Vsftp服务配置

FTP连接及传输模式

• 控制连接&＃xff1a;TCP 21 ,用于发送FTP命令信息
• 数据连接&＃xff1a;TCP 20 ,用于上传、下载数据
• 数据连接的建立类型&＃xff1a;主动模式、被动模式

主动模式:服务器主动发起数据连接

• 首先由客户端向服务端的21端口建立FTP控制连接
• 当需要传输数据时&＃xff0c;客户端以PORT命令告知服务器"我打开了某端口&＃xff0c;你过来连接我" 于是服务器从20端口向客户端的该端口发送请求并建立数据连接

被动模式:服务器被动等待数据连接

• 如果客户端所在网络防火墙禁止主动模式连接&＃xff0c;通常会使用被动模式
• 当需要传输数据时&＃xff0c;客户端以PORT命令告诉服务器"我要连接你&＃xff0c;你要被动等我"&＃xff0c;于是服务器告知客户端"我打开了某端口&＃xff0c;你过来连接我"于是客户端向服务器的该端口(非20端口)发送请求并建立数据连接

PASV&＃xff1a;被动

FTP连接及传输模式

• 客户端与服务器建立好数据连接以后&＃xff0c;就可以根据从控制连接中发送的FTP命令上传或下载文件了。
• 在传输文件时&＃xff0c;根据是否进行字符转换&＃xff0c;分为文本模式和二进制模式
• 文本模式&＃xff1a;又称为ASCII&＃xff08;American Standard Code for Information
  Interchange&＃xff0c;美国信息交换标准码&＃xff09;模式&＃xff0c;这种模式在传输文件时使用ASCII标准字符序列&＃xff0c;一般指用于纯文本文件的传输
• 二进制模式&＃xff1a;又称为Binary模式&＃xff0c;这种模式不会转换文件中的字符序列&＃xff0c;更适合传输程序、图片等非纯文本字符的文件
• 使用二进制模式比纯文本模 式更有效率&＃xff0c;大多数FTP客户端工具可以根据文件类型自动选择文件的传输模式&＃xff0c;而无需用户手工指定

FTP用户类型&＃xff1a;

1. 匿名用户&＃xff1a;用户名为ftp或anonymous,提供任意密码&＃xff08;包括空密码&＃xff09;都可以通过服务器的验证。一般用于公共文件的下载。
2. 本地用户&＃xff1a;直接使用本地的系统用户账号进行验证
3. 虚拟账户&＃xff1a;通过一份独立的用户数据库文件进行登陆验证&＃xff0c;将FTP账户的关联性降至最低&＃xff0c;为系统提供更好的安全性

FTP服务器软件的种类

• 在Windows系统中&＃xff0c;常见的FTP服务器软件包括FileZilla、Serv-U等
• 在Linux系统中&＃xff0c;vsftp是目前在Linux/UNIX领域应用十分广泛的一款FTP服务软件
• Vsftpd服务的名称来源于"Very Secure FTP Daemon",该软件针对安全特性方面做了大量的设计。除了安全性以外&＃xff0c;vsftp在速度和稳定性方面表现也相当突出

FTP客户端工具的种类

• 最简单的FTP客户端工具莫过于FTP命令程序了
• 除此以外&＃xff0c;还有大量的图形化FTP客户端工具。Windows8中较常用的包括CuteFTP、
  FlashFXP、LeapFTP、Filezilla等
• 还有一些下载工具软件&＃xff0c;如FlashGet、Wget等&＃xff0c;包括大多数网页浏览器程序&＃xff0c;都支持 通过FTP协议下载文件&＃xff0c;但因不具备FTP上传等管理功能&＃xff0c;通常不称为FTP客户端工具

写入权限&＃xff1a;阀门理论

• 文件系统权限与服务配置权限需要同时满足
• 文件系统权限高于服务配置权限

$(将里面的执行结果输出)&> /dev/null 屏幕不显示

搭建匿名访问的FTP服务器

• 安装vsftp软件包
• 准备匿名FTP访问的目录
• 开放匿名用户哦欸只并启动vsftp服务
• 测试匿名FTP服务器

yum -y install vsftpd
chkconfig --level 2345 vsftpd on
netstat -anyup | grep "vsftpd"
cd /var/ftp/(pub) 匿名登陆的默认目录&＃xff08;匿名用户或其他人不能有写权限&＃xff09;
把拥有者改成ftp 有写权限
vi /etc/vsftpd/vsftpd.conf 配置文件anonynous_enable&＃61;YES //匿名访问
write_enable&＃61;YES //是否可写入
anon_upload_enable&＃61;YES //匿名上传
anon_mkdir_write_enable&＃61;YES //匿名创建目录、
anon_other_write_enable&＃61;YES //除了创建目录其他的写权限&＃xff08;重命名&＃xff09;


登陆&＃xff1a;

• ftp IP
• get ** 下载文件

搭建用户验证的FTP服务

* 基本的本地用户验证
local_enable&＃61;YES
write_enable&＃61;YES
local_umask&＃61;077 //修改本地用户默认权限掩码为077
chroot_local_user&＃61;YES //开启本地用户的家目录锁定userlist_enable&＃61;YES 启动userlist文件
userlist_deny&＃61;YES (YES里面用户无法登陆&＃xff0c;NO里面用户可以登录)·ftpusers与user_list用户列表的使用
&＃xff08;1&＃xff09;ftpusers文件&＃xff1a;FTP服务器中的黑名单&＃xff0c;优先级高于user_list文件
&＃xff08;2&＃xff09;user_list文件&＃xff1a;此用户列表默认情况下也是黑名单&＃xff0c;即在此用户列表中的用户不可访问FTP服务器&＃xff0c;但可以通过vsftpd.conf主配置文件的修改将此名单改为白名单&＃xff0c;且仅此名单中的用户可以访问。·使用user_list用户列表文件(ftpusers只要里面出现的账号就不能登陆)


vsftpd服务的其他常用配置

• 基于虚拟用户的FTP服务
• 修改vsftpd服务的监听地址、端口
• 允许使用FTP服务器的被动模式
• 限制FTP连接的并发数、传输速率
• 修改vsftpd服务的监听地址、端口&＃xff1a;
• netstat -antup | grep "vsftpd"
• 0.0.0.0 所有的IP地址

vi /etc/vsftpd/vsftpd.conf
listen_address&＃61;10.10.10.10
listen_port&＃61;222
pasv_enable&＃61;YES
pasv_min_port&＃61;24500
pasv_max_port&＃61;24600max_client&＃61;200 (最大连接客户端)
max_per_ip&＃61;2 (一个IP最多能打开多少个客户端)
anon_max_rate&＃61;50000
local_max_rate&＃61;200000


修改vsftpd服务的监听地址、端口

建立虚拟用户的账号数据库&＃xff1a;

vsftpd服务使用Berkeley

• DB格式的数据库文件来存放虚拟用户账户&＃xff0c;建立这种数据库文件需要用到db_load工具
• 步骤&＃xff1a;
  1. 创建文本格式的用户名、密码列表
  2. 创建Berkeley DB格式的数据库文件
  3. 添加虚拟用户的映射账号&＃xff0c;创建FTP根目录

/etc/vsftpd /
vi vusers.list
用户名
密码
用户名
密码
这些用户在Linux中不存在yum -y install db4-utils-*db_load -T -t hash -f vusers.list vusers.db
注&＃xff1a;db_load命令-T&＃xff1a;允许非Berkeley的程序使用该数据库-t&＃xff1a;指定算法&＃xff08;hash&＃xff1a;哈希&＃xff0c;散列&＃xff09;-f&＃xff1a;指定源文件注意&＃xff1a;生成的数据库文件必须为“.db”格式## 一般吧数据文件和权限文件改为600只有超级用户可读可写## 添加虚拟用户的映射账号
useradd virtual -s /sbin/nologin -d /var/ftproot
chmod 755 /var/ftproot/


为vsftpd服务添加虚拟用户支持

• 在vsftpd服务器中&＃xff0c;用户认证是通过PAM(Pluggable Authentication
• Module,可插拔认证模块)机制来实现的&＃xff0c;该机制包括灵活的选择认证方式
• 步骤
  1. 为虚拟用户建立PAM认证文件
  2. 修改vsftpd配置&＃xff0c;添加虚拟用户支持
  3. 为不同的虚拟用户建立独立的配置文件
  4. 测试

#cd /etc/pam.d
#cp -a su vsftpd.vu
#vim vsftpd.vuauth required pam_userdb.so db&＃61;/etc/vsftpd/vusers
account required pam_userdb.so db&＃61;/etc/vsftpd/vusers#vi /etc/vsftpd/vsftpd.conf
·local_enable&＃61;YES
·guest_enable&＃61;YES
·guest_username&＃61;virtual
·anon_umask&＃61;022
·pam_service_name&＃61;vsftpd.vu#实现每个虚拟用户不同根目录、不同权限的管控&＃xff08;1&＃xff09;创建用户控制目录&＃xff0c;并创建虚拟所对应的同名配置文件
·mkdir /etc/vsftpd/vusers_dir/
·cd /etc/vsftpd/vusers_dir/
·vi ***anon_upload_enable&＃61;YES
anon_mkdir_write_enable&＃61;YES
anon_other_write_enable&＃61;YES
anon_max_rate&＃61;1
local_root&＃61;/var/***#chown virtual /var/***·vi /etc/vsftpd/vsftpd.conf
user_config_dir&＃61;/etc/vsftpd/vusers_dir
·/etc/init.d/vsftpd restart


其他配置&＃xff1a;

• listen&＃61;YES 是否开启监听段口
• listen_address&＃61;10.10.10.10 监听IP地址
• listen_port&＃61;2121 设置监听端口
• pasv_enable&＃61;YES 是否开启被动模式
• pasv_min_port&＃61;24500 被动模式端口下限
• pasv_max_port&＃61;24600 被动模式端口上限
• max_client&＃61;2000 最大*客户连接数&＃xff0c;一般不限制
• max_per_ip&＃61;2 每个IP限制最多打开几个客户端工具&＃xff0c;一般不限制
• anon_max_rate&＃61;50000 匿名最大传输速率
• local_max_rate&＃61;20000 本地用户最大传输速率&＃xff0c;一般不限制