搭建FTP服务器
FTP的工作原理:
FTP:File Transfer Protocol ,文件传输协议。属于NAS存储的一种协议,基于CS结构。
ftp采用的是双端口模式,分为命令端口和数据端口,命令端口对应命令通道,数据端口对应数据通道。
命令端口:FTP服务器的命令端口默认是tcp/21
数据端口:随机
两种工作模式:主动模式和被动模式
主动模式:FTP服务器主动连接客户端,这个时候FTP服务器的数据端口使用的是20端口。
被动模式:客户端主动连接FTP服务器,这时候FTP服务器的数据端口是随机的。
FTP的工作过程:
1.服务端开启对21端口的监听。
2.客户端发起对服务端的连接请求,通过服务器的21端口连接到服务器。此时建立起了命令通道,命令通道用于传输和通信相关的一些指令。
3.建立数据通道
如果是主动模式:服务端会使用20端口主动连客户端的一个随机端口。
如果是被动模式:客户端使用一个随机端口连接服务端的一个随机端口
4.使用数据通道进行数据的传输。
探测端口是否打开的方法:
telnet工具:
例如:查看22端口是否开启
#格式:telnet host port #如果能响应则端口就是打开的
#如果telnet能响应则端口就是打开的
[root@CentOS8 ~]# telnet 10.0.0.12 22
Trying 10.0.0.12...
Connected to 10.0.0.12.
Escape character is '^]'.
SSH-2.0-OpenSSH_8.0
nmap工具:
[root@HAproxy ~]# nmap 10.0.0.66 -p 21
Starting Nmap 7.70 ( https://nmap.org ) at 2022-12-08 13:37 CST
Nmap scan report for 10.0.0.66
Host is up (0.00033s latency).
PORT STATE SERVICE
21/tcp open ftp
MAC Address: 00:0C:29:29:03:AF (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.53 seconds
实现FTP的相关软件:
windows中的相关软件:Filezilla、IIS
Filezilla官网: https://filezilla-project.org/index.php
linux中的相关软件:
服务端:vsftpd、Wu-ftpd等
vsftpd官网: https://security.appspot.com/vsftpd.html
客户端:ftp、wget、curl等
VSFTP
性能好、下载速度快、单机可支持15k并发量
VSFTP的安装和配置:
ubuntu安装vsftpd:
[root@HAproxy vsftpd]# apt install vsftpd -y
# 说明:vsftpd搭建的ftp服务器默认只允许匿名用户连接 匿名用户包括:ftp、anonmous。
# ubuntu1804 默认不允许匿名
访问ftp服务器的三种方式:
1. 匿名账号访问:ftp或anonymous
2. FTP服务器的本地账号访问:例如linux里面的root等用户账号
3. 虚拟账号访问:
虚拟账号:操作系统中不存在的账号,专用于对应服务的账号。
例如登录mysql使用的账号也是虚拟账号
VSFTPD的相关配置
FTP服务器的基础配置:
配置文件格式:option=value # 注意:= 前后不要有空格
端口修改:
局域网内使用,端口一般不用修改
FTP服务器默认端口修改:
# 默认客户端发起对服务端的连接请求,通过服务器的21端口连接到服务器
listen_port=2121 # 指定ftp服务器的端口是2121
FTP服务器主动模式数据通道端口修改:
# 更改数据通道主动模式服务端的端口:一般不用修改
connect_from_port_20=YES
ftp_data_port=20 (默认) # 指定主动模式的端口
FTP服务器被动模式的端口范围:
# 设置服务端被动模式的端口范围: 被动模式:客户端主动连服务端 服务器端的数据通道端口随机
# 服务端被动模式的端口范围一般不用修改
pasv_min_port=6000 # 0为随机分配,端口范围会影响客户端的并发数
pasv_max_port=6010 # 表示被动模式端口范围是6000-6010 一共11个端口可用
注意:
# 使用linux的客户端工具连接ftp服务端时:客户端默认使用被动模式 例如:ftp
# 使用windows的客户端工具连接ftp服务端时:客户端默认使用主动模式 例如:Filezilla
FTP服务器的时间设置:
# 设置ftp服务器的时间为本地时间:(一般不用修改。有些客户端能自动校准时间)
use_localtime=YES # 使用当地时间(默认为NO,使用GMT)
FTP服务器匿名用户的相关设置
FTP服务器默认只允许匿名用户登录,匿名用户包括ftp或anonymous。
匿名用户:在客户机上不存在的用户叫做匿名用户,匿名用户是单独为特定服务效力的用户。例如FTP服务器的ftp用户,mysql的root用户等都是匿名用户。
# 设置允许匿名用户登录 centos7默认就允许匿名用户登录
anonymous_enable=YES # 支持匿名用户,默认不允许匿名
# 设置允许匿名用户使用空密码登录。
no_anon_password=YES # 匿名用户略过口令检查 , 默认NO,表示不输入匿名用户的密码进行登录
匿名用户权限设置
# 设置匿名用户能上传文件到FTP服务器
anon_upload_enable=YES # 允许匿名上传,注意:文件系统权限
# 设置匿名用户能在FTP服务器上创建目录文件
anon_mkdir_write_enable=YES #允许匿名创建文件夹
说明:
# 跨网络传输数据需要注意的问题:
# (1)服务自身:服务本身是否允许
# (2)文件系统的权限:是否具备文件系统的写权限
例如:虽然开启了允许匿名用户上传文件,但是文件对这个用户没有写权限,照样上传不上去
说明:设置文件权限的时候,不能给用户的根目录写权限,只能给子目录写权限,否则连接的时候报如下错误
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Login failed.
421 Service not available, remote server has closed connection
匿名用户上传的文件属性设置
# 设置匿名用户的上传文件的默认的所有者和权限
chown_uploads=YES # 默认NO YES表示允许修改上传文件的权限和所有者
chown_username=wang # 指定匿名用户上传文件的文件所有者(如果不指定,文件的属主就是这个匿名用户)
chown_upload_mode=0644 # 指定上传文件的文件权限
例如:不设置匿名用户上传的文件属性
#文件的属主就是这个匿名用户
root@ubuntu1804:/srv/ftp/tmp# ll
-rw------- 1 ftp ftp 1659 Dec 7 21:37 anaconda-ks.cfg
-rw------- 1 ftp ftp 258449 Dec 7 21:20 ''$'\265\347\327''Ӻ'$'\317''ͬ.pdf'
-rw------- 1 ftp ftp 77703 Dec 7 21:20 ZKZ_4224961_20201023210611127.pdf
-rw------- 1 ftp ftp 247706 Dec 7 21:30 xxxxxx.pdf'
下载
默认下载FTP服务器上的文件,只有所有人都具有读权限的文件才能下载。
# 方法一:
anon_world_readable_only=NO # 只能下载全部读的文件, 默认YES,表示只有所有人都具有读权限的文件才能下载
# 方法二:设置上传文件的默认权限
anon_umask=0333 # 指定匿名上传文件的umask,默认077,注意:0333中的0不能省略 (777-333=444)
删除和修改
# 默认情况是传上去了就不能删除了
anon_other_write_enable=YES # 可删除和修改上传的文件,默认NO ,改为yes
使用FTP服务器的系统用户登录FTP服务器相关设置
使用FTP服务器上面的系统用户进行登录。
# 设置允许系统用户登录ftp服务器并上传文件:
local_enable=YES # 是否允许本地用户登录,YES表示允许
write_enable=YES # 是否允许本地用户上传文件,YES表示允许
local_umask=022 # 指定系统用户上传文件的默认权限对应umask
系统用户的相关权限设置
local_enable=YES # 是否允许本地用户登录,YES表示允许
write_enable=YES # 是否允许本地用户上传文件,YES表示允许
local_umask=022 # 指定系统用户上传文件的默认权限对应umask
FTP服务器的虚拟用户设置
使用系统用户登录FTP服务器的时候,统一将所有系统用户都映射成某一个guest用户。
可以映射为任何一个用户,但这个用户必须要在FTP服务器上面存在才行。不一定是ftp这个用户,可以映射成任何一个系统账号。
guest_enable=YES # 所有系统用户都映射成某一个guest用户
guest_username=ftp # 配合上面选项才生效,指定guest用户
local_root=/ftproot # 指定guest账号登录进来映射的目录 所有的操作系统用户登录进来都是这个目录(如果不指定就在guest_username这个用户的家目录里面)
#设置每个用户都拥有独立的配置
user_config_dir=/etc/vsftpd/conf.d/ # 每个用户独立的配置文件目录 这里可以针对不同的用户放不同的配置
禁锢设置
禁锢所有系统用户在家目录中,不能cd到其它目录。因为使用系统用户登录以后,默认能随便切换到其它目录里面去。
#不允许用户随便切换目录,只能在家目录中
chroot_local_user=YES #禁锢系统用户,默认NO,即不禁锢
# 此时ftp会把对应用户的家目录作为根目录,如果这个家目录存在写权限则登录的时候会提示错误相关错误信息。
其它设置
设置ftp服务器的日志:
# vsftpd默认使用的就是wu-ftp的日志格式,vsftpd日志:默认不启用。可以手动启用
# wu-ftp 日志:默认启用
xferlog_enable=YES # 启用记录上传下载日志,此为默认值
xferlog_std_format=YES # 使用wu-ftp日志格式,此为默认值
xferlog_file=/var/log/xferlog #可自动生成, 此为默认值
# vsftpd日志:默认不启用
dual_log_enable=YES # 使用vsftpd日志格式,默认不启用
vsftpd_log_file=/var/log/vsftpd.log # 可自动生成, 此为默认值
设置用户使用客户端连接ftp服务器后的提示信息:
# 方法一:
ftpd_banner="welcome to mage ftp server"
# 方法二:将提示信息存放到一个文件中
banner_file=/etc/vsftpd/ftpbanner.txt
范例:ubuntu1804 配置匿名用户访问FTP服务器
#1. 创建对应的目录
root@ubuntu1804:~# mkdir /data
root@ubuntu1804:~# mkdir /data/data
root@ubuntu1804:~# chmod 777 /data/data #简单粗暴的方法
# root@ubuntu1804:~# setfacl -m u:ftp:rwx /data/data # 给ftp用户权限
#2. 修改配置文件
root@ubuntu1804:~# vim /etc/vsftpd.conf
anonymous_enable=YES
no_anon_password=YES
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_world_readable_only=NO
write_enable=yes
# allow_writeable_chroot=YES #对根目录的写权限,匿名用户不生效
chroot_local_user=YES
anon_root=/data #指定匿名用户登录进来后的根目录,如果不加就在该用户的家目录
#3. 重启服务
root@ubuntu1804:~# systemctl status vsftpd.service
#4. 测试
[root@HAproxy ~]# ftp 10.0.0.66 #连接到FTP服务器
Connected to 10.0.0.66 (10.0.0.66).
220 (vsFTPd 3.0.3)
Name (10.0.0.66:root): ftp
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" is the current directory
ftp> ls
227 Entering Passive Mode (10,0,0,66,235,199).
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 0 Dec 08 10:33 12345
drwxr-xr-x 2 111 115 4096 Dec 08 10:38 data
226 Directory send OK.
ftp> cd data #进入数据目录
250 Directory successfully changed.
ftp> !ls
12345 abc anaconda-ks.cfg
ftp> put 12345 #上传文件
local: 12345 remote: 12345
227 Entering Passive Mode (10,0,0,66,158,145).
150 Ok to send data.
226 Transfer complete.
ftp> ls
227 Entering Passive Mode (10,0,0,66,157,235).
150 Here comes the directory listing.
-rw------- 1 111 115 4 Dec 08 10:37 123
-rw------- 1 111 115 0 Dec 08 10:42 12345
226 Directory send OK.
ftp> get 123 #下载文件
local: 123 remote: 123
227 Entering Passive Mode (10,0,0,66,67,112).
150 Opening BINARY mode data connection for 123 (4 bytes).
226 Transfer complete.
4 bytes received in 2.1e-05 secs (190.48 Kbytes/sec)
ftp>
范例:设置允许FTP服务器的系统用户来登录ftp服务器
# 创建测试目录
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
root@ubuntu1804:~# setfacl -m u:ftp:rwx /ftproot
#更改配置文件
local_enable=YES
write_enable=YES
local_umask=022
local_root=/ftproot
allow_writeable_chroot=YES #允许对
chroot_local_user=YES
#测试
[root@HAproxy ~]# ftp 10.0.0.66
Connected to 10.0.0.66 (10.0.0.66).
220 (vsFTPd 3.0.3)
Name (10.0.0.66:root): tom #如果这个用户在FTP服务器上不存在,需要使用useradd -m xx创建
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,0,0,66,60,121).
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 0 Dec 08 10:56 12345
-rw-r--r-- 1 1000 1000 1659 Dec 08 10:59 anaconda-ks.cfg
drwxrwxrwx 2 0 0 4096 Dec 08 10:58 data
-rw-r--r-- 1 1000 1000 1198 Dec 08 10:59 notepad++.exe - ¿쾝·½ʽ.lnk
226 Directory send OK.
ftp> !ls
123 12345 abc anaconda-ks.cfg
ftp> put 123 #上传文件
local: 123 remote: 123
227 Entering Passive Mode (10,0,0,66,57,52).
150 Ok to send data.
226 Transfer complete.
4 bytes sent in 7.4e-05 secs (54.05 Kbytes/sec)
ftp> get anaconda-ks.cfg #下载文件
local: anaconda-ks.cfg remote: anaconda-ks.cfg
227 Entering Passive Mode (10,0,0,66,28,156).
150 Opening BINARY mode data connection for anaconda-ks.cfg (1659 bytes).
226 Transfer complete.
1659 bytes received in 9.1e-05 secs (18230.77 Kbytes/sec)
ftp>
范例:设置系统用户登录FTP服务器后统一映射为一个虚拟用户
#1. 创建目录文件
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
#2. 修改配置文件
root@ubuntu1804:~# vim /etc/vsftpd.conf
local_enable=YES
write_enable=yes
guest_enable=YES
guest_username=ftp
chroot_local_user=YES #禁锢
local_root=/ftproot
#因为映射为了虚拟用户 所以要配置虚拟用户的相关权限
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_world_readable_only=NO
allow_writeable_chroot=YES #允许对根目录有写权限
# 3.重启服务
root@ubuntu1804:~# systemctl restart vsftpd.service
# 4. 测试
[root@HAproxy ~]# ftp 10.0.0.66 #连接FTP服务器
Connected to 10.0.0.66 (10.0.0.66).
220 (vsFTPd 3.0.3)
Name (10.0.0.66:root): tom #FTP服务器的系统用户登录
331 Please specify the password.
Password: #输入密码
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> !ls
123 12345 abc anaconda-ks.cfg
ftp> put abc #上传文件
local: abc remote: abc
227 Entering Passive Mode (10,0,0,66,143,226).
150 Ok to send data.
226 Transfer complete.
4 bytes sent in 6.6e-05 secs (60.61 Kbytes/sec)
ftp> get desktop.ini #下载文件
local: desktop.ini remote: desktop.ini
227 Entering Passive Mode (10,0,0,66,45,217).
150 Opening BINARY mode data connection for desktop.ini (474 bytes).
226 Transfer complete.
474 bytes received in 0.000216 secs (2194.44 Kbytes/sec)
ftp> !ls #查看下载的文件
123 12345 abc anaconda-ks.cfg desktop.ini
范例:将系统用户映射为一个指定的系统用户
#1. 创建目录
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
#2. 修改配置文件 和上面的配置文件一样
local_enable=YES #允许本地用户登录
write_enable=YES #允许本地用户上传文件
local_umask=022 #允许本地用户上传文件的权限
local_root=/ftproot #指定用户的目录
allow_writeable_chroot=YES #允许对根目录有写权限
chroot_local_user=YES #禁锢用户
guest_enable=YES #允许映射为指定用户
guest_username=bob #系统用户bob
anon_other_write_enable=yes
anon_upload_enable=yes #
anon_mkdir_write_enable=yes
anon_world_readable_only=NO
#3. 重启服务
root@ubuntu1804:~# systemctl restart vsftpd.service
#4. 测试
[root@HAproxy ~]# ftp 10.0.0.66
Connected to 10.0.0.66 (10.0.0.66).
220 (vsFTPd 3.0.3)
Name (10.0.0.66:root): tom
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (10,0,0,66,194,152).
150 Here comes the directory listing.
drwx------ 2 1001 1001 4096 Dec 08 11:47 157
drwxrwxrwx 2 0 0 4096 Dec 08 11:33 data
226 Directory send OK.
ftp> !ls
123 12345 abc anaconda-ks.cfg desktop.ini
ftp> put 123 #上传
local: 123 remote: 123
227 Entering Passive Mode (10,0,0,66,150,72).
150 Ok to send data.
226 Transfer complete.
4 bytes sent in 5.5e-05 secs (72.73 Kbytes/sec)
ftp> get 123 #下载
local: 123 remote: 123
227 Entering Passive Mode (10,0,0,66,171,38).
150 Opening BINARY mode data connection for 123 (4 bytes).
226 Transfer complete.
4 bytes received in 9.5e-05 secs (42.11 Kbytes/sec)
注意事项
将登录的目录作为了当前用户的根目录,但是FTP服务器的根站点要求这个登录的用户对他没有写权限。
例如使用wang用户进行登录,对用户进行了禁锢的操作,使用wang登录的时候,就把/homt/wang作为了根,但是wang对这个目录有写权限,所以登录就会报错。
解决方法:
# 方法一:
chomod 555 /home/wang #取消写权限
#方法二:
allow_writeable_chroot=YES #允许对家目录的写权限
黑名单、白名单
chroot_list_enable=YES #默认是NO YES表示要启用chroot_list_file 开启名单
chroot_list_file=/etc/vsftpd/chroot_list #里面存放用户名
白名单:默认都不能访问,只有名单里面的才能访问。
chroot_local_user=YES #禁锢所有系统用户在家目录中
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list #表示的是白名单
黑名单:默认都能访问,名单里面的不能访问
chroot_local_user=NO #不禁锢所有系统用户在家目录中
chroot_list_enable=YES #设置允许或者拒绝的用户列表,YES标识启用这个列表
chroot_list_file=/etc/vsftpd/chroot_list #表示的是黑名单
PAM模块实现用户访问控制
root身份不能连接FTP服务器的原因就是使用pam来限制的,因为ftp是明文传输用户密码的。为了安全不允许root登录ftp服务器。
vsftpd利用pam来控制用户的访问。
# vsftpd中的默认配置:
pam_service_name=vsftpd #vsftpd指的就是/etc/pam.d/vsftpd这个文件
------------------------------------------------------------------------------------------------------------
root@ubuntu1804:/etc/pam.d# vim vsftpd
# Standard behaviour for ftpd(8). #放入这个文件的用户是被拒绝登录FTP服务器的
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
# Standard pam includes
@include common-account
@include common-session
@include common-auth
auth required pam_shells.so
------------------------------------------------------------------------------------------------------------
root@ubuntu1804:/etc/pam.d# vim /etc/ftpusers #这个文件里面的用户都是禁止登陆的
# /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).
root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
nobody
并发连接数设置
# 同一时间允许多少个用户连接
max_clients=1000 #默认值是不受限制的
#每个IP同时发起的最大连接数
max_per_ip=0 #默认不受限制
速率控制
# 匿名用户的最大传输速率,以字节为单位,比如:1024000表示1MB/s
anon_max_rate=0 #默认不受限制
# 本地用户的最大传输速率
local_max_rate=0 #默认不受限制
标签:ubuntu1804,FTP,ftp,用户,服务器,YES,root
From: https://www.cnblogs.com/heyongshen/p/16966069.html