Linux中两个重要的基础服务

本文服务器基于centos7，客户端Windows10。文中讲述了FTP和SSH两个协议的基本配置和使用：

FTP

SSH

FTP

FTP(File Transfer Protocol)，文件传输协议，是一个比较古老的基于TCP，用于不同计算机间传递文件的协议。

安装

# 判断是否安装过ftp服务或客户端
yum list installed | grep ftp
​
# vsftpd是服务端，ftp是客户端
yum install vsftpd ftp;

ftp配置文件位于/etc/vsftpd目录下，/etc/vsftpd目录结构如下：

/etc/vsftpd
|-- chroot_list
|-- ftpusers
|-- user_list
|-- vsftpd.conf
`-- vsftpd_conf_migrate.sh

其中，vsftpd.conf是主配置文件；ftpusers是黑名单，该文件中的用户不允许登录系统；user_list是黑白名单，根据vsftpd.conf中的配置决定user_list是白名单还是黑名单；chroot_list，根据vsftpd.conf中的配置决定该文件中的用户在登录时是否执行chroot操作。

chroot，即 change root directory (更改 root 目录)。在 linux 系统中，系统默认的目录结构都是以 /，即是以根 (root) 开始的。而在使用 chroot 之后，系统的目录结构将以指定的位置作为 / 位置。有关chroot的更多内容，可参阅：理解 chroot一文。

配置用户登录权限

ftpusers是黑名单，文件中指定的用户不允许登录FTP服务器，通常是为了防止一些权限很高的用户做一些破坏性的事情，比如：root。查看ftpusers文件中的内容，可以看到默认会将一些特殊的账户写入到该文件中：

# Users that are not allowed to login via ftp
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody

在vsftpd.conf中设置user_list黑白名单：

# 是否启用user_list文件配置
userlist_enable=YES
# 上面设置为YES时，该配置为NO表示user_list为白名单，YES则为黑名单
userlist_deny=NO

在vsftpd.conf中设置是否允许匿名/本地用户登录及是否运行写入：

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
# When SELinux is enforcing check for SE bool ftp_home_dir
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is . You may wish to change this to ,
# if your users expect that ( is used by most other ftpd's)
local_umask=

匿名登录的用户名为ftp，密码为空，登陆后的位置是/var/ftp

chroot

在vsftpd.conf中配置chroot选项。以下配置，实现了除chroot_list_file中指定的用户之外其余所有用户均执行chroot操作。即，登录FTP服务器后，将用户家目录设置为根目录。这样，可以实现登录FTP后无法切换到上层目录的效果，因为家目录自己是最顶层的根目录。

# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
# (Warning! chroot'ing can be very dangerous. If using chroot, make sure that
# the user does not have write access to the top level directory within the
# chroot)
chroot_local_user=YES
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
allow_writeable_chroot=YES

chroot_list_enable表示是否启用chroot_list_file配置，chroot_list中的用户不受chroot_local_user设置的影响，属于例外情况，即：

• chroot_local_user=YES

该设置表示所有用户登录FTP服务器时都执行chroot操作，但chroot_list中指定的用户除外

• chroot_local_user=NO

该设置表示所有用户登录FTP服务器时均不执行chroot操作，但chroot_list中指定的用户除外

这里，我们将chroot_local_user设为YES，用户wjchi放到chroot_list文件中：

• 使用wjchi登录FTP服务器并查看当前目录，会显示家目录

-bash-4.2$ ftp localhost
Trying ::...
Connected to localhost (::).
 (vsFTPd 3.0.)
Name (localhost:wjchi): wjchi
 Please specify the password.
Password:
 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
 "/home/wjchi"
ftp>

• 使用xfh登录FTP并查看当前目录，会显示根目录

-bash-4.2$ ftp localhost
Trying ::...
Connected to localhost (::).
 (vsFTPd 3.0.)
Name (localhost:wjchi): xfh
 Please specify the password.
Password:
 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
 "/"
ftp> 

⚠️ 这里虽然显示的是根目录，但操作的实际上是用户xfh的家目录：/home/xfh。上传/下载文件都是基于/home/xfh目录的。这里的根目录可阻止用户继续跳转到上级目录。

SCP vs SFTP

SCP(Secure copy)与FTP/SFTP都可以实现在不同计算机之间进行文件传输。二者之间的区别，可参考：

What's the difference between SCP and SFTP?

Compared to the earlier SCP protocol, which allows only file transfers, the SFTP protocol allows for a range of operations on remote files – it is more like a remote file system protocol.

SCP仅仅用于文件的传输，SFTP除文件传输外还可以与远程访问进行一定的交互：

sftp> pwd
Remote working directory: /home/wjchi
sftp> ls -al
drwxr-xr-x     wjchi    root          Jan  : .
drwxr-xr-x     root     root          Jan  : ..
-rw-------     wjchi    wjchi         Jan  : .bash_history
drwxrwxr-x     wjchi    wjchi         Jan  : .cache
drwxrwxr-x     wjchi    wjchi         Jan  : .config
drwx------     wjchi    wjchi         Jan  : .ssh
-rw-------     wjchi    wjchi         Jan  : .viminfo
-rw-rw-r--     wjchi    wjchi            Jan  : file
sftp>

SFTP vs FTP

以下内容摘录自知乎：sftp与ftp是否没有区别？

ftp是一个文件传输服务，设计它的目的就是为了传输文件。它有独立的守护进程，使用20，21两个端口，20是数据链路的端口，21是控制链路的端。

sftp也是用来传输文件的，但它的传输是加密的，是ssh服务的一部分，没有单独的守护进程，是ssh服务的一部分，可以看做是ssh服务文件传输方案。和ssh一样，使用22端口。

FTP is often secured with SSL/TLS (FTPS) or replaced with SSH File Transfer Protocol (SFTP).

此外，FTP/FTPS有主动模式和被动模式，SFTP则不区分主动模式、被动模式。

SSH

SSH(Secure Shell)是一种加密的网络传输协议，和FTP一样，SSH也是C/S架构。通常，Linux发行版中内置了SSH的实现，如OpenSSH。

目录结构

客户端公钥通常放在登录用户的家目录的authorized_keys文件中，完整路径：~/.ssh/authorized_keys

# 生成密钥
ssh-keygen -t rsa -f ~/.ssh/id_rsa

# 将客户端生成的user用户的公钥发送到服务器上
ssh-copy-id -i ~/.ssh/pub_key user@host

centos中.ssh目录中主要包含以下几个文件：

[root@VM_0_2_centos ~]# ls -al ~/.ssh
total
drwx------    root root  Jan  : .
dr-xr-x---.  root root  Jan  : ..
-rw-------    root root  Dec  : authorized_keys
-rw-r--r--    root root   Dec  : known_hosts
[root@VM_0_2_centos ~]#

authorized_keys中用户存放客户端的公钥，known_hosts中存放已认证主机地址的指纹信息。一台计算机既可以是SSH客户端，也可以是SSH服务器，所以可以同时存在authorized_keys和known_hosts两个文件。

---

Windows中关于SSH的配置默认放在c:\users\userId\.ssh文件夹中，主要包含以下几个文件：

C:\Users\WenJun\.ssh>dir
 驱动器 C 中的卷是 OS
 卷的序列号是 60EC-5E31

 C:\Users\WenJun\.ssh 的目录

//  :    <DIR>          .
//  :    <DIR>          ..
//  :                config
//  :             , id_rsa
//  :                id_rsa.pub
//  :             , id_rsa_wjchi
//  :                id_rsa_wjchi.pub
//  :                known_hosts

id_rsa/id_rsa.pub和id_rsa_wjchi/id_rsa_wjchi.pub是两对私钥/公钥文件。config文件中的内容如下：

# Read more about SSH config files: https://linux.die.net/man/5/ssh_config
Host centos
   HostName remote_server_ip
   User wjchi
   # 用户的私钥文件地址，默认使用当前目录中的id_rsa
   IdentityFile C:\Users\WenJun\.ssh\id_rsa_wjchi

登录

使用SSH登录服务器有两种方式：

• 用户名密码

• 公钥/私钥

有关SSH登录的更多内容，可参阅：图解SSH原理一文。根据config中的配置我们可以直接使用ssh Host的方式通过公钥/私钥认证的方式登录远程服务器：

ssh centos
Last login: Thu Jan  ::  from 123.45.67.890
-bash-4.2$ whoami
wjchi
-bash-4.2$ 

通常在安装git for windows客户端时，会一起安装ssh、ssh-keygen、sftp、scp等客户端工具

配置

SSH的配置文件位于/etc/ssh目录中

-bash-4.2$ ls -al /etc/ssh
total
drwxr-xr-x.   root root    Jan  : .
drwxr-xr-x.  root root   Jan  : ..
-rw-r--r--    root root  Aug   : moduli
-rw-r--r--    root root    Aug   : ssh_config
-rw-------    root root    Jan  : sshd_config
-rw-------    root root     Dec  : ssh_host_dsa_key
-rw-r--r--    root root     Dec  : ssh_host_dsa_key.pub
-rw-------    root root     Dec  : ssh_host_ecdsa_key
-rw-r--r--    root root     Dec  : ssh_host_ecdsa_key.pub
-rw-------    root root     Dec  : ssh_host_ed25519_key
-rw-r--r--    root root     Dec  : ssh_host_ed25519_key.pub
-rw-------    root root    Dec  : ssh_host_rsa_key
-rw-r--r--    root root     Dec  : ssh_host_rsa_key.pub
-bash-4.2$

其中，ssh_config是对客户端的配置，sshd_config是对服务器端的配置（一台计算机既可以作为客户端，又可以做为服务器）。可以在sshd_config中限制root用户直接通过SSH连接到服务器：

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries
#MaxSessions 

#PubkeyAuthentication yes

# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
# but this is overridden so installations will only check .ssh/authorized_keys
AuthorizedKeysFile .ssh/authorized_keys

推荐阅读

理解 chroot

图解SSH原理

Linux使用ssh超时断开连接的真正原因

sftp与ftp是否没有区别？

Differences between SFTP and “FTP over SSH”