vsftpd 简单部署与应用
Posted 21log
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了vsftpd 简单部署与应用相关的知识,希望对你有一定的参考价值。
centos7 vsftpd安装
FTP:文件传输协议(File Transfer Protocol),基于客户端/服务器模式,默认使用20、21端口号,其中端口20(数据端口)用于进行数据传输,端口21(命令端口)用于接受客户端发出的相关FTP命令与参数。
FTP协议两种工作模式
(1)PORT(主动)模式
所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。
(2)PASV(被动)模式
所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了)
两种模式的比较:
PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。
从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取
vsftpd三种认证模式
匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登陆。
本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全。
虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用
安装vsftpd
# yum -y install vsftpd
配置文件
# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
userlist_file=/etc/vsftpd/user_list
userlist_deny=NO
创建ftp登录账号
# groupadd test
# useradd -d /var/ftp/upload -g test -s /sbin/nologin test
# passwd test
SrRcw8899
配置vsftp的登录用户
# cat /etc/vsftpd/user_list
test
--当userlist_enable=YES时,userlist_deny=YES时 :user_list是一个黑名单
--当userlist_enable=YES时,userlist_deny=NO时 :user_list是一个白名单
# cat /etc/pam.d/vsftpd 默认配置,禁止ftpusers文件用的用户登录ftp
#%PAM-1.0
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
客户端连接测试:
# yum -y install ftp
常用命令:
ftp> pwd 列出远端当前主机目录
ftp> put rabbitmq.noarch.rpm 把本地文件上传远端服务器:
ftp> get vsftpd.conf_bak 从远端主机中传送至本地主机中.
ftp> mkdir a 在远端主机中建立目录.
ftp> delete vsftpd.conf_bak 删除远程文件
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
其他访问限制策略:通过/etc/hosts.deny和/etc/hosts.allow去控制访问策略
# vim /etc/hosts.deny 拒绝配置文件
vsftpd:all 拒绝所有来访问ftp
vsftpd:all EXCEPT 192.168.0.254 只允许192.168.0.254来访问
vsftpd:192.168.0.0/255.255.255.0
vsftpd:*.uplook.com EXCEPT www.uplook.com
# /etc/hosts.allow 允许配置文件
vsftpd:all
以上是关于vsftpd 简单部署与应用的主要内容,如果未能解决你的问题,请参考以下文章