网络服务—VSFTP

VSFTP连接类型

控制连接（持续连接）-->  TCP21（命令信道）--> 用户收发FTP命令

数据连接（按需连接）-->TCP20（数据信道）-->  用于上传下载数据

工作模式

Port模式

FTP 客户端首先和服务器的TCP 21端口建立连接，用来发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。

Passive模式

建立控制通道和Standard模式类似，但建立连接后发送Pasv命令。服务器收到Pasv命令后，打开一个临时端口（端口号大于1023小于65535）并且通知客户端在这个端口上传送数据的请求，客户端连接FTP服务器此端口，然后FTP服务器将通过这个端口传送数据。

注意：很多防火墙在设置的时候都是不允许接受外部发起的连接的，所以许多位于防火墙后或内网的FTP服务器不支持PASV模式，因为客户端无法穿过防火墙打开FTP服务器的高端端口

而许多内网的客户端不能用PORT模式登陆FTP服务器，因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接，造成无法工作。

安装vsftp

[root@localhost ~]# yum -y install vsftpd

[root@localhost ~]# yum -y install ftp　　　　　　#安装ftp命令

匿名用户验证：

a.      用户账号名称：ftp或anonymous

b.      用户账号密码：空或任意字符

c.      服务器目录：/var/ftp

d.      权限：可下载不可上传，上传权限由两部分组成（主配置文件和文件系统）

e.      匿名权限控制：

anonymous_enable=YES             启用匿名访问

anon_umask=022                         匿名用户所上传文件的权限掩码

anon_root=/var/ftp                      匿名用户的FTP根目录

anon_upload_enable=YES           允许上传文件

anon_mkdir_write_enable=YES   允许创建目录

anon_other_write_enable=YES   开放其他写入权(删除、覆盖、重命名)

anon_max_rate=0                         限制最大传输速率

特点：配置简单，所有登录者使用相同的用户登录

本地用户验证

a.      用户账号名称：本地用户（/etc/passwd）

b.      用户账号密码：用户密码（/etc/shadow）

c.      工作目录为：登录用户的宿主目录

d.      权限：最大权限（drwx------）

e.      本地用户权限控制：

local_enable=YES                是否启用本地系统用户

local_umask=022                 本地用户所上传文件的权限掩码

local_root=/var/ftp             设置本地用户的FTP根目录

chroot_local_user=YES       是否将用户禁锢在主目录

local_max_rate=0                限制最大传输速率

　　　　　　　　dirmessage_enable=YES　　　　打印目录显示信息，通常用于用户第一次访问目录时，信息提示。

　　　　　　　　xferlog_enable=YES　　　　　　启用上传/下载日志记录。

　　　　　　　　connect_from_port_20=YES　　　　使用20端口进行数据传输。

　　　　　　　　xferlog_std_format=YES　　　日志文件将根据xferlog的标准格式写入。　　　

ftpd_banner=Welcome to blah FTP service          用户登录时显示的欢迎信息

banner_file=/目录                弹出一个说明，可以做哪些操作

userlist_enable=YES & userlist_deny=YES

　　　　　　　　listen=YES　　　　vsftpd不以独立的服务启动，通过xinetd服务管理，建改成YES

　　　　　　　　listen_ipv6=YES　　　　启用ipv6监听。

　　　　　　　　pam_service_name=vsftpd　　　　登录ftp服务器，依据/etc/pas.d/vsftpd中内容进行认证。
　　　　　　　　userlist_enable=YES　　　　　　　vsftpd.user_list和ftpusers配置文件里用户禁止访问ftp
　　　　　　　　tcp_wrappers=YES　　　　　　　　设置vsftpd与tcp wrapper结合进行主机的访问控制。vsftpd服务器检查站/etc/hosts.allow和/etc/hosts.deny中的设置来决定请求连接的主机是否允许访问该FTP服务器。

禁止/etc/vsftpd/user_list文件中出现的用户名登录FTP

userlist_enable=YES & userlist_deny=NO

仅允许/etc/vsftpd/user_list文件中出现的用户名登录FTP

ftpusers

禁止/etc/vsftpd/ftpusers文件中出现的用户名登录FTP,权限比user_list更高，即时生效

f.       特点：配置相对复杂，可以设置严格的权限，有安全隐患

主动模式改为被动模式

　　　　pasv_enable=YES

　　　　pasv_min_port=60000

　　　　pasv_max_port=60100

虚拟用户验证实验

[root@localhost ~]# vi /etc/vsftpd/vsftpd.user

zhangsan
123456
lisi
123456

[root@localhost ~]# cd /etc/vsftpd/

[root@localhost vsftpd]# db_load -T -t hash -f vsftpd.user vsftpd.db

[root@localhost vsftpd]# chmod 600 vsftpd.db

[root@localhost vsftpd]# useradd  -d  /var/ftproot  -s  /sbin/nologin  virtual

[root@localhost vsftpd]# cp -a /etc/pam.d/vsftpd /etc/pam.d/vsftpd.pam

[root@localhost vsftpd]# vi /etc/pam.d/vsftpd.pam

#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vsftpd
account required pam_userdb.so db=/etc/vsftpd/vsftpd

[root@localhost ~]# useradd -s /sbin/nologin ftpuser

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf

pam_service_name=vsftpd.pam

guest_enable=YES
guest_username=ftpuser
user_config_dir=/etc/vsftpd/dir

[root@localhost ~]# mkdir /etc/vsftpd/dir

分别为虚拟用户zhangsan和lisi创建配置文件

允许上传文件

[root@localhost vsftpd]# vi /etc/vsftpd/dir/zhagnsan

anon_upload_enable=YES

允许创建目录

[root@localhost vsftpd]# vi /etc/vsftpd/dir/lisi

anon_mkdir_write_enable=YES