一、基础知识:
1、ftp:file transfer protocal 及文件传输协,工作与应用层。
2、ftp协议的实现:
服务器端实现软件:vsftpd,pureftpd,filezilla server
客户端实现软件:ftp,lftp
3、数据传输格式:
ASCII:ASCII格式传输
binary:二进制文件传输格式
4、ftp传输连接类型:ftp客户端与服务器端通过命令建立连接后,并不适用命令连接通道传输数据,而是新建一个数据连接传输数据
命令连接:传输指令
数据连接:传输数据
5、ftp工作模式:主动模式和被动模式两种。
主动模式:port模式,服务器监听于某一固定端口。服务器端主动向客户端发起连接请求。
被动模式:PASV模式,服务器监端口不固定,客户端向服务器端发起连接请求。
为什么要有两种工作模式?
因为,客户端出于安全因素考虑,一般会禁用大于1024的端口,但是服务器并不知道客户端哪些端口处于禁用状态,所以主动模式难以生效。因此最好使用被动模式。
6、ftp用户类型
匿名用户:所有的农名用户,一般映射为本地魔衣固定的系统用户(一般为用户ftp)。家目录为/var/ftp
本地用户:又称为系统用户,UID一般0~999。存在于/etc/passwd文件中的所有用户
虚拟用户:使用开了中间层(一般为PAM),如使用mysql数据库存储用户名和密码
PAM:plugable authentication modules 插入式认证模块。
二、vsftpdf的安装
1、关闭防火墙:service iptables stop
2、关闭selinux:setenforce 0
3、 先用rpm -q vsftpd命令检查是否已经安装,若ftp没有安装,使用yum -y install vsftpd 安装
4、设置开机自启 :chkconfig vsftpd on 。
5、启动vsftpd: service vsftpd <start |stop|status|restart>
三、vsftpd配置
1、备份配置文件:cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
1、写权限全局配置项:
write_enable=YES ###是否对登录用户开启写权限。属全局性设置。默认NO。
2、匿名用户配置
anonymous_enable=YES ###设置是否允许匿名用户登录FTP服务器。默认为YES。所有匿名用户都会映射至某一固定系统用户,此用户一般问ftp,家目录是/var/ftp。
ftp_username=ftp ###定义匿名用户的账户名称,默认值为ftp。
no_anon_password=YES ###匿名用户登录时是否询问口令。设置为YES,则不询问。默认NO。
anon_world_readable_only=YES ###匿名用户是否允许下载可阅读的文档,默认为YES。
anon_upload_enable=YES ###是否允许匿名用户上传文件。前提是write_enable=YES时,该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO。
anon_mkdir_write_enable=YES ###是否允许匿名用户创建目录。前提是write_enable=YES时有效。且匿名用户对上层目录有写入的权限。默认为NO。
anon_other_write_enable=NO ###除去上传和建立目录的权限,其它写权限如删除和更名权限,依赖于次配置。默认值为NO。
2.1、修改匿名用户上传文件属主
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
chown_uploads=YES
###是否允许匿名用户上传文件,匿名用户上传文件默认属主为root。允许匿名用户上传文件除了 ###write_enable=YES外还需配置匿名用户对家目录(默认为/var/ftp)有写权限。 ####示例,我们将智图表格.txt文件上传到默认匿名用户家目录/var/ftp/下,可以看到文件属主为root
chown_username=test ####指定匿名用户上传文件的属主。此处设置为test
###示例,匿名登录FTP然后我们将智图.xls表格上传.可以看到上传后的文件属主就是我们指定的test
此处有个问题:当匿名用户对默认家目录/var/ftp有写权限,而且
chown_uploads=YES,或
chown_username=test 同时使用时会限制匿名用户登录。本次示例是通过先启动服务,匿名登录服务器后再赋予写权限后上传成功的。本人没有研究明白问题所在,希望高人指点。
3、访问控制
(1)基于IP
tcp_wrappers=YES:用来设置vsftpd服务器是否与tcp wrapper相结合,进行主机的访问控制。设置为YES时,vsftpd服务器会检查/etc/hosts.allow和/etc /hosts.deny中的配置,通过两个我带你见来判断是否允许客户端访问该FTP服务器。类似于简易的防火墙。
示例:只允许192.168.121.1~192.168.121.254的用户访问ftp服务器,则可编辑/etc/hosts.allow文件中并添加以下内容:
vsftpd:192.168.121.0/255.255.255.0 :allow
all:all:deny
(2)基于用户
①记录在/etc/vsftpd/ftpusers中的用户不允许登录ftp,文件中默认有一些系统用户不允许登录如root。
[root@localhost vsftpd]# more ftpusers
# Users that are not allowed to login via ftp
root
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
②指令控制
userlist_enable=YES :控制是否开启由userlist_file=/PATH控制的ftp访问控制文件(默认为/etc/vsftpd/user_list)。
userlist_file=/etc/vsftpd/user_list :文件访问控制文件路径
userlist_deny=YES:代表userlist_file=/PATH指定文件为黑名单,即文件记录所有用户都不允许登录。默认为YES,即黑名单。
userlist_deny=NO:代表userlist_file=/PATH指定文件为白名单,即只有文件记录用才能登录ftp。
root@localhost vsftpd]# more user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
4、本地用户配置
注意,其他用户不能对/etc/vsftpd/下的三个文件有执行权限,否则不能登录FTP
local_enable=YES ###是否允许非匿名用户,如本地用户(/etc/passwd中的用户)登录FTP服务器。所有非匿名用户的生效都依赖于此配置。默认为NO。
local_mask=022 ###本地用户上传文件的权限掩码
注意在/etc/vsftpd/ftpusers 中记录的本地用户不允许登录ftp。此配置文件默认包含以下用户。当然本地用户能否登录还与其他配置有关如userlist_enable。
userlist_enable=YES :控制是否开启由userlist_file=/PATH控制的ftp访问控制文件(默认为/etc/vsftpd/user_list).
userlist_deny=YES:代表userlist_file=/PATH指定文件为黑名单,即文件记录所有用户都不允许登录。默认为YES,即黑名单。
userlist_deny=NO:代表userlist_file=/PATH指定文件为白名单,即只有文件记录用才能登录ftp。
示例:要想让root用户能登录系统需要以下配置
local_enable=YES
编辑ftpusers,将root用户删除或者注释掉
userlist_enable=YES 时,若userlist_deny=YES。要编辑userlist_file指向的文件,在黑名单中删除或注释掉root
,若userlist_deny=NO。要编辑userlist_file指向的文件,在白名单中添加root
5、欢迎信息配置
①用户登录成功后欢迎消息设定
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service. ###可以自己定制登录横幅字符串,即自己定制一个欢迎登录成功用户的信息
ftpd_banner=Warning:this is my page.
banner_file=/PATH/TO/FILE ###若欢迎信息较多可以将其写入到某以文件中。
②有时候我们会在用户切换至某一目录时,设置目录消息,用来提醒用户,不要轻易做删除操作等信息。此时就可以使用目录消息设定了。
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
####开启时,用户切换至指定目录后,vsftpd会查看目标目录下的.message(没有时要新建)文件,并将其内容显示给用户。,当然也可使用message_file命令指定文件
,将文件内容显示给用户。此处我们设置.message文件内容为this is a test information.
message_file=/PATH/TO/FILE
6、禁锢用户于自己的家目录。例如test用户登录ftp后默认在其指定的家目录(本人配置的是/home/test),但是默认test用户是可以切换到其他目录的。这样很不安全。
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_local_user=YES
###是否禁锢所有本地用户于自己的家目录中。设置为YES是代表禁锢所有本地用户。
#chroot_list_enable=YES
####有时候我们不想禁锢所有用户,只是禁锢其中的某些用户,此时可以使用此配置项。设置为YES时,开启一个(chroot_list_file)指向的文件。文件中用户不允许cd到本地系统其他目录。
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list ####默认文件为/etc/vsftpd/chroot_list
示例:chroot_local_user与chroot_list_enable都为YES时,会有什么情况?
我们准备两个用户test和wxx
①配置
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
②在chroot_list文件中添加用户test
③启动ftp服务,结果如下图。即,test用户使用pwd显示的在家目录/home/test,可以cd到其他目录;wxx用户显示在/下,实际是在/home/test,无法cd到其他目录。
④得出结论是都为YES时,只有在chroot_list中的目录才能cd到其他目录,此时chroot_list其实是一个白名单,即允许哪些用户切换目录。具体有以下几种情况
1)当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd/chroot_list文件中列出的用户,可以cd到其他目录;未在文件中列出的用户,不能cd到其他目录。
2)当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd/chroot_list文件中列出的用户,不能cd到其他目录;未在文件中列出的用户,可以cd到其他目录。
3)当chroot_list_enable=NO,chroot_local_user=YES时,所有用户均不能cd到其他目录。
4)当chroot_list_enable=NO,chroot_local_user=NO时,所有用户均可cd换到其他目录。
5)当用户不允许切换到上级目录时,登录后FTP站点的使用pwd命令显示在/下,其实还是在家目录下。
7、日志文件
# The target log file can be vsftpd_log_file or xferlog_file.
# This depends on setting xferlog_std_format parameter
xferlog_enable=YES ###是否启用上传或下载日志记录
# Switches between logging into vsftpd_log_file and xferlog_file files.
# NO writes to vsftpd_log_file, YES to xferlog_file
xferlog_std_format=YES
###控制是使用vsftpd_log_file 日志文件,还是使用xferlog_file日志文件
NO代表使用vsftpd_log_file;YES代表使用xferlog_file。
# The name of log file when xferlog_enable=YES and xferlog_std_format=YES
# WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log
#xferlog_file=/var/log/xferlog
vsftpd_log_file=/var/log/vsftpd.log
示例:两种文件格式
8、FTP监听端口
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES ####YES代表ftp工作于standalone模式。
listen_port=21 ###ftp命令连接监听端口,默认为21
listen_address=*.*.*.* ###设置FTP在哪个IP上监听用户的连接请求。一般注释掉代表监听于本机所有IP,如127.0.0.1
9、FTP并发连接数
max_clients=0 :设置vsftpd允许的最大并发连接数,默认为0,代表不受限制。若设置为200时,则同时允许有200个连接,超出的将拒绝客户端连接请求。只有在standalone模式下有效
max_per_ip=0:设置每个IP地址可以FTP服务器同时建立连接的最大数目。默认为0,代表不受限制。建议设置一个较小值,防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效。
10、会话超时时长
idle_session_timeout:空闲连接超时时长,服务于客户端建立了解后,若在指定时间内在没有互相发送任何指令则自动断开连接。
connect_timeout=60:port模式下
data_connection_timeout=300:数据传输超时时长。
11、PASV模式下端口配置
pasv_enable=YES: 若设置为YES,则启用PASV工作模式;若设置为NO,启用PORT模式。默认为YES,即使用PASV模式。
pasv_max_port=0:PASV模式下,数据连接端口最大值,默认值为0,表示任意端口。
pasv_mim_port=0:PASV模式下,数据连接端口最小值 ,默认值为0,表示任意端口。
12、传输速率
anon_max_rate=0:设置匿名用户最大传输速度,单位为b/s。0为默认值代表不受速度限制。
local_max_rate=0 : 设置本地用户最大传输速度。默认为0。
示例:一个最简单的FTP配置示例
要求:1、不允许匿名用户登录,只允许本地用户中的指定用户登录。
2、该用户有读写权限。
3、禁锢用户与自己家目录
4、工作于被动模式
5、本地用户名为zxy家目录是/tmp/zxy
第一步配置文件相关
①保持/etc/vsftpd/vsftpd.conf文件其他内容默认,更改一下配置
anonymous_enable=NO
②添加以下指令
pasv_enable=YES
pasv_min_port=10000
pasv_max_port=11000
userlist_deny=NO
chroot_local_user=YES
第二步添加用户指定家目录为/tmp/zxy
useradd -m /tmp/zxy zxy
passwd zxy
第三步编辑/etc/vsftpd/user_list
删除所有已存在用户,添加zxy用户
第四步重启服务