ftp主动/被动模式+虚拟账号配置

Posted 2020-11-08 早起的鸟儿有虫吃

FTP基础　　

FTP只通过TCP连接,没有用于FTP的UDP组件.FTP不同于其他服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口)。通常21端口是命令端口，20端口是数据端口。当混入主动/被动模式的概念时，数据端口就有可能不是20了

FTP的主动模式

　   主动模式下，FTP客户端从任意的非特殊的端口（N > 1023）连入到FTP服务器的命令端口--21端口。然后客户端在N+1（N+1 >= 1024）端口监听，并且通过N+1（N+1 >= 1024）端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口，比如20端口。

　　以服务器端防火墙为立足点，要支持主动模式FTP需要打开如下交互中使用到的端口：

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据（20）端口到客户端端口（>1023）（服务器初始化数据连接到客户端数据端口）
• FTP服务器数据（20）端口接受客户端端口（>1023）（客户端发送ACK包到服务器的数据端口）

　　用图表示如下：

 

　　在第1步中，客户端的命令端口与FTP服务器的命令端口建立连接，并发送命令“PORT 1027”。然后在第2步中，FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中，FTP服务器发起一个从它自己的数据端口（20）到客户端先前指定的数据端口（1027）的连接，最后客户端在第4步中给服务器端返回一个"ACK"。

　　主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接，它只是简单的告诉服务器自己监听的端口号，服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说，这是从外部系统建立到内部客户端的连接，这是通常会被阻塞的。

 

被动模式FTP

　　为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。

　　在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

　　对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据连接到服务器指定的任意端口）
• FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

 

　　用图表示如下：

 

　　在第1步中，客户端的命令端口与服务器的命令端口建立连接，并发送命令“PASV”。然后在第2步中，服务器返回命令"PORT 2024"，告诉客户端（服务器）用哪个端口侦听数据连接。在第3步中，客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。

　　被动方式的FTP解决了客户端的许多问题，但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是，许多FTP守护程序，包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 

　　第二个问题是客户端有的支持被动模式，有的不支持被动模式，必须考虑如何能支持这些客户端，以及为他们提供解决办法。例如，Solaris提供的FTP命令行工具就不支持被动模式，需要第三方的FTP客户端，比如ncftp。

　　随着WWW的广泛流行，许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。

主动／被动模式的选择

客户端软件通过主动模式去链接，我们客户端上不会设置防火墙，服务器可以直接链接过来

如果客户端是fz，请在设置中更改被动模式中退回主动模式

搭建FTP虚拟账号，更安全的访问

针对centos可以直接将下面代码运行，目录，账号自行更改

#/bin/bash
# 咱们比如映射本地帐号joker
  path=/data/pro/   # 自定义
  which vsftpd >> /dev/null
if [ $? = 0 ];then
#####实际账号是否是tomcat
  cat>/etc/vsftpd.conf<<EOF
  anonymous_enable=YES
  local_enable=YES
  write_enable=YES
  local_umask=022
  dirmessage_enable=YES
  xferlog_enable=YES
  connect_from_port_20=YES
  xferlog_std_format=YES
  listen=NO
  listen_ipv6=YES

  chroot_list_enable=NO
  ascii_upload_enable=YES
  ascii_download_enable=YES
  guest_enable=YES
  guest_username=joker
  user_config_dir=/etc/vsftpd/vuser_conf

  pam_service_name=vsftpd
  userlist_enable=YES
  tcp_wrappers=YES
EOF
  cd /etc/vsftpd && mkdir vuser_conf
####虚拟账号以及密码
cat>/etc/vsftpd/vuser_passwd.txt<<EOF
joker    # 虚拟帐号
joker123 # 虚拟密码
EOF
db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
####更改验证机制
cat>/etc/pam.d/vsftpd<<EOF
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
EOF
####虚拟账号家目录555，底层777的活动目录
cat>/etc/vsftpd/vuser_conf/$user<<EOF
local_root=$path
write_enable=YES
anon_umask=022
anon_world_readable_only=NO   # 注意，不能只读
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
EOF
####更改目录权限
####为了避免一个安全漏洞，从 vsftpd 2.3.5 开始，chroot 目录必须不可写
mkdir -p $path   # 创建目录
cd $path && mkdir a # a项目
chown -R joker:joker $path/a
cd /data && chmod 555 pro && chmod 777 a
systemctl restart vsftpd.serivce >> /dev/null
####
else
  echo "you apt-get install vsftpd,please again"
  yum install -y vsftpd db-util
fi

附上配置文件解释

anonymous_enable=YES  //是否允许anonymous登录FTP服务器,默认是允许的.
local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许
write_enable=YES  //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许
local_umask=022 //设置本地用户的文件生成掩码为022,默认是077
 anon_upload_enable=YES
anon_mkdir_write_enable=YES  //是否允许匿名账户在FTP服务器中创建目录
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
xferlog_enable=YES  //启用上传和下载日志功能
connect_from_port_20=YES   //启用FTP数据端口的连接请求
xferlog_file=/var/log/vsftpd.log  //设置日志文件的文件名和存储路径,这是默认的
xferlog_std_format=YES//是否使用标准的ftpd xferlog日志文件格式
idle_session_timeout=600  //设置空闲的用户会话中断时间,默认是10分钟
data_connection_timeout=120//设置数据连接超时时间,默认是120秒.
ascii_upload_enable=YES
ascii_download_enable=YES //是否允许使用ASCII格式来上传和下载文件
ftpd_banner=Welcome to blah FTP service.//在FTP服务器中设置欢迎登录的信息.
chroot_list_enable=YES //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项,如果设置chroot_list_enable=YES,那么只允许/etc/vsftpd.chroot_list中列出的用户具有该功能.如果希望所有的本地用户都执行者chroot,可以增加一行:chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
pam_service_name=vsftpd  //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.
userlist_enable=YES //用户列表中的用户是否允许登录FTP服务器,默认是不允许
listen=YES  //使vsftpd 处于独立启动模式
tcp_wrappers=YES  //使用tcp_wrqppers作为主机访问控制方式