• Ftp


    Ftp


    ftp简介

    网络文件共享服务主流的主要有三种,分别是ftp、nfs、samba。

    FTP是File Transfer Protocol(文件传输协议)的简称,用于internet上的控制文件的双向传输。

    FTP也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。

    在FTP的使用当中,用户经常遇到两种概念:下载和上传

    下载(Download) 上传(Upload)
    从远程主机拷贝文件至自己的计算机上 将文件从自己的计算机上拷贝至远程主机上

    ftp架构

    FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。其有多种客户端和服务端的应用程序,下面来简单介绍一下

    客户端工具 服务端软件
    ftp lftp,lftpget wget,curl filezilla gftp(Linux GUI) 商业软件(flashfxp,cuteftp) wu-ftpd proftpd(提供web接口的一种ftp服务端程序) pureftp vsftpd(Very Secure) ServU(windows平台的一种强大ftp服务端程序)

    ftp数据连接模式

    ftp有2种数据连接模式:命令连接和数据连接

    • 命令连接:是指文件管理类命令,始终在线的持久性连接,直到用户退出登录为止
    • 数据连接:是指数据传输,按需创建及关闭的连接

    其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式

    数据传输格式有以下两种:

    • 文件传输
    • 二进制传输

    数据传输模式也有2种:

    • 主动模式:由服务器端创建数据连接
    • 被动模式:由客户端创建数据连接

    两种数据传输模式的建立过程:

    传输模式 建立过程
    主动模式 命令连接: Client(1025)--> Server(21) 客户端以一个随机端口(大于1023)来连服务器端的21号端口 数据连接: Server(20/tcp) --> Client(1025+1) 服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号
    被动模式 命令连接: Client(1110) --> Server(21) 客户端以一个随机端口来连成服务器端的21号端口 数据连接: Client(1110+1) --> Server(随机端口) 客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接

    主动模式有个弊端,因为客户端的端口是随机的,客户端如果开了防火墙,
    则服务器端去连客户端创建数据连接时可能会被拒绝

    用户认证

    ftp的用户主要有三种:

    • 虚拟用户:仅用于访问某特定服务中的资源
    • 系统用户:可以登录系统的真实用户
    • 匿名用户

    vsftpd

    此处我们要说的ftp应用程序是vsftpd,这也是在公司中用得最多的一款ftp软件。

    vsftpd安装

    [root@node1 ~]# yum -y install vsftpd
    Updating Subscription Management repositories.
    Unable to read consumer identity
    This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
    baseos                                              2.5 MB/s | 2.8 kB     00:00    
    appstream                                           3.1 MB/s | 3.2 kB     00:00    
    Dependencies resolved.
    ====================================================================================
     Package          Architecture     Version                Repository           Size
    ====================================================================================
    Installing:
     vsftpd           x86_64           3.0.3-31.el8           AppStream           180 k
    
    Transaction Summary
    ====================================================================================
    Install  1 Package
    
    Total size: 180 k
    Installed size: 343 k
    Downloading Packages:
    Running transaction check
    Transaction check succeeded.
    Running transaction test
    Transaction test succeeded.
    Running transaction
      Preparing        :                                                            1/1 
      Installing       : vsftpd-3.0.3-31.el8.x86_64                                 1/1 
      Running scriptlet: vsftpd-3.0.3-31.el8.x86_64                                 1/1 
      Verifying        : vsftpd-3.0.3-31.el8.x86_64                                 1/1 
    Installed products updated.
    
    Installed:
      vsftpd-3.0.3-31.el8.x86_64                                                        
    
    Complete!
    

    vsftpd配置

    /etc/pam.d/vsftpd       //vsftpd用户认证配置文件
    /etc/vsftpd/            //配置文件目录
    /etc/vsftpd/vsftpd.conf     //主配置文件
    
    //匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
    //系统用户通过ftp访问的资源位置为用户的家目录
    //虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录
    
    
    [root@node1 ~]# cat /etc/vsftpd/vsftpd.conf
    anonymous_enable=NO			#是否允许匿名访问
    local_enable=YES			#是否允许本地用户登录
    write_enable=YES			#本地用户有写权限
    local_umask=022				#本地用户上传的umask值
    dirmessage_enable=YES		        #启用某目录下的.message描述信息,假定有一个目录为/upload,在其下创建一个文件名为.message,在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容
    xferlog_enable=YES			#是否启用传输日志,记录ftp传输过程
    connect_from_port_20=YES	        #连接的端口是20号端口
    xferlog_std_format=YES		        #传输日志是否使用标准格式
    listen=NO				#是否以独立允许的方式监听
    listen_ipv6=YES
    
    pam_service_name=vsftpd		        #指定vsftpd使用/etc/pam.d下的哪个pam配置文件进行用户认证
    userlist_enable=YES			#是否启用“禁止用户登录名单”
    

    vsftpd常见的配置参数:

    参数 作用
    anonymous_enable=YES 启用匿名用户登录
    anon_upload_enable=YES 允许匿名用户上传
    anon_mkdir_write_enable=YES 允许匿名用户创建目录,但是不能删除
    anon_other_write_enable=YES 允许匿名用户创建和删除目录
    local_enable=YES 启用本地用户登录
    write_enable=YES 允许本地用户有写权限
    local_umask=022 通过ftp上传文件的默认遮罩码
    chroot_local_user=YES 禁锢所有的ftp本地用户于其家目录中
    chroot_list_enable=YES 开启禁锢文件列表 需要与chroot_list_file参数一起使用
    chroot_list_file=/etc/vsftpd/chroot_list 指定禁锢列表文件路径 在此文件里面的用户将被禁锢在其家目录中
    allow_writeable_chroot=YES 允许被禁锢的用户家目录有写权限
    xferlog_enable=YES 是否启用传输日志,记录ftp传输过程
    xferlog_std_format=YES 传输日志是否使用标准格式
    xferlog_file=/var/log/xferlog 指定传输日志存储的位置
    chown_uploads=YES 是否启用改变上传文件属主的功能
    chown_username=whoever 指定要将上传的文件的属主改为哪个用户 此用户必须在系统中存在
    pam_service_name=vsftpd 指定vsftpd使用/etc/pam.d下的 哪个pam配置文件进行用户认证
    userlist_enable=YES 是否启用控制用户登录的列表文件: 默认为/etc/vsftpd/user_list文件
    userlist_deny=YES 是否拒绝userlist指定的列表文件中存在的用户登录ftp
    max_clients=# 最大并发连接数
    max_per_ip=# 每个IP可同时发起的并发请求数
    anon_max_rate 匿名用户的最大传输速率,单位是“字节/秒”
    local_max_rate 本地用户的最大传输速率,单位是“字节/秒”
    dirmessage_enable=YES 启用某目录下的.message描述信息 假定有一个目录为/upload,在其下创建一个文件名为.message, 在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容
    message_file 设置访问一个目录时获得的目录信息文件的文件名,默认是.message
    idle_session_timeout=600 设置默认的断开不活跃session的时间
    data_connection_timeout=120 设置数据传输超时时间
    ftpd_banner="Welcome to chenlf FTP service." 定制欢迎信息,登录ftp时自动显示
    //虚拟用户的配置:
        //所有的虚拟用户会被统一映射为一个指定的系统帐号,访问的共享位置即为此系统帐号的家目录
        //各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
    
        //虚拟用户帐号的存储方式:
        1.文件:编辑文件,此文件需要被编码为hash格式。
            奇数行为用户名
            偶数行为密码
        2.关系型数据库的表中:
            通过即时查询数据库完成用户认证
            mysql库:pam要依赖于pam_mysql软件,可以通过epel源yum安装
    

    vsftpd配置

    环境如下:

    环境 主机名称 IP
    服务端 node1 192.168.100.1
    客户端 node2 192.168.100.2

    准备工作

    //关闭防火墙和SElinux
    [root@node1 ~]# systemctl stop firewalld
    [root@node1 ~]# setenforce 0
    [root@node2 ~]# systemctl stop firewalld
    [root@node2 ~]# setenforce 0
    
    //安装vsftpd
    [root@node1 ~]# yum -y install vsftpd
    [root@node2 ~]# yum -y install ftp
    
    //备份配置文件
    [root@node1 ~]# cp /etc/vsftpd/vsftpd.conf{,.bak}
    

    匿名用户访问模式

    FTP匿名访问是比较不安全的模式,在真实环境中千万不要放入敏感数据以免泄露。

    配置vsftpd.conf允许匿名访问、写入和上传

    //写配置文件
    [root@node1 ~]# vim /etc/vsftpd/vsftpd.conf
    anonymous_enable=yes
    local_enable=YES
    write_enable=YES
    local_umask=022
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES
    
    //启动服务
    [root@node1 ~]# systemctl start vsftpd
    
    //用客户端访问测试
    [root@node2 ~]# ftp 192.168.100.1
    Connected to 192.168.100.1 (192.168.100.1).
    220 (vsFTPd 3.0.3)
    Name (192.168.100.1:root): anonymous				#输入anonymous
    331 Please specify the password.
    Password:							#回车即可
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> ls
    227 Entering Passive Mode (192,168,100,1,145,194).
    150 Here comes the directory listing.
    drwxr-xr-x    2 0        0               6 Feb 17  2020 pub
    226 Directory send OK.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> mkdir baozi
    550 Create directory operation failed.
    ftp> ls
    227 Entering Passive Mode (192,168,100,1,122,253).
    150 Here comes the directory listing.
    226 Directory send OK.
    ftp> exit
    221 Goodbye.
    
    //可以看到上面已经允许匿名用户创建目录和写入权限,仍然被拒绝了,匿名用户访问的FTP根目录是/var/ftp,而FTP根目所有者是root,修改所有者为ftp
    [root@node1 ~]# ll /var/ftp/
    total 0
    drwxr-xr-x. 2 root root 6 Feb 17  2020 pub
    [root@node1 ~]# chown ftp /var/ftp/pub/
    [root@node1 ~]# ll /var/ftp/
    total 0
    drwxr-xr-x. 2 ftp root 6 Feb 17  2020 pub
    
    //修改所有者后,在用客户端尝试
    [root@node2 ~]# ftp 192.168.100.1
    Connected to 192.168.100.1 (192.168.100.1).
    220 (vsFTPd 3.0.3)
    Name (192.168.100.1:root): anonymous
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> mkdir baozi
    257 "/pub/baozi" created
    ftp> ls
    227 Entering Passive Mode (192,168,100,1,230,137).
    150 Here comes the directory listing.
    drwx------    2 14       50              6 Apr 06 08:53 baozi
    226 Directory send OK.
    ftp> exit
    221 Goodbye.
    
    //到服务端查看
    [root@node1 ~]# ll /var/ftp/pub/
    total 0
    drwx------. 2 ftp ftp 6 Apr  6 16:53 baozi
    

    本地用户模式

    本地用户模式比匿名用户模式更加安全一点,关闭匿名用户访问模式,vsftpd服务默认已经允许本地用户访问,只需要添加本地用户模式权限参数,删除原先用户配置或者还原虚拟机,否则可能会因为配置文件冲突而报错

    //写配置文件
    [root@node1 ~]# vim /etc/vsftpd/vsftpd.conf
    anonymous_enable=NO
    local_enable=YES
    write_enable=YES
    local_umask=022
    dirmessage_enable=YES
    xferlog_enable=YES
    connect_from_port_20=YES
    xferlog_std_format=YES
    listen=NO
    listen_ipv6=YES
    pam_service_name=vsftpd
    userlist_enable=YES
    userlist_deny=YES
    
    //重启服务
    [root@node1 ~]# systemctl restart vsftpd
    
    //禁止用户登录的名单可以在ftpusers 或user_list中查看
    [root@node1 ~]# cat /etc/vsftpd/user_list
    # vsftpd userlist
    # If userlist_deny=NO, only allow users in this file
    # If userlist_deny=YES (default), never allow users in this file, and
    # do not even prompt for a password.
    # Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
    # for users that are denied.
    root
    bin
    daemon
    adm
    lp
    sync
    shutdown
    halt
    mail
    news
    uucp
    operator
    games
    nobody
    
    //vsftpd服务为了让FTP更加安全,默认是禁止root用户身份登录的,这里创建一个普通用户yqh登录
    [root@node1 ~]# useradd yqh
    [root@node1 ~]# passwd yqh
    Changing password for user yqh.
    New password: 
    BAD PASSWORD: The password is a palindrome
    Retype new password: 
    passwd: all authentication tokens updated successfully.
    
    //在客户端测试用yqh用户登录
    [root@node2 ~]# ftp 192.168.100.1
    Connected to 192.168.100.1 (192.168.100.1).
    220 (vsFTPd 3.0.3)
    Name (192.168.100.1:root): yqh
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> ls -a
    227 Entering Passive Mode (192,168,100,1,224,37).
    150 Here comes the directory listing.
    drwx------    2 1000     1000           62 Apr 06 08:58 .
    drwxr-xr-x    3 0        0              17 Apr 06 08:58 ..
    -rw-r--r--    1 1000     1000           18 Aug 30  2019 .bash_logout
    -rw-r--r--    1 1000     1000          141 Aug 30  2019 .bash_profile
    -rw-r--r--    1 1000     1000          312 Aug 30  2019 .bashrc
    226 Directory send OK.
    ftp> mkdir yqh1
    257 "/home/yqh/yqh1" created
    ftp> ls
    227 Entering Passive Mode (192,168,100,1,171,29).
    150 Here comes the directory listing.
    drwxr-xr-x    2 1000     1000            6 Apr 06 09:00 yqh1
    226 Directory send OK.
    ftp> exit
    221 Goodbye.
    
    //在服务端查看
    [root@node1 ~]# ll /home/yqh/
    total 0
    drwxr-xr-x. 2 yqh yqh 6 Apr  6 17:00 yqh1
    

    虚拟用户模式

    删除原先用户配置或者还原虚拟机,否则可能会因为配置文件冲突而报错。

    虚拟用户模式的账号口令都不是真实系统中存在的,所以只要配置妥当虚拟用户模式比本地用户模式更加安全。

    虚拟用户的配置:
        所有的虚拟用户会被统一映射为一个指定的系统帐号,访问的共享位置即为此系统帐号的家目录
        各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
    
        虚拟用户帐号的存储方式:
        1.文件:编辑文件,此文件需要被编码为hash格式。
            奇数行为用户名
            偶数行为密码
        2.关系型数据库的表中:
            通过即时查询数据库完成用户认证
            mysql库:pam要依赖于pam_mysql软件,可以通过epel源yum安装
    

    虚拟用户模式配置流程大致如下:

      1.建立虚拟FTP用户数据库文件

      2.创建FTP根目录及虚拟用户映射的系统用户

      3.建立虚拟用户的PAM认证文件

      4.在vsftpd.conf文件中添加支持配置

      5.为虚拟用户设置不同权限

      6.重启服务

    以文件方式存储虚拟账号:

    //建立虚拟FTP用户数据库文件
    [root@node1 ~]# vim /etc/vsftpd/vuser.txt
    yuqinghao
    123
    baozi
    456
    
    //使用db_load命令用HASH算法生成FTP用户数据库文件vuser.db
    ##-T表示转换,-t表示加密方式使用hash算法加密
    [root@node1 ~]# db_load -T  -t hash -f /etc/vsftpd/vuser.txt  /etc/vsftpd/vuser.db
    
    //提高虚拟用户帐号文件的安全性,应将文件权限设置为600,以避免数据外泄
    [root@node1 ~]# chmod  600 /etc/vsftpd/vuser*
    
    //创建FTP根目录及虚拟用户映射为系统用户
    [root@node1 ~]# useradd -d /var/ftproot -s /sbin/nologin vuser
    
    //修改其家目录权限保证其他用户可以访问
    [root@node1 ~]# chmod 755 /var/ftproot/
    
    //建立虚拟用户的PAM认证文件
    ##参数db用于指向刚刚生成的vuser.db文件,不用加后缀
    [root@node1 ~]# vim /etc/pam.d/vsftpd.vu
    auth required pam_userdb.so db=/etc/vsftpd/vuser
    account required pam_userdb.so db=/etc/vsftpd/vuser
    
    //在vsftpd.conf文件中添加支持配置
    [root@node1 ~]# vim /etc/vsftpd/vsftpd.conf
    anonymous_enable=NO
    local_enable=YES
    write_enable=YES
    pam_service_name=vsftpd.vu
    guest_enable=YES
    guest_username=vuser
    allow_writeable_chroot=YES
    
    //为虚拟用户设置不同权限
    [root@node1 ~]# mkdir /etc/vsftpd/vuser_dir
    [root@node1 ~]# echo 'user_config_dir=/etc/vsftpd/vuser_dir' >> /etc/vsftpd/vsftpd.conf
    
    //为不同的虚拟用户配置权限,yuqinghao用户可以上传和创建目录,以及写入权限
    [root@node1 ~]# vim /etc/vsftpd/vuser_dir/yuqinghao
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES
    
    //baozi用户只有默认的下载权限,只需要创建一个名为baozi空文件即可
    [root@node1 ~]# touch /etc/vsftpd/vuser_dir/baozi
    
    //重启服务
    [root@node1 ~]# systemctl restart vsftpd
    
    //在客户端测试
    //用yuqinghao用户测试
    [root@node2 ~]# ftp 192.168.100.1
    Connected to 192.168.100.1 (192.168.100.1).
    220 (vsFTPd 3.0.3)
    Name (192.168.100.1:root): yuqinghao
    331 Please specify the password.
    Password:123
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> mkdir 123
    257 "/123" created
    ftp> exit
    221 Goodbye.
    
    //用baozi用户测试
    [root@node2 ~]# ftp 192.168.100.1
    Connected to 192.168.100.1 (192.168.100.1).
    220 (vsFTPd 3.0.3)
    Name (192.168.100.1:root): baozi
    331 Please specify the password.
    Password:456
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> mkdir 456
    550 Permission denied.
    ftp> exit
    221 Goodbye.
    
  • 相关阅读:
    django1.8升级1.9的几个问题
    App免费推广途径概要
    Django Channels 入门指南
    小谈业务应用架构
    比技术债更可怕的人债
    js数据结构与算法--递归
    常见react面试题汇总
    如何使用koa实现socket.io官网的例子
    Vue插槽
    10分钟了解 react 引入的 Hooks
  • 原文地址:https://www.cnblogs.com/yuqinghao/p/14627680.html
Copyright © 2020-2023  润新知