本文环境:CentOS 7

简介

FTP(文件传输协议,File Transfer Protocol)是最古老的协议之一,诞生于1971年,距今已经半个世纪了,它的目的是在不同计算机之间传输文件(实现跨平台传输),工作于TCP/IP协议的应用层,需要注意的是,FTP以明文方式传输。

声明:下文出现的链接是名词,表示端口到端口之间的虚拟链路;而连接是动词,表示建立链路的这个动作,连接 = 建立链接。

工作流程简介

FTP使用两个端口同时进行通信,即控制链接和数据连接,它们都基于TCP协议,控制链接端口默认是21,数据链接默认端口是20,控制链接用来传输用户名、密码、传输方式等,而数据连接就是用来传输真实的文件数据,所以客户端和服务端都同时运行着控制链接进行和数据连接进行,一般而言,客户端首先向服务器发起控制连接请求,服务器的控制链接默认监听21端口,同时告诉服务器自己的一个空闲端口号,用于之后传输数据,然后,服务器通过默认的20端口和客户机所提供的空闲端口建立起数据链接,至此整个FTP链接全部建立,可以开始传输数据了。

默认情况下,控制链接在整个FTP会话期间一直存在,但数据链接在每次传输完文件后会自动断开,继续传文件需要重新建立数据链接。

FTP的数据传输格式

ASCII或BINARY,即以文本方式传输还是以二进制方式传输,以文本方式传输会自动转换一些特殊字符,如,Windows向Linux以文本方式传输文件下会把CRLF转为LF,整个FTP传输的过程以字符流或比特流传输。

服务器应答格式(由三位数字组成)

第一位数字:

1XX 确定预备应答:在发送一个命令前期待另一个命令应答

2XX 确定完成应答:要求的操作已经完成,可以接受新的命令了

3XX 确定中间应答:此命令已被接受,但在处理前,还需要另一个命令

4XX 暂时拒绝完成应答:请求的命令被拒绝,但是只是暂时的,可以稍后重发此命令再次尝试

5XX 永久拒绝应答:请求的命令被拒绝,并且要求不再重试

第二位数字:

X0X 语法错误

X1X 一般性的解释信息

X2X 与控制和数据链接有关

X3X 与认证和账号登入有关

X4X 保留

X5X 与文件系统有关

第三位数字是在第二个数字的基础上对应答做进一步细化,没有具体的规定,但是,有些约定成文的常见应答,如下,

125 数据链接已经打开,开始传输

200 就绪

214 面向用户的帮助信息

331 用户名已接收,等待密码输入

425 不能打开数据链接

452 写文件出错

500 语法错误(未知的命令)

501 语法错误(参数错误)

数据连接的主动和被动

数据链接的建立分为主动方式和被动方式,具体选择哪种方式由客户端决定,客户端在上传或下载文件时要先发送一个PORT或PASV命令,表示采用主动方式还是被动方式,需要注意的是,主动和被动是相对于服务器而言的:如果数据连接由服务器先发起,则为主动方式;如果数据连接由客户机先发起,则为被动方式。

主动方式下,客户端首先通过PORT命令向服务器发送自己的一个空闲端口号(大于1024),然后服务器通过默认的20端口向客户端提供的端口建立数据链接。

被动方式下,客户端先向服务器发送PASV命令,服务器会回应一个它空闲的端口号(定义在主配置文件中的passv_min_port和passv_max_port两个配置项指定的闭区间),告诉客户端它将在这个端口监听来自客户端的数据链接建立请求,最后,客户端选择一个空闲端口(大于1024)向服务器的这个端口建立数据链接。

vsftp服务器端配置

本文以vsftp(very secure ftp)软件来配置服务器端的FTP服务,著名的Red Hat、SUSE、Debian、GNU等都是使用这款软件来部署它们的FTP服务器。

第一步:在服务器端安装vsftpd软件

有三种安装方式,编译源码安装、使用RPM包安装和使用YUM源安装,这里使用YUM 源安装,这种方式安装前请确保已正确配置YUM源,

[root@localhost ~]# yum -y install vsftpd

第二步:在客户端安装ftp软件

也有三种安装方式,这里使用YUM,

[root@localhost ~]# yum -y install ftp

第三步:测试匿名用户是否能登入

先开启服务端的vsftp服务,

[root@localhost ~]# systemctl start vsftpd

关闭服务端的防火墙和SELinux,

[root@localhost ~]# systemctl stop firewalld

[root@localhost ~]# setenforce 0

在客户端输入“ftp 服务器的地址”进行测试,其中匿名用户登入的用户名是anonymous, 密码可以为空,也可以是任意字符串,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): anonymous

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

输入quit命令即可退出ftp回到原来的Shell,

ftp> quit

221 Goodbye.

第三步:配置本地FTP用户

首先创建一个本地账户,

[root@localhost ~]# useradd -s /sbin/nologin -g ftp ftptest1

为这个用户配置密码,这里密码设为123,

[root@localhost ~]# echo 123 | passwd --stdin ftptest1

Changing password for user ftptest1.

passwd: all authentication tokens updated successfully.

回到客户端,使用之前的方法进行测试,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

530 Login incorrect.

Login failed.

ftp>

这里出现了一个问题,即便密码输入正确,依旧显示登入失败,这时由于PAM模块验 证机制导致的(PAM会阻止那些是nologin shell的用户登入FTP服务),解决这个问题 有两个办法,第一个是创建一个具有登入shell(如bash)的用户,但是这样会产生安 全问题,第二个是找到PAM模块,将其对FTP验证的功能关闭,这里使用第二个方法,

[root@localhost ~]# vim /etc/pam.d/vsftpd

然后将包含”pam_shells.so”这行注释,前面添加#进行注释,

#auth       required    pam_shells.so

重启vsftpd服务,然后再回到客户端继续尝试登入,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp>

登入成功,使用pwd命令查看所在的FTP服务器的路径,

ftp> pwd

257 "/home/ftptest1"

发现可以查看到完整路径名(从根开始),这是很不安全的

第四步:限定用户的登入目录

找到vsftpd的主配置文件并打开,

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

将其中的”#chroot_local_user=YES”取消注释,然后重启服务,再去客户端登入,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Login failed.

421 Service not available, remote server has closed connection

ftp>

又出现错误了,大致意思是:拒绝一个带有写权限的根目录,为什么呢?这是因为vsftp 是一个很安全的FTP服务软件,所以,如果一个用户的登入目录被限制了,那么他的登 入目录不应该再有写的权限,我们来看看ftptest1的登入目录(也就是他的家目录),

[root@localhost ~]# ll -d /home/ftptest1/

drwx------. 2 ftptest1 ftp 62 Dec 18 15:11 /home/ftptest1/

可以发现,ftptest1确实对他自己的家目录有写的权限,怎么解决呢?也有两个解决方 法,第一个是使用chmod命令将这个目录的写权限去掉,第二个是修改主配置文件, 这里选择第二个方法,在主配置文件中添加下行,

allow_writeable_chroot=YES

然后重启服务,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> pwd

257 "/"

ftp>

问题成功解决,并且用户的登入已经被限制了

第五步:FTP黑名单

vsftpd存在一个全局黑名单,是/etc/vsftpd/ftpusers,将用户添加到这个文件(每个用户 名占一行),那么,即便用户输对了密码,也提示密码错误,除了这个黑名单,vsftpd 还存在另一个黑名单,是/etc/vsftpd/user_list(也是每个用户占一行),开启这个黑名单 需要修改主配置文件,确保userlist_enable的值是YES,如下,

userlist_enable=YES

位于user_list文件中的用户,一旦输入用户名,直接被拒绝,连输入密码的机会都没有, 更新user_list或ftpusers都不需要重启vsftpd服务。

第六步:上传和下载

先将上一步中的ftptest1用户从全局黑名单和user_list黑名单中移除,然后在这个用户 的登入目录新建一个文件夹为pub,权限为777,作为共用目录,

[root@localhost ~]# mkdir /home/ftptest1/pub

[root@localhost ~]# chmod 777 /home/ftptest1/pub/

[root@localhost ~]# ll -d /home/ftptest1/pub/

drwxrwxrwx. 2 root root 6 Dec 18 15:40 /home/ftptest1/pub/

然后在这个目录里面创建一个文件,用于客户端的下载,

[root@localhost ~]# echo "hello I am from vsftpd" > /home/ftptest1/pub/readme.txt

回到客户端,在/tmp下创建一个文件,用于上传,

[root@localhost ~]# echo "2019" > /tmp/example.txt

打开ftp,连接到服务器,查看、下载到客户端的tmp目录和上传到服务器的pub目录,

[root@localhost ~]# ftp 192.168.88.128

Connected to 192.168.88.128 (192.168.88.128).

220 (vsFTPd 3.0.2)

Name (192.168.88.128:root): ftptest1

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> pwd

257 "/"

ftp> ls

227 Entering Passive Mode (192,168,88,128,51,1).

150 Here comes the directory listing.

drwxrwxrwx    2 0        0              24 Dec 18 20:46 pub

226 Directory send OK.

ftp> cd pub

250 Directory successfully changed.

ftp> ls

227 Entering Passive Mode (192,168,88,128,102,108).

150 Here comes the directory listing.

-rw-r--r--    1 0        0              23 Dec 18 20:41 readme.txt

226 Directory send OK.

ftp> get readme.txt /tmp/readme.txt

local: /tmp/readme.txt remote: readme.txt

227 Entering Passive Mode (192,168,88,128,160,11).

150 Opening BINARY mode data connection for readme.txt (23 bytes).

226 Transfer complete.

23 bytes received in 9.7e-05 secs (237.11 Kbytes/sec)

ftp> put /tmp/example.txt /pub/example.txt

local: /tmp/example.txt remote: /pub/example.txt

227 Entering Passive Mode (192,168,88,128,209,58).

150 Ok to send data.

226 Transfer complete.

5 bytes sent in 0.000344 secs (14.53 Kbytes/sec)

ftp> ls

227 Entering Passive Mode (192,168,88,128,67,163).

150 Here comes the directory listing.

-rw-r--r--    1 1001     50              5 Dec 18 20:50 example.txt

-rw-r--r--    1 0        0              23 Dec 18 20:41 readme.txt

226 Directory send OK.

ftp> quit

221 Goodbye.

至此,基本的vsftpd服务的配置已经完成!

vsftpd服务的基本配置的更多相关文章

  1. vsftpd服务安装,配置,限制目录

    一.下载版本:vsftpd-2.0.5-16.el5_4.1.i386.rpm 二.安装:rpm -ivh vsftpd-2.0.5-16.el5_4.1.i386.rpm 三.配置: vsftpd. ...

  2. Linux vsftpd服务配置具体解释

    [背景] 近日.一朋友dominoserver要进行升级.迁移,搭建了linux測试系统,也开启vsftpd服务,但是配置的ftp账号,程序无法正常下载附件. [问题跟踪] 通过ftpclient连接 ...

  3. VsFtpd服务配置简明笔记

    Ftp服务是最常用的文件传输方式,把配置步骤记录下来,以备将来使用. 1.用YUM安装VsFtpd服务:[root@Redis usr]# yum install vsftpd 2.安装完成后启动Vs ...

  4. centos6.5下vsftpd服务的安装及配置并通过pam认证实现虚拟用户文件共享

    FTP的全称是File Transfer Protocol(文件传输协议),就是专门用来传输文件的协议.它工作在OSI模型的第七层,即是应用层,使用TCP传输而不是UDP.这样FTP客户端和服务器建立 ...

  5. 配置允许匿名用户登录访问vsftpd服务,进行文档的上传下载、文档的新建删除等操作

    centos7环境下 临时关闭防火墙 #systemctl stop firewalld 临时关闭selinux #setenforce 0 安装ftp服务 #yum install vsftpd - ...

  6. centos配置vsftpd服务2

    ftp搭建 一.搭建前提a.ssh服务已经开启,b.防火墙关闭,c.连网1.查看ssh和防火墙的状态 service sshd status service iptables status 2.开启s ...

  7. Linux vsftpd服务配置以及三种验证方式以及常见错误解决办法

    文件传输协议(FTP): 文件传输协议(FTP,File Transfer Protocol),即能够让用户在互联网中上传.下载文件的文件协议,而FTP服务器就是支持FTP传输协议的主机,要想完成文件 ...

  8. ubuntu 12.04 配置vsftpd 服务,添加虚拟用户,ssl加密

    1.对于12.04的vsftpd 有一些bug,推荐安装版本vsftpd_2.3.5-1ubuntu2ppa1_amd64.debapt-get install python-software-pro ...

  9. ubuntu 使用 vsftpd 基于系统用户配置相互隔离的 ftp (ftps) 服务

    我们在日常使用 UbuntuServer 服务器时,经常会直接使用基于 ssh 的  sftp 连接服务器直接进行文件上传和下载,不过这个方式其实有一定的安全隐患,当一个团队有多个人员,需要连接服务器 ...

随机推荐

  1. 超简单!asp.net core前后端分离项目使用gitlab-ci持续集成到IIS

    现在好多使用gitlab-ci的持续集成的教程,大部分都是发布到linux系统上的,但是目前还是有很大一部分企业使用的都是windows系统使用IIS在部署.NET应用程序.这里写一下如何使用gitl ...

  2. 安装Django、Nginx和uWSGI

    安装Django.Nginx和uWSGI 1.确定已经安装了2.7版本的Python: 2.安装python-devel yum install python-devel 3.安装uwsgi pip ...

  3. Spring AOP应用场景你还不知道?这篇一定要看!

    回顾一下Spring AOP的知识 为什么会有面向切面编程(AOP)? 我们知道Java是一个面向对象(OOP)的语言,但它有一些弊端,比如当我们需要为多个不具有继承关系的对象引入一个公共行为,例如日 ...

  4. poj 1077 Eight (八数码问题——A*+cantor展开+奇偶剪枝)

    题目来源: http://poj.org/problem?id=1077 题目大意: 给你一个由1到8和x组成的3*3矩阵,x每次可以上下左右四个方向交换.求一条路径,得到12345678x这样的矩阵 ...

  5. 深入探索Java设计模式之构建器模式(五)

    抽丝剥茧 细说架构那些事——[优锐课] 简单的程序不需要大量的设计过程,因为它们只关注有限的解决方案,仅使用几个类.大型程序专注于广泛的设计,该设计比好的设计范例的任何其他属性都更能利用可重用性.宏伟 ...

  6. 微信pc端和手机上传处理

    一.原因 在微信通过电脑版和浏览器登录时,调用了微信上传的接口,wx.getLocalImgData或返回失败. 没办法,只有处理当电脑上传时,使用ajaxuploadfile上传. 二.方法 fun ...

  7. 《Dotnet9》系列-开源C# WPF控件库1《MaterialDesignInXAML》强力推荐

    时间如流水,只能流去不流回! 点赞再看,养成习惯,这是您给我创作的动力! 本文 Dotnet9 https://dotnet9.com 已收录,站长乐于分享dotnet相关技术,比如Winform.W ...

  8. Git详细教程之创建本地仓库和连接Github仓库

    首先要知道不只有代码,任何类型的文件都可以进行版本控制,版本控制很重要的一个特性就是你可以随时修改,比如git会记录你的任何操作,如果你想要回退到任何一个历史操作,你可以通过git轻松达到. 本地仓库 ...

  9. .NET Core Razor Pages中ajax get和post的使用

    ASP.NET Core Razor Pages Web项目大部分情况下使用继承与PageModel中的方法直接调用就可以(asp-page),但是有些时候需要使用ajax调用,更方便些.那么如何使用 ...

  10. SuperMap iDesktop .NET 10i制图技巧-----如何贴图

    当我们在没有模型数据的情况下,我们只能通过造白膜来模拟三维建筑了,但是光秃秃的建筑物显然缺乏代入感,因此需要贴图来给场景润色,本文介绍如何给道路贴图和如何给白膜贴图 道路贴图: 1.打开二维道路数据 ...