FTP服务介绍及相关实验

FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。

本节索引:

一、文件传输协议(FTP)

二、vsftpd服务

三、实验:实现基于SSL的FTPS

四、实验:实现基于文件验证的vsftpd虚拟用户

五、实验:实现基于MySQL验证的vsftpd虚拟用户

 

FTPFile Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。

用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。

 

基于C/S结构

双通道协议:数据和命令连接

数据传输格式:二进制(默认)和文本

 

两种模式:

服务器角度

主动(PORT style):服务器主动连接

命令(控制):客户端:随机port — 服务器:tcp21

数据:                客户端:随机port — 服务器:tcp20

被动(PASV style):客户端主动连接

命令(控制):客户端:随机port — 服务器:tcp21

数据:                客户端:随机port — 服务器:随机port

服务器被动模式数据端口示例:

227 Entering Passive Mode (192,168,175,138,224,59)

服务器数据端口为:224*256+59

 

 

注:Linux客户端默认使用被动模式

Windows客户端默认使用主动模式

Linux系统客户端若要切换主动模式,可使用:

ftp -A ServerIP Port

 

主动连接与被动连接的优缺点:

1.主动连接对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端

的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。

2.被动连接对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建

立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻

塞掉。

 

可通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险。

 

FTP服务器:

Wu-ftpd,Proftpd,Pureftpd,ServU,IIS

vsftpd:Very Secure FTP Daemon,CentOS默认FTP服务器

高速,稳定,下载速度是WU-FTP的两倍

ftp.redhat.com数据:单机最多可支持15000个并发

客户端软件:

ftp,lftp,lftpget,wget,curl

ftp -A ftpserver port -A 主动模式 -p 被动模式

lftp -u username ftpserver

lftp username@ftpserver

lftpget ftp://ftpserver/pub/file

gftp: GUI centos5 最新版2.0.19 (11/30/2008)

filezilla,CuteFtp,FlashFXP,LeapFtp

IE ftp://username:password@ftpserver

 

状态码:

1XX:信息类     125:数据连接打开

2XX:成功类状态 200:命令OK 230:登录成功

3XX:补充类     331:用户名OK

4XX:客户端错误 425:不能打开数据连接

5XX:服务器错误 530:不能登录

 

用户认证:

匿名用户:ftp,anonymous,对应Linux用户ftp

系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow

虚拟用户:特定服务的专用用户,独立的用户/密码文件

nsswitch:network service switch名称解析框架

pam:pluggable authentication module 用户认证

    /lib64/security /etc/pam.d/ /etc/pam.conf

 

二、vsftpd服务

vsftpd全称为”Very Secure FTP Daemon“,意为非常安全的FTP守护进程,vsftpd最初发展理念

就是建构一个以安全为重心的FTP服务器。

 

由vsftpd包提供,CentOS 7之后不再由xinetd管理

用户认证配置文件:

/etc/pam.d/vsftpd

 

服务脚本:

/usr/lib/systemd/system/vsftpd.service

/etc/rc.d/init.d/vsftpd

 

配置文件:

/etc/vsftpd/vsftpd.conf

格式:option=value

注意:= 前后不要有空格

 

匿名用户(映射为系统用户ftp )登录的根目录位置:/var/ftp

系统用户共享文件位置:用户家目录

虚拟用户共享文件位置:为其映射的系统用户的家目录

 

vsftpd虚拟用户

虚拟用户:

所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号

的家目录

各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式:

文件:编辑文本文件,此文件需要被编码为hash格式

奇数行为用户名,偶数行为密码

db_load -T -t hash -f vusers.txt vusers.db

关系型数据库中的表中:

实时查询数据库完成用户认证

mysql库:pam要依赖于pam-mysql

/lib64/security/pam_mysql.so

/usr/share/doc/pam_mysql-0.7/README

 

vsftpd.conf常用配置

帮助查询:

man 5 vsftpd.conf

 

重设命令端口

listen_port=21

 

主动模式端口

connect_from_port_20=YES     主动模式端口为20

ftp_data_port=20             指定主动模式的端口

 

被动模式端口范围

Linux客户端默认使用被动模式

Windows客户端默认使用主动模式

pasv_min_port=6000           0为随机分配

pasv_max_port=6010

可以通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险

 

使用当地时间

use_localtime=YES 使用当地时间(默认为NO,使用GMT)

 

匿名用户

anonymous_enable=YES          支持匿名用户

no_anon_password=YES(默认NO)  匿名用户略过口令检查

anon_world_readable_only (默认YES)只能下载全部读的文件

anon_upload_enable=YES        匿名上传,注意:文件系统权限

anon_mkdir_write_enable=YES   匿名创建,写权限

anon_umask=077                指定匿名上传文件的umask

anon_other_write_enable=YES   可删除和修改上传的文件

 

指定上传文件的默认的所有者和权限

chown_uploads=YES(默认NO)

chown_username=wang

chown_upload_mode=0644

 

Linux系统用户

guest_enable=YES              所有系统用户都映射成guest用户

guest_username=ftp            配合上面选项才生效,指定guest用户

local_enable=YES              是否允许Linux用户登录

write_enable-YES              是否允许Linux用户上传文件

local_umask=022               指定系统用户上传文件的默认权限

local_root=/ftproot           非匿名用户登录所在目录

禁锢所有系统用户在家目录中

chroot_local_user=YES(默认NO,不禁锢)禁锢系统用户

禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反

chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

当chroot_local_user=YES时,则chroot_list中用户不禁锢

当chroot_local_user=NO时,则chroot_list中用户禁锢

 

ftp日志

wu-ftp日志:默认启用

xferlog_enable=YES (默认)   启用记录上传下载日志

xferlog_std_format=YES (默认)使用wu-ftp日志格式

xferlog_file=/var/log/xferlog (默认)可自动生成

vsftpd日志:默认不启用

dual_log_enable=YES           使用vsftpd日志格式,默认不启用

vsftpd_log_file=/var/log/vsftpd.log(默认)可自动生成

 

登录提示信息

ftpd_banner=”welcome to mage ftp server”

banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效

目录访问提示信息

dirmessage_enable=YES (默认)

message_file=.message(默认)    信息存放在指定目录下.message

 

使用PAM完成用户认证

pam_service_name=vsftpd

pam配置文件:/etc/pam.d/vsftpd

/etc/vsftpd/ftpusers           默认文件中用户拒绝登录

/etc/vsftpd/users_list         默认文件中用户拒绝登录,不提示口令输入

是否启用控制用户登录的列表文件

userlist_enable=YES            默认有此设置

userlist_deny=YES(默认值)      黑名单,不提示口令,NO为白名单

userlist_file=/etc/vsftpd/users_list 此为默认值

 

连接限制

max_clients=0                  最大并发连接数

max_per_ip=0                   每个IP同时发起的最大连接数

生成环境一般会将最大并发连接数按需设置;单个IP最大连接数尽量调小

 

 

vsftpd服务指定用户身份运行

nopriv_user=nobody

 

传输速率:字节/秒

anon_max_rate=0                匿名用户的最大传输速率

local_max_rate=0               本地用户的最大传输速率

连接时间:秒为单位

connect_timeout=60             主动模式数据连接超时时长

accept_timeout=60              被动模式数据连接超时时长

data_connection_timeout=300    数据连接无数据输超时时长

idle_session_timeout=60        无命令操作超时时长

优先以文本方式传输

ascii_upload_enable=YES

ascii_download_enable=YES

 

配置FTP服务以非独立服务方运行:listen=NO,默认为独立方式

cat /etc/xinetd.d/vsftpd

service ftp

{

flags = REUSE

socket_type = stream

wait = no

user = root

server = /usr/sbin/vsftpd

log_on_failure += USERID

disable = no

}

 

 

 

三、实验:实现基于SSL的FTPS

前期准备:

FTP服务器:CentOS7.4

IP地址:192.168.30.10

具体步骤:

查看是否支持SSL

ldd `which vsftpd` 查看到libssl.so

1

创建自签名证书

cd /etc/pki/tls/certs/

make vsftpd.pem

openssl x509 -in vsftpd.pem -noout –text

配置vsftpd服务支持SSL:/etc/vsftpd/vsftpd.conf

ssl_enable=YES 启用SSL

allow_anon_ssl=NO 匿名不支持SSL

force_local_logins_ssl=YES 本地用户登录加密

force_local_data_ssl=YES 本地用户数据传输加密

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem 指定证书位置

2

用filezilla工具测试

点击文件–>站点管理器–>新站点,协议选择SFTP,登录类型选择一般

3

是否信任主机并继续,点确定

4

连接成功

5

 

四、实验:基于文件验证的vsftpd虚拟用户

前期准备:

Ftp服务器: CentOS 7.4      192.168.30.10

访问端:CentOS7.5        192.168.30.17

 

具体步骤:

1.创建用户数据库文件

vim /etc/vsftpd/vusers.txt

vuse1

centos

vuse2

wxlinux

cd /etc/vsftpd/

转换为db型文件

db_load -T -t hash -f vusers.txt vusers.db

chmod 600 vusers.db

 

2.创建用户和访问FTP目录

useradd -d /data/ftp -s /sbin/nologin vuser

chmod +rx /data/ftp/

centos7 还需要执行以下操作:

chmod -w /data/ftp/

mkdir /data/ftp/upload

setfacl -m u:vuser:rwx /data/ftp/upload

 

3.创建pam配置文件

vim /etc/pam.d/vsftpd.db

auth required pam_userdb.so db=/etc/vsftpd/vusers

account required pam_userdb.so db=/etc/vsftpd/vusers

 

4.指定pam

vim /etc/vsftpd/vsftpd.conf

guest_enable=YES

guest_username=vuser

user_config_dir=/etc/vsftpd/vusers.d/

1

找到此行,将vsftpd模块替换为vsftpd.db

pam_service_name=vsftpd==>pam_service_name=vsftpd.db

2

5.虚拟用户建立独立的配置文件

mdkir /etc/vsftpd/vusers.d/

cd /etc/vsftpd/vusers.d/

创建个用户自己的配置文件

允许vuser1用户可读写,其他用户只读

vim vuser1

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

指定vuse2用户登录的根目录

vim vuser2

local_root=/data/ftp

 

6.测试

切换到另外一台主机ftp连接,虚拟用户vuser1,vuser2登录成功

3

 

五、实验:实现基于MySQL验证的vsftpd虚拟用户

前期准备:

虚拟机2台

FTP服务器:  CentOS 7.4     IP:192.168.30.10

MySQL服务器:CentOS 7.5     IP:192.168.30.17

具体步骤:

一、安装所需要包和包组:

在数据库服务器上安装包:

Centos7:在数据库服务器上安装

yum –y install mariadb-server

systemctl start mariadb.service

systemctl enable mariadb

Centos6:在数据库服务器上安装

yum –y install mysql-server

 

在FTP服务器上安装vsftpd和pam_mysql包

CentOS6:pam_mysql由epel6的源中提供

yum install vsftpd pam_mysql

CentOS7:无对应rpm包,需手动编译安装

yum -y groupinstall “Development Tools”

yum -y install mariadb-devel pam-devel vsftpd

下载pam_mysql-0.7RC1.tar.gz

tar xvf pam_mysql-0.7RC1.tar.gz

cd pam_mysql-0.7RC1/

./configure –with-pam-mods-dir=/lib64/security

make

make install

 

二、在数据库服务器上创建虚拟用户账号

1.建立存储虚拟用户数据库和连接的数据库用户

mysql> CREATE DATABASE vsftpd;

mysql> SHOW DATABASES;

ftp服务和mysql不在同一主机:

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@’172.16.%.%’ IDENTIFIED BY ‘magedu’;

 

ftp服务和mysql在同一主机:

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@localhost IDENTIFIED BY ‘magedu’;

mysql> GRANT SELECT ON vsftpd.* TO

vsftpd@’127.0.0.1′ IDENTIFIED BY ‘magedu’;

mysql> FLUSH PRIVILEGES;

 

2.准备相关表

mysql> USE vsftpd;

mysql> SHOW TABLES;

mysql> CREATE TABLE users (

id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,

name CHAR(50) BINARY NOT NULL,

password CHAR(48) BINARY NOT NULL

);

mysql>DESC users;

1

测试连接

mysql -uvsftpd –h192.168.30.17 -pmagedu

mysql> SHOW DATABASES;

 

3.添加虚拟用户

根据需要添加所需要的用户,为了安全应该使用PASSWORD函数加密其密码后

存储

mysql> insert into users(name,password) values(‘wang’,password(‘centos’));

mysql> insert into users(name,password) values(‘liu’,password(‘wxlinux’));

mysql> select * from users;

2

 

三、在FTP服务器上配置vsftpd服务

1.在FTP服务器上建立pam认证所需文件

vim /etc/pam.d/vsftpd.mysql 添加如下两行

auth required pam_mysql.so user=vsftpd passwd=magedu

host=192.168.30.17 db=vsftpd table=users usercolumn=name

passwdcolumn=password crypt=2

account required pam_mysql.so user=vsftpd passwd=magedu

host=192.168.30.17 db=vsftpd table=users usercolumn=name

passwdcolumn=password crypt=2

注意:参考README文档,选择正确的加密方式

crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql

password()函数加密,3表示md5加密,4表示sha1加密

 

配置字段说明:

auth                       表示认证

account                 验证账号密码正常使用

required               表示认证要通过

pam_mysql.so     模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝

对路径;后面为给此模块传递的参数

user=vsftpd          登录mysql的用户

passwd=magedu  登录mysql的的密码

host=mysqlserver mysql  服务器的主机名或ip地址

db=vsftpd             指定连接msyql的数据库名称

table=users          指定连接数据库中的表名

usercolumn=name 当做用户名的字段

passwdcolumn=password 当做用户名字段的密码

crypt=2                 密码的加密方式为mysql password()函数加密

 

2.建立相应用户和修改vsftpd配置文件,使其适应mysql认证

建立虚拟用户映射的系统用户及对应的目录

useradd -s /sbin/nologin -d /var/ftproot vuser

chmod 555 /var/ftproot centos7 需除去ftp根目录的写权限

mkdir /var/ftproot/{upload,pub}

setfacl –m u:vuser:rwx /var/ftproot/upload

确保/etc/vsftpd.conf中已经启用了以下选项

anonymous_enable=YES

添加下面两项

guest_enable=YES

guest_username=vuser

3

修改下面一项,原系统用户无法登录

pam_service_name=vsftpd.mysql

4

 

四、启动vsftpd服务

service vsftpd start;systemctl start vsftpd

chkconfig vsftpd on;systemctl enable vsftpd

查看端口开启情况

netstat -tnlp |grep :21

 

五、测试:利用FTP客户端工具,以虚拟用户登录验证结果

5

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/101796

发表评论

登录后才能评论

This site uses Akismet to reduce spam. Learn how your comment data is processed.

联系我们

400-080-6560

在线咨询:点击这里给我发消息

邮件:1823388528@qq.com

工作时间:周一至周五,9:30-18:30,节假日同时也值班