一、FTP-文件传输协议 1、介绍
FTP服务器(File Transfer Protocol Server)是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。是 TCP/IP 协议组中的协议之一
FTP是用来传输文件的
工作模式:C/S(客户机/服务器模式)
默认端口:20、21
FTP服务器
系统
windows
filezilla_server,它的 客户端是一个快速可靠的、跨平台的FTP,FTPS和SFTP客户端。具有图形用户界面(GUI)和很多有用的特性
ProFTPD(Professional FTP daemon)一个Unix平台上或是类Unix平台上(如Linux, FreeBSD等)的FTP服务器程序
filezilla很好用,免费开源的FTP解决方案
filezilla官网
FTP服务在Linux上的名字是vsftp
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP
从此名称可以看出来,编制者的初衷是代码的安全。
从RHEL6开始whatsapp登录,系统镜像中默认没有ftp客户端命令。取而代之的是lftp命令
lftp工具是Linux的客户端
Lftp是一个基于命令行的文件传输软件(也被称为FTP客户端),是一个功能强大的下载工具,由Alexander Lukyanov开发并以GNU GPL协议许可发行。除了FTP协议外,它还支持FTPS,HTTP,HTTPS,HFTP,FISH,以及SFTP(其中ftps和https需要在编译的时候包含openssl库)等协议。这个程序还支持FXP,允许数据绕过客户端直接在两个FTP服务器之间传输,llftp的界面非常好一个shell, 有命令补全,历史记录,允许多个后台任务执行等功能,使用起来非常方便。它还有书签、排队、镜像、断点续传、多进程下载等功能。
语法:
lftp ftpIP -u username,passwd
lftp ftpIP -u username
2、工作原理
FTP有主动模式和被动模式,以server为参照,反之亦然
主动模式是我服务器主动连接客户端
被动模式是服务器等待客户端连接
主动模式端口:20(传输数据),21(传输控制信息)
被动模式端口:服务器端和客户端协商决定
被动模式:
客户端以随机非特权端口(>1024的,也称高位端口)连接服务端的21端口
服务端开启一个非特权端口为被动端口,并返回给客户端
客户端以非特权端口+1的端口主动连接服务端的被动端口
无论是被动模式还是主动模式,都是控制通道先建立连接,只是在传输上有区别
主动模式:ftp客户端连接到ftp服务器的21端口,发送用户名和密码,client随机开放高位端口,发送port到服务端,告诉服务器client采用主动模式并开放端口,ftp服务器收到port主动模式命令和端口后,通过20端口与client开放的端口进行连接
被动模式:PASV(passive,被动的),client连接服务器的21端口,发送用户名、密码,PASV命令到服务器whatsapp网页版,服务器在本地随机开放高位端口(>1024的),把开放的的端口告诉client,client连接服务器开放的高位端口传输数据
3、安装
先挂载之后在安装
安装,C/S两端都要装,vsftpd服务端是必须装的
yum -y install vsftpd lftp
查看配置文件位置
配置文件说明
ftpusers
用于指定哪些用户不能访问FTP 服务器,黑名单
user_list
指定允许使用vsftpd 的用户列表文件,白名单 ,如果userlist_deny=NO就是黑名单,默认YES
vsftpd.conf
vsftpd 的配置文件
vsftpd_conf_migrate.sh
vsftpd 的主要配置文件
/var/ftp/pub
默认匿名用户家目录的权限是755,这个权限不要改变
[root@qianshuiluyu ~]# ll /etc/vsftpd/*
-rw-------. 1 root root 125 3月 7 2014 /etc/vsftpd/ftpusers
# 用于指定哪些用户不能访问FTP 服务器,黑名单
-rw-------. 1 root root 361 3月 7 2014 /etc/vsftpd/user_list
# 指定允许使用vsftpd 的用户列表文件,白名单
-rw-------. 1 root root 5030 3月 7 2014 /etc/vsftpd/vsftpd.conf
# vsftpd 的主要配置文件
-rwxr--r--. 1 root root 338 3月 7 2014 /etc/vsftpd/vsftpd_conf_migrate.sh
# 是vsftpd 操作的一些变量和设置脚本
============================================================
[root@qianshuiluyu ~]# ll /var/ftp/* -d
drwxr-xr-x. 2 root root 6 3月 7 2014 /var/ftp/pub
# 默认匿名用户家目录的权限是755,这个权限不要改变。
如果userlist_deny= YES(默认),绝不允许在这个文件中的用户登录ftp,甚至不提示输入密码
userlist=no是黑名单,yes是白名单
启动
[root@qianshuiluyu ~]# systemctl start vsftpd
[root@qianshuiluyu ~]# systemctl enable vsftpd
查看端口
因为没有数据传输,所以只有21端口
4、配置文件
匿名用户权限配置
anonymous_enable=YES
# 允许匿名用户访问
anon_mkdir_write_enable=YES
# 是否允许匿名用户创建目录,NO只能访问不能创建目录
anon_upload_enable=YES
# 允许匿名用户上传文件
anon_other_write_enable=YES
# 允许匿名用户的其它权限,权限过大,谨慎使用,生产中一般不用
local_enable=YES
# 允许本地用户
write_enable=YES
#允许本地用户写权限
local_root=/WEB
# 设置本地用户的根目录,本地用户登录ftp访问的是那个
chroot_list_enable=YES
# 将所有本地用户限制在家目录中,NO 则不限制
chroot_list_file=/etc/vsftpd/chroot_list
# 设置锁定用户在根目录中的列表文件,此文件存放要锁定的用户名,不存在需要创建
allow_writeable_chroot=YES
# 允许锁定用户有写的权限
local_umask=022
#本地用户上传文件的权限反掩码
xferlog_enable=YES
#启动上传和下载的日志
SSL
# SSL shezhi
ssl_enable=YES
# 启用SSL
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
# 上面4行force 表示强制匿名用户使用加密登陆和数据传输
ssl_tlsv1=YES
# vsftpd支持TLS v1
ssl_sslv2=YES
# vsftpd支持SSL v2
ssl_sslv3=YES
# vsftpd支持SSL v3
require_ssl_reuse=NO
# 不重用SSL会话,安全配置项
ssl_ciphers=HIGH
# 允许用于加密 SSL 连接的 SSL 算法,这可以极大地限制那些尝试发现使用存在缺陷的特定算法的攻击者
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
# 指定 SSL 证书文件的位置
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem
# 指定 SSL 密钥文件的位置
5、权限
配置文件是否定义
系统定义文件或目录本身
当前登录服务用户的权限
服务在安装之后会自动创建这个服务的账户
二、FTP实战 1、匿名访问
ftp默认开启匿名访问,将配置文件的匿名访问注释掉也会开启
注意防火墙与selinux
安装完服务之后可以直接使用ftp看客户端去进行访问
因为此时没有设置用户访问,所以访问是匿名的,复制一些数据到匿名的目录下进行测试
匿名用户默认使用ftp用户登录
[root@qianshuiluyu ~]# cp /etc/passwd /var/ftp/pub/
1、访问
使用windows的资源管理器进行访问
或者使用ftp客户端工具访问
2.因为没有权限删除与创建都是不允许的
3.修改权限再实验
anon_mkdir_write_enable=YES
anon_upload_enable=YES
4.修改时候还是有问题telegram中文版,还是权限的问题,ftp服务目录的所属权限
设置完权限目录可以操作pub目录里面
此时就可以上传与建立目录了,如果还需要别的权限就需要添加其他的权限了
5.在linux客户端进行连接
6.使用浏览器进行访问
到这里匿名访问配置完成
7.查看是那个用户在运行服务
2、用户访问
1、实验
user1用户对FTP服务器进行维护,能登录FTP但不能登录系统,并限制根目录为/WEB目录(不能访问其他目录),只允许user1上传,禁止匿名
2、创建用户以及密码
[root@qianshuiluyu ~]# useradd -s /sbin/nologin user1;echo user1:123456|chpasswd
3、修改配置文件
[root@qianshuiluyu ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#关闭匿名
local_enable=YES#开启本地用户登录
chroot_local_user=YES
#锁定家目录
local_root=/WEB
#设置访问路径
chroot_list_enable=YES
#允许本地用户登录ftp服务验证
chroot_list_file=/etc/vsftpd/chroot_list
#锁定家目录就要配置这个
allow_writeable_chroot=YES
#锁定用户设置写的权限
4、设置锁定用户文件
[root@qianshuiluyu ~]# vim /etc/vsftpd/chroot_list
user1
#一个用户一行
5、创建目录以及测试文件
[root@qianshuiluyu ~]# mkdir /WEB
[root@qianshuiluyu ~]# cp /etc/passwd /etc/shadow /WEB/
[root@qianshuiliyu ~]# chmod -R o+w /WEB/
#目录设置写权限
6、重启
[root@qianshuiluyu ~]# systemctl restart vsftpd.service
7、客户登录
linux服务端
windows资源管理器
浏览器
8、这里登录显示不安全的提示,下面创建证书连接
FTP与HTTP一样缺省状态都是基于明文传输,所以要添加证书
3、添加证书
OpenSSL,开放式安全套接层协议
在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。
保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。
OpenSSL 部分参数说明
newkey
指定证书密钥处理器
-req
是 X.509 Certificate Signing Request (CSR,证书签名请求)管理的一个命令
- X.509
证书数据管理
-out filename
指定加密后的文件存放路径
-days
定义证书的有效日期
-in filename
指定要加密的文件存放路径
-keyout
设置密钥存储文件
-out
设置证书存储文件,注意证书和密钥都保存在一个相同的文件
[root@qianshuiluyu ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650
Generating a 2048 bit RSA private key
...........+++
...+++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:zh
# 国家
State or Province Name (full name) []:nmg
# 省
Locality Name (eg, city) [Default City]:hhht
# 市
Organization Name (eg, company) [Default Company Ltd]:qianshuiliyu
# 组织名称
Organizational Unit Name (eg, section) []:qianshuiliyu
# 组织部门名称
Common Name (eg, your name or your server's hostname) []:qianshuiliyu.com
# 你的名字或域名
Email Address []:@qq.com
# 邮箱地址
将证书放到相应的地方以及权限设置
[root@qianshuiluyu ~]# mkdir -p /etc/vsftpd/.sslkey/
[root@qianshuiluyu ~]# cp vsftpd.pem /etc/vsftpd/.sslkey/
[root@qianshuiluyu ~]# chmod 400 /etc/vsftpd/.sslkey/
修改配置文件SSl部分,添加内容,直接在下面继续添加就行,不要写在最后面
[root@qianshuiluyu ~]# vim /etc/vsftpd/vsftpd.conf
# SSL shezhi
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem
重启服务
[root@qianshuiluyu ~]# systemctl restart vsftpd
此时使用资源管理器无法连接
我们使用FileZill客户端进行测试,浏览器不好测试
没有设置证书之前的连接状态
三、虚拟用户
搭建FTP 服务器,为客户提供相关文档的下载。对所有互联网开放共享目录,允许下载产品信息,禁止上传。伙伴能够使用FTP 服务器进行上传和下载,但不可以删除数据。需要保证服务器的稳定性并做优化。
创建ftp虚拟帐号。允许客户使用user3帐号下载文件。,伙伴帐号user5帐号可以上传文件。
安全方面,所以关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。还需要根据用户的等级,限制客户端的连接数及下载速度
1、创建用户数据库
[root@qianshuiluyu ~]# vim /etc/vsftpd/vm_user
user3
123456
user5
123456
# 格式:一行用户,一行密码
2、生成数据库
保存虚拟帐号和密码文件无法被系统帐号直接调用。我们需要使用db_load 命令生成db
没有db_load 就进行安装
[root@qianshuiluyu ~]# rpm -qf `which db_load `
libdb-utils-5.3.21-17.el7.x86_64
============================================================
[root@qianshuiluyu ~]# db_load -T -t hash -f /etc/vsftpd/vm_user /etc/vsftpd/vm_user_db
# 选项-T允许应用程序能够将文本文件转译载入进数据库。
# -t hash,使用hash码加密
# -f 指定包含用户名和密码文本文件。此文件格式要示:一行用户名、一行密码
# 将数据导进数据库,原来用户及密码文件vm_user可以删除了,保证安全
3、修改数据库的权限
[root@qianshuiluyu ~]# chmod 600 /etc/vsftpd/vm_user_db
4、配置PAM模块
为了使服务器能够使用数据库文件,对客户端进行身份验证,需要调用系统的PAM 模块.
[root@qianshuiluyu ~]# vim /etc/pam.d/vsftpd
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vm_user_db
# 认证相关
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vm_user_db
用户相关
# 清空或者注释原来的内容,添加上面的内容
5、创建虚拟帐号对应的系统用户
因为需要配置不同的权限,可以将不同权限帐号的目录进行隔离(账号对应目录),控制用户的文件访问。user3对应系统账号user33,指定其主目录/var/ftp/user3,user5对应系统账号55,指定其主目录/var/ftp/user5
[root@qianshuiluyu ~]# useradd -d /var/ftp/user3 user33
[root@qianshuiluyu ~]# useradd -d /var/ftp/user5 user55
[root@qianshuiluyu ~]# chmod -R 500 /var/ftp/user3/
# user3 只允许下载,目录权限为rx 可读可执行。
[root@qianshuiluyu ~]# chmod -R 700 /var/ftp/user5/
# user5只允许上传和下载,目录权限rwx可读可写可执行。
6、配置文件设置
如果一个配置文件无法实现此功能,那就为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
chroot_local_user=YES
# 所有本地用户限制在家目录中
pam_service_name=vsftpd
# 配置vsftpd 使用的PAM 模块为vsftpd,在最后面有
user_config_dir=/etc/vsftpd/vm_user_home
# 配置虚拟账号的家目录
max_clients=100
# 置FTP 服务器最大接入客户端数为100 个
max_per_ip=10
# 设置每个IP 地址最大连接数为10 个
7、建立虚拟帐号配置文件
在user_config_dir 指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段
[root@qianshuiluyu ~]# mkdir /etc/vsftpd/vm_user_home
[root@qianshuiluyu ~]# touch /etc/vsftpd/vm_user_home/user3 /etc/vsftpd/vm_user_home/user5