• FTP服务
  • FTP是什么
    • FTP模型
    • 两种模式
      • Standard模式（主动模式）
      • Passive模式（被动模式）
  • VSFTPD服务介绍
    • 基础配置
      • 安装vsftp
      • 准备分发的文件
      • 启动服务
      • 关闭防火墙
  • 客户端工具
    • Linux
      • 第一种(ftp)
      • 第二种（lftp）
      • 注意
    • Windows
      • 第一种
      • 第二种
    • 案例1 实现匿名用户访问
    • 案例2 实现本地用户访问
    • 案例3 虚拟用户访问
      • 创建用于进行FTP认证的用户数据库文件，其中奇数行为账户名，偶数行为密码。
      • 使用db_load命令用哈希（hash）算法将原始的明文信息文件转换成数据库文件。
      • 降低数据库文件的权限（避免其他人看到数据库文件的内容）
      • 把原始的明文信息文件删除。
      • 创建一个本地用户，用来做虚拟用户在本地的代理，为了安全起见，禁止这个本地用户登录。
      • 新建一个用于虚拟用户认证的PAM文件vsftpd.vu，利用pam模块（linux内核的一个认证模块）做一个认证。
      • 修改配置文件
      • 个性化定制权限
      • 功能检测

FTP服务

FTP是什么

FTP(File TransferProtocol，文件传输协议)是典型的C/S架构的应用层协议，需要由服务端软件、客户端软件两个部分共同实现文件传输功能。FTP客户端和服务器之间的连接是可靠的，面向连接的，为数据的传输提供了可靠的保证。tcp协议:20,21端口。

重要端口：21端口（传输指令）、22端口（传输数据）

FTP模型

用户接口：提供一个用户接口并使用客户端协议解释器的服务

客户端协议解释器：向远程服务器发送命令 并建立客户数据传输过程

服务端协议解释器：响应客户协议机发出的命令并驱动服务端数据传输过程

客户端数据传输协议：负责完成和服务器数据传输过程及客户端本地文件系统的通信

服务端数据传输协议：负责完成和客户数据过程及服务器端文件系统的通信

两种模式

Standard模式（主动模式）

FTP客户端首先和FTP Server的TCP
21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。

Passive模式（被动模式）

在建立控制通道的时候和standard模式类似，当客户端通过这个通道发送PASV命令的时候，FTP
server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求，然后FTP server将通过这个端口进行数据的传送，这个时候FTp server不再需要建立一个新的和客户端之间的连接

注:以上的说明主动和被动，是相对于的FTP server端而判断，如果server去连接client开放的端口，说明是主动的，相反，如果client去连接server开放的端口，则是被动。

• 主动模式:服务器主动发起数据连接
• 被动模式:服务器被动等待数据连接

VSFTPD服务介绍

• 服务包：vsftpd
• 服务类型：由Systemd启动的守护进程
• 配置单元：/usr/lib/systemd/system/vsftpd.service
• 守护进程：/usr/sbin/vsftpd
• 端口：21(ftp),20(ftp‐data)
• 主配置文件：/etc/vsftpd/vsftpd.conf
• 用户访问控制配置文件：/etc/vsftpd/ftpusers /etc/vsftpd/user_list
• 日志文件：/etc/logrotate.d/vsftpd
• 配置文件参数

基础配置

安装vsftp

[root@localhost ~]#yum -y install vsftpd

准备分发的文件

[root@localhost ~]#touch /var/ftp/abc.txt

启动服务

[root@localhost ~]#systemctl start vsftpd
[root@localhost ~]#systemctl enable vsftpd

关闭防火墙

[root@localhost ~]#systemctl stop firewalld
[root@localhost ~]#setenforce 0

客户端工具

Linux

区别

ftp工具是一定要输入用户名称和密码

登录成功或者失败ftp会给出提示、lftp不会直接给出登录成功或者失败的结果

第一种(ftp)

[root@localhost ~]# yum install ftp -y
[root@localhost ~]# ftp <IP地址>
Name (192.168.28.33:root):anonymous
password:直接回车

第二种（lftp）

[root@localhost ~]# yum install lftp -y
[root@localhost ~]# lftp <IP地址>

注意

ftp默认禁止root等用户登录

vim /etc/vsftpd/user_list
//在该配置文件中可以看见所有被禁止登录的用户

Windows

第一种

• 可以在浏览器、运行窗口或者资源管理器中输入ftp://IP地址/，这样访问的是ftp的根位置，如果需要访问相关目录可以输入ftp://IP地址/目录/文件名

第二种

• 在cmd窗口中，输入命令ftp <IP地址>即可访问

需要注意的是直接访问ftp服务器的IP地址时访问的根位置目录是/var/ftp如下图，比如如果需要访问pub里的test可以访问ftp://192.168.28.33/pub/test

案例1 实现匿名用户访问

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
linux的目录权限会限制我们不允许往里面新建文件，但是如果直接添加目录的w权限又会导致触发他的安全判断问题，所以就把ftp目录里的pub目录的属主和属主改为ftp解决，并且添加写权限
chown ftp.ftp /var/ftp/pub
chmod 777 /var/ftp/pub
现在就可以往里面写文件了

案例2 实现本地用户访问

//使用本地用户登录成功时位置在家目录的位置

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@localhost ~]# systemctl restart vsftpd
[root@localhost ~]# systemctl enable vsftpd

注意：出现在/etc/vsftpd/ftpusers /etc/vsftpd/user_list这两个文件
中的内容将会被定义为黑名单

案例3 虚拟用户访问

1. 创建用于进行FTP认证的用户数据库文件，其中奇数行为账户名，偶数行为密码。

   [root@localhost ~]# cd /etc/vsftpd/
   [root@localhost vsftpd]# vi vuser.list
   eagle
   centos
   cisco
   centos
   huawei
   centos
   

2. 使用db_load命令用哈希（hash）算法将原始的明文信息文件转换成数据库文件。

   [root@localhost vsftpd]# db_load -T -t hash -f vuser.list vuser.db
   [root@localhost vsftpd]# file vuser.db
   vuser.db: Berkeley DB (Hash, version 9, native byte-order)
   [root@localhost vsftpd]# vi vuser.db
   //查看user.db文件的详细信息 此时用户名与密码已被加密，用vi命令无法看出原始账号密码
   

3. 降低数据库文件的权限（避免其他人看到数据库文件的内容）

   [root@localhost vsftpd]# chmod 600 vuser.db
   

4. 把原始的明文信息文件删除。

   [root@localhost vsftpd]# rm -f vuser.list 
   

5. 创建一个本地用户，用来做虚拟用户在本地的代理，为了安全起见，禁止这个本地用户登录。

   [root@localhost vsftpd]# useradd -d /var/ftproot -s /sbin/nologin virtual
   //创建了一个ftproot用户，此后虚拟用户在访问内容存放在该用户目录下
   [root@localhost vsftpd]# ls -ld /var/ftproot/
   drwx------. 2 virtual virtual 59 8月 10 23:04 /var/ftproot/
   [root@localhost vsftpd]# chmod -Rf 755 /var/ftproot/
   //降权禁止登录
   

6. 新建一个用于虚拟用户认证的PAM文件vsftpd.vu，利用pam模块（linux内核的一个认证模块）做一个认证。

   [root@localhost vsftpd]# vi /etc/pam.d/vsftpd.vu
   auth required pam_userdb.so db=/etc/vsftpd/vuser
   account required pam_userdb.so db=/etc/vsftpd/vuser
   //写入
   

7. 修改配置文件

   [root@localhost vsftpd]# cat /etc/vsftpd/vsftpd.conf
   //修改以下配置
   anonymous_enable=NO
   local_enable=YES
   guest_enable=YES
   guest_username=virtual
   allow_writeable_chroot=YES
   write_enable=YES
   local_umask=022
   dirmessage_enable=YES
   xferlog_enable=YES
   connect_from_port_20=YES
   xferlog_std_format=YES
   listen=NO
   listen_ipv6=YES
   pam_service_name=vsftpd.vu #记得修改这里为我们自己的认证文件
   userlist_enable=YES
   tcp_wrappers=YES
   [root@localhost vsftpd]# systemctl restart vsftpd
   

   用刚刚创建好的用户登录，但是只能登录，不能写文件，想要给权限，这个用户的权限是被匿名用户权限控制的

8. 个性化定制权限

   [root@localhost vsftpd]# mkdir /etc/vsftpd/vusers_dir/
   [root@localhost vsftpd]# cd /etc/vsftpd/vusers_dir/
   [root@localhost vusers_dir]# touch huawei
   [root@localhost vusers_dir]# vi cisco
   anon_upload_enable=YES
   anon_mkdir_write_enable=YES
   anon_other_write_enable=YES
   [root@localhost vusers_dir]# vi /etc/vsftpd/vsftpd.conf
   anonymous_enable=NO
   local_enable=YES
   guest_enable=YES
   guest_username=virtual
   allow_writeable_chroot=YES
   write_enable=YES
   local_umask=022
   dirmessage_enable=YES
   xferlog_enable=YES
   connect_from_port_20=YES
   xferlog_std_format=YES
   listen=NO
   listen_ipv6=YES
   pam_service_name=vsftpd.vu
   userlist_enable=YES
   tcp_wrappers=YES
   user_config_dir=/etc/vsftpd/vusers_dir #告诉主配置文件我们这里还有配置
   [root@localhost vusers_dir]# systemctl restart vsftpd
   

   只对cisco用户的配置文件进行修改，huawei用户无改动。所以仅cisco用户可以在ftp文件夹进行修改

9. 功能检测

   huawei用户不可修改

   cisco用户可修改