本节索引:
一、文件传输协议(FTP)
二、vsftpd服务
三、实验:实现基于SSL的FTPS
四、实验:实现基于文件验证的vsftpd虚拟用户
五、实验:实现基于MySQL验证的vsftpd虚拟用户
FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。
用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。
基于C/S结构
双通道协议:数据和命令连接
数据传输格式:二进制(默认)和文本
两种模式:
服务器角度
主动(PORT style):服务器主动连接
命令(控制):客户端:随机port — 服务器:tcp21
数据: 客户端:随机port — 服务器:tcp20
被动(PASV style):客户端主动连接
命令(控制):客户端:随机port — 服务器:tcp21
数据: 客户端:随机port — 服务器:随机port
服务器被动模式数据端口示例:
227 Entering Passive Mode (192,168,175,138,224,59)
服务器数据端口为:224*256+59
注:Linux客户端默认使用被动模式
Windows客户端默认使用主动模式
Linux系统客户端若要切换主动模式,可使用:
ftp -A ServerIP Port
主动连接与被动连接的优缺点:
1.主动连接对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端
的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。
2.被动连接对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建
立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻
塞掉。
可通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险。
FTP服务器:
Wu-ftpd,Proftpd,Pureftpd,ServU,IIS
vsftpd:Very Secure FTP Daemon,CentOS默认FTP服务器
高速,稳定,下载速度是WU-FTP的两倍
ftp.redhat.com数据:单机最多可支持15000个并发
客户端软件:
ftp,lftp,lftpget,wget,curl
ftp -A ftpserver port -A 主动模式 -p 被动模式
lftp -u username ftpserver
lftp username@ftpserver
lftpget ftp://ftpserver/pub/file
gftp: GUI centos5 最新版2.0.19 (11/30/2008)
filezilla,CuteFtp,FlashFXP,LeapFtp
IE ftp://username:password@ftpserver
状态码:
1XX:信息类 125:数据连接打开
2XX:成功类状态 200:命令OK 230:登录成功
3XX:补充类 331:用户名OK
4XX:客户端错误 425:不能打开数据连接
5XX:服务器错误 530:不能登录
用户认证:
匿名用户:ftp,anonymous,对应Linux用户ftp
系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
虚拟用户:特定服务的专用用户,独立的用户/密码文件
nsswitch:network service switch名称解析框架
pam:pluggable authentication module 用户认证
/lib64/security /etc/pam.d/ /etc/pam.conf
二、vsftpd服务
vsftpd全称为”Very Secure FTP Daemon“,意为非常安全的FTP守护进程,vsftpd最初发展理念
就是建构一个以安全为重心的FTP服务器。
由vsftpd包提供,CentOS 7之后不再由xinetd管理
用户认证配置文件:
/etc/pam.d/vsftpd
服务脚本:
/usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd
配置文件:
/etc/vsftpd/vsftpd.conf
格式:option=value
注意:= 前后不要有空格
匿名用户(映射为系统用户ftp )登录的根目录位置:/var/ftp
系统用户共享文件位置:用户家目录
虚拟用户共享文件位置:为其映射的系统用户的家目录
vsftpd虚拟用户
虚拟用户:
所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号
的家目录
各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
虚拟用户帐号的存储方式:
文件:编辑文本文件,此文件需要被编码为hash格式
奇数行为用户名,偶数行为密码
db_load -T -t hash -f vusers.txt vusers.db
关系型数据库中的表中:
实时查询数据库完成用户认证
mysql库:pam要依赖于pam-mysql
/lib64/security/pam_mysql.so
/usr/share/doc/pam_mysql-0.7/README
vsftpd.conf常用配置
帮助查询:
man 5 vsftpd.conf
重设命令端口
listen_port=21
主动模式端口
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 指定主动模式的端口
被动模式端口范围
Linux客户端默认使用被动模式
Windows客户端默认使用主动模式
pasv_min_port=6000 0为随机分配
pasv_max_port=6010
可以通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险
使用当地时间
use_localtime=YES 使用当地时间(默认为NO,使用GMT)
匿名用户
anonymous_enable=YES 支持匿名用户
no_anon_password=YES(默认NO) 匿名用户略过口令检查
anon_world_readable_only (默认YES)只能下载全部读的文件
anon_upload_enable=YES 匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES 匿名创建,写权限
anon_umask=077 指定匿名上传文件的umask
anon_other_write_enable=YES 可删除和修改上传的文件
指定上传文件的默认的所有者和权限
chown_uploads=YES(默认NO)
chown_username=wang
chown_upload_mode=0644
Linux系统用户
guest_enable=YES 所有系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效,指定guest用户
local_enable=YES 是否允许Linux用户登录
write_enable-YES 是否允许Linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限
local_root=/ftproot 非匿名用户登录所在目录
禁锢所有系统用户在家目录中
chroot_local_user=YES(默认NO,不禁锢)禁锢系统用户
禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反
chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list
当chroot_local_user=YES时,则chroot_list中用户不禁锢
当chroot_local_user=NO时,则chroot_list中用户禁锢
ftp日志
wu-ftp日志:默认启用
xferlog_enable=YES (默认) 启用记录上传下载日志
xferlog_std_format=YES (默认)使用wu-ftp日志格式
xferlog_file=/var/log/xferlog (默认)可自动生成
vsftpd日志:默认不启用
dual_log_enable=YES 使用vsftpd日志格式,默认不启用
vsftpd_log_file=/var/log/vsftpd.log(默认)可自动生成
登录提示信息
ftpd_banner=”welcome to mage ftp server”
banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效
目录访问提示信息
dirmessage_enable=YES (默认)
message_file=.message(默认) 信息存放在指定目录下.message
使用PAM完成用户认证
pam_service_name=vsftpd
pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录
/etc/vsftpd/users_list 默认文件中用户拒绝登录,不提示口令输入
是否启用控制用户登录的列表文件
userlist_enable=YES 默认有此设置
userlist_deny=YES(默认值) 黑名单,不提示口令,NO为白名单
userlist_file=/etc/vsftpd/users_list 此为默认值
连接限制
max_clients=0 最大并发连接数
max_per_ip=0 每个IP同时发起的最大连接数
生成环境一般会将最大并发连接数按需设置;单个IP最大连接数尽量调小
vsftpd服务指定用户身份运行
nopriv_user=nobody
传输速率:字节/秒
anon_max_rate=0 匿名用户的最大传输速率
local_max_rate=0 本地用户的最大传输速率
连接时间:秒为单位
connect_timeout=60 主动模式数据连接超时时长
accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 无命令操作超时时长
优先以文本方式传输
ascii_upload_enable=YES
ascii_download_enable=YES
配置FTP服务以非独立服务方运行:listen=NO,默认为独立方式
cat /etc/xinetd.d/vsftpd
service ftp
{
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
log_on_failure += USERID
disable = no
}
三、实验:实现基于SSL的FTPS
前期准备:
FTP服务器:CentOS7.4
IP地址:192.168.30.10
具体步骤:
查看是否支持SSL
ldd `which vsftpd` 查看到libssl.so
创建自签名证书
cd /etc/pki/tls/certs/
make vsftpd.pem
openssl x509 -in vsftpd.pem -noout –text
配置vsftpd服务支持SSL:/etc/vsftpd/vsftpd.conf
ssl_enable=YES 启用SSL
allow_anon_ssl=NO 匿名不支持SSL
force_local_logins_ssl=YES 本地用户登录加密
force_local_data_ssl=YES 本地用户数据传输加密
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem 指定证书位置
用filezilla工具测试
点击文件–>站点管理器–>新站点,协议选择SFTP,登录类型选择一般
是否信任主机并继续,点确定
连接成功
四、实验:基于文件验证的vsftpd虚拟用户
前期准备:
Ftp服务器: CentOS 7.4 192.168.30.10
访问端:CentOS7.5 192.168.30.17
具体步骤:
1.创建用户数据库文件
vim /etc/vsftpd/vusers.txt
vuse1
centos
vuse2
wxlinux
cd /etc/vsftpd/
转换为db型文件
db_load -T -t hash -f vusers.txt vusers.db
chmod 600 vusers.db
2.创建用户和访问FTP目录
useradd -d /data/ftp -s /sbin/nologin vuser
chmod +rx /data/ftp/
centos7 还需要执行以下操作:
chmod -w /data/ftp/
mkdir /data/ftp/upload
setfacl -m u:vuser:rwx /data/ftp/upload
3.创建pam配置文件
vim /etc/pam.d/vsftpd.db
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
4.指定pam
vim /etc/vsftpd/vsftpd.conf
guest_enable=YES
guest_username=vuser
user_config_dir=/etc/vsftpd/vusers.d/
找到此行,将vsftpd模块替换为vsftpd.db
pam_service_name=vsftpd==>pam_service_name=vsftpd.db
5.虚拟用户建立独立的配置文件
mdkir /etc/vsftpd/vusers.d/
cd /etc/vsftpd/vusers.d/
创建个用户自己的配置文件
允许vuser1用户可读写,其他用户只读
vim vuser1
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
指定vuse2用户登录的根目录
vim vuser2
local_root=/data/ftp
6.测试
切换到另外一台主机ftp连接,虚拟用户vuser1,vuser2登录成功
五、实验:实现基于MySQL验证的vsftpd虚拟用户
前期准备:
虚拟机2台
FTP服务器: CentOS 7.4 IP:192.168.30.10
MySQL服务器:CentOS 7.5 IP:192.168.30.17
具体步骤:
一、安装所需要包和包组:
在数据库服务器上安装包:
Centos7:在数据库服务器上安装
yum –y install mariadb-server
systemctl start mariadb.service
systemctl enable mariadb
Centos6:在数据库服务器上安装
yum –y install mysql-server
在FTP服务器上安装vsftpd和pam_mysql包
CentOS6:pam_mysql由epel6的源中提供
yum install vsftpd pam_mysql
CentOS7:无对应rpm包,需手动编译安装
yum -y groupinstall “Development Tools”
yum -y install mariadb-devel pam-devel vsftpd
下载pam_mysql-0.7RC1.tar.gz
tar xvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1/
./configure –with-pam-mods-dir=/lib64/security
make
make install
二、在数据库服务器上创建虚拟用户账号
1.建立存储虚拟用户数据库和连接的数据库用户
mysql> CREATE DATABASE vsftpd;
mysql> SHOW DATABASES;
ftp服务和mysql不在同一主机:
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@’172.16.%.%’ IDENTIFIED BY ‘magedu’;
ftp服务和mysql在同一主机:
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@localhost IDENTIFIED BY ‘magedu’;
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@’127.0.0.1′ IDENTIFIED BY ‘magedu’;
mysql> FLUSH PRIVILEGES;
2.准备相关表
mysql> USE vsftpd;
mysql> SHOW TABLES;
mysql> CREATE TABLE users (
id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,
name CHAR(50) BINARY NOT NULL,
password CHAR(48) BINARY NOT NULL
);
mysql>DESC users;
测试连接
mysql -uvsftpd –h192.168.30.17 -pmagedu
mysql> SHOW DATABASES;
3.添加虚拟用户
根据需要添加所需要的用户,为了安全应该使用PASSWORD函数加密其密码后
存储
mysql> insert into users(name,password) values(‘wang’,password(‘centos’));
mysql> insert into users(name,password) values(‘liu’,password(‘wxlinux’));
mysql> select * from users;
三、在FTP服务器上配置vsftpd服务
1.在FTP服务器上建立pam认证所需文件
vim /etc/pam.d/vsftpd.mysql 添加如下两行
auth required pam_mysql.so user=vsftpd passwd=magedu
host=192.168.30.17 db=vsftpd table=users usercolumn=name
passwdcolumn=password crypt=2
account required pam_mysql.so user=vsftpd passwd=magedu
host=192.168.30.17 db=vsftpd table=users usercolumn=name
passwdcolumn=password crypt=2
注意:参考README文档,选择正确的加密方式
crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql
password()函数加密,3表示md5加密,4表示sha1加密
配置字段说明:
auth 表示认证
account 验证账号密码正常使用
required 表示认证要通过
pam_mysql.so 模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝
对路径;后面为给此模块传递的参数
user=vsftpd 登录mysql的用户
passwd=magedu 登录mysql的的密码
host=mysqlserver mysql 服务器的主机名或ip地址
db=vsftpd 指定连接msyql的数据库名称
table=users 指定连接数据库中的表名
usercolumn=name 当做用户名的字段
passwdcolumn=password 当做用户名字段的密码
crypt=2 密码的加密方式为mysql password()函数加密
2.建立相应用户和修改vsftpd配置文件,使其适应mysql认证
建立虚拟用户映射的系统用户及对应的目录
useradd -s /sbin/nologin -d /var/ftproot vuser
chmod 555 /var/ftproot centos7 需除去ftp根目录的写权限
mkdir /var/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /var/ftproot/upload
确保/etc/vsftpd.conf中已经启用了以下选项
anonymous_enable=YES
添加下面两项
guest_enable=YES
guest_username=vuser
修改下面一项,原系统用户无法登录
pam_service_name=vsftpd.mysql
四、启动vsftpd服务
service vsftpd start;systemctl start vsftpd
chkconfig vsftpd on;systemctl enable vsftpd
查看端口开启情况
netstat -tnlp |grep :21
五、测试:利用FTP客户端工具,以虚拟用户登录验证结果
本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/101796
