Linux FTP 服務

時間 2019-12-05

標籤 linux ftp 服務欄目 Linux 简体版

原文原文鏈接

【FTP介紹】

FTP協議html

文件傳輸協議（英文：File Transfer Protocol，縮寫：FTP）是一個應用層協議，是用於在網絡上進行文件傳輸的一套標準協議。shell

FTP協議概述數據庫

FTP服務默認運行在20和21兩個端口。端口20用於在客戶端和服務器之間傳輸數據流，而端口21用於傳輸控制流，一般客戶端向FTP服務器的21端口發送指令達完成上傳下載文件等其餘控制操做。當數據經過數據流傳輸時，控制流處於空閒狀態。而當控制流空閒很長時間後，客戶端的防火牆會將其會話置爲超時，這樣當大量數據經過防火牆時，會產生一些問題。此時，雖然文件能夠成功的傳輸，但由於控制會話，會被防火牆斷開；傳輸會產生一些錯誤。vim

FTP用戶分類安全

real賬戶: 這類用戶是指在FTP服務上擁有賬號。當這類用戶登陸FTP服務器的時候，其默認的主目錄就是其賬號命名的目錄。可是，其還能夠變動到其餘目錄中去。如系統的主目錄等等。
guest用戶: 在FTP服務器中，咱們每每會給不一樣的部門或者某個特定的用戶設置一個賬戶。可是，這個帳戶有個特色，就是其只可以訪問本身的主目錄。服務器經過這種方式來保障FTP服務上其餘文件的安全性。這類賬戶，在Vsftpd軟件中就叫作Guest用戶。擁有這類用戶的賬戶，只可以訪問其主目錄下的目錄，而不得訪問主目錄之外的文件。
anonymous（匿名）用戶: 這也是咱們一般所說的匿名訪問。這類用戶是指在FTP服務器中沒有指定賬戶，可是其仍然能夠進行匿名訪問某些公開的資源。

傳輸方式服務器

ASCII傳輸方式: 假如用戶正在拷貝的文件包含的簡單ASCII碼文本，而遠程機器上運行的不是UNIX，文件傳輸時ftp一般會自動地調整文件的內容，把文件解釋成另外那臺計算機存儲文本文件的格式。可是經常有這樣的狀況，用戶正在傳輸的文件包含的不是文本文件，它們多是程序，數據庫，字處理文件或者壓縮文件。在拷貝任何非文本文件以前，用binary 命令告訴ftp逐字拷貝。
二進制傳輸模式: 在二進制傳輸中，保存文件的位序，以便原始和拷貝的是逐位一一對應的。即便目的地機器上包含位序列的文件是沒意義的。例如，macintosh以二進制方式傳送可執行文件到Windows系統，在對方系統上，此文件不能執行。如在ASCII方式下傳輸二進制文件，即便不須要也仍會轉譯。這會損壞數據。（ASCII方式通常假設每一字符的第一有效位無心義，由於ASCII字符組合不使用它。若是傳輸二進制文件，全部的位都是重要的。）

FTP實現的目標網絡

促進文件的共享（計算機程序或數據）
鼓勵間接或者隱式的使用遠程計算機
向用戶屏蔽不一樣主機中各類文件存儲系統（File system）的細節
可靠和高效的傳輸數據

FTP缺點session

密碼和文件內容都使用明文傳輸，可能發生竊聽。
由於必須開放一個隨機的端口以建立鏈接，當防火牆存在時，客戶端很難過濾處於主動模式下的FTP流量。這個問題，經過使用被動模式的FTP，獲得了很大解決。
服務器可能會被告知鏈接一個第三方計算機的保留端口。
此方式在須要傳輸文件數量不少的小文件時，性能很差

FTP工做模式app

port模式（主動模式）:socket
1. FTP 客戶端首先開啓端口N向服務器的TCP21端口發起鏈接請求創建鏈接。
2. FTP 客戶端開啓N+1端口並從端口N向服務器的TCP21端口發送port命令，命令告知服務器N+1端口等待數據鏈接。
3. 服務器的20端口向FTP客戶端的N+1端口發起鏈接，鏈接創建後傳輸數據。
passive模式（被動模式）:
1. FTP 客戶端首先開啓端口N向服務器的TCP21發起鏈接請求創建鏈接。
2. FTP 客戶端開啓N+1端口並從端口N向服務器的TCP21端口發送passive命令
3. 服務器收到Pasv命令後，打開一個臨時端口M（M大於1023小於65535）而且通知客戶端在M端口上傳送數據的請求。
4. FTP客戶端鏈接服務器的M端口，並經過這個端口傳輸數據。

【Linux安裝FTP服務】

FTP虛擬用戶配置

安裝軟件包

yum -y install vsftpd  db4*  pam* #db4是實現文件數據庫的包，pam是認證的模塊

修改FTP相關帳戶

vsftpd服務的宿主用戶
```
useradd  vsftpd -s /sbin/nologin
```
默認的vsftpd的服務宿主用戶是root，可是這不符合安全性的須要。這裏創建名字爲vsftpd的用戶，用他來做爲支持vsftpd的服務宿主用戶。因爲該用戶僅用來支持vsftpd服務用，所以沒有許可他登錄系統的必要，並設定他爲不能登錄系統的用戶。默認的vsftpd的服務宿主用戶是root，這樣並不安全。這裏創建名字爲vsftpd的用戶，用他來做爲支持vsftpd的服務宿主用戶。因爲該用戶僅用來支持vsftpd服務用，所以沒有許可他登錄系統的必要，並設定他爲不能登錄系統的用戶。
vsftpd的虛擬宿主用戶
```
useradd virtual -d /var/www/html/ -s /sbin/nologin
	chown -R virtual:virtual /var/www/html/
```
vsftpd的虛擬用戶並非系統用戶，也就是說這些FTP的用戶在系統中是不存在的。他們的整體權限實際上是集中寄託在一個在系統中的某一個用戶身上的，所謂vsftpd的虛擬宿主用戶，就是這樣一個支持着全部虛擬用戶的宿主用戶。因爲他支撐了FTP的全部虛擬的用戶，那麼他自己的權限將會影響着這些虛擬的用戶，所以，處於安全性的考慮，也要非分注意對該用戶的權限的控制，該用戶也絕對沒有登錄系統的必要，這裏也設定他爲不能登錄系統的用戶。

vsftpd.conf基本配置

vim /etc/vsftpd/vsftpd.conf

# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# The target log file can be vsftpd_log_file or xferlog_file.
# This depends on setting xferlog_std_format parameter
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# The name of log file when xferlog_enable=YES and xferlog_std_format=YES
# WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log
#xferlog_file=/var/log/xferlog
#
# Switches between logging into vsftpd_log_file and xferlog_file files.
# NO writes to vsftpd_log_file, YES to xferlog_file
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES
listen_port=56880
pasv_min_port=30000
pasv_max_port=35000

#
# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6
# sockets, you must run two copies of vsftpd whith two configuration files.
# Make sure, that one of the listen options is commented !!
#listen_ipv6=YES

pam_service_name=vsftpd.vu
#pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

chroot_local_user=YES
guest_enable=YES
guest_username=virtual

 

virtual_use_local_privs=YES
#reverse_lookup_enable=NO
user_config_dir=/etc/vsftpd/vsftpd_user_conf

生成vsftpd虛擬用戶數據庫文件

創建虛擬用戶名單文件

vim /etc/vsftpd/ftpuser.txt 內容以下：
```
user1
	password1
	user2
	password2
```
一行用戶，接着一行是該用戶的密碼

生成虛擬用戶數據文件

db_load -T -t hash -f /etc/vsftpd/ftpuser.txt /etc/vsftpd/vsftpd_login.db
chmod 600 /etc/vsftpd/vsftpd_login.db

配置PAM驗證文件 vim /etc/pam.d/vsftpd.vu 將如下內容加入到文件最前面（在後面加入無效）： 32位系統：
```
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
	account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
```
64位系統：
```
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
	account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
```
上一步創建的數據庫 vsftpd_login 在此處被使用，創建的虛擬用戶將採用PAM進行驗證，這是經過/etc/vsftpd/vsftpd.conf文件中的語句pam_service_name=vsftpd.vu來啓用的。

vsftpd虛擬用戶的獨立配置：

mkdir -p /etc/vsftpd/vsftpd_user_conf
	vim /etc/vsftpd/vsftpd_user_conf/user1

配置以下：

anon_world_readable_only=NO
	write_enable=YES
	anon_upload_enable=YES
	anon_mkdir_write_enable=YES
	anon_other_write_enable=YES
	local_root=/var/virtualbaseuser/user1

創建虛擬用戶的目錄

mkdir  /var/virtualbaseuser/user1

vsftpd服務器之間的站點對傳有時候可能須要開啓vsftpd服務器之間的站點對傳功能，只需在主配置文件 /etc/vsftpd/vsftpd.conf 里加入以下參數便可：
```
pasv_promiscuous=YES
	port_promiscuous=YES
```
說明 port_promiscuous=YES|NO 默認值爲NO。爲YES時，取消PORT安全檢查。該檢查確保外出的數據只能鏈接到客戶端上。當心打開此選項。 pasv_promiscuous=YES|NO 默認值爲NO。爲YES時，將關閉PASV模式的安全檢查。該檢查確保數據鏈接和控制鏈接是來自同一個IP地址。當心打開此選項。此選項惟一合理的用法是存在於由安全隧道方案構成的組織中。因爲取消了數據包的安全檢查，容許數據流向非客戶端，因此站點對傳成功。

配置修改完成後，重啓vsftpd服務生效： /etc/init.d/vsftpd restart