前言

FTP(File transfer Protocl),文件传输协议,用于在网络上进行文件传输的一套标准协议,使用客户/服务器模式,属于网络传输协议的应用层。FTP服务运行在TCP/21和20端口,通常来说21端口是连接端口,20端口是数据端口。

FTP有两种工作模式,主动模式和被动模式:

  • 主动模式:由服务器创建连接,建立的过程描述如下:

    客户端发起请求:
       Client:50000(大于1023的端口号) –> Server: 21
    服务端建立数据传输:
       Server: 20/tcp –> Client: 50000+1(客户端请求端口号+1)

  • 被动模式:由客户端创建连接,建立的过程描述如下:

    客户端发起请求:
       Client:50000(大于1023的端口号) –> Server: 21
    客户端建立数据传输:
       Client:50000+1(客户端请求端口号+1) –> Server: 随机端口

实现FTP

  • 通过开源软件 vsftp(Very secure file transfer protocol) 实现ftp:
[root@server ~]# lsb_release -r
Release: 7.2.1511
[root@server ~]# yum -y install vsftpd
[root@server ~]# rpm -qi vsftpd
Name : vsftpd
Version : 3.0.2
Release : 22.el7
Architecture: x86_64
  • vsftpd的程序主要配置文件有:

    主程序:/usr/sbin/vsftpd
    主配置文件:/etc/vsftpd/vsftpd.conf
    数据根目录:/var/ftp
    Systemd Unit File:/usr/lib/systemd/systemd/vsftpd.service
    禁止登陆用户列表:/etc/vsftpd/ftpusers
    用户列表:/etc/vsftpd/user_list

  • 其中主配置文件 /etc/vsftpd/vsftpd.conf 的默认配置:
  anonymous_enable=YES  #是否允许匿名用户访问
  local_enable=YES #是否允许本地用户登录FPT
  write_enable=YES #是否允许写入权限
  local_umask=022 #本地用户上传文件的umask值
  dirmessage_enable=YES #是否在用户进入某个目录时显示该目录的注意信息
  xferlog_enable=YES #是否让FTP服务器记录上传下载的情况
  connect_from_port_20=YES #是否使用20端口进行数据传输
  xferlog_std_format=YES #是否将记录的上传下载情况写在xferlog_file所指定的文件中
  listen=NO #是否以独立运行的方式监听服务
  listen_ipv6=YES #是否支持ipv6
  pam_service_name=vsftpd #列出与vsftpd相关的pam文件
  userlist_enable=YES #是否启用禁止登录用户名单
  tcp_wrappers=YES #是否支持tcp_wrappers
除以上默认使用的参数外,主配置文件还可以设置以下参数:
  定义匿名用户的ftp共享权限:
  anon_world_readable_only =YES #是否全局可读
  anon_upload_enable=NO #是否允许上传文件
  anon_mkdir_write_enable=NO #是否允许创建目录
  anon_other_write_enable=NO #是否删除文件、删除目录
  anon_umask=077 #匿名用户的umask   定义系统用户的ftp权限:
  local_enable=YES #允许本地用户访问(/etc/passwd中的用户)
  write_enable=YES #允许写入权限,包括修改,删除
  local_umask=022 #定义本地用户上传的文件的umask
  chroot_local_user=YES #是否禁锢所有本地用户于其家目录
  chroot_list_enable=YES #是否启用chroot_list_file的名单
  chroot_list_file=/etc/vsftpd/chroot_list #是否限制在主目录下的用户名单
  注意:当chroot_local_user=YES和chroot_list_enable=YES时,chroot_list中的用户都是不受限制的用户;当chroot_local_user=NO和chroot_list_enable=YES时,chroot_list中的用户都是受限制的用户。   控制可登陆vsftpd服务的用户列表:
  userlist_enable=YES #启用/etc/vsftpd/user_list文件来控制可登陆用户;
  userlist_deny=NO #NO意味着/etc/vsftpd/user_list为白名单,YES为黑名单   上传下载速率:
  anon_max_rate=0 #匿名用户的最大上传下载速率,0表示无限制
  local_max_rate=0 #本地用户的最大上传下载速率,0表示无限制   并发连接数限制:
  max_clients=2000 #standalone下最大的并发连接数
  max_per_ip=50 #设置单个IP的最大连接数 注意:通过 man vsftpd.conf 可以获取更多参数信息。
  • vsftp的3中认证方式:

vsftp服务为ftp提供了3种认证方式,分别是:匿名用户认证、本地用户认证和虚拟用户认证。匿名用户认证是指任何人无需认证即可访问到FTP服务器;本地用户认证在Linux系统中是指/etc/passwd中的用户;虚拟用户认证是指使用vsftp服务独立维护的FTP账号密码进行登录访问。从安全性来说虚拟用户是最安全的,因为就算FTP的账号密码泄露了,也不会泄露本地的用户账号密码。

1. 匿名用户

vsftp服务默认就开启了匿名用户登录,此处修改配置文件/etc/vsftpd/vsftpd.conf:

# 备份配置文件
[root@server ~]# cp /etc/vsftpd/vsftpd.conf{,.bak}
[root@server ~]# vim /etc/vsftpd/vsftpd.conf
  anonymous_enable=YES
  anon_upload_enable=YES
  anon_mkdir_write_enable=YES
  anon_other_write_enable=YES
  local_umask=022
[root@server ~]# setenforce 0
[root@server ~]# systemctl stop vsftpd.service
[root@server ~]# systemctl start vsftpd
[root@server ~]# ss -tan
LISTEN 0 32 :::21 :::*
LISTEN 0 128 :::22 :::*

客户端进行测试:

[root@client ~]# lftp 192.168.4.119
lftp 192.168.4.119:~> ls
drwxr-xr-x 2 0 0 6 Aug 03 2017 pub
lftp 192.168.4.119:/> cd pub/
lftp 192.168.4.119:/pub> mkdir test
mkdir: Access failed: 550 Create directory operation failed. (test)
lftp 192.168.4.119:/pub> exit

创建test目录失败。匿名用户的默认路径即为ftp用户的家目录/var/ftp,虽然我们已经配置了anon_mkdir_write_enable=YES,但ftp用户的真正权限是vsftpd.conf定义的共享权限与访问的目录的权限的交集,因此我们需要去修改/var/ftp/pub目录的文件权限:

[root@server ~]# ll -d /var/ftp/pub
drwxr-xr-x. 2 root root 6 Aug 3 2017 /var/ftp/pub
[root@server ~]# chown ftp:ftp /var/ftp/pub/
[root@server ~]# ll -d /var/ftp/pub
drwxr-xr-x. 2 ftp ftp 6 Aug 3 2017 /var/ftp/pub
注意,不能直接修改/var/ftp的属主属组为ftp,不然客户端重新匿名登录ftp时,会出现报错:500 OOPS: vsftpd: refusing to run with writable root inside chroot()

重新登录测试:

[root@\client ~]# lftp 192.168.4.119
lftp 192.168.4.119:~> cd pub/
lftp 192.168.4.119:/pub> mkdir test
mkdir ok, `test' created
lftp 192.168.4.119:/pub> lcd /etc #切换客户端的目录
lcd ok, local cwd=/etc
lftp 192.168.4.119:/pub> put passwd
2538 bytes transferred
lftp 192.168.4.119:/pub> ls
-rw------- 1 14 50 2538 Jun 27 05:44 passwd
drwx------ 2 14 50 6 Jun 27 05:43 test
lftp 192.168.4.119:/pub> rm passwd
rm ok, `passwd' removed
lftp 192.168.4.119:/pub> rmdir test
rmdir ok, `test' removed
lftp 192.168.4.119:/pub> exit

2. 本地用户

编辑主配置文件/etc/vsftp/vsftp.conf:

[root@server ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
userlist_enable=YES
userlist_deny=NO
注意:当userlist_enable=YES而userlist_deny=NO时,/etc/vsftpd/user_list为白名单;当userlist_enable=YES和userlist_deny=YES时,/etc/vsftpd/user_list为黑名单

编辑/etc/vsftpd/user_list:

[root@server ~]# vim /etc/vsftpd/user_list
  testftp
[root@server ~]# useradd testftp
[root@server ~]# echo 123456 | passwd --stdin testftp
[root@server ~]# systemctl restart vsftpd

客户端测试:

[root@\client ~]# lftp 192.168.4.119 -u testftp
Password:
lftp testftp@192.168.4.119:~> lcd /etc
lcd ok, local cwd=/etc
lftp testftp@192.168.4.119:~> put passwd
2538 bytes transferred
lftp testftp@192.168.4.119:~> mkdir test
mkdir ok, `test' created
lftp testftp@192.168.4.119:~> ls
-rw-r--r-- 1 1001 1001 2538 Jun 27 07:04 passwd
drwxr-xr-x 2 1001 1001 6 Jun 27 07:04 test
lftp testftp@192.168.4.119:~> rm passwd
rm ok, `passwd' removed
lftp testftp@192.168.4.119:~> rmdir test
rmdir ok, `test' removed
lftp testftp@192.168.4.119:~> lcd /
lcd ok, local cwd=/
lftp testftp@192.168.4.119:~> cd /etc #切换到服务器的/etc目录
cd ok, cwd=/etc
lftp testftp@192.168.4.119:/etc> get passwd #获取服务器的/etc/passwd
2583 bytes transferred
lftp testftp@192.168.4.119:/etc> exit

本地用户能切换到/etc目录能够下载passwd文件,存在极大风险,因此我们需要把本地用户的访问路径限制在其对应的家目录下:

[root@server ~]# vim /etc/vsftpd/vsftpd.conf
chroot_local_user=YES
allow_writeable_chroot=YES
#chroot_list_file=/etc/vsftpd/chroot_list 通过文件指定禁锢的用户
注意:从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了,客户端执行写操作时会出现提示:500 OOPS: vsftpd: refusing to run with writable root inside chroot()。
此时如果还想能在对主目录拥有写权限,可以使用allow_writeable_chroot=YES。

客户端测试:

[root@\client ~]# lftp 192.168.4.119 -u testftp
Password:
lftp testftp@192.168.4.119:~> cd /etc
cd: Access failed: 550 Failed to change directory. (/etc)
lftp testftp@192.168.4.119:/> lcd /etc
lcd ok, local cwd=/etc
lftp testftp@192.168.4.119:/> put passwd
2538 bytes transferred
lftp testftp@192.168.4.119:/> mkdir test
mkdir ok, `test' created
lftp testftp@192.168.4.119:/> rm passwd
rm ok, `passwd' removed
lftp testftp@192.168.4.119:/> rmdir test
rmdir ok, `test' removed
lftp testftp@192.168.4.119:/> exit

3. 虚拟用户

虚拟用户认证所使用的账号和密码都不是服务器中真实存在的,其安全性比本地用户更好,即使被抓包获取到账号密码都无法直接登录到服务器。配置虚拟用户的流程如下:
1)建立虚拟用户数据库文件
2)创建根目录及虚拟用户映射的系统用户
3)建立支持虚拟用户的PAM认证文件
4)在vsftpd.conf中添加支持配置
5)为虚拟用户设置不同的权限

1)建立虚拟用户数据库文件

[root@ftp ~]# vim /etc/vsftpd/vuser
#格式:一行账号名,一行密码
test1
123456
test2
12345678
[root@ftp ~]# db_load -T -t hash -f /etc/vsftpd/vuser /etc/vsftpd/vuser.db #使用db_load命令生成数据库文件
[root@ftp ~]# chmod 600 /etc/vsftpd/vuser.db
[root@ftp ~]# rm /etc/vsftpd/vuser

2)创建根目录及虚拟用户映射的系统用户

[root@server ~]# useradd -d /var/vftp -s /sbin/nologin vftp
[root@server ~]# chmod -R 755 /var/vftphome

3)建立支持虚拟用户的PAM认证文件

[root@server ~]# vim /etc/pam.d/vsftpd.virtual
auth required pam_userdb.so db=/etc/vsftpd/vuser #检查账号及密码,数据库不需要写后缀.db
account required pam_userdb.so db=/etc/vsftpd/vuser #检查用户是否在有效期内

4)在vsftpd.conf中添加支持配置

[root@server ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO #禁止匿名登录
local_enable=YES #允许本地用户模式,由于映射的系统用户为本地用户,因此此项必须开启
guest_enable=YES #开启虚拟用户模式
guest_username=vftp #指定虚拟用户账号映射到本地账号vftp
pam_service_name=vsftpd.virtual #指定pam文件
chroot_local_user=YES #禁锢用户在其家目录
allow_writeable_chroot=YES #允许禁锢的FTP根目录可写
user_config_dir=/etc/vsftpd/vuser_profile #指定虚拟用户的权限配置目录
userlist_enable=YES
userlist_deny=YES

5)为虚拟用户设置不同的权限

[root@server ~]# mkdir /etc/vsftpd/vuser_profile
[root@server ~]# vim /etc/vsftpd/vuser_profile/test1
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_umask=022
[root@server ~]# vim /etc/vsftpd/vuser_profile/test2
local_root=/vftp/test2
anon_umask=022
anon_mkdir_write_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES
[root@ftp ~]# mkdir -pv /vftp/test2
[root@ftp ~]# chown vftp:vftp /vftp/test2
[root@ftp ~]# systemctl restart vsftpd

客户端测试:

#用户test1
[root@\client ~]# lftp 192.168.4.119 -u test1
Password:
lftp test1@192.168.4.119:~> lcd /etc
lcd ok, local cwd=/etc
lftp test1@192.168.4.119:~> put passwd
2538 bytes transferred
lftp test1@192.168.4.119:/> mkdir test
mkdir ok, `test' created
lftp test1@192.168.4.119:/> ls
-rw-r--r-- 1 1002 1002 2538 Jun 27 09:40 passwd
drwxr-xr-x 2 1002 1002 6 Jun 27 09:40 test
lftp test1@192.168.4.119:/> rm passwd
rm ok, `passwd' removed
lftp test1@192.168.4.119:/> rmdir test/
rmdir ok, `test/' removed
lftp test1@192.168.4.119:/> cd /etc
cd: Access failed: 550 Failed to change directory. (/etc)
lftp test1@192.168.4.119:/> exit
注意:test1的目录路径:/var/vftp,即 服务器创建的系统用户vftp家目录。 #用户test2
[root@\client ~]# lftp 192.168.4.119 -u test2
Password:
lftp test2@192.168.4.119:~> lcd /etc
lcd ok, local cwd=/etc
lftp test2@192.168.4.119:~> put passwd
2538 bytes transferred
lftp test2@192.168.4.119:/> mkdir test
mkdir ok, `test' created
lftp test2@192.168.4.119:/> ls
-rw-r--r-- 1 1002 1002 2538 Jun 27 09:46 passwd
drwxr-xr-x 2 1002 1002 6 Jun 27 09:46 test
lftp test2@192.168.4.119:/> rm passwd
rm ok, `passwd' removed
lftp test2@192.168.4.119:/> rmdir test/
rmdir ok, `test/' removed
lftp test2@192.168.4.119:/> put fstab
477 bytes transferred
lftp test2@192.168.4.119:/> lcd /
lcd ok, local cwd=/
lftp test2@192.168.4.119:/> get fstab
477 bytes transferred
lftp test2@192.168.4.119:~> cd /etc
cd: Access failed: 550 Failed to change directory. (/etc)
lftp test2@192.168.4.119:/> exit

基于centos7实现的ftp的更多相关文章

  1. 基于centos7+nginx+uwsgi+python3+django2.0部署Django项目

    0.序言 本文讲解如何基于centos7+nginx+uwsgi+python3+django2.0把windows上的本地项目部署到云服务器上. 本文服务器上的django项目和虚拟环境的路径将建立 ...

  2. 基于CentOS7系统一键配置Aria2 实现服务器离线下载工具

    我们有些网友购买的海外VPS主机并不是用来做网站的,而是用来作为下载资源工具使用的.确实用这样的工具搭建之后是比本地下载速度快,因为有些资源.软件等是海外资源,而且挂载在服务器上不占用本地的资源.在这 ...

  3. 使用Docker构建基于centos7镜像的python环境

    Dcokerfile配置信息 ############################################## # 基于centos7构建python3运行环境 # 构建命令: 在Dock ...

  4. 基于Centos7的autobahn-python+crossbar的环境搭建

    一.基于centos7的crossbar安装(已经安装好python) (1) sudo yum update (2) sudo yum install gcc gcc-c++ make openss ...

  5. CentOS7上安装FTP服务

    ---------------------------------------------------------------------------------------------------- ...

  6. Centos7安装vsftpd (FTP服务器)

    Centos7安装vsftpd (FTP服务器) 原文链接:https://www.jianshu.com/p/9abad055fff6 TyiMan 关注 2016.02.06 21:19* 字数 ...

  7. 基于线程开发一个FTP服务器

    一,项目题目:基于线程开发一个FTP服务器 二,项目要求: 基本要求: 1.用户加密认证   2.允许同时多用户登录   3.每个用户有自己的家目录 ,且只能访问自己的家目录   4.对用户进行磁盘配 ...

  8. web自动化 基于python+Selenium+PHP+Ftp实现的轻量级web自动化测试框架

    基于python+Selenium+PHP+Ftp实现的轻量级web自动化测试框架   by:授客 QQ:1033553122     博客:http://blog.sina.com.cn/ishou ...

  9. openstack-r版(rocky)搭建基于centos7.4 的openstack swift对象存储服务 四

    openstack-r版(rocky)搭建基于centos7.4 的openstack swift对象存储服务 一 openstack-r版(rocky)搭建基于centos7.4 的openstac ...

随机推荐

  1. dos文件格式转换为Unix文件格式

    做linux开发的,一般还是在windows上装个虚拟机,在windows上开发, 所以就会出现dos文件与unix文件格式不一致,当windows上的文件在linux上用的时候,经常在每行的末尾会出 ...

  2. 织梦DEDECMS {dede:arclist},{dede:list}获取附加表字段内容

    以前用织梦DEDECMS做二次开发时获取附加表字段内容都是通过runphp执行SQL查询获得,最近看了看手册,发现一个非常简便的方法. 用arclist调用于附加表字段的方法: 方法一: 要获取附加表 ...

  3. pat1057. Stack (30)

    1057. Stack (30) 时间限制 100 ms 内存限制 65536 kB 代码长度限制 16000 B 判题程序 Standard 作者 CHEN, Yue Stack is one of ...

  4. 关于微信小程序登录授权

    小程序的API接口文档写的很清晰,现在理一遍思路. 前端通过wx.login()获取code ,把code发给后台,后台返回openid,再获取用户的授权信息(这里先判断是否授权,授权过的就直接进入小 ...

  5. Java对象转换成Json字符串是无法获得对应字段名

    问题: 代码中已经标注 @JSONField(name = "attrs") private String abc; public String getA() { return a ...

  6. 详解__FILE__与$_SERVER['SCRIPT_FILENAME']的区别

    废话不多说 直接上测试代码: <?php //引入的是ceshi4文件夹下的ceshi4.php; require_once './ceshi4/ceshi4.php'; 下面是ceshi4文件 ...

  7. 【JavaScript】JavaScript赋值语句中的逻辑与&&和逻辑或||

    在其他语言中,我们往往看到逻辑符号出现在判断语句当中,如 if(a||b){} 但在一些js相关的面试题或者书中,我们有时会看到逻辑与&&和逻辑或||符号出现在赋值语句或者返回语句中, ...

  8. http-equiv和name的区别

    meta是用来在HTML文档中模拟HTTP协议的响应头报文.meta 标签用于网页的<head>与</head>中,meta 标签的用处很多.meta 的属性有两种:name和 ...

  9. [QualityCenter]QC是什么?发展历程是怎样?

    QC,即Quality Center,是一个基于Web的测试管理工具.它可以组织和管理应用程序测试流程的所有阶段,包括制定测试需求.计划测试.执行测试和跟踪缺陷.此外,通过Quality Center ...

  10. django orm 时间字段讲解

    创建django的model时,有DateTimeField.DateField和TimeField三种类型可以用来创建日期字段,其值分别对应着datetime().date().time()三中对象 ...