ftp的介绍与安装

ftp

文章目录

ftp
- 1. ftp简介
- 2. ftp架构
- 3. ftp数据连接模式
- 4. 用户认证
- 5. vsftpd
- - 5.1 vsftpd安装
  - 5.2 vsftpd配置
  - 5.3 vsftpd虚拟用户配置

1. ftp简介

网络文件共享服务主流的主要有三种，分别是ftp、nfs、samba。

FTP是File Transfer Protocol（文件传输协议）的简称，用于internet上的控制文件的双向传输。

FTP也是一个应用程序，基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议以传输文件。

在FTP的使用当中，用户经常遇到两种概念：下载和上传

下载(Download)	上传(Upload)
从远程主机拷贝文件至自己的计算机上	将文件从自己的计算机上拷贝至远程主机上

2. ftp架构

FTP工作于应用层，监听于tcp的21号端口，是一种C/S架构的应用程序。其有多种客户端和服务端的应用程序，下面来简单介绍一下

客户端工具	服务端软件
ftp lftp,lftpget wget,curl filezilla gftp（Linux GUI）商业软件（flashfxp,cuteftp）	wu-ftpd proftpd（提供web接口的一种ftp服务端程序） pureftp vsftpd（Very Secure） ServU（windows平台的一种强大ftp服务端程序）

3. ftp数据连接模式

ftp有2种数据连接模式：命令连接和数据连接

命令连接：是指文件管理类命令，始终在线的持久性连接，直到用户退出登录为止
数据连接：是指数据传输，按需创建及关闭的连接

其中数据连接需要关注的有2点，一是数据传输格式，二是数据传输模式

数据传输格式有以下两种：

文件传输
二进制传输

数据传输模式也有2种：

主动模式：由服务器端创建数据连接
被动模式：由客户端创建数据连接

两种数据传输模式的建立过程：

传输模式	建立过程
主动模式	命令连接： Client（1025）–> Server（21）客户端以一个随机端口（大于1023）来连服务器端的21号端口数据连接： Server（20/tcp） --> Client（1025+1）服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号
被动模式	命令连接： Client（1110） --> Server（21）客户端以一个随机端口来连成服务器端的21号端口数据连接： Client（1110+1） --> Server（随机端口）客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接

主动模式有个弊端，因为客户端的端口是随机的，客户端如果开了防火墙，
则服务器端去连客户端创建数据连接时可能会被拒绝

4. 用户认证

ftp的用户主要有三种：

虚拟用户：仅用于访问某特定服务中的资源
系统用户：可以登录系统的真实用户
匿名用户

5. vsftpd

此处我们要说的ftp应用程序是vsftpd，这也是在公司中用得最多的一款ftp软件。

5.1 vsftpd安装

[root@zhouwei ~]# yum -y install vsftpd
...
...
Total download size: 169 k
Installed size: 348 k
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transactionInstalling : vsftpd-3.0.2-22.el7.x86_64                              1/1Verifying  : vsftpd-3.0.2-22.el7.x86_64                              1/1Installed:vsftpd.x86_64 0:3.0.2-22.el7Complete!

5.2 vsftpd配置

/etc/pam.d/vsftpd       //vsftpd用户认证配置文件
/etc/vsftpd/            //配置文件目录
/etc/vsftpd/vsftpd.conf     //主配置文件//匿名用户（映射为ftp用户）的共享资源位置是/var/ftp
//系统用户通过ftp访问的资源位置为用户的家目录
//虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录

vsftpd常见的配置参数：

参数	作用
anonymous_enable=YES	启用匿名用户登录
anon_upload_enable=YES	允许匿名用户上传
anon_mkdir_write_enable=YES	允许匿名用户创建目录，但是不能删除
anon_other_write_enable=YES	允许匿名用户创建和删除目录
local_enable=YES	启用本地用户登录
write_enable=YES	允许本地用户有写权限
local_umask=022	通过ftp上传文件的默认遮罩码
chroot_local_user=YES	禁锢所有的ftp本地用户于其家目录中
chroot_list_enable=YES	开启禁锢文件列表需要与chroot_list_file参数一起使用
chroot_list_file=/etc/vsftpd/chroot_list	指定禁锢列表文件路径在此文件里面的用户将被禁锢在其家目录中
allow_writeable_chroot=YES	允许被禁锢的用户家目录有写权限
xferlog_enable=YES	是否启用传输日志，记录ftp传输过程
xferlog_std_format=YES	传输日志是否使用标准格式
xferlog_file=/var/log/xferlog	指定传输日志存储的位置
chown_uploads=YES	是否启用改变上传文件属主的功能
chown_username=whoever	指定要将上传的文件的属主改为哪个用户此用户必须在系统中存在
pam_service_name=vsftpd	指定vsftpd使用/etc/pam.d下的哪个pam配置文件进行用户认证
userlist_enable=YES	是否启用控制用户登录的列表文件：默认为/etc/vsftpd/user_list文件
userlist_deny=YES	是否拒绝userlist指定的列表文件中存在的用户登录ftp
max_clients=#	最大并发连接数
max_per_ip=#	每个IP可同时发起的并发请求数
anon_max_rate	匿名用户的最大传输速率，单位是“字节/秒”
local_max_rate	本地用户的最大传输速率，单位是“字节/秒”
dirmessage_enable=YES	启用某目录下的.message描述信息假定有一个目录为/upload，在其下创建一个文件名为.message，在文件内写入一些描述信息，则当用户切换至/upload目录下时会自动显示.message文件中的内容
message_file	设置访问一个目录时获得的目录信息文件的文件名,默认是.message
idle_session_timeout=600	设置默认的断开不活跃session的时间
data_connection_timeout=120	设置数据传输超时时间
ftpd_banner=“Welcome to chenlf FTP service.”	定制欢迎信息，登录ftp时自动显示

//虚拟用户的配置：//所有的虚拟用户会被统一映射为一个指定的系统帐号，访问的共享位置即为此系统帐号的家目录//各虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定//虚拟用户帐号的存储方式：1.文件：编辑文件，此文件需要被编码为hash格式。奇数行为用户名偶数行为密码2.关系型数据库的表中：通过即时查询数据库完成用户认证mysql库：pam要依赖于pam_mysql软件，可以通过epel源yum安装

5.3 vsftpd虚拟用户配置

vsftpd虚拟用户的配置步骤如下：

//安装依赖的程序:
[root@zhouwei ~]# cd /etc/yum.repos.d/
[root@zhouwei yum.repos.d]# wget http://mirrors.163.com/.help/CentOS7-Base-163.repo
--2018-08-10 12:07:17--  http://mirrors.163.com/.help/CentOS7-Base-163.repo
Resolving mirrors.163.com (mirrors.163.com)... 59.111.0.251
Connecting to mirrors.163.com (mirrors.163.com)|59.111.0.251|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1572 (1.5K) [application/octet-stream]
Saving to: ‘CentOS7-Base-163.repo’100%[=================================>] 1,572       --.-K/s   in 0s2018-08-10 12:07:17 (191 MB/s) - ‘CentOS7-Base-163.repo’ saved [1572/1572]
[root@zhouwei ~]# sed -i 's/\$releasever/7/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@zhouwei ~]# sed -i 's/^enabled=.*/enabled=1/g' /etc/yum.repos.d/CentOS7-Base-163.repo
[root@zhouwei ~]# yum clean all
[root@zhouwei ~]# yum -y install epel-release
[root@zhouwei ~]# yum -y install vsftpd//创建文本格式的用户名、密码列表，例如若要添加两个用户tom、jerry，密码分别为123、456
[root@zhouwei ~]# echo 'tom' >> /etc/vsftpd/vu.list
[root@zhouwei ~]# echo '123' >> /etc/vsftpd/vu.list
[root@zhouwei ~]# echo 'jerry' >> /etc/vsftpd/vu.list
[root@zhouwei ~]# echo '456' >> /etc/vsftpd/vu.list
[root@zhouwei ~]# cat /etc/vsftpd/vu.list
tom
123
jerry
456
//这里的用户名和密码是一一对应的，前面输的是帐号，后面跟的是密码//安装db4工具
[root@zhouwei ~]# yum -y install db4*//将刚创建的文本格式用户名、密码文件使用db4工具转换成数据库文件
[root@zhouwei ~]# db_load -T -t hash -f /etc/vsftpd/vu.list /etc/vsftpd/vu.db
//上面的-T表示转换，-t表示加密方式使用hash算法加密//为提高虚拟用户帐号文件的安全性，应将文件权限设置为600，以避免数据外泄
[root@zhouwei ~]# chmod 600 /etc/vsftpd/vu.*
[root@zhouwei ~]# ll /etc/vsftpd/vu.*
-rw-------. 1 root root 12288 Aug  2 15:53 /etc/vsftpd/vu.db
-rw-------. 1 root root    18 Aug  2 15:50 /etc/vsftpd/vu.list//添加虚拟用户的映射帐号、创建ftp根目录。例如要将使用的ftp根目录设置为/var/ftproot， \
//映射帐号的名称为vftp，可以执行以下操作
[root@zhouwei ~]# useradd -d /var/ftproot -s /sbin/nologin vftp
[root@zhouwei ~]# chmod 755 /var/ftproot/
[root@zhouwei ~]# ll -d /var/ftproot/
drwxr-xr-x. 2 vftp vftp 62 Aug  2 15:56 /var/ftproot///为虚拟用户建立PAM认证
[root@zhouwei ~]# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
[root@zhouwei ~]# vim /etc/pam.d/vsftpd
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vu
account required pam_userdb.so db=/etc/vsftpd/vu//修改vsftpd配置文件，添加虚拟用户支持
[root@zhouwei ~]# echo 'guest_enable=YES' >> /etc/vsftpd/vsftpd.conf
[root@zhouwei ~]# echo 'guest_username=vftp' >> /etc/vsftpd/vsftpd.conf//为不同的虚拟用户建立独立的配置文件
[root@zhouwei ~]# echo 'user_config_dir=/etc/vsftpd/vusers_dir' >> /etc/vsftpd/vsftpd.conf
[root@zhouwei ~]# echo 'allow_writeable_chroot=YES' >> /etc/vsftpd/vsftpd.conf//有了上述配置后，就可以在/etc/vsftpd/vusers_dir目录中为每个虚拟用户分别建立配置文件了。 \
//例如，若要使用虚拟用户tom能够上传文件、创建目录，而jerry只有默认的下载权限， \
//可以执行以下操作
[root@zhouwei ~]# mkdir /etc/vsftpd/vusers_dir
[root@zhouwei ~]# ll /etc/vsftpd/
total 36
-rw-------. 1 root root   125 Mar 23  2017 ftpusers
-rw-------. 1 root root   361 Mar 23  2017 user_list
-rw-------. 1 root root  5106 Aug  2 16:01 vsftpd.conf
-rwxr--r--. 1 root root   338 Mar 23  2017 vsftpd_conf_migrate.sh
-rw-------. 1 root root 12288 Aug  2 15:53 vu.db
-rw-------. 1 root root    18 Aug  2 15:50 vu.list
drwxr-xr-x. 2 root root     6 Aug  2 16:03 vusers_dir//设置tom用户可上传文件、创建目录
[root@zhouwei ~]# echo 'anon_upload_enable=YES' >> /etc/vsftpd/vusers_dir/tom
[root@zhouwei ~]# echo 'anon_mkdir_write_enable=YES' >> /etc/vsftpd/vusers_dir/tom//设置jerry用户只有默认的下载权限，只需要创建一个名为jerry的空文件即可
[root@localhost ~]# touch /etc/vsftpd/vusers_dir/jerry//注意：虚拟用户是通过匿名访问的，所以必须开启匿名访问功能！！！//启动服务
[root@localhost ~]# systemctl start vsftpd
[root@localhost ~]# ss -antl
State      Recv-Q Send-Q   Local Address:Port                  Peer Address:Port
LISTEN     0      128                  *:22                               *:*
LISTEN     0      32                  :::21                              :::*
LISTEN     0      128                 :::22                              :::*
LISTEN     0      100                ::1:25                              :::**:*
LISTEN     0      32                  :::21                              :::*
LISTEN     0      128                 :::22                              :::*
LISTEN     0      100                ::1:25                              :::*