ftp之心臟病

FTP基礎　　

FTP只經過TCP鏈接,沒有用於FTP的UDP組件.FTP不一樣於其餘服務的是它使用了兩個端口, 一個數據端口和一個命令端口(或稱爲控制端口)。一般21端口是命令端口，20端口是數據端口。當混入主動/被動模式的概念時，數據端口就有可能不是20了

FTP的主動模式

　   主動模式下，FTP客戶端從任意的非特殊的端口（N > 1023）連入到FTP服務器的命令端口--21端口。而後客戶端在N+1（N+1 >= 1024）端口監聽，而且經過N+1（N+1 >= 1024）端口發送命令給FTP服務器。服務器會反過來鏈接用戶本地指定的數據端口，好比20端口。

　　以服務器端防火牆爲立足點，要支持主動模式FTP須要打開以下交互中使用到的端口：

• FTP服務器命令（21）端口接受客戶端任意端口（客戶端初始鏈接）
• FTP服務器命令（21）端口到客戶端端口（>1023）（服務器響應客戶端命令）
• FTP服務器數據（20）端口到客戶端端口（>1023）（服務器初始化數據鏈接到客戶端數據端口）
• FTP服務器數據（20）端口接受客戶端端口（>1023）（客戶端發送ACK包到服務器的數據端口）

　　用圖表示以下：

 

　　在第1步中，客戶端的命令端口與FTP服務器的命令端口創建鏈接，併發送命令「PORT 1027」。而後在第2步中，FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中，FTP服務器發起一個從它本身的數據端口（20）到客戶端先前指定的數據端口（1027）的鏈接，最後客戶端在第4步中給服務器端返回一個"ACK"。

　　主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並無實際創建一個到服務器數據端口的鏈接，它只是簡單的告訴服務器本身監聽的端口號，服務器再回來鏈接客戶端這個指定的端口。對於客戶端的防火牆來講，這是從外部系統創建到內部客戶端的鏈接，這是一般會被阻塞的。

 

被動模式FTP

　　爲了解決服務器發起到客戶的鏈接的問題，人們開發了一種不一樣的FTP鏈接方式。這就是所謂的被動方式，或者叫作PASV，當客戶端通知服務器它處於被動模式時才啓用。

　　在被動方式FTP中，命令鏈接和數據鏈接都由客戶端，這樣就能夠解決從服務器到客戶端的數據端口的入方向鏈接被防火牆過濾掉的問題。當開啓一個FTP鏈接時，客戶端打開兩個任意的非特權本地端口（N >; 1024和N+1）。第一個端口鏈接服務器的21端口，但與主動方式的FTP不一樣，客戶端不會提交PORT命令並容許服務器來回連它的數據端口，而是提交PASV命令。這樣作的結果是服務器會開啓一個任意的非特權端口（P >; 1024），併發送PORT P命令給客戶端。而後客戶端發起從本地端口N+1到服務器的端口P的鏈接用來傳送數據。

　　對於服務器端的防火牆來講，必須容許下面的通信才能支持被動方式的FTP:

• FTP服務器命令（21）端口接受客戶端任意端口（客戶端初始鏈接）
• FTP服務器命令（21）端口到客戶端端口（>1023）（服務器響應客戶端命令）
• FTP服務器數據端口（>1023）接受客戶端端口（>1023）（客戶端初始化數據鏈接到服務器指定的任意端口）
• FTP服務器數據端口（>1023）到客戶端端口（>1023）（服務器發送ACK響應和數據到客戶端的數據端口）

 

　　用圖表示以下：

 

　　在第1步中，客戶端的命令端口與服務器的命令端口創建鏈接，併發送命令「PASV」。而後在第2步中，服務器返回命令"PORT 2024"，告訴客戶端（服務器）用哪一個端口偵聽數據鏈接。在第3步中，客戶端初始化一個從本身的數據端口到服務器端指定的數據端口的數據鏈接。最後服務器在第4 步中給客戶端的數據端口返回一個"ACK"響應。

　　被動方式的FTP解決了客戶端的許多問題，但同時給服務器端帶來了更多的問題。最大的問題是須要容許從任意遠程終端到服務器高位端口的鏈接。幸運的是，許多FTP守護程序，包括流行的WU-FTPD容許管理員指定FTP服務器使用的端口範圍。詳細內容參看附錄1。 

　　第二個問題是客戶端有的支持被動模式，有的不支持被動模式，必須考慮如何能支持這些客戶端，以及爲他們提供解決辦法。例如，Solaris提供的FTP命令行工具就不支持被動模式，須要第三方的FTP客戶端，好比ncftp。

　　隨着WWW的普遍流行，許多人習慣用web瀏覽器做爲FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這究竟是好仍是壞取決於服務器和防火牆的配置。

主動／被動模式的選擇

客戶端軟件經過主動模式去連接，咱們客戶端上不會設置防火牆，服務器能夠直接連接過來

若是客戶端是fz，請在設置中更改被動模式中退回主動模式

搭建FTP虛擬帳號，更安全的訪問

針對centos能夠直接將下面代碼運行，目錄，帳號自行更改

1. 建立本地帳號，禁止登錄shell

useradd -d /data/ftproot -s /sbin/nologin virtualftp

2. 建立虛擬用戶登錄操做目錄

mkdir -p /data/ftproot/ftp_virturl_user_dir

目錄對應權限

chmod 555 /data/ftproot

chown -R virtualftp.virtualftp /data/ftproot

3.安裝vsftpd

yum install -y vsftpd db-util

vsftpd.conf

anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
chroot_list_enable=NO
ascii_upload_enable=YES
ascii_download_enable=YES
guest_enable=YES
#虛擬的本地帳號，能夠不用設置密碼，不須要登錄
guest_username=virtualftp
#虛擬賬號的配置文件目錄
user_config_dir=/etc/vsftpd/vuser_conf
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

4. 虛擬用戶帳號密碼

/etc/vsftpd/vuser_passwd.txt 

ftp_virturl_user
1233456

5. 生成驗證db

db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db

6. 修改驗證模式

/etc/pam.d/vsftpd 

auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd

7. 虛擬帳號目錄配置

/etc/vsftpd/vuser_conf/ftp_virturl_user

local_root=/data/ftproot
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@localtuiliu vuser_conf]# pwd
/etc/vsftpd/vuser_conf

8. 啓動服務

 systemctl start vsftpd

附上配置文件解釋

anonymous_enable=YES  //是否容許anonymous登陸FTP服務器,默認是容許的.
local_enable=YES //是否容許本地用戶登陸FTP服務器,默認是容許
write_enable=YES  //是否容許用戶具備在FTP服務器文件中執行寫的權限,默認是容許
local_umask=022 //設置本地用戶的文件生成掩碼爲022,默認是077
 anon_upload_enable=YES
anon_mkdir_write_enable=YES  //是否容許匿名帳戶在FTP服務器中建立目錄
dirmessage_enable=YES //激活目錄信息,當遠程用戶更改目錄時,將出現提示信息
xferlog_enable=YES  //啓用上傳和下載日誌功能
connect_from_port_20=YES   //啓用FTP數據端口的鏈接請求
xferlog_file=/var/log/vsftpd.log  //設置日誌文件的文件名和存儲路徑,這是默認的
xferlog_std_format=YES//是否使用標準的ftpd xferlog日誌文件格式
idle_session_timeout=600  //設置空閒的用戶會話中斷時間,默認是10分鐘
data_connection_timeout=120//設置數據鏈接超時時間,默認是120秒.
ascii_upload_enable=YES
ascii_download_enable=YES //是否容許使用ASCII格式來上傳和下載文件
ftpd_banner=Welcome to blah FTP service.//在FTP服務器中設置歡迎登陸的信息.
chroot_list_enable=YES //若是但願用戶登陸後不能切換到本身目錄之外的其它目錄,須要設置該項,若是設置chroot_list_enable=YES,那麼只容許/etc/vsftpd.chroot_list中列出的用戶具備該功能.若是但願全部的本地用戶都執行者chroot,能夠增長一行:chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
pam_service_name=vsftpd  //設置PAM認證服務的配置文件名稱,該文件存放在/etc/pam.d/目錄下.
userlist_enable=YES //用戶列表中的用戶是否容許登陸FTP服務器,默認是不容許
listen=YES  //使vsftpd 處於獨立啓動模式
tcp_wrappers=YES  //使用tcp_wrqppers做爲主機訪問控制方式