ftp
Posted shipment
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ftp相关的知识,希望对你有一定的参考价值。
ftp
目录
1. ftp简介
网络文件共享服务主流的主要有三种,分别是ftp、nfs、samba。
? FTP是File Transfer Protocol(文件传输协议)的简称,用于internet上的控制文件的双向传输。使用FTP来传输时,是具有一定程度的危险性的,因为数据是完全明文传输的。
? VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件。他的全称是Very Secure FTP,从名称的定义基本可以看出,这是为了解决FTP传输安全性问题的。
? VSFTP的安全特性:
? 1.vsftp的运行者一般是普通用户,降低了相对应进程的权限,提高了安全性
? 2.任何需要执行较高权限的指令都需要上层程序的许可
? 3.ftp所需要的大多数命令都被整合到了vsftp中,基本不需要额外提供命令
? 4.拥有chroot功能,可以改变用户的根目录,限制用户只能在自己的家目录
2. ftp架构
FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。其有多种客户端和服务端的应用程序,下面来简单介绍一下
| 客户端工具 | 服务端软件 |
|---|---|
| ftp lftp,lftpget wget,curl filezilla gftp(Linux GUI) 商业软件(flashfxp,cuteftp) | wu-ftpd proftpd(提供web接口的一种ftp服务端程序) pureftp vsftpd(Very Secure) ServU(windows平台的一种强大ftp服务端程序) |
3. ftp数据连接模式
ftp有2种数据连接模式:命令连接和数据连接
- 命令连接:是指文件管理类命令,始终在线的持久性连接,直到用户退出登录为止
- 数据连接:是指数据传输,按需创建及关闭的连接
其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式
数据传输格式有以下两种:
- 文件传输
- 二进制传输
数据传输模式也有2种:
- 主动模式:由服务器端创建数据连接
- 被动模式:由客户端创建数据连接
两种数据传输模式的建立过程:
| 传输模式 | 建立过程 |
|---|---|
| 主动模式 | 命令连接: Client(1025)--> Server(21) 客户端以一个随机端口(大于1023)来连服务器端的21号端口 数据连接: Server(20/tcp) --> Client(1025+1) 服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号 |
| 被动模式 | 命令连接: Client(1110) --> Server(21) 客户端以一个随机端口来连成服务器端的21号端口 数据连接: Client(1110+1) --> Server(随机端口) 客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接 |
主动模式有个弊端,因为客户端的端口是随机的,客户端如果开了防火墙,
则服务器端去连客户端创建数据连接时可能会被拒绝
4. 用户认证方式
匿名用户认证
? 用户认证的账号:ftp 或 anonymous
? 用户认证的密码: 无密码
? 工作目录: /var/ftp
? 默认权限:默认可下载不可上传,上传权限由主配置文件和文件系统两部分组成
本地用户认证
? 用户认证的账号:本地用户(/etc/passwd)
? 用户认证的密码: 用户密码(/etc/shadow)
? 工作目录: 登录用户的家目录
? 权限:最大权限(drwx------)
虚拟用户认证
? 1.创建虚拟用户代替本地用户,减少本地用户的曝光率
? 2.使用本地用户作为虚拟用户的映射用户,为虚拟用户提供挂载目录和权限控制
? 3.能够设置严格的权限(为每一个用户设置单独的配置文件)
5. vsftpd
ftp的服务端软件vsftpd,是在公司中用得最多的一款ftp软件。
服务端软件:vsftpd
客户端软件:ftp、lftp
服务名:vsftpd
端口号:20、21、指定范围内的随机端口号
配置文件: /etc/vsftpd/vsftpd.conf
5.1 vsftpd安装
[root@ftp-server ~]# yum -y install vsftpd
......
Total download size: 172 k
Installed size: 353 k
Downloading packages:
vsftpd-3.0.2-27.el7.x86_64.rpm | 172 kB 00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : vsftpd-3.0.2-27.el7.x86_64 1/1
Verifying : vsftpd-3.0.2-27.el7.x86_64 1/1
Installed:
vsftpd.x86_64 0:3.0.2-27.el7
Complete!
5.2 vsftpd配置参数
/etc/pam.d/vsftpd //vsftpd用户认证配置文件
/etc/vsftpd/ //配置文件目录
/etc/vsftpd/vsftpd.conf //主配置文件
//匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
//系统用户通过ftp访问的资源位置为用户的家目录
//虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录
vsftpd常见的配置参数:
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 启用匿名用户登录 |
| anon_upload_enable=YES | 允许匿名用户上传 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录,但是不能删除 |
| anon_other_write_enable=YES | 允许匿名用户创建和删除目录 |
| local_enable=YES | 启用本地用户登录 |
| write_enable=YES | 允许本地用户有写权限 |
| local_umask=022 | 通过ftp上传文件的默认遮罩码 |
| anon_umask=077 | 匿名用户的默认遮罩码 |
| chroot_local_user=YES | 禁锢所有的ftp本地用户于其家目录中 |
| chroot_list_enable=YES | 开启禁锢文件列表 需要与chroot_list_file参数一起使用 |
| chroot_list_file=/etc/vsftpd/chroot_list | 指定禁锢列表文件路径 在此文件里面的用户将被禁锢在其家目录中 |
| allow_writeable_chroot=YES | 允许被禁锢的用户家目录有写权限 |
| xferlog_enable=YES | 是否启用传输日志,记录ftp传输过程 |
| xferlog_std_format=YES | 传输日志是否使用标准格式 |
| xferlog_file=/var/log/xferlog | 指定传输日志存储的位置 |
| chown_uploads=YES | 是否启用改变上传文件属主的功能 |
| chown_username=whoever | 指定要将上传的文件的属主改为哪个用户 此用户必须在系统中存在 |
| pam_service_name=vsftpd | 指定vsftpd使用/etc/pam.d下的 哪个pam配置文件进行用户认证 |
| userlist_enable=YES | 是否启用控制用户登录的列表文件: 默认为/etc/vsftpd/user_list文件 |
| userlist_deny=YES | 是否拒绝userlist指定的列表文件中存在的用户登录ftp |
| max_clients=# | 最大并发连接数 |
| max_per_ip=# | 每个IP可同时发起的并发请求数 |
| anon_max_rate | 匿名用户的最大传输速率,单位是“字节/秒” |
| local_max_rate | 本地用户的最大传输速率,单位是“字节/秒” |
| dirmessage_enable=YES | 启用某目录下的.message描述信息 假定有一个目录为/upload,在其下创建一个文件名为.message, 在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容 |
| message_file | 设置访问一个目录时获得的目录信息文件的文件名,默认是.message |
| idle_session_timeout=600 | 设置默认的断开不活跃session的时间 |
| data_connection_timeout=120 | 设置数据传输超时时间 |
| ftpd_banner="Welcome to chenlf FTP service." | 定制欢迎信息,登录ftp时自动显示 |
5.3 vsftp 配置示例
先关闭服务器和客户机上的防火墙和selinux
| 服务器IP | 192.168.32.125 |
|---|---|
| 客户机IP | 192.168.32.130 |
5.3.1 匿名用户配置示例
| 匿名权限 | 作用 |
|---|---|
| anonymous_enable=YES | 启用匿名用户访问 |
| anon_umask=022 | 匿名用户上传文件的权限掩码 |
| anon_root=/var/ftp | 匿名用户的FTP根目录 |
| anon_upload_enable=YES | 允许匿名用户上传 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录,但是不能删除 |
| anon_other_write_enable=YES | 允许匿名用户创建和删除目录(开放其他写入权限,如删除、覆盖、重命名) |
| anon_max_rate=0 | 限制最大传输速率(0为不限速,单位:bytes/秒) |
//服务端上启动服务
[root@ftp-server ~]# systemctl restart vsftpd
//在服务端匿名用户的ftp根目录创建一个文件
[root@ftp-server ~]# echo ‘hello‘ > /var/ftp/hello.txt
[root@ftp-server ~]# ll /var/ftp/
total 4
-rw-r--r--. 1 root root 6 May 16 23:31 hello.txt
drwxr-xr-x. 2 root root 6 Apr 1 00:55 pub
在客户端登录后默认可以下载,但不能上传
//用ftp登录,密码为空
[root@ftp-client ~]# yum -y install lftp
[root@ftp-client ~]# lftp -u ftp 192.168.32.125
Password:
lftp ftp@192.168.32.125:~> ls
-rw-r--r-- 1 0 0 6 May 17 03:31 hello.txt
drwxr-xr-x 2 0 0 6 Apr 01 04:55 pub
lftp ftp@192.168.32.125:/> get hello.txt
6 bytes transferred
lftp ftp@192.168.32.125:/> put anaconda-ks.cfg
put: Access failed: 550 Permission denied. (anaconda-ks.cfg)
lftp ftp@192.168.32.125:/> quit
[root@ftp-client ~]# cat hello.txt
hello
filezilla验证
端口号默认21
下载查看
不能创建目录,不能上传
1.实现可以上传
? a. anon_upload_enable=YES
? b. 在/var/ftp/下创建上传目录
? c. 修改上传目录的权限或所有者,让匿名用户有写权限
2.实现创建目录和删除文件等
? anon_mkdir_write_enable=YES #允许创建目录,不能删除
? anon_other_write_enable=YES #删除文件、文件改名、文件覆盖
3.实现上传的文件可下载
? 默认情况下开放上传的权限后,上传的文件无法被下载,因为文件权限中的其他人没有r权限.
? 设置anon_umask=022,让上传的文件其他人有r权限,然后其他人才能下载
5.3.2虚拟用户配置示例
- ? 建立FTP虚拟用户的用户数据库文件
[root@server ~]# yum -y install vsftpd
//创建文本格式的用户名、密码列表,例如若要添加两个用户tom、jerry,密码分别为123456
[root@server ~]# cd /etc/vsftpd/
[root@server vsftpd]# vim vsftpd.user
[root@server vsftpd]# cat vsftpd.user
tom
123456
jerry
123456
[root@server vsftpd]# db_load -T -t hash -f vsftpd.user vsftpd.db
[root@server vsftpd]# ll
total 36
-rw-------. 1 root root 125 Apr 1 00:55 ftpusers
-rw-------. 1 root root 361 Apr 1 00:55 user_list
-rw-------. 1 root root 5116 Apr 1 00:55 vsftpd.conf
-rwxr--r--. 1 root root 338 Apr 1 00:55 vsftpd_conf_migrate.sh
-rw-r--r--. 1 root root 12288 May 17 01:30 vsftpd.db
-rw-r--r--. 1 root root 24 May 17 01:14 vsftpd.user
[root@server vsftpd]# chmod 600 vsftpd.db
- ? 创建FTP虚拟用户的映射用户,指定其家目录为
//创建virtual用户作为ftp虚拟用户的映射用户
[root@server vsftpd]# useradd -d /var/ftproot -s /sbin/nologin virtual
//给映射用户的家目录 设置o+r 让虚拟用户有读权限
[root@server vsftpd]# chmod o+r /var/ftproot/
- ? 建立支持虚拟用户的PAM认证问津,添加虚拟用户支持
[root@server vsftpd]# cp -a /etc/pam.d/vsftpd /etc/pam.d/vsftpd.pam
//编辑新生成的vsftpd.pam #清空原来的内容,添加一下两行
auth required pam_userdb.so db=/etc/vsftpd/vsftpd
account required pam_userdb.so db=/etc/vsftpd/vsftpd
[root@localhost vsftpd]# echo ‘auth required pam_userdb.so db=/etc/vsftpd/vsftpd‘ > /etc/pam.d/vsftpd.pam
[root@localhost vsftpd]# echo ‘account required pam_userdb.so db=/etc/vsftpd/vsftpd‘ >> /etc/pam.d/vsftpd.pam
[root@localhost vsftpd]# cat /etc/pam.d/vsftpd.pam
auth required pam_userdb.so db=/etc/vsftpd/vsftpd
account required pam_userdb.so db=/etc/vsftpd/vsftpd
? 在主配置文件vsftpd.conf中添加配置
修改:
pam_service_name=vsftpd.pam
添加:
guest_enable=YES
guest_username=virtual
user_config_dir=/etc/vsftpd/vuser
allow_writeable_chroot=YES
[root@server vsftpd]# mkdir vuser
[root@server vsftpd]# ll
total 36
-rw-------. 1 root root 125 Apr 1 00:55 ftpusers
-rw-------. 1 root root 361 Apr 1 00:55 user_list
-rw-------. 1 root root 5221 May 17 01:38 vsftpd.conf
-rwxr--r--. 1 root root 338 Apr 1 00:55 vsftpd_conf_migrate.sh
-rw-------. 1 root root 12288 May 17 01:30 vsftpd.db
-rw-------. 1 root root 24 May 17 01:14 vsftpd.user
drwxr-xr-x. 2 root root 6 May 17 01:38 vuser
- 为虚拟用户建立独立的配置文件,重启服务并验证
//设置tom用户可上传、创建目录(上传文件默认权限是700,所以自己上传的不能下载)
[root@server vsftpd]# echo ‘anon_upload_enable=YES‘ >> /etc/vsftpd/vuser/tom
[root@server vsftpd]# echo ‘anon_mkdir_write_enable=YES‘ >> /etc/vsftpd/vuser/tom
[root@server vsftpd]# cat vuser/tom
anon_upload_enable=YES
anon_mkdir_write_enable=YES
//设置jerry用户可上传、创建目录和删除
[root@server vsftpd]# echo ‘anon_upload_enable=YES‘ >> /etc/vsftpd/vuser/jerry
[root@server vsftpd]# echo ‘anon_mkdir_write_enable=YES‘ >> /etc/vsftpd/vuser/jerry
[root@server vsftpd]# echo ‘anon_other_write_enable=YES‘ >> /etc/vsftpd/vuser/jerry
[root@server vsftpd]# echo ‘anon_umask=022‘ >> /etc/vsftpd/vuser/jerry
[root@server vsftpd]# cat vuser/jerry
anon_upload_enable=YES
anon_other_write_enable=YES
anon_umask=022 #设置匿名用户上次文件的遮罩码,使其他人有r权限,才能下载自己上传的文件
[root@server vsftpd]# systemctl restart vsftpd
filez验证
tom用户登录测试,能够上传文件和创建目录但不能删除,也不能下载自己上传的文件(因为遮罩码我077,其他人没有r权限)
jerry用户登录测试
能创建文件和目录,以为可读自己和其他人也能下载
创建bbb文件和ccc目录
lftp验证
tom 登录验证
[root@ftp-client ~]# lftp -u tom,123456 192.168.32.125
lftp tom@192.168.32.125:~> ls
-rw------- 1 1000 1000 0 May 17 06:30 aaa
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwxr-xr-x 2 1000 1000 6 May 17 06:39 ccc
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
lftp tom@192.168.32.125:/> put anaconda-ks.cfg
lftp tom@192.168.32.125:/> ls
-rw------- 1 1000 1000 0 May 17 06:30 aaa
-rw------- 1 1000 1000 0 May 17 06:53 anaconda-ks.cfg
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwxr-xr-x 2 1000 1000 6 May 17 06:39 ccc
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
lftp tom@192.168.32.125:/> get aaa
get: Access failed: 550 Failed to open file. (aaa)
//tom 上传的没有r权限,自己也不能下载
lftp tom@192.168.32.125:/> mkdir test
mkdir ok, `test‘ created
lftp tom@192.168.32.125:/> ls
-rw------- 1 1000 1000 0 May 17 06:30 aaa
-rw------- 1 1000 1000 0 May 17 06:53 anaconda-ks.cfg
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwxr-xr-x 2 1000 1000 6 May 17 06:39 ccc
drwx------ 2 1000 1000 6 May 17 06:55 test
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
jerry登录验证
Jerry创建的文件权限是644,目录是755,有rw权限,所以创建、删除文件
[root@ftp-client ~]# lftp -u jerry,123456 192.168.32.125
lftp jerry@192.168.32.125:~> ls
-rw------- 1 1000 1000 0 May 17 06:30 aaa
-rw------- 1 1000 1000 0 May 17 06:53 anaconda-ks.cfg
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwxr-xr-x 2 1000 1000 6 May 17 06:39 ccc
drwx------ 2 1000 1000 6 May 17 06:55 test
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
lftp jerry@192.168.32.125:/> get aaa
get: Access failed: 550 Failed to open file. (aaa)
lftp jerry@192.168.32.125:/> rm -f aaa
rm ok, `aaa‘ removed
lftp jerry@192.168.32.125:/> ls
-rw------- 1 1000 1000 0 May 17 06:53 anaconda-ks.cfg
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwxr-xr-x 2 1000 1000 6 May 17 06:39 ccc
drwx------ 2 1000 1000 6 May 17 06:55 test
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
lftp jerry@192.168.32.125:/> rm -rf test/
rm ok, `test/‘ removed
lftp jerry@192.168.32.125:/> rm -rf ccc
rm ok, `ccc‘ removed
lftp jerry@192.168.32.125:/> ls
-rw------- 1 1000 1000 0 May 17 06:53 anaconda-ks.cfg
-rw-r--r-- 1 1000 1000 0 May 17 06:35 bbb
drwx------ 2 1000 1000 6 May 17 06:29 创建目录
以上是关于ftp的主要内容,如果未能解决你的问题,请参考以下文章
七个办法只有一个有效:200 PORT command successful. Consider using PASV.425 Failed to establish connection.(代码片段