一:相關信息 FTP:(File Transfer Protocol )文件傳輸協議,是基於C/S架構的應用層協議。 FTP伺服器的埠監聽: 預設監聽21/tcp埠 FTP的工作模式: FTP根據伺服器是否自動連接來分為主動模式和被動模式。 主動模式:FTP伺服器主動連接客戶端,這個時候FTP服 ...
一:相關信息
FTP:(File Transfer Protocol )文件傳輸協議,是基於C/S架構的應用層協議。
FTP伺服器的埠監聽:
- 預設監聽21/tcp埠
FTP的工作模式:
FTP根據伺服器是否自動連接來分為主動模式和被動模式。
- 主動模式:FTP伺服器主動連接客戶端,這個時候FTP伺服器的數據埠使用的是20埠。
- 被動模式:客戶端主動連接FTP伺服器,這時候FTP伺服器的數據埠是隨機的。
兩種工作模式是針對數據通道的建立來說的,無論是主動模式還是被動模式,FTP客戶端都需要連接到FTP伺服器的21號埠,以建立命令通道。
FTP的兩種通道:
- 數據通道:客戶端和FTP伺服器之間實際傳輸數據的通道。
- 命令通道:客戶端和服務端之間傳輸FTP命令和響應,以控制文件傳輸的整個過程。服務端的預設埠是tcp/21。
FTP的工作流程:
(1)FTP服務端開啟對21埠的監聽,等到客戶端的連接。
(2)客戶端發起連接,通過連接到服務端的21埠,建立命令通道。
(3)進行數據交互:
- 主動模式:服務端主動找客戶端建立數據通道,這個時候服務端使用的數據埠是20埠,客戶端隨機。
- 被動模式:客戶端主動連接服務端,這個時候雙方使用的埠都是隨機的。
FTP的用戶模式:
- 匿名用戶模式:FTP客戶端不用賬號密碼驗證,直接連接到伺服器,適用於數據共用的場景。
- 本地用戶模式:FTP客戶端需要使用FTP伺服器上的本地用戶進行身份驗證。
- 虛擬用戶模式:FTP客戶端
FTP的實現:
windows:
- 客戶端:瀏覽器 、資源管理器、Filezilla等
- 服務端:FileZilla Server、IIS等
Linux:
- 客戶端:ftp、wget、curl
- 服務端:vsftpd、Wu-ftpd
Linux中搭建FTP伺服器的工具:VSFTP
vsftpd(very secure ftp daemon,非常安全的FTP守護進程)是一款運行在Linux操作系統上的FTP服務程式
特點:性能好、下載速度快、單機可支持15k併發量。紅帽預設使用的ftp服務端工具就是vsftp
二:搭建FTP伺服器
1、軟體安裝
# 1. 管理防火牆規則 ubuntu預設沒有設置iptables規則
# iptables防火牆管理工具預設禁止了FTP協議的埠號
root@ubuntu1804:~# iptables -F
root@ubuntu1804:~# iptables-save
# 2. 安裝vsftpd
root@ubuntu1804:~# apt install vsftpd -y
# 3. 修改配置文件
# ubuntu中預設配置主配置文件位置
root@ubuntu1804:~# vim /etc/vsftpd.conf
2、相關配置
匿名用戶模式配置
anonymous_enable=YES # 允許匿名用戶訪問
no_anon_password=YES # 允許匿名用戶使用空密碼登錄
anon_upload_enable=yes # 允許匿名用戶上傳文件
anon_umask=022 # 匿名用戶上傳的umask
anon_mkdir_write_enable=yes # 允許匿名用戶創建目錄
anon_other_write_enable=yes # 允許匿名用戶修改目錄名稱或刪除目錄
anon_world_readable_only=NO # 關閉只有所有人都具有讀許可權的文件才能下載,YES表示能下載文件
write_enable=yes
chroot_local_user=YES # 禁錮系統用戶
anon_root=/data # 指定匿名用戶登錄進來後的根目錄,如果不加就在該用戶的家目錄(/srv/ftp)
說明:
-
匿名用戶上傳文件的時候需要開啟
anon_upload_enable和write_enable選項如果只是開啟了
anon_upload_enable,雖然允許了用戶上傳,但是沒有寫許可權,可能還是沒法上傳成功。 -
匿名用戶需要有許可權修改、刪除伺服器上的內容,需要配置
anon_other_write_enable=YES選項。 -
使用匿名文件上傳到伺服器後,如果需要下載這個文件需要設置:
anon_world_readable_only=NO
例如:ubuntu1804 配置匿名用戶訪問FTP伺服器
#1. 創建對應的目錄
root@ubuntu1804:~# mkdir /data
root@ubuntu1804:~# mkdir /data/data
root@ubuntu1804:~# chmod 777 /data/data #簡單粗暴的方法
# root@ubuntu1804:~# setfacl -m u:ftp:rwx /data/data # 給ftp用戶許可權
#2. 修改配置文件
root@ubuntu1804:~# vim /etc/vsftpd.conf
anonymous_enable=YES
no_anon_password=YES
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_world_readable_only=NO
write_enable=yes
chroot_local_user=YES
anon_root=/data #指定匿名用戶登錄進來後的根目錄,如果不加就在該用戶的家目錄
#3. 重啟服務
root@ubuntu1804:~# systemctl restart vsftpd.service
本地用戶模式配置
anonymous_enable=NO # 禁用匿名用戶模式
local_enable=YES # 啟用本地用戶模式
write_enable=YES # 允許本地用戶上傳文件
local_umask=022 # 上傳文件的umask
local_root=/data # 指定用戶登錄進來所在的目錄
allow_writeable_chroot=YES # 允許對根目錄有寫許可權
chroot_local_user=YES # 禁錮用戶不能離開自己的家目錄
例如:設置允許FTP伺服器的系統用戶來登錄ftp伺服器
# 1.創建測試目錄
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
root@ubuntu1804:~# setfacl -m u:ftp:rwx /ftproot
# 2.更改配置文件
rot@ubuntu1804:~# vim /etc/vsftpd.conf
local_enable=YES
write_enable=YES
local_umask=022
local_root=/ftproot
allow_writeable_chroot=YES #允許對
chroot_local_user=YES
# 3. 重啟服務
root@ubuntu1804:~# systemctl restart vsftpd.service
本地用戶映射配置
可以將系統用戶映射為一個指定的本地用戶,或者將系統用戶映射為一個虛擬用戶。
# 啟用系統用戶
local_enable=YES
write_enable=yes
# 啟用虛擬用戶
guest_enable=YES
guest_username=ftp
chroot_local_user=YES # 禁錮虛擬用戶,因為真正操作對應文件的是映射後的虛擬用戶
local_root=/ftproot # 用戶登錄伺服器後所在目錄
#因為映射為了虛擬用戶 所以要配置虛擬用戶的相關許可權
anon_upload_enable=yes # 允許上傳
anon_mkdir_write_enable=yes # 允許創建目錄
anon_other_write_enable=yes # 允許修改文件
anon_world_readable_only=NO # 允許下載所有文件
allow_writeable_chroot=YES # 對家目錄有寫許可權
例如:設置系統用戶登錄FTP伺服器後統一映射為一個匿名用戶
#1. 創建目錄文件
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
#2. 修改配置文件
root@ubuntu1804:~# vim /etc/vsftpd.conf
local_enable=YES
write_enable=yes
guest_enable=YES
guest_username=ftp
chroot_local_user=YES
local_root=/ftproot
#因為映射為了虛擬用戶 所以要配置虛擬用戶的相關許可權
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_world_readable_only=NO
allow_writeable_chroot=YES #允許對根目錄有寫許可權
# 3.重啟服務
root@ubuntu1804:~# systemctl restart vsftpd.service
例如:將系統用戶映射為一個指定的系統用戶
# 1. 創建目錄
root@ubuntu1804:~# mkdir /ftproot
root@ubuntu1804:~# chmod 777 /ftproot
# 2. 修改配置文件 和上面的配置文件一樣
root@ubuntu1804:~# vim /etc/vsftpd.conf
local_enable=YES # 允許本地用戶登錄
write_enable=YES # 允許本地用戶上傳文件
local_umask=022 # 允許本地用戶上傳文件的許可權
local_root=/ftproot # 指定用戶的目錄
allow_writeable_chroot=YES # 允許對根目錄有寫許可權
chroot_local_user=YES # 禁錮用戶
guest_enable=YES # 允許映射為指定用戶
guest_username=bob # 系統用戶bob
# 映射為系統用戶,不加下麵的信息也無法正常下載和上傳文件
anon_other_write_enable=yes
anon_upload_enable=yes
anon_mkdir_write_enable=yes
anon_world_readable_only=NO
anon_umask=022 # 指定映射後的用戶的預設文件上傳許可權
# 3. 重啟服務
root@ubuntu1804:~# systemctl restart vsftpd.service
虛擬用模式戶配置
guest_enable=YES # 啟用虛擬用戶
local_root=/data # 設置虛擬用戶的主目錄。
pam_service_name=vsftpd.virtual # 設置虛擬用戶的pam身份認證方式
write_enable=YES # 允許虛擬用戶上傳文件
anon_upload_enable=YES
download_enable=YES # 允許虛擬用戶下載文件
guest_username=user_name # 將虛擬用戶映射為一個指定的系統用戶
user_config_dir=/etc/vsftpd/conf.d/ # 配置文件名字應該和虛擬用戶名一致
說明:
虛擬用戶上傳文件需要同時開啟write_enable和anon_upload_enable
anon_upload_enable雖然是針對虛擬用戶的上傳許可權,但是在vsftpd的一些版本中,anon_upload_enable選項的實現方式可能會影響虛擬用戶的上傳許可權。具體來說,一些版本的vsftpd在處理虛擬用戶的上傳請求時,可能會將其當作匿名用戶來處理,因此需要將anon_upload_enable設置為YES才能讓虛擬用戶能夠上傳文件。
例如:ubuntu1804配置虛擬用戶
# 1. 創建虛擬用戶賬戶文件 奇數行是用戶名 偶數行是用戶密碼
root@ubuntu1804:~# mkdir /etc/vsftpd/vusers.txt
ftp_tom
redhat
ftp_bob
redhat
# 2. 生成Berkeley DB文件
root@ubuntu1804:~# db_load -T -t hash -f /etc/vsftpd/vusers.txt /etc/vsftpd/vusers.db
# 3. 創建虛擬用戶映射後的系統用戶
root@ubuntu1804:~# mkdir /data
root@ubuntu1804:~# useradd -d /data/ -s /sbin/nologin -r bob
root@ubuntu1804:~# chown -R bob:bob /data/
# 4. pam模塊配置 不用指定尾碼也行
root@ubuntu1804:~# vim /etc/pam.d/vsftpd.db
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
# 5. 配置文件配置
# 主配置文件設置
root@ubuntu1804:~# vim /etc/vsftpd.conf
guest_enable=YES
pam_service_name=vsftpd.db
guest_username=bob
user_config_dir=/etc/vsftpd/conf.d/
# 子配置文件設置 # 配置文件名字應該和虛擬用戶名一致
root@ubuntu1804:~# vim /etc/vsftpd/conf.d/ftp_bob
# 文件上傳
anon_upload_enable=YES
write_enable=YES
# 創建目錄
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
# 文件下載
download_enable=YES
anon_world_readable_only=NO
# 用戶禁錮
allow_writeable_chroot=YES
# 指定登陸後的預設位置
local_root=/data
