3 FTP文件传输服务

发布时间:2019-07-05 09:54:43编辑:auto阅读(2109)

    FTP文件传输服务

    一 FTP服务概述

    1 FTP连接及传输模式

    控制连接:TCP 21,用于发送FTP命令信息

    数据连接:TCP 20,用于上传、下载数据

    2 数据连接的建立类型

    主动模式:服务端从20端口主动向客户端发起连接

    被动模式:服务端在指定范围内某个端口被动等待客户端连接

    3 FTP传输模式

    文本模式:ASCII模式,以文本序列传输数据

    二进制模式:Binary模式,以二进制序列传输数据

    4 FTP用户的类型

    匿名用户:anonymous或ftp

    本地用户:帐号名称、密码等信息保存在passwd、shadow文件中

    虚拟用户: 使用独立的帐号/密码数据文件

    5 常见的FTP服务器程序

    IIS、Serv-U

    wu-ftpd、Proftpd

    vsftpd(Very Secure FTP Daemon)

    6 常见的FTP客户端程序

    ftp命令

    CuteFTP、FlashFXP、LeapFTP、Filezilla

    gftp、kuftp

    二 vsftpd软件

    1 vsftpd服务介绍

    官方站点:http://vsftpd.beasts.org/

    主程序:/usr/sbin/vsftpd

    服务名:vsftpd

    用户控制列表文件: /etc/vsftpd/ftpusers(黑名单)、/etc/vsftpd/user_list

    主配置文件:/etc/vsftpd/vsftpd.conf

    2 主配置文件vsftpd.conf

    1)常用的全局配置项

    listen=YES:是否以独立运行的方式监听服务

    listen_address=192.168.4.1:设置监听的IP地址

    listen_port=21:设置监听FTP服务的端口号(可修改)

    write_enable=YES:是否启用写入权限

    download_enable=YES:是否允许下载文件

    userlist_enable=YES:是否启用user_list列表文件

    userlist_deny=YES:是否禁用user_list中的用户

    max_clients=0:限制并发客户端连接数

    max_per_ip=0:限制同一IP地址的并发连接数

    Connect_from_port_20=YES        允许主动模式

    pasv_enable=YES        允许被动模式连接

    pasv_min_port=24500    被动模式的下限端口

    pasv_max_port=24600    被动模式的上限端口

    Pam_server_name=vsftpd    设置用于用户认证的PAM文件位置

    2)常用的匿名FTP配置项

    anonymous_enable=YES:启用匿名访问

    anon_umask=022:匿名用户所上传文件的权限掩码

    anon_root=/var/ftp:匿名用户的FTP根目录

    anon_upload_enable=YES:允许上传文件

    anon_mkdir_write_enable=YES:允许创建目录

    anon_other_write_enable=YES:开放其他写入权

    anon_max_rate=0:限制最大传输速率(字节/秒)

    3)常用的本地用户FTP配置项

    local_enable=YES:是否启用本地系统用户

    local_umask=022:本地用户所上传文件的权限掩码

    local_root=/var/ftp:设置本地用户的FTP根目录

    chroot_local_user=YES:是否将用户禁锢在主目录

    local_max_rate=0:限制最大传输速率(字节/秒)

    三 基于系统用户的FTP服务

    1 构建可匿名上传的FTP服务

    1. 安装vsftp软件

      yum install vsftpd

      2)准备匿名FTP访问的目录(默目录,可更改)

      chown ftp /var/ftp/pub/    使匿名用户FTP对该目录有写入权限

    2. 开放匿名用户配置,并启动vsftpd服务
      1. 只允许上传文件

        vim /etc/vsftpd/vsftpd.con    (其他设置默认)

        anonymous_enable=YES    开放匿名

        anon_umask=022        上传后的文件的权限掩码

        anon_upload_enable=YES    允许上传文件

        B)只允许上传文件、文件夹

        anonymous_enable=YES

        anon_umask=022

        anon_upload_enable=YES

        anon_mkdir_write_enable=YES

        C) 允许删除、覆盖、重命名

        anonymous_enable=YES

        anon_umask=022

        anon_upload_enable=YES

        anon_mkdir_write_enable=YES

        anon_other_write_enable=YES

    2 构建需用户验证的FTP服务

    1. 准备访问目录

      默认为系统用户宿主目录(可更改),拥有多有权限

    2. 创建系统用户(默认所有系统用户都有权访问FTP)

      useradd lisi

      3)开放用户验证

      只需禁止匿名访问即可

      anonymous_enable=NO

    3. 使用user_list黑白名单用户列表文件控制系统用户的访问
      1. 编辑黑白名单

        vim /etc/vsftpd/user_list        一行一个写入需要控制的用户

        Lisi

        Wangwu

        B)使用名单并规定黑白

        userlist_enable=YES    开启列表

        userlist_deny=YES        不允许列表中的用户访问(黑明单)

        或    userlist_deny=NO    只允许列表中的用户访问(白名单)

    四 构建基于虚拟用户的FTP服务

    1 建立虚拟用户的账号数据库

    1. 安装制作.db格式数据库的软件(vstfpd服务使用它存放虚拟用户)

      yum install db4-utils

    2. 创建文本合适的用户名和密码列表

      vim /etc/vsftpd/vusers.list        奇数行用户名,偶数行密码

      u1

      123

      u2

      456

      3)转换为DB格式的数据库文件

      db_load -T -t hash -f /etc/vsftpd/vusers.list /etc/vsftpd/vusers.db

      chmod 600 /etc/vsftpd/vusers.*    避免数据外泄设置合适权限

    2 添加虚拟用户的映射账户(所有虚拟用户对应到同一个系统用户)

    useradd -d /var/ftp/public -s /sbin/nologin mazi    指定宿主目录(FTP根目录)

    chmod -R 755 /var/ftp/        调整权限

    3 添加虚拟用户支持

    1. 为虚拟用户建立PAM认证文件

      vim /etc/pam.d/vsftpd.vu

      #%PAM-1.0

      auth required pam_userdb.so db=/etc/vsftpd/vusers

      account required pam_userdb.so db=/etc/vsftpd/vusers

      2)修改配置文件,添加虚拟用户支持(一下配置可上传下载文件)

      vim /etc/vsftpd/vsftpd.conf

      anonymous_enable=NO

      local_enable=YES        需映射本地用户,所以启用此项

      write_enable=YES        可写

      anon_umask=022        虚拟用户被认作匿名用户处理以降低权限

      pam_service_name=vsftpd.vu    指定新的PAM认证文件

      guest_enable=YES            启用用户映射功能

      guest_username=mazi        指定映射的系统用户的名称

      如果不能上传,查看根目录和上级目录的权限

    4 为不同用户创建独立的配置文件

    1)分别创建配置文件(每个用户用必须都要有,即使是空文件)

    mkdir /etc/vsftpd/vusers_dir    创建配置文件目录

        vim /etc/vsftpd/vusers_dir/u1    

    anon_upload_enable=YES    允许上传

    vim /etc/vsftpd/vusers_dir/u2

    anon_upload_enable=NO    禁止上传

    2) 加载独立的配置文件

    vim /etc/vsftpd/vsftpd.conf

    user_config_dir/etc/vsftpd/vusers_dir

    5 重载

    service vsftpd rreload

    五 客户端验证访问

    1 匿名服务的访问

    1:ftp 192.168.1.100                //登陆FTP

    Name (192.168.1.100:root): ftp        //匿名用户的用户名一般为ftp

    Password:               //密码为空

    2:ls                        //查看目录列表确定要下载的文件

    3:lcd /var                  //转到本地存放文件的位置

    4:get ceshi.tar.gz          //执行下载测试文件

    5:quit                      //退出ftp

    6:ls /var                  //确认

    2 用户验证的访问

    1:ftp 192.168.1.100               //登陆FTP

    Name (192.168.1.100:root): u1  //本地用户名

    Password:              //密码

    2:ls                       //查看目录列表确定要下载的文件

    3:lcd /var                 //转到本地存放文件的位置

    4:get ceshi.tar.gz         //执行下载测试文件

    5:quit                     //退出ftp

    6:ls /var                 //确认

    实验中本地用户无法登录,分析原因是selinux安全机制服务的问题,我们可以关闭此服务,也可以配置里面关于FTP的参数,也可以只关闭对FTP的监控

    setsebool ftpd_disable_trans 1   //关闭selinux对ftp的安全监控

    vim /etc/selinux/confige        //打开selinux配置文件

    SELINUX=disabled        //关闭

关键字

上一篇: ns3的一个错误

下一篇: Windows XP Service P