簡述FTP、SSH、SFTP:
FTP(文傳協議):命令與數據的傳輸用明文,安全性弱。佔用控制端口(21)與數據端口(一般爲20),歸FTP(vsftpd)服務管轄。
SSH(安全SHELL協議):命令與數據的傳輸加密,傳輸數據壓縮傳送,安全性強,佔用22號端口。
SFTP(安全的文傳協議):FTP數據的傳輸用了SSH加密,佔用22號端口,歸SSH(sshd)服務管轄。
FTP與SSH(SFTP)都是用FTP建立連接,屬於應用層協議。
Linux的FTP的三種登錄方式:
我們登錄FTP有三種方式,匿名登錄、本地用戶登錄和虛擬用戶登錄。
匿名登錄:在登錄FTP時使用默認的用戶名,一般是ftp或anonymous。
如果FTP 允許匿名用戶,那麼用戶名要輸入ftp或anonymous,密碼任意。不能直接敲回車。
本地用戶登錄:使用系統用戶登錄,在/etc/passwd中。
虛擬用戶登錄:這是FTP專有用戶,有兩種方式實現虛擬用戶,本地數據文件和數據庫服務器。FTP虛擬用戶是FTP
服務器的專有用戶,使用虛擬用戶登錄FTP,只能訪問FTP服務器提供的資源,大大增強了系統的安全。
FTP主被動模式:
主動FTP:
命令連接:客戶端 >1023端口 -> 服務器 21端口
數據連接:客戶端 >1023端口 <- 服務器 20端口
被動FTP(PASV):
命令連接:客戶端 >1023端口 -> 服務器 21端口
數據連接:客戶端 >1023端口 -> 服務器 >1023端口
主動與被動FTP優缺點的簡要總結: 主動FTP對FTP服務器的管理有利,但對客戶端的管理不利。因爲FTP服務器企圖與客戶端的高位隨機端口建立連接,而這個端 口很有可能被客戶端 的防火牆阻塞掉。被動FTP對FTP客戶端的管理有利,但對服務器端的管理不利。因爲客戶端要與服務器端建
立兩個連接,其中一個連到一個高位隨機端口,而這個端口很有可能被服 務器端的防火牆阻塞掉。
ftp常用命令:查看FTP 命令:ftp> ?
可以通過help command 查看每個命令的說明,如help put。
上傳:put
下載:get 目標文件名 下載後的文件名
查看目錄:dir
顯示目錄下的文件:ls
結束與服務器的FTP會話:close
結束與服務器的FTP會話並退出FTP環境: quit
刪除SFDBA 文件:delete SFDBA
Ftp權限限定(大衆版本):
1.創建用戶,並指定分組和主目錄
useradd -d /opt/reconciliation -s /sbin/nologin -g ftpGroup ftpUser
解析:useradd 添加用戶ftpUser
- d 指定用戶根目錄爲/opt/reconciliation
-s 指定shell腳本爲/sbin/nologin,表示不允許shell登錄 凝思linux:打開 etc/ssh/sshd_conf,Denyusers 用戶名
-g 創建分組ftpGroup
PS:創建有問題可以刪除重新創建 userdel -r ftpUser
2.設定密碼
passwd ftpUser
3.更改ftp配置文件
修改配置文件/etc/vsftpd/vsftpd.conf並設定或刪掉註釋:
anonymous_enable=NO #禁止匿名訪問
local_enable=YES #允許本地帳戶訪問
write_enable=YES #允許寫入(上傳)
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list #只有寫入vsftpd/user_list內的帳戶允許訪問
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list #只有寫入vsftpd.chroot_list的帳戶不被chroot 凝思linux:/etc/proftpd/proftpd.conf DefaultRoot ~
小結:通過對user-list及chroot-list的設置可以大大增強vsftp的安全性,
注意默認新加的用戶都不在user_list及chroot_list之列,用戶不能訪問時請檢查這兩個文.
若想創建的用戶擁有管理員的權限,可將此用戶添加到chroot_list文件夾下。
4.重啓ftp服務
/etc/init.d/vsftpd restart 凝思linux:/etc/init.d/proftpd restart
LINUX權限:
權限分爲三種:r代表可讀,用4表示。w代表可寫,用2表示。x代表可執行用1表示。
-rw-r--r--的解釋如下:
第一位的‘-’代表文件類型。【d代表目錄,'l'代表鏈接】
u第二位到第四位的'rw-',代表該文件所有者對文件的權限。
g第五到第七位的‘r--’,代表該文件所有者的組其他用戶對該文件的權限。
o第八到十位的‘r--’,代表其他組的用戶對該文件的權限。
chown 改變擁有者,chgrp改變用戶組。
chown -R root ./abc:改變abc及其下面所有目錄和文件的所有者是root。參數R爲遞歸的意思。
cat /etc/issue 查看系統版本
iptables -f 清空防火牆規則