3Linux网络服务之FTP文件传输服务

FTP文件传输服务

一 FTP服务概述

1 FTP连接及传输模式

控制连接：TCP 21，用于发送FTP命令信息

数据连接：TCP 20，用于上传、下载数据

2 数据连接的建立类型

主动模式：服务端从20端口主动向客户端发起连接

被动模式：服务端在指定范围内某个端口被动等待客户端连接

3 FTP传输模式

文本模式：ASCII模式，以文本序列传输数据

二进制模式：Binary模式，以二进制序列传输数据

4 FTP用户的类型

匿名用户：anonymous或ftp

本地用户：帐号名称、密码等信息保存在passwd、shadow文件中

虚拟用户： 使用独立的帐号/密码数据文件

5 常见的FTP服务器程序

IIS、Serv-U

wu-ftpd、Proftpd

vsftpd（Very Secure FTP Daemon）

6 常见的FTP客户端程序

ftp命令

CuteFTP、FlashFXP、LeapFTP、Filezilla

gftp、kuftp

二 vsftpd软件

1 vsftpd服务介绍

官方站点:http://vsftpd.beasts.org/

主程序：/usr/sbin/vsftpd

服务名：vsftpd

用户控制列表文件： /etc/vsftpd/ftpusers(黑名单)、/etc/vsftpd/user_list

主配置文件：/etc/vsftpd/vsftpd.conf

2 主配置文件vsftpd.conf

1）常用的全局配置项

listen=YES：是否以独立运行的方式监听服务

listen_address=192.168.4.1：设置监听的IP地址

listen_port=21：设置监听FTP服务的端口号（可修改）

write_enable=YES：是否启用写入权限

download_enable＝YES：是否允许下载文件

userlist_enable=YES：是否启用user_list列表文件

userlist_deny=YES：是否禁用user_list中的用户

max_clients=0：限制并发客户端连接数

max_per_ip=0：限制同一IP地址的并发连接数

Connect_from_port_20=YES 允许主动模式

pasv_enable=YES 允许被动模式连接

pasv_min_port=24500 被动模式的下限端口

pasv_max_port=24600 被动模式的上限端口

Pam_server_name=vsftpd 设置用于用户认证的PAM文件位置

2）常用的匿名FTP配置项

anonymous_enable=YES：启用匿名访问

anon_umask=022：匿名用户所上传文件的权限掩码

anon_root=/var/ftp：匿名用户的FTP根目录

anon_upload_enable=YES：允许上传文件

anon_mkdir_write_enable=YES：允许创建目录

anon_other_write_enable=YES：开放其他写入权

anon_max_rate=0：限制最大传输速率（字节/秒）

3）常用的本地用户FTP配置项

local_enable=YES：是否启用本地系统用户

local_umask=022：本地用户所上传文件的权限掩码

local_root=/var/ftp：设置本地用户的FTP根目录

chroot_local_user=YES：是否将用户禁锢在主目录

local_max_rate=0：限制最大传输速率（字节/秒）

三 基于系统用户的FTP服务

1 构建可匿名上传的FTP服务

1. 安装vsftp软件

yum install vsftpd

2）准备匿名FTP访问的目录（默目录，可更改）

chown ftp /var/ftp/pub/ 使匿名用户FTP对该目录有写入权限

1. 开放匿名用户配置，并启动vsftpd服务

1. 只允许上传文件

vim /etc/vsftpd/vsftpd.con （其他设置默认）

anonymous_enable=YES 开放匿名

anon_umask=022 上传后的文件的权限掩码

anon_upload_enable=YES 允许上传文件

B）只允许上传文件、文件夹

anonymous_enable=YES

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

C) 允许删除、覆盖、重命名

anonymous_enable=YES

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

2 构建需用户验证的FTP服务

1. 准备访问目录

默认为系统用户宿主目录(可更改)，拥有多有权限

1. 创建系统用户（默认所有系统用户都有权访问FTP）

useradd lisi

3）开放用户验证

只需禁止匿名访问即可

anonymous_enable=NO

1. 使用user_list黑白名单用户列表文件控制系统用户的访问

1. 编辑黑白名单

vim /etc/vsftpd/user_list 一行一个写入需要控制的用户

Lisi

Wangwu

B)使用名单并规定黑白

userlist_enable=YES 开启列表

userlist_deny=YES 不允许列表中的用户访问（黑明单）

或 userlist_deny=NO 只允许列表中的用户访问（白名单）

四 构建基于虚拟用户的FTP服务

1 建立虚拟用户的账号数据库

1. 安装制作.db格式数据库的软件(vstfpd服务使用它存放虚拟用户)

yum install db4-utils

1. 创建文本合适的用户名和密码列表

vim /etc/vsftpd/vusers.list 奇数行用户名，偶数行密码

u1

123

u2

456

3）转换为DB格式的数据库文件

db_load -T -t hash -f /etc/vsftpd/vusers.list /etc/vsftpd/vusers.db

chmod 600 /etc/vsftpd/vusers.* 避免数据外泄设置合适权限

2 添加虚拟用户的映射账户（所有虚拟用户对应到同一个系统用户）

useradd -d /var/ftp/public -s /sbin/nologin mazi 指定宿主目录（FTP根目录）

chmod -R 755 /var/ftp/ 调整权限

3 添加虚拟用户支持

1. 为虚拟用户建立PAM认证文件

vim /etc/pam.d/vsftpd.vu

#%PAM-1.0

auth required pam_userdb.so db=/etc/vsftpd/vusers

account required pam_userdb.so db=/etc/vsftpd/vusers

2）修改配置文件，添加虚拟用户支持(一下配置可上传下载文件)

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

local_enable=YES 需映射本地用户，所以启用此项

write_enable=YES 可写

anon_umask=022 虚拟用户被认作匿名用户处理以降低权限

pam_service_name=vsftpd.vu 指定新的PAM认证文件

guest_enable=YES 启用用户映射功能

guest_username=mazi 指定映射的系统用户的名称

如果不能上传，查看根目录和上级目录的权限

4 为不同用户创建独立的配置文件

1）分别创建配置文件（每个用户用必须都要有，即使是空文件）

mkdir /etc/vsftpd/vusers_dir 创建配置文件目录

vim /etc/vsftpd/vusers_dir/u1

anon_upload_enable=YES 允许上传

vim /etc/vsftpd/vusers_dir/u2

anon_upload_enable=NO 禁止上传

2) 加载独立的配置文件

vim /etc/vsftpd/vsftpd.conf

user_config_dir/etc/vsftpd/vusers_dir

5 重载

service vsftpd rreload

五 客户端验证访问

1 匿名服务的访问

1：ftp 192.168.1.100 //登陆FTP

Name (192.168.1.100:root): ftp //匿名用户的用户名一般为ftp

Password: //密码为空

2:ls //查看目录列表确定要下载的文件

3:lcd /var //转到本地存放文件的位置

4:get ceshi.tar.gz //执行下载测试文件

5:quit //退出ftp

6：ls /var //确认

2 用户验证的访问

1：ftp 192.168.1.100 //登陆FTP

Name (192.168.1.100:root): u1 //本地用户名

Password: //密码

2:ls //查看目录列表确定要下载的文件

3:lcd /var //转到本地存放文件的位置

4:get ceshi.tar.gz //执行下载测试文件

5:quit //退出ftp

6：ls /var //确认

实验中本地用户无法登录，分析原因是selinux安全机制服务的问题，我们可以关闭此服务，也可以配置里面关于FTP的参数，也可以只关闭对FTP的监控

setsebool ftpd_disable_trans 1 //关闭selinux对ftp的安全监控

vim /etc/selinux/confige //打开selinux配置文件

SELINUX=disabled //关闭