YES;
write_enable=YES // 是否允许修改文件系统,全局配置;
anon_other_write_enable=YES // 是否允许远程匿名用户删除、重命名文件权限;
anon_mkdir_write_enable=YES // 是否允许远程用户在 ftp 服务器上创建目录;
重点提示:
匿名用户是映射到一个系统用户,/var/ftp 的属主属组权限都是 root 情况下不允许上传文件;
报错代码 530
可修改文件的属主:chown ftp upload
目录管理是独立权限,依赖于 anon_mkdir_write_enable=YES
报错代码 550
在远端删除文件的权限,依赖于 anon_other_write_enable=YES
报错代码 550
本地用户:
local_enable=YES // 是否开发本地用户登录访问 ftp 服务 yes 启用,任何 / etc/passwd 用户都 可能登录对所有非匿名用户和虚拟用户想工作起来,必须启用此项;
如果只开放匿名用户 local_enable=NO
write_enable=YES // 是否允许修改文件系统,全局配置;
其它指令:
local_umask=022 // 设定本地用户上传文件和目录权限掩码;
只能本地用户能访问,文件权限 644,目录权限 755;
dirmessage_enable=YES // 定义目录消息显示(lftp 命令不支持,支持 ftp 客户端)
用户第一次进入目录 vsftpd 会查看. message 文件并将其内容显示给用户,可指定
文件路径,而不使用默认的. message;
~]# cd /var/ftp/upload
vim .message
– upload dir
– ftp.glances.org
~]# ftp ip -u
ftpd_banner=Welcome to blah FTP service // 每一次登录都显示一条横幅,欢迎信息;
数据传输日志:
xferlog_std_format=YES 是否使用标准传输日志格式;
xferlog_enable=YES // 是否打开上传下载日志功能;
默认 / var/log/ftp.log
xferlog_file=/var/log/xferlog // 用于定义传输日志的日志文件名;
数据传输模式:
connect_from_port_20=YES // 是否启用 PORT 模式;
到底使用什么模式,需要客户端发起请求,二者进行协商来决定的;
修改匿名用户上传的文件的属主:
chown_uploads=YES // 是否修改';
chown_username=whoever;
如果启用 chown_uploads 指令时将文件属主修改为此指令的指定用户,默认为 root;
chown_upload_mode // 设定匿名用户上传的文件的权限,默认 600;
设定会话超时时长:
idle_session_timeout=600 // 设定空闲会话超时时长;
cannect_timeout // 在主动模式下服务器连接客户端的超时时长;
data_connection_timeout // 设定数据传输的超时时长;
命令连接的监听端口:
Listen_port;
设定连接传输速率:
local_max_rate // 设定默认连接传输速率,单位为字节,默认为零表示无显示;
max_clients // 设定最大并发连接数, 默认 2000,零表示无限制;
max_per_ip // 设定每个 ip 所允许发起的最大连接数;
anon_max_rate // 设定匿名用户的传输速率,单位为字节;
设定文本传输:
ascii_upload_enable=YES;
ascii_download_enable=YES;
以上设置是否允许以文本方式上传下载文件;
禁锢用户:
chroot_local_users=YES // 禁锢所有本地用户;
注意:要求用户不能对家目录有写权限,报错代码 421,500;
chroot_list_enable=YES // 是否启用禁锢列表;
chroot_list_file=/etc/vsftpd/chroot_list // 禁锢列表文件,需单独创建;
禁锢指定的文件中的用户于自己的家目录中;但需要事先移除用户对家目录的写权限;
注意:chroot_local_users=YES,chroot_list_file=/etc/vsftpd/chroot_list 不可同时使用;
控制可登录 vsftpd 服务的用户列表:
禁止登录 ftp 的所有用户:ftpusers(黑名单);
userlist_enable=YES
- 启用时将加载一个由userlist_file指令指定的用户列表文件,此文件中的用户是否能访问vsftpd服务取决于userlist_deny指令;
- userlist_deny=YES 表示此列表为黑名单;
- userlist_deny=NO 表示此列表为白名单;
1、下载 pam—mysql 程序包
下载链接:
程序包:pam_mysql-0.7RC1.tar.gz
2、安装开发环境
~]# yum groupinstall Development Tools
3、安装 mysql
~]# yum install mariadb-server mariadb-devel openssl-devel pam-devel -y
启动 mysql :systemctl start mariadb.service
自启 mysql:systemctl enable mariadb.service
4、解压 pam_mysql-0.7RC1.tar.gz 文件,并进入到目录中;
5、编译安装 pam_mysql 模块
# ./configure –with-pam=/usr –with-mysql=/usr –with-pam-mods-dir=/usr/lib64/security
# make
# make install
验证下:~]# ls /lib64/security/
6、准备数据库
- 登录mysql并创建数据库
- mysql> CREATE DATABASE vsftpd;
- mysql> CREATE TABLE vsftpd.users (id INT NOT NULL AUTO_INCREMENT PRIMARY KEY, name CHAR(30) NOT NULL UNIQUE KEY,password CHAR(48));
- mysql> INSERT INTO vsftpd.users (name,password) VALUES ('tom',PASSWORD('tom')),('jerry',PASSWORD('jerry'));
- mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'centos';
- mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'127.0.0.1' IDENTIFIED BY 'centos';
- mysql> FLUSH PRIVILEGES;
7、vsftpd 通过 pam_mysql 进行认证的配置文件路径是 / etc/pam.d/vsftpd.mysql
- 参考格式文件是/etc/pam.d/vsftpd;
- 在此目录下新建mysql的独立认证文件:vim vsftpd.mysql,写入如下内容
- auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
- 认证,此项检查成功才通过,使用的模块,登录mysql用户,登录mysl密码,主机是谁,连接哪一个数据库,表是哪个,登录用户名的字段,登录密码的字段,密码加密的方式
- account required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
- 验证 此项检查成功才通过 后续内容解释同上
- 以上参数字段的解释:
- user:连接mysql服务器的用户名,此用户要有权限访问认证vsftpd服务的数据库;
- passwd:上面的用户的密码;
- host:mysql服务器主机地址;
- db:认证vsftpd服务的数据库名称;
- table:存放了用户和密码的表;
- usercolumn:用户名对应的字段;
- passwdcolumn:密码对应的字段;
- crypt:密码加密方法;
8、准备匿名用户映射的系统用户账号
- ~]# mkdir /ftproot
- ~]# useradd -s /sbin/nologin -d /ftproot vuser
- ~]# mkdir /ftproot/{pub,upload}
- ~]# setfacl -m u:vuser:rwx /ftproot/upload
9、配置 vsftpd.conf 文件,增加以下内容
- 其它的参数不动,加入
- pam_service_name=vsftpd.mysql //指明认证文件的路径;
- guest_enable=YES //是否允许来宾账号访问;
- guest_username=vuser //把所有来宾账号都映射为vuser;
- 重启vsftpd,确定21号端口被监听;
- ~]# systemctl start vsftpd
- 如有故障请认证排查,vsftpd对权限很敏感,对写权限要谨慎;
10、配置每匿名用户有单独的权限设定
- 修改配置文件vsftpd.conf:
- 注释掉anon_upload_enable=YES,在文件尾部加入
- user_config_dir=/etc/vsftpd/vusers_conf
- 创建目录:
- ~]# mkdir /etc/vsftpd/vusers_conf
- ~]# cd /etc/vsftpd/vusers_conf
- 为每用户提供配置文件:
- ~]# vim tom
- anon_upload_enable=YES //tom允许上传文件
- ~]# vim jerry
- anon_upload_enable=NO //jerry不允许上传文件
- 重启vsftpd服务在客户端进行文件上传测试
- ~]# systemctl restart vsftpd.service
- 使用tom登录到ftp,put一个文件。如果put成功,则更换jerry测试;
- 测试直到满足我们的要求即可
done@@@
来源: