FTP服务介绍及相关实验

FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。

本节索引:

一、文件传输协议(FTP)

二、vsftpd服务

三、实验:实现基于SSL的FTPS

四、实验:实现基于文件验证的vsftpd虚拟用户

五、实验:实现基于MySQL验证的vsftpd虚拟用户

 

FTPFile Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。

用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。

 

基于C/S结构

双通道协议:数据和命令连接

数据传输格式:二进制(默认)和文本

 

两种模式:

服务器角度

主动(PORT style):服务器主动连接

命令(控制):客户端:随机port — 服务器:tcp21

数据:                客户端:随机port — 服务器:tcp20

被动(PASV style):客户端主动连接

命令(控制):客户端:随机port — 服务器:tcp21

数据:                客户端:随机port — 服务器:随机port

服务器被动模式数据端口示例:

227 Entering Passive Mode (192,168,175,138,224,59)

服务器数据端口为:224*256+59

 

 

注:Linux客户端默认使用被动模式

Windows客户端默认使用主动模式

Linux系统客户端若要切换主动模式,可使用:

ftp -A ServerIP Port

 

主动连接与被动连接的优缺点:

1.主动连接对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端

的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。

2.被动连接对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建

立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻

塞掉。

 

可通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险。

 

FTP服务器:

Wu-ftpd,Proftpd,Pureftpd,ServU,IIS

vsftpd:Very Secure FTP Daemon,CentOS默认FTP服务器

高速,稳定,下载速度是WU-FTP的两倍

ftp.redhat.com数据:单机最多可支持15000个并发

客户端软件:

ftp,lftp,lftpget,wget,curl

ftp -A ftpserver port -A 主动模式 -p 被动模式

lftp -u username ftpserver

lftp username@ftpserver

lftpget ftp://ftpserver/pub/file

gftp: GUI centos5 最新版2.0.19 (11/30/2008)

filezilla,CuteFtp,FlashFXP,LeapFtp

IE ftp://username:password@ftpserver

 

状态码:

1XX:信息类     125:数据连接打开

2XX:成功类状态 200:命令OK 230:登录成功

3XX:补充类     331:用户名OK

4XX:客户端错误 425:不能打开数据连接

5XX:服务器错误 530:不能登录

 

用户认证:

匿名用户:ftp,anonymous,对应Linux用户ftp

系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow

虚拟用户:特定服务的专用用户,独立的用户/密码文件

nsswitch:network service switch名称解析框架

pam:pluggable authentication module 用户认证

    /lib64/security /etc/pam.d/ /etc/pam.conf

 

二、vsftpd服务

vsftpd全称为”Very Secure FTP Daemon“,意为非常安全的FTP守护进程,vsftpd最初发展理念

就是建构一个以安全为重心的FTP服务器。

 

由vsftpd包提供,CentOS 7之后不再由xinetd管理

用户认证配置文件:

/etc/pam.d/vsftpd

 

服务脚本:

/usr/lib/systemd/system/vsftpd.service

/etc/rc.d/init.d/vsftpd

 

配置文件:

/etc/vsftpd/vsftpd.conf

格式:option=value

注意:= 前后不要有空格

 

匿名用户(映射为系统用户ftp )登录的根目录位置:/var/ftp

系统用户共享文件位置:用户家目录

虚拟用户共享文件位置:为其映射的系统用户的家目录

 

vsftpd虚拟用户

虚拟用户:

所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号

的家目录

各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式:

文件:编辑文本文件,此文件需要被编码为hash格式

奇数行为用户名,偶数行为密码

db_load -T -t hash -f vusers.txt vusers.db

关系型数据库中的表中:

实时查询数据库完成用户认证

mysql库:pam要依赖于pam-mysql

/lib64/security/pam_mysql.so

/usr/share/doc/pam_mysql-0.7/README

 

vsftpd.conf常用配置

帮助查询:

man 5 vsftpd.conf

 

重设命令端口

listen_port=21

 

主动模式端口

connect_from_port_20=YES     主动模式端口为20

ftp_data_port=20             指定主动模式的端口

 

被动模式端口范围

Linux客户端默认使用被动模式

Windows客户端默认使用主动模式

pasv_min_port=6000           0为随机分配

pasv_max_port=6010

可以通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险

 

使用当地时间

use_localtime=YES 使用当地时间(默认为NO,使用GMT)

 

匿名用户

anonymous_enable=YES          支持匿名用户

no_anon_password=YES(默认NO)  匿名用户略过口令检查

anon_world_readable_only (默认YES)只能下载全部读的文件

anon_upload_enable=YES        匿名上传,注意:文件系统权限

anon_mkdir_write_enable=YES   匿名创建,写权限

anon_umask=077                指定匿名上传文件的umask

anon_other_write_enable=YES   可删除和修改上传的文件

 

指定上传文件的默认的所有者和权限

chown_uploads=YES(默认NO)

chown_username=wang

chown_upload_mode=0644

 

Linux系统用户

guest_enable=YES              所有系统用户都映射成guest用户

guest_username=ftp            配合上面选项才生效,指定guest用户

local_enable=YES              是否允许Linux用户登录

write_enable-YES              是否允许Linux用户上传文件

local_umask=022               指定系统用户上传文件的默认权限

local_root=/ftproot           非匿名用户登录所在目录

禁锢所有系统用户在家目录中

chroot_local_user=YES(默认NO,不禁锢)禁锢系统用户

禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反

chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

当chroot_local_user=YES时,则chroot_list中用户不禁锢

当chroot_local_user=NO时,则chroot_list中用户禁锢

 

ftp日志

wu-ftp日志:默认启用

xferlog_enable=YES (默认)   启用记录上传下载日志

xferlog_std_format=YES (默认)使用wu-ftp日志格式

xferlog_file=/var/log/xferlog (默认)可自动生成

vsftpd日志:默认不启用

dual_log_enable=YES           使用vsftpd日志格式,默认不启用

vsftpd_log_file=/var/log/vsftpd.log(默认)可自动生成

 

登录提示信息

ftpd_banner=”welcome to mage ftp server”

banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效

目录访问提示信息

dirmessage_enable=YES (默认)

message_file=.message(默认)    信息存放在指定目录下.message

 

使用PAM完成用户认证

pam_service_name=vsftpd

pam配置文件:/etc/pam.d/vsftpd

/etc/vsftpd/ftpusers           默认文件中用户拒绝登录

/etc/vsftpd/users_list         默认文件中用户拒绝登录,不提示口令输入

是否启用控制用户登录的列表文件

userlist_enable=YES            默认有此设置

userlist_deny=YES(默认值)      黑名单,不提示口令,NO为白名单

userlist_file=/etc/vsftpd/users_list 此为默认值

 

连接限制

max_clients=0                  最大并发连接数

max_per_ip=0                   每个IP同时发起的最大连接数

生成环境一般会将最大并发连接数按需设置;单个IP最大连接数尽量调小

 

 

vsftpd服务指定用户身份运行

nopriv_user=nobody

 

传输速率:字节/秒

anon_max_rate=0                匿名用户的最大传输速率

local_max_rate=0               本地用户的最大传输速率

连接时间:秒为单位

connect_timeout=60             主动模式数据连接超时时长

accept_timeout=60              被动模式数据连接超时时长

data_connection_timeout=300    数据连接无数据输超时时长

idle_session_timeout=60        无命令操作超时时长

优先以文本方式传输

ascii_upload_enable=YES

ascii_download_enable=YES

 

配置FTP服务以非独立服务方运行:listen=NO,默认为独立方式

cat /etc/xinetd.d/vsftpd

service ftp

{

flags = REUSE

socket_type = stream

wait = no

user = root

server = /usr/sbin/vsftpd

log_on_failure += USERID

disable = no

}

 

 

 

三、实验:实现基于SSL的FTPS

前期准备:

FTP服务器:CentOS7.4

IP地址:192.168.30.10

具体步骤:

查看是否支持SSL

ldd `which vsftpd` 查看到libssl.so

1

创建自签名证书

cd /etc/pki/tls/certs/

make vsftpd.pem

openssl x509 -in vsftpd.pem -noout –text

配置vsftpd服务支持SSL:/etc/vsftpd/vsftpd.conf

ssl_enable=YES 启用SSL

allow_anon_ssl=NO 匿名不支持SSL

force_local_logins_ssl=YES 本地用户登录加密

force_local_data_ssl=YES 本地用户数据传输加密

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem 指定证书位置

2

用filezilla工具测试

点击文件–>站点管理器–>新站点,协议选择SFTP,登录类型选择一般

3

是否信任主机并继续,点确定

4

连接成功

5

 

四、实验:基于文件验证的vsftpd虚拟用户

前期准备:

Ftp服务器: CentOS 7.4      192.168.30.10

访问端:CentOS7.5        192.168.30.17

 

具体步骤:

1.创建用户数据库文件

vim /etc/vsftpd/vusers.txt

vuse1

centos

vuse2

wxlinux

cd /etc/vsftpd/

转换为db型文件

db_load -T -t hash -f vusers.txt vusers.db

chmod 600 vusers.db

 

2.创建用户和访问FTP目录

useradd -d /data/ftp -s /sbin/nologin vuser

chmod +rx /data/ftp/

centos7 还需要执行以下操作:

chmod -w /data/ftp/

mkdir /data/ftp/upload

setfacl -m u:vuser:rwx /data/ftp/upload

 

3.创建pam配置文件

vim /etc/pam.d/vsftpd.db

auth required pam_userdb.so db=/etc/vsftpd/vusers

account required pam_userdb.so db=/etc/vsftpd/vusers

 

4.指定pam

vim /etc/vsftpd/vsftpd.conf

guest_enable=YES

guest_username=vuser

user_config_dir=/etc/vsftpd/vusers.d/

1

找到此行,将vsftpd模块替换为vsftpd.db

pam_service_name=vsftpd==>pam_service_name=vsftpd.db

2

5.虚拟用户建立独立的配置文件

mdkir /etc/vsftpd/vusers.d/

cd /etc/vsftpd/vusers.d/

创建个用户自己的配置文件

允许vuser1用户可读写,其他用户只读

vim vuser1

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

指定vuse2用户登录的根目录

vim vuser2

local_root=/data/ftp

 

6.测试

切换到另外一台主机ftp连接,虚拟用户vuser1,vuser2登录成功

3

 

五、实验:实现基于MySQL验证的vsftpd虚拟用户

前期准备:

虚拟机2台

FTP服务器:  CentOS 7.4     IP:192.168.30.10

MySQL服务器:CentOS 7.5     IP:192.168.30.17

具体步骤:

一、安装所需要包和包组:

在数据库服务器上安装包:

Centos7:在数据库服务器上安装

yum –y install mariadb-server

systemctl start mariadb.service

systemctl enable mariadb

Centos6:在数据库服务器上安装

yum –y install mysql-server

 

在FTP服务器上安装vsftpd和pam_mysql包

CentOS6:pam_mysql由epel6的源中提供

yum install vsftpd pam_mysql

CentOS7:无对应rpm包,需手动编译安装

yum -y groupinstall “Development Tools”

yum -y install mariadb-devel pam-devel vsftpd

下载pam_mysql-0.7RC1.tar.gz

tar xvf pam_mysql-0.7RC1.tar.gz

cd pam_mysql-0.7RC1/

./configure –with-pam-mods-dir=/lib64/security

make

make install

 

二、在数据库服务器上创建虚拟用户账号

1.建立存储虚拟用户数据库和连接的数据库用户

mysql> CREATE DATABASE vsftpd;

mysql> SHOW DATABASES;

ftp服务和mysql不在同一主机:

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@’172.16.%.%’ IDENTIFIED BY ‘magedu’;

 

ftp服务和mysql在同一主机:

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@localhost IDENTIFIED BY ‘magedu’;

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@’127.0.0.1′ IDENTIFIED BY ‘magedu’;

mysql> FLUSH PRIVILEGES;

 

2.准备相关表

mysql> USE vsftpd;

mysql> SHOW TABLES;

mysql> CREATE TABLE users (

id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,

name CHAR(50) BINARY NOT NULL,

password CHAR(48) BINARY NOT NULL

);

mysql>DESC users;

1

测试连接

mysql -uvsftpd –h192.168.30.17 -pmagedu

mysql> SHOW DATABASES;

 

3.添加虚拟用户

根据需要添加所需要的用户,为了安全应该使用PASSWORD函数加密其密码后

存储

mysql> insert into users(name,password) values(‘wang’,password(‘centos’));

mysql> insert into users(name,password) values(‘liu’,password(‘wxlinux’));

mysql> select * from users;

2

 

三、在FTP服务器上配置vsftpd服务

1.在FTP服务器上建立pam认证所需文件

vim /etc/pam.d/vsftpd.mysql 添加如下两行

auth required pam_mysql.so user=vsftpd passwd=magedu

host=192.168.30.17 db=vsftpd table=users usercolumn=name

passwdcolumn=password crypt=2

account required pam_mysql.so user=vsftpd passwd=magedu

host=192.168.30.17 db=vsftpd table=users usercolumn=name

passwdcolumn=password crypt=2

注意:参考README文档,选择正确的加密方式

crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql

password()函数加密,3表示md5加密,4表示sha1加密

 

配置字段说明:

auth                       表示认证

account                 验证账号密码正常使用

required               表示认证要通过

pam_mysql.so     模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝

对路径;后面为给此模块传递的参数

user=vsftpd          登录mysql的用户

passwd=magedu  登录mysql的的密码

host=mysqlserver mysql  服务器的主机名或ip地址

db=vsftpd             指定连接msyql的数据库名称

table=users          指定连接数据库中的表名

usercolumn=name 当做用户名的字段

passwdcolumn=password 当做用户名字段的密码

crypt=2                 密码的加密方式为mysql password()函数加密

 

2.建立相应用户和修改vsftpd配置文件,使其适应mysql认证

建立虚拟用户映射的系统用户及对应的目录

useradd -s /sbin/nologin -d /var/ftproot vuser

chmod 555 /var/ftproot centos7 需除去ftp根目录的写权限

mkdir /var/ftproot/{upload,pub}

setfacl –m u:vuser:rwx /var/ftproot/upload

确保/etc/vsftpd.conf中已经启用了以下选项

anonymous_enable=YES

添加下面两项

guest_enable=YES

guest_username=vuser

3

修改下面一项,原系统用户无法登录

pam_service_name=vsftpd.mysql

4

 

四、启动vsftpd服务

service vsftpd start;systemctl start vsftpd

chkconfig vsftpd on;systemctl enable vsftpd

查看端口开启情况

netstat -tnlp |grep :21

 

五、测试:利用FTP客户端工具,以虚拟用户登录验证结果

5

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/101796

(1)
wangxczwangxcz
上一篇 2018-06-26
下一篇 2018-06-26

相关推荐

  • 用 percona-xtrabackup 实现备份实例

    安装2.4.11版本的percona wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.11/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.11-1.el7.x86_64.rpm 下载新版的percona 看下后…

    Linux笔记 2018-06-14
  • 实现创建私有CA

    CA的构成:PKI: Public Key Infrastructure签证机构:CA(Certificate Authority)注册机构:RA证书吊销列表:CRL证书存取库:X.509:定义了证书的结构以及认证协议标准版本号序列号签名算法颁发者有效期限主体名称主体公钥CRL分发点扩展信息发行者签名证书类型:证书授权机构的证书服务器用户证书获取证书两种方法…

    Linux笔记 2018-05-22
  • 课后实操

    1.怎么查看设备UUID? [root@centos6 ~]#blkid /dev/sda1: UUID=”625dc9a7-69cd-478f-892c-0d4a664b72fe” TYPE=”ext4″ /dev/sda2: UUID=”070d3bc7-773e-4d27-bf0e-81221…

    Linux笔记 2018-04-23
  • Docker容器技术之Dokcer networking

    我们知道,docker容器中的资源用namespace进行了隔离,每一个容器中都有自己独立的一套网络资源,docker容器如何实现单机通讯与跨主机通讯呢?本节内容将为你解答这个问题。

    2018-08-08
  • Linux“文本三剑客”之grep

    Linux“文本三剑客”之grep grep,Global search REgular expression and Print out the line. 是Linux中常用的文本搜索工具,基于正则表达式(Regular Expression)和文本字符来编写模式(Pattern),然后根据指定的模式对目标文本逐行进行匹配,打印匹配到的行。 grep工具…

    2018-05-14
  • 总结_系统初始设置

    启动 自动联网 gedit /etc/sysconfig/network-scripts/ifcfg-ens33 /*图形界面 gedit*/ ONBOOT=yes 自动登录 nano /etc/gdm/custom.conf /*字符界面 nano*/ [daemon] AutomaticLoginEnable=Ture AutomaticLogin=XX…

    Linux笔记 2018-03-30