vsftpd服务的基本配置
本文环境:CentOS 7
简介
FTP(文件传输协议,File Transfer Protocol)是最古老的协议之一,诞生于1971年,距今已经半个世纪了,它的目的是在不同计算机之间传输文件(实现跨平台传输),工作于TCP/IP协议的应用层,需要注意的是,FTP以明文方式传输。
声明:下文出现的链接是名词,表示端口到端口之间的虚拟链路;而连接是动词,表示建立链路的这个动作,连接 = 建立链接。
工作流程简介
FTP使用两个端口同时进行通信,即控制链接和数据连接,它们都基于TCP协议,控制链接端口默认是21,数据链接默认端口是20,控制链接用来传输用户名、密码、传输方式等,而数据连接就是用来传输真实的文件数据,所以客户端和服务端都同时运行着控制链接进行和数据连接进行,一般而言,客户端首先向服务器发起控制连接请求,服务器的控制链接默认监听21端口,同时告诉服务器自己的一个空闲端口号,用于之后传输数据,然后,服务器通过默认的20端口和客户机所提供的空闲端口建立起数据链接,至此整个FTP链接全部建立,可以开始传输数据了。
默认情况下,控制链接在整个FTP会话期间一直存在,但数据链接在每次传输完文件后会自动断开,继续传文件需要重新建立数据链接。
FTP的数据传输格式
ASCII或BINARY,即以文本方式传输还是以二进制方式传输,以文本方式传输会自动转换一些特殊字符,如,Windows向Linux以文本方式传输文件下会把CRLF转为LF,整个FTP传输的过程以字符流或比特流传输。
服务器应答格式(由三位数字组成)
第一位数字:
1XX 确定预备应答:在发送一个命令前期待另一个命令应答
2XX 确定完成应答:要求的操作已经完成,可以接受新的命令了
3XX 确定中间应答:此命令已被接受,但在处理前,还需要另一个命令
4XX 暂时拒绝完成应答:请求的命令被拒绝,但是只是暂时的,可以稍后重发此命令再次尝试
5XX 永久拒绝应答:请求的命令被拒绝,并且要求不再重试
第二位数字:
X0X 语法错误
X1X 一般性的解释信息
X2X 与控制和数据链接有关
X3X 与认证和账号登入有关
X4X 保留
X5X 与文件系统有关
第三位数字是在第二个数字的基础上对应答做进一步细化,没有具体的规定,但是,有些约定成文的常见应答,如下,
125 数据链接已经打开,开始传输
200 就绪
214 面向用户的帮助信息
331 用户名已接收,等待密码输入
425 不能打开数据链接
452 写文件出错
500 语法错误(未知的命令)
501 语法错误(参数错误)
数据连接的主动和被动
数据链接的建立分为主动方式和被动方式,具体选择哪种方式由客户端决定,客户端在上传或下载文件时要先发送一个PORT或PASV命令,表示采用主动方式还是被动方式,需要注意的是,主动和被动是相对于服务器而言的:如果数据连接由服务器先发起,则为主动方式;如果数据连接由客户机先发起,则为被动方式。
主动方式下,客户端首先通过PORT命令向服务器发送自己的一个空闲端口号(大于1024),然后服务器通过默认的20端口向客户端提供的端口建立数据链接。
被动方式下,客户端先向服务器发送PASV命令,服务器会回应一个它空闲的端口号(定义在主配置文件中的passv_min_port和passv_max_port两个配置项指定的闭区间),告诉客户端它将在这个端口监听来自客户端的数据链接建立请求,最后,客户端选择一个空闲端口(大于1024)向服务器的这个端口建立数据链接。
vsftp服务器端配置
本文以vsftp(very secure ftp)软件来配置服务器端的FTP服务,著名的Red Hat、SUSE、Debian、GNU等都是使用这款软件来部署它们的FTP服务器。
第一步:在服务器端安装vsftpd软件
有三种安装方式,编译源码安装、使用RPM包安装和使用YUM源安装,这里使用YUM 源安装,这种方式安装前请确保已正确配置YUM源,
[root@localhost ~]# yum -y install vsftpd
第二步:在客户端安装ftp软件
也有三种安装方式,这里使用YUM,
[root@localhost ~]# yum -y install ftp
第三步:测试匿名用户是否能登入
先开启服务端的vsftp服务,
[root@localhost ~]# systemctl start vsftpd
关闭服务端的防火墙和SELinux,
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
在客户端输入“ftp 服务器的地址”进行测试,其中匿名用户登入的用户名是anonymous, 密码可以为空,也可以是任意字符串,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
输入quit命令即可退出ftp回到原来的Shell,
ftp> quit
221 Goodbye.
第三步:配置本地FTP用户
首先创建一个本地账户,
[root@localhost ~]# useradd -s /sbin/nologin -g ftp ftptest1
为这个用户配置密码,这里密码设为123,
[root@localhost ~]# echo 123 | passwd --stdin ftptest1
Changing password for user ftptest1.
passwd: all authentication tokens updated successfully.
回到客户端,使用之前的方法进行测试,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): ftptest1
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp>
这里出现了一个问题,即便密码输入正确,依旧显示登入失败,这时由于PAM模块验 证机制导致的(PAM会阻止那些是nologin shell的用户登入FTP服务),解决这个问题 有两个办法,第一个是创建一个具有登入shell(如bash)的用户,但是这样会产生安 全问题,第二个是找到PAM模块,将其对FTP验证的功能关闭,这里使用第二个方法,
[root@localhost ~]# vim /etc/pam.d/vsftpd
然后将包含”pam_shells.so”这行注释,前面添加#进行注释,
#auth required pam_shells.so
重启vsftpd服务,然后再回到客户端继续尝试登入,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): ftptest1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
登入成功,使用pwd命令查看所在的FTP服务器的路径,
ftp> pwd
257 "/home/ftptest1"
发现可以查看到完整路径名(从根开始),这是很不安全的
第四步:限定用户的登入目录
找到vsftpd的主配置文件并打开,
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
将其中的”#chroot_local_user=YES”取消注释,然后重启服务,再去客户端登入,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): ftptest1
331 Please specify the password.
Password:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Login failed.
421 Service not available, remote server has closed connection
ftp>
又出现错误了,大致意思是:拒绝一个带有写权限的根目录,为什么呢?这是因为vsftp 是一个很安全的FTP服务软件,所以,如果一个用户的登入目录被限制了,那么他的登 入目录不应该再有写的权限,我们来看看ftptest1的登入目录(也就是他的家目录),
[root@localhost ~]# ll -d /home/ftptest1/
drwx------. 2 ftptest1 ftp 62 Dec 18 15:11 /home/ftptest1/
可以发现,ftptest1确实对他自己的家目录有写的权限,怎么解决呢?也有两个解决方 法,第一个是使用chmod命令将这个目录的写权限去掉,第二个是修改主配置文件, 这里选择第二个方法,在主配置文件中添加下行,
allow_writeable_chroot=YES
然后重启服务,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): ftptest1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp>
问题成功解决,并且用户的登入已经被限制了
第五步:FTP黑名单
vsftpd存在一个全局黑名单,是/etc/vsftpd/ftpusers,将用户添加到这个文件(每个用户 名占一行),那么,即便用户输对了密码,也提示密码错误,除了这个黑名单,vsftpd 还存在另一个黑名单,是/etc/vsftpd/user_list(也是每个用户占一行),开启这个黑名单 需要修改主配置文件,确保userlist_enable的值是YES,如下,
userlist_enable=YES
位于user_list文件中的用户,一旦输入用户名,直接被拒绝,连输入密码的机会都没有, 更新user_list或ftpusers都不需要重启vsftpd服务。
第六步:上传和下载
先将上一步中的ftptest1用户从全局黑名单和user_list黑名单中移除,然后在这个用户 的登入目录新建一个文件夹为pub,权限为777,作为共用目录,
[root@localhost ~]# mkdir /home/ftptest1/pub
[root@localhost ~]# chmod 777 /home/ftptest1/pub/
[root@localhost ~]# ll -d /home/ftptest1/pub/
drwxrwxrwx. 2 root root 6 Dec 18 15:40 /home/ftptest1/pub/
然后在这个目录里面创建一个文件,用于客户端的下载,
[root@localhost ~]# echo "hello I am from vsftpd" > /home/ftptest1/pub/readme.txt
回到客户端,在/tmp下创建一个文件,用于上传,
[root@localhost ~]# echo "2019" > /tmp/example.txt
打开ftp,连接到服务器,查看、下载到客户端的tmp目录和上传到服务器的pub目录,
[root@localhost ~]# ftp 192.168.88.128
Connected to 192.168.88.128 (192.168.88.128).
220 (vsFTPd 3.0.2)
Name (192.168.88.128:root): ftptest1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> ls
227 Entering Passive Mode (192,168,88,128,51,1).
150 Here comes the directory listing.
drwxrwxrwx 2 0 0 24 Dec 18 20:46 pub
226 Directory send OK.
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (192,168,88,128,102,108).
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 23 Dec 18 20:41 readme.txt
226 Directory send OK.
ftp> get readme.txt /tmp/readme.txt
local: /tmp/readme.txt remote: readme.txt
227 Entering Passive Mode (192,168,88,128,160,11).
150 Opening BINARY mode data connection for readme.txt (23 bytes).
226 Transfer complete.
23 bytes received in 9.7e-05 secs (237.11 Kbytes/sec)
ftp> put /tmp/example.txt /pub/example.txt
local: /tmp/example.txt remote: /pub/example.txt
227 Entering Passive Mode (192,168,88,128,209,58).
150 Ok to send data.
226 Transfer complete.
5 bytes sent in 0.000344 secs (14.53 Kbytes/sec)
ftp> ls
227 Entering Passive Mode (192,168,88,128,67,163).
150 Here comes the directory listing.
-rw-r--r-- 1 1001 50 5 Dec 18 20:50 example.txt
-rw-r--r-- 1 0 0 23 Dec 18 20:41 readme.txt
226 Directory send OK.
ftp> quit
221 Goodbye.
至此,基本的vsftpd服务的配置已经完成!
vsftpd服务的基本配置的更多相关文章
- vsftpd服务安装,配置,限制目录
一.下载版本:vsftpd-2.0.5-16.el5_4.1.i386.rpm 二.安装:rpm -ivh vsftpd-2.0.5-16.el5_4.1.i386.rpm 三.配置: vsftpd. ...
- Linux vsftpd服务配置具体解释
[背景] 近日.一朋友dominoserver要进行升级.迁移,搭建了linux測试系统,也开启vsftpd服务,但是配置的ftp账号,程序无法正常下载附件. [问题跟踪] 通过ftpclient连接 ...
- VsFtpd服务配置简明笔记
Ftp服务是最常用的文件传输方式,把配置步骤记录下来,以备将来使用. 1.用YUM安装VsFtpd服务:[root@Redis usr]# yum install vsftpd 2.安装完成后启动Vs ...
- centos6.5下vsftpd服务的安装及配置并通过pam认证实现虚拟用户文件共享
FTP的全称是File Transfer Protocol(文件传输协议),就是专门用来传输文件的协议.它工作在OSI模型的第七层,即是应用层,使用TCP传输而不是UDP.这样FTP客户端和服务器建立 ...
- 配置允许匿名用户登录访问vsftpd服务,进行文档的上传下载、文档的新建删除等操作
centos7环境下 临时关闭防火墙 #systemctl stop firewalld 临时关闭selinux #setenforce 0 安装ftp服务 #yum install vsftpd - ...
- centos配置vsftpd服务2
ftp搭建 一.搭建前提a.ssh服务已经开启,b.防火墙关闭,c.连网1.查看ssh和防火墙的状态 service sshd status service iptables status 2.开启s ...
- Linux vsftpd服务配置以及三种验证方式以及常见错误解决办法
文件传输协议(FTP): 文件传输协议(FTP,File Transfer Protocol),即能够让用户在互联网中上传.下载文件的文件协议,而FTP服务器就是支持FTP传输协议的主机,要想完成文件 ...
- ubuntu 12.04 配置vsftpd 服务,添加虚拟用户,ssl加密
1.对于12.04的vsftpd 有一些bug,推荐安装版本vsftpd_2.3.5-1ubuntu2ppa1_amd64.debapt-get install python-software-pro ...
- ubuntu 使用 vsftpd 基于系统用户配置相互隔离的 ftp (ftps) 服务
我们在日常使用 UbuntuServer 服务器时,经常会直接使用基于 ssh 的 sftp 连接服务器直接进行文件上传和下载,不过这个方式其实有一定的安全隐患,当一个团队有多个人员,需要连接服务器 ...
随机推荐
- 超简单!asp.net core前后端分离项目使用gitlab-ci持续集成到IIS
现在好多使用gitlab-ci的持续集成的教程,大部分都是发布到linux系统上的,但是目前还是有很大一部分企业使用的都是windows系统使用IIS在部署.NET应用程序.这里写一下如何使用gitl ...
- 安装Django、Nginx和uWSGI
安装Django.Nginx和uWSGI 1.确定已经安装了2.7版本的Python: 2.安装python-devel yum install python-devel 3.安装uwsgi pip ...
- Spring AOP应用场景你还不知道?这篇一定要看!
回顾一下Spring AOP的知识 为什么会有面向切面编程(AOP)? 我们知道Java是一个面向对象(OOP)的语言,但它有一些弊端,比如当我们需要为多个不具有继承关系的对象引入一个公共行为,例如日 ...
- poj 1077 Eight (八数码问题——A*+cantor展开+奇偶剪枝)
题目来源: http://poj.org/problem?id=1077 题目大意: 给你一个由1到8和x组成的3*3矩阵,x每次可以上下左右四个方向交换.求一条路径,得到12345678x这样的矩阵 ...
- 深入探索Java设计模式之构建器模式(五)
抽丝剥茧 细说架构那些事——[优锐课] 简单的程序不需要大量的设计过程,因为它们只关注有限的解决方案,仅使用几个类.大型程序专注于广泛的设计,该设计比好的设计范例的任何其他属性都更能利用可重用性.宏伟 ...
- 微信pc端和手机上传处理
一.原因 在微信通过电脑版和浏览器登录时,调用了微信上传的接口,wx.getLocalImgData或返回失败. 没办法,只有处理当电脑上传时,使用ajaxuploadfile上传. 二.方法 fun ...
- 《Dotnet9》系列-开源C# WPF控件库1《MaterialDesignInXAML》强力推荐
时间如流水,只能流去不流回! 点赞再看,养成习惯,这是您给我创作的动力! 本文 Dotnet9 https://dotnet9.com 已收录,站长乐于分享dotnet相关技术,比如Winform.W ...
- Git详细教程之创建本地仓库和连接Github仓库
首先要知道不只有代码,任何类型的文件都可以进行版本控制,版本控制很重要的一个特性就是你可以随时修改,比如git会记录你的任何操作,如果你想要回退到任何一个历史操作,你可以通过git轻松达到. 本地仓库 ...
- .NET Core Razor Pages中ajax get和post的使用
ASP.NET Core Razor Pages Web项目大部分情况下使用继承与PageModel中的方法直接调用就可以(asp-page),但是有些时候需要使用ajax调用,更方便些.那么如何使用 ...
- SuperMap iDesktop .NET 10i制图技巧-----如何贴图
当我们在没有模型数据的情况下,我们只能通过造白膜来模拟三维建筑了,但是光秃秃的建筑物显然缺乏代入感,因此需要贴图来给场景润色,本文介绍如何给道路贴图和如何给白膜贴图 道路贴图: 1.打开二维道路数据 ...