一、簡介
FTP(文件傳輸協議)全稱是:Very Secure FTP Server。 Vsftpd是linux類操作系統上運行的ftp服務器軟件。
vsftp提供三種登陸方式:1.匿名登錄 2.本地用戶登錄 3.虛擬用戶登錄
vsftpd的特點:1.較高的安全性需求 2.帶寬的限制 3.創建支持虛擬用戶 4.支持IPV6 5.中等偏上的性能 6.可分配虛擬IP 7.高速
Ftp會話時採用了兩種通道:
控制通道:與Ftp服務器進行溝通的通道,鏈接Ftp發送ftp指令都是通過控制通道來完成的。
數據通道:數據通道和Ftp服務器進行文件傳輸或則列表的通道
二、工作原理
Ftp協議中控制連接均是由客戶端發起,而數據連接有兩種工作方式:Port和Pasv方式
Port模式(主動模式)--> 默認
Ftp客戶端首先和Ftp server的tcp 21端口建立連接,通過這個通道發送命令,客戶端要接受數據的時候在這個通道上發送Port命令,Port命令包含了客戶端用什麼端口(一個大於1024的端口)接受數據,在傳送數據的時候,服務器端通過自己的TCP 20端口發送數據。這個時候數據連接由server向client建立一個連接。
Port交互流程:
client端:client鏈接server的21端口,併發送用戶名密碼和一個隨機在1024上的端口及port命令給server,表明採用主動模式,並開放那個隨機的端口。
server端:server收到client發來的Port主動模式命令與端口後,會通過自己的20端口與client那個隨機的端口連接後,進行數據傳輸。
Pasv模式(被動方式)
建立控制通道和Port模式類似,當客戶端通過這個通道發送Pasv命令的時候,Ftp server打開了一個位於1024和5000之間的隨機端口並且通知客戶端在這個端口上進行傳輸數據請求,然後Ftp server將通過這個端口進行數據傳輸。這個時候數據連接由client向server建立連接。
Pasv交互流程
Clietn:client連接server的21號端口,發送用戶名密碼及pasv命令給server,表明採用被動模式。
server:server收到client發來的pasv被動模式命令之後,把隨機開放在1024上的端口告訴client,client再用自己的20 端口與server的那個隨機端口進行連接後進行數據傳輸。
如果從C/S模型這個角度來說,PORT對於服務器來說是OUTBOUND,而PASV模式對於服務器是INBOUND,這一點請特別注意,尤其是在使用防火牆的企業裏,這一點非常關鍵,如果設置錯了,那麼客戶將無法連接。
三、安裝vsftpd及相關軟件
yum -y install vsftpd* pam* db4*
vsftpd:ftp軟件 pam:認證模塊 DB4:支持文件數據庫
四、啓動方式
ftp守護進程的啓動方式有兩種,standalone和inetd(inetd或xinetd)
1.)xinetd模式:大多數較新的系統採用的是xinetd超級服務守護進程,它是inetd(因特網守護進程)的替代品。在linux中一些不主要的服務,並沒有作爲單獨的守護進程在開機時啓動,而是將他們的監聽端口交給一個獨立的進程xinetd集中監聽,當收到客戶端的請求之後,xinted進程就臨時啓動相應服務器並把端口移交給相應的服務,客戶端斷開之後,相應的服務進程結束,xinetd繼續監聽。
xinetd模式運行ftp:
cat /etc/xinetd.d/vsftpd
disable = no socket_type = stream wait = no
#上述表示設備是以xinetd啓動的,注意註釋掉”/etc/vsftpd.conf“中的listen=YES之後重啓,/etc/rc.d/init.d/xinetd restart
2.)standalone模式:運行期間一直駐留在內存中,對接入信號反應較快但是佔用了些系統資源,因此常常用於需求較高的服務。
standalone模式運行ftp:
此模式便於實現PAM驗證功能,進入這種模式首先關閉xinetd下的vsftpd,設置”disable=yes“,或則註釋掉/etc/initd.conf中的相應的行,然後取消/etc/vsftpd/vsftpd.conf中listen=YES的註釋。
啓動:service vsftpd restart
五、vsftpd的用戶管理:
FTP服務器對用戶的管理,在默認的情況下是根據“ /etc/passwd,系統用戶配置文件”及“/etc/group系統用戶組配置文件” 來進行。
在FTP服務器中,匿名用戶的用戶名和密碼都是ftp ;這個用戶可以在您的操作系統中的 /etc/passwd 中能找得到;如:
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
在ftp用戶這行中,我們看到七個字段,每個字段寫字段之間用:號分割;
1.ftp 是用戶名
2.x 是密碼字段,隱藏的
3.14 是用戶的UID字段,可以自己來設定,不要和其它用戶的UID相同,否則會造成系統安全問題;
4.50 用用戶組的GID,可以自己設定,不要和其它用戶組共用FTP的GID,否則會造成系統全全問題;
5.FTP User 是用戶說明字段
6./var/ftp 是ftp用戶的家目錄,可以自己來定義
7./sbin/nologin 這是用戶登錄SHELL ,這個也是可以定義的,/sbin/nologin 表示不能登錄系統;系統虛擬帳號(也被稱爲僞用戶)一般都是這麼設置。比如我們把ftp用戶的/sbin/nologin 改爲 /bin/bash ,這樣ftp用戶通過本地或者遠程工具ssh或telnet以真實用戶身份登錄到系統。這樣做對系統來說是不安全的;如果您認爲一個用戶沒有太大的必要登錄到系統,就可以只給他FTP帳號的權限,也就是說只給他FTP的權限,而不要把他的SHELL設置成 /bin/bash 等
匿名用戶的屬組:/etc/group
如:登錄方式:
ftp:x:50:
第一個字段爲:ftp:用戶組、第二個字段爲:x:密碼段、第三個字段爲:50:GID
可以根據對比用戶配置文件以及用戶組配置文件中的UID得知 是否爲隸屬關係。
六、vsftpd的配置
)因爲vsftpd默認的宿主用戶是root,不符合安全性要求所以新建立vsftpd服務的宿主用戶:useradd vsftpd -s /sbin/nologin
2.)建立vsftpd虛擬宿主用戶:useradd xnusers -s /sbin/nologin
此次主要介紹虛擬用戶,顧名思義虛擬用戶在系統中是不純在的,它們集體寄託於方纔創建的“xnusers”用戶,那麼xnusers這個用戶就相當於一個虛擬用戶組了,因此這個用戶的權限將影響到這些虛擬用戶。
3.)調整vsftpd的配置文件(編輯所有的配置文件前最好養成備份的習慣)
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.backup.conf
vim /etc/vsftpd/vsftpd.conf
#設置爲NO代表不允許匿名 anonymous_enable=YES #設定本地用戶可以訪問,主要是虛擬宿主用戶,如果設爲NO那麼所欲虛擬用戶將無法訪問。 local_enable=YES #可以進行寫的操作 write_enable=YES #設定上傳文件的權限掩碼 local_umask=022 #禁止匿名用戶上傳 anon_upload_enable=NO #禁止匿名用戶建立目錄 anon_mkdir_write_enable=NO # 設定開啓目錄標語功能 dirmessage_enable=YES # 設定開啓日誌記錄功能 xferlog_enable=YES #設定端口20進行數據連接 connect_from_port_20=YES #設定禁止上傳文件更改宿主 chown_uploads=NO #設定vsftpd服務日誌保存路勁。注意:改文件默認不純在,需手動touch,且由於這裏更改了vsftpd服務的宿主用戶爲手動建立的vsftpd,則必 須注意給予該用戶對日誌的讀取權限否則服務啓動失敗。 xferlog_file=/var/log/vsftpd.log #設定日誌使用標準的記錄格式 xferlog_std_format=YES #設定空閒鏈接超時時間,這裏使用默認/秒。 #idle_session_timeout=600 #設定最大連接傳輸時間,這裏使用默認,將具體數值留給每個用戶具體制定,默認120/秒 data_connection_timeout=3600 #設定支撐vsftpd服務的宿主用戶爲手動建立的vsftpd用戶。注意:一旦更改宿主用戶,需一起與該服務相關的讀寫文件的讀寫賦權問題. nopriv_user=vsftpd #設定支持異步傳輸的功能 #async_abor_enable=YES #設置vsftpd的登陸標語 ftpd_banner=hello 歡迎登陸 #禁止用戶登出自己的ftp主目錄 chroot_list_enable=NO #禁止用戶登陸ftp後使用ls -R 命令。該命令會對服務器性能造成巨大開銷,如果該項運行當多個用戶使用該命令會對服務器造成威脅。 ls_recurse_enable=NO #設定vsftpd服務工作在standalone模式下。所謂standalone模式就是該服務擁有自己的守護進程,在ps -A可以看出vsftpd的守護進程名。如果 不想工作在standalone模式下,可以選擇SuperDaemon模式,在該模式下vsftpd將沒有自己的守護進程,而是由超級守護進程Xinetd全權代理,>與此同時,vsftpd服務的許多功能,將得不到實現。 listen=YES #設定userlist_file中的用戶將不能使用ftp userlist_enable=YES #設定pam服務下的vsftpd驗證配置文件名。因此,PAM驗證將參考/etc/pam.d/下的vsftpd文件配置。 pam_service_name=vsftpd #設定支持TCPwrappers tcp_wrappers=YES ### 以下是關於虛擬用戶支持的重要配置項目,默認.conf配置文件中是不包含這些項目的,需手動添加。 #啓用虛擬用戶功能 guest_enable=YES #指定虛擬的宿主用戶 guest_username=xnusers #設定虛擬用戶的權限符合他們的宿主用戶 virtual_use_local_privs=YES #設定虛擬用戶個人vsftp的配置文件存放路勁。這個被指定的目錄裏,將被存放每個虛擬用戶個性的配置文件,注意的地方是:配置文件名必須 和虛擬用戶名相同。 user_config_dir=/etc/vsftpd/vconf #禁止反向域名解析,若是沒有添加這個參數可能會出現用戶登陸較慢,或則客戶鏈接不上ftp的現象 reverse_lookup_enable=NO
4.)建立vsftpd的日誌文件,並更改屬主爲vsftpd的服務宿主用戶
touch /var/log/vsftpd.log
chown vsftpd.vsftpd /var/log/vsftpd.log
七、配置虛擬用戶
1.)建立虛擬用戶配置文件的存放路徑
mkdir /etc/vsftpd/vconf/
2.)製作虛擬用戶數據庫文件
touch /etc/vsftpd/xnpasswd
建立一個虛擬用戶名單文件,用來記錄虛擬用戶的賬號和密碼,格式爲:一行用戶名,一行密碼。
cat /etc/vsftpd/xnpasswd
zhangsan
123456
lisi
654321
3.)生成虛擬用戶數據文件
db_load -T -t hash -f /etc/vsftpd/xnpasswd /etc/vsftpd/xnpasswd.db
需要注意的是,以後對虛擬用戶的增刪操作完之後需要再次執行上述命令,使其生成新的數據文件。
八、設置PAM驗證文件,並制定虛擬用戶數據庫文件進行讀取
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup
cat /etc/pam.d/vsftpd
----------------------------------------------------------------
#%PAM-1.0
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so
----------------------------------------------------------------
vim /etc/pam.d/vsftpd
#%PAM-1.0
auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/xnpasswd
account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/xnpasswd
以上兩條是手動添加的,內容是對虛擬用戶的安全和帳戶權限進行驗證。
這裏的auth是指對用戶的用戶名口令進行驗證。
這裏的accout是指對用戶的帳戶有哪些權限哪些限制進行驗證。
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so
九、虛擬用戶的配置
1.)規劃虛擬用戶的主路勁
mkdir /opt/vsftp/
2.)建立虛擬用戶的FTP目錄
mkdir /opt/vsftpd/zhangsan /opt/vsftpd/lisi
3.)建立虛擬用戶的配置文件模板:cp /etc/vsftpd/vsftpd.backup.conf /etc/vsftpd/vconf.tmp
echo ""> /etc/vsftpd/vconf.tmp
4.)定製虛擬用戶模板配置文件
vim /etc/vsftpd/vconf/vconf.tmp
local_root=/opt/vsftp/zhangsan #指定虛擬用戶的具路徑 anonymous_enable=NO #設定不允許匿名訪問 write_enable=YES #允許寫的操作 local_umask=022 #上傳文件的權限掩碼 anon_upload_enable=NO #不允許匿名上傳 anon_mkdir_write_enable=NO #不允許匿名用戶建立目錄 idle_session_timeout=300 #設定空閒鏈接超時時間 data_connection_timeout=1000 #設定單次傳輸最大時間 max_clients=0 #設定併發客戶端的訪問數量 max_per_ip=0 #設定客戶端的最大線程數 local_max_rate=0 #設定用戶的最大傳輸速率,單位b/s
5.)touch /opt/vsftpd/zhangsan/abc
6.)從其他機器登陸ftp:
#需要先下載客戶端 yum -y install ftp
[root@centos]ftp server ip address "or" [root@centos]ftp -> ftp> open server ip address
Connected to address
220 This Vsftp server supports virtual users ^_^
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (ip address:root): zhangsan
331 Please specify the password.
Password: 123456
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
7.)使vsftpd工作在非標準端口(21),前提是ftp以獨立啓動的方式運行。
修改/etc/vsftpd/vsftpd.conf中的listen_port=“自定義端口”重新啓動即可。
登陸格式:ftp ip address port
十、可能出現的報錯
500 OOPS:錯誤
有可能是你的vsftpd.con配置文件中有不能被實別的命令,還有一種可能是命令的YES 或 NO 後面有空格。
我遇到的是命令後面有空格。
建議關閉iptables 與 selinux 進行測試。
若是提示權限問題,檢測配置文件無誤後執行:
setsebool -P ftp_home_dir=1