1、ftp协议及vsftpd的基本应用
vsftpd 是"very secure FTP daemon"的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。比如:非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高等。
vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。
文件共享服务:
工作在应用层:ftp(file transfer protocol)
应用层协议:tcp,
工作在内核:nfs
跨平台:samba
ftp工作在221号端口,传输数据:
命令连接:文件管理类命令,始终在线的连接
数据连接:数据传输,按需创建及关闭连接
主动连接:由服务器创建连接
命令连接:
client用随机端口发起连接请求到server 21,client会把使用端口告诉服务器端
数据连接:
server用20号端口连接客户端发起端口+1或+2连接客户端
被动连接:由客户端创建连接
命令连接:
client用随机端口连接server21号端口,并告诉客户端请求数据会用哪个随机端口。
数据连接:
clinent用随机+1端口连接服务端已告知的随机端口。
ftp server:wu-ftpd、proftpd、puerftp、vsftpd、servu
ftp client:ftp、lftp、wget、filezilla、gftp、flashfxp、cuteftp
响应码:
1xx:信息
2xx:成功类状态
3xx:需要进一步提供补充类信息
4xx:客户端错误信息
5xx:服务端错误信息
220表示链接成功的状态码,
331表示输入用户名后需要进一步补充信息即密码(密码为空)
230表示登陆成功
227表示被动模式
(192,168,108,160,104,145)表示在被动模式下服务器端要打开一个随机端口和客户端链接,监听在192.168.108.160地址上的104*256+145的随机端口上
226表示目录显示成功
用户认证:
虚拟用户:仅用于访问某特定服务中的资源
nsswitch:network server switch:名称解析框架
配置文件:/etc/nsswitch.conf
模块:/lib64/libnss*,/usr/lib64/libnss
pam:pluggable authentication module
配置文件:/etc/pam.conf,/etc/pam.d/*
模块:/lib64/security/
支持系统用户:
支持匿名用户:
centos自带的是vsftp
yum -y install vsftpd
rpm -ql vsftpd
用户认证配置文件 /etc/pam.d/vsftpd
启动服务脚本:/etc/rc.d/init.d/vsftpd
日志滚动:/etc/logrotate.d/vsftpd
配置文件目录:/etc/vsftpd
主配置文件:/etc/vsftpd/vsftpd.conf
主应用程序:/usr/sbin/vsftpd
匿名用户共享资源位置:/var/ftp,匿名用户:yum install finger
系统用户登录ftp访问资源位置是用户家目录
虚拟用户通过ftp访问资源的位置映射为系统用户家目录
客户端安装:
yum install ftp或者在浏览其中输入ftp://192.168.146.138
vim /etc/vsftpd/vsftpd.conf
匿名用户配置:
是否支持匿名用户登录:anonymous_enable=YES
是否支持匿名用户创建目录:anon_mkdir_write_enable=YES
是否支持匿名用户上传: #anon_upload_enable=YES
是否支持匿名用户删除目录:anon_ohter_write_enable=YES
系统用户配置:
是否支持本地用户:local_enable=YES
系统用户写权限:write_enable=YES
禁锢系统用户只能在自己家目录 :#chroot_local_user=YES
禁锢指定用户在其家目录中:#chroot_list_enable=YES、chroot_list_file=/etc/vsftpd/chroot_list
是否支持匿名用户上传: #anon_upload_enable=YES
在没有开启#anon_upload_enable=YES之前是不支持匿名用户上传的,首先应在/etc/vsftpd/vsftpd.conf 开启这一功能
frp>lcd /etc 是切换上传目录
开启匿名用户上传之后,再次上传还是不行,因为/var/ftp都是root权限
# ls -ld /var/ftp
# ps aux | grep ftp但是vsftpd程序是以普通用户ftp运行的
因此可以在/var/ftp目录下创建一个目录,并添加额外权限
切换到远程主机(另一个IP地址的主机)
禁锢指定用户在其家目录中:#chroot_list_enable=YES、chroot_list_file=/etc/vsftpd/chroot_list
编辑/etc/vsftpd/chroot_list 这个文件后只添加了centos,因此fedora可以看到家目录,而centos不能看到家目录
2、vsftpd的高级应用
vim /etc/vsftpd/vsftpd.conf
所有以#开头,后面跟了空格再跟字符的纯粹是注释行
以#开头,后面直接跟字符的,比如第3行,是可以启用的选项
直接顶头写的,比如第二行是已经启用的
比如第1行,顶头有空格的,又启用的属于语法错误
系统用户配置:
1、在ftp任何目录下创建.message文件,当用户进入该目录时显示.message中内容 dirmessage_enable=YES
2、是否启用传输日志:xferlog_enable=YES
3、指定日志文件位置:#xferlog_file=/var/log/xferlog
4、修改上传用户属主:#chown_uploads=YES
5、指定修改上传用户:#chown_username=whoever
6、设定用户超时时长:#idle_session_timeout=600
7、数据连接超时时长:#data_connection_timeout=120
8、登录ftp时显示的信息:#ftpd_banner=Welcome to blah FTP service.
9、配置文件在:/etc/pam.d/vsftpd --> pam_service_name=vsftpd
vsftpd使用pam完成用户认证,启用到的pam配置文件
pam_service_name=vsftpd 主要功能是:指明在/etc/pam.d/目录下,
用哪个文件完成基于pam对vsftpd进行用户认证
这一项启用后,在/etc/pam.d/vsftpd中
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
如果在/etc/vsftpd/ftpusers文件中添加用户的名称,则禁止登陆。
例如我在这个文件中假如centos
10、 (是否启用用户登录列表文件,默认配置文件/etc/vsftpd/user_list(手动创建):userlist_enable=YES
是否启用/etc/vsftpd/user_list列表文件:userlist_deny=yes|no )
# vim /etc/vsftpd/vsftpd.conf
添加user_list_deny=YES此时user_list是黑名单,
如果user_list_deny=NO就是白名单,只有定义在/etc/vsftpd/user_list文件中的用户才能登陆
# vim user_list 添加centos,再次登陆时直接拒绝
链接限制
11、tcp_wrappers=YES
最大并发连接数(无论多少个IP):max_clients
每个IP可同时发起的并发请求数:max_per_ip
传输速率:
匿名用户的最大传输速率,单位是“字节/秒”:anon_max_rate
本地用户最大的传输速率:local_max_rate
1、在/var/ftp/upload目录下创建一个.message文件,添加内容:
1 hello guest
2 how are you?
在另一个主机访问这个目录:
虚拟用户配置:
所有虚拟用户会被统一映射为一个指定系统账号,访问共享位置为此账号家目录。
各虚拟用户被赋予不同的访问权限;
通过参数进行指定虚拟用户账号的存储方式:
1、文件:编辑文件:
奇数行为用户名,
偶数行为密码。此文件需要被编译为hash格式:
2、关系型数据库中的表:
即时查询数据库完成用户认证:
mysql库
pam要依赖于pam_mysql
#yum install pam_mysql
lftp:lftp -u username ip
-c:支持断点续传
axel 下载很快
lftpget wget curl
ftp协议是明文