VSFTP服务配置

Posted 2020-09-11 龍龍飛

FTP连接及传输模式
控制连接：TCP 21 ,用于发送FTP命令信息
数据连接：TCP 20 ,用于上传、下载数据
数据连接的建立类型：主动模式、被动模式

主动模式:服务器主动发起数据连接
·首先由客户端向服务端的21端口建立FTP控制连接
·当需要传输数据时，客户端以PORT命令告知服务器"我打开了某端口，你过来连接我" 于是服务器从20端口向客户端的该端口发送请求并建立数据连接

被动模式:服务器被动等待数据连接
·如果客户端所在网络防火墙禁止主动模式连接，通常会使用被动模式
·当需要传输数据时，客户端以PORT命令告诉服务器"我要连接你，你要被动等我"，于是服务器告知客户端"我打开了某端口，你过来连接我"于是客户端向服务器的该端口(非20端口)发送请求并建立数据连接

PASV：被动

FTP连接及传输模式
·客户端与服务器建立好数据连接以后，就可以根据从控制连接中发送的FTP命令上传或下载文件了。
·在传输文件时，根据是否进行字符转换，分为文本模式和二进制模式

·文本模式：又称为ASCII（American Standard Code for Information
Interchange，美国信息交换标准码）模式，这种模式在传输文件时使用ASCII标准字符序列，一般指用于纯文本文件的传输
·二进制模式：又称为Binary模式，这种模式不会转换文件中的字符序列，更适合传输程序、图片等非纯文本字符的文件
·使用二进制模式比纯文本模 式更有效率，大多数FTP客户端工具可以根据文件类型自动选择文件的传输模式，而无需用户手工指定

FTP用户类型：
1、匿名用户：用户名为ftp或anonymous,提供任意密码（包括空密码）都可以通过服务器的验证。一般用于公共文件的下载。
2、本地用户：直接使用本地的系统用户账号进行验证
3、虚拟账户：通过一份独立的用户数据库文件进行登陆验证，将FTP账户的关联性降至最低，为系统提供更好的安全性

FTP服务器软件的种类
·在Windows系统中，常见的FTP服务器软件包括FileZilla、Serv-U等
·在Linux系统中，vsftp是目前在Linux/UNIX领域应用十分广泛的一款FTP服务软件
·Vsftpd服务的名称来源于"Very Secure FTP Daemon",该软件针对安全特性方面做了大量的设计。除了安全性以外，vsftp在速度和稳定性方面表现也相当突出

FTP客户端工具的种类
·最简单的FTP客户端工具莫过于FTP命令程序了
·除此以外，还有大量的图形化FTP客户端工具。Windows8中较常用的包括CuteFTP、
FlashFXP、LeapFTP、Filezilla等
·还有一些下载工具软件，如FlashGet、Wget等，包括大多数网页浏览器程序，都支持 通过FTP协议下载文件，但因不具备FTP上传等管理功能，通常不称为FTP客户端工具

写入权限：阀门理论
·文件系统权限与服务配置权限需要同时满足
·文件系统权限高于服务配置权限

$(将里面的执行结果输出)
&> /dev/null 屏幕不显示

搭建匿名访问的FTP服务器-----------------------------------------------------
·安装vsftp软件包
·准备匿名FTP访问的目录
·开放匿名用户哦欸只并启动vsftp服务
·测试匿名FTP服务器

yum -y install vsftpd
chkconfig --level 2345 vsftpd on
netstat -anyup | grep "vsftpd"
cd /var/ftp/(pub) 匿名登陆的默认目录（匿名用户或其他人不能有写权限）
把拥有者改成ftp 有写权限
vi /etc/vsftpd/vsftpd.conf 配置文件

anonynous_enable=YES //匿名访问
write_enable=YES //是否可写入
anon_upload_enable=YES //匿名上传
anon_mkdir_write_enable=YES //匿名创建目录、
anon_other_write_enable=YES //除了创建目录其他的写权限（重命名）

登陆：
ftp IP
get ** 下载文件

搭建用户验证的FTP服务
·基本的本地用户验证-------------------------------------------------------
local_enable=YES
write_enable=YES
local_umask=077 //修改本地用户默认权限掩码为077
chroot_local_user=YES //开启本地用户的家目录锁定

userlist_enable=YES 启动userlist文件
userlist_deny=YES (YES里面用户无法登陆，NO里面用户可以登录)

·ftpusers与user_list用户列表的使用
（1）ftpusers文件：FTP服务器中的黑名单，优先级高于user_list文件
（2）user_list文件：此用户列表默认情况下也是黑名单，即在此用户列表中的用户不可访问FTP服务器，但可以通过vsftpd.conf主配置文件的修改将此名单改为白名单，且仅此名单中的用户可以访问。

·使用user_list用户列表文件(ftpusers只要里面出现的账号就不能登陆)

vsftpd服务的其他常用配置
基于虚拟用户的FTP服务
·修改vsftpd服务的监听地址、端口
·允许使用FTP服务器的被动模式
·限制FTP连接的并发数、传输速率

·修改vsftpd服务的监听地址、端口：
netstat -antup | grep "vsftpd"
0.0.0.0 所有的IP地址

vi /etc/vsftpd/vsftpd.conf
listen_address=10.10.10.10
listen_port=222
pasv_enable=YES
pasv_min_port=24500
pasv_max_port=24600

max_client=200 (最大连接客户端)
max_per_ip=2 (一个IP最多能打开多少个客户端)
anon_max_rate=50000
local_max_rate=200000

·修改vsftpd服务的监听地址、端口

建立虚拟用户的账号数据库：-------------------------------------------------
vsftpd服务使用Berkeley
DB格式的数据库文件来存放虚拟用户账户，建立这种数据库文件需要用到db_load工具
·步骤：
1.创建文本格式的用户名、密码列表
2.创建Berkeley DB格式的数据库文件
3.添加虚拟用户的映射账号，创建FTP根目录

/etc/vsftpd /
vi vusers.list
用户名
密码
用户名
密码
这些用户在Linux中不存在

yum -y install db4-utils-*

db_load -T -t hash -f vusers.list vusers.db
注：db_load命令-T：允许非Berkeley的程序使用该数据库-t：指定算法（hash：哈希，散列）-f：指定源文件注意：生成的数据库文件必须为“.db”格式

一般吧数据文件和权限文件改为600只有超级用户可读可写

添加虚拟用户的映射账号
useradd virtual -s /sbin/nologin -d /var/ftproot
chmod 755 /var/ftproot/

为vsftpd服务添加虚拟用户支持
在vsftpd服务器中，用户认证是通过PAM(Pluggable Authentication
Module,可插拔认证模块)机制来实现的，该机制包括灵活的选择认证方式
·步骤
1.为虚拟用户建立PAM认证文件
2.修改vsftpd配置，添加虚拟用户支持
3.为不同的虚拟用户建立独立的配置文件
4.测试

#cd /etc/pam.d
#cp -a su vsftpd.vu
#vim vsftpd.vu

auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers

#vi /etc/vsftpd/vsftpd.conf
·local_enable=YES
·guest_enable=YES
·guest_username=virtual
·anon_umask=022
·pam_service_name=vsftpd.vu

·实现每个虚拟用户不同根目录、不同权限的管控（1）创建用户控制目录，并创建虚拟所对应的同名配置文件
·mkdir /etc/vsftpd/vusers_dir/
·cd /etc/vsftpd/vusers_dir/
·vi ***

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_max_rate=1
local_root=/var/***

#chown virtual /var/***

·vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers_dir
·/etc/init.d/vsftpd restart

其他配置：
listen=YES 是否开启监听段口
listen_address=10.10.10.10 监听IP地址
listen_port=2121 设置监听端口
pasv_enable=YES 是否开启被动模式
pasv_min_port=24500 被动模式端口下限
pasv_max_port=24600 被动模式端口上限
max_client=2000 最大*客户连接数，一般不限制
max_per_ip=2 每个IP限制最多打开几个客户端工具，一般不限制
anon_max_rate=50000 匿名最大传输速率
local_max_rate=20000 本地用户最大传输速率，一般不限制