FTP服务器的配置,以及配置ftp支持ftps
- FTP传输协议
FTP [File Transfer PRocotol]
主要用于在服务器与客户端之间进行文件传输,但是采用的是明文传输,对于FTP
协议实现的,比较安全的软件是vsftpd
FTP
的用户身份- 1.
user
:具有较大的权限,和较多的命令执行; - 2.
guest
:访客用户具有中等能力的权限; - 3.
anontmous
:表示匿名用户,大多数只允许登陆,和下载,一般不允许你名用户登陆;
- 1.
- 关于日至文件记录在
/var/log/messages
里面; - 一般情况下使用伪根来确保用户在访问资源时,被限定在一个特定的目录里面,不至于访问其他目录下面的重要数据,是为了安全进行的设定;
- FTP的工作流程
FTP
通过命令连接来接收用于发送过来的命令,通过数据连接来发送用于请求的数据,FTP
默认使用的是主动连接的方式,
FTP
工作在主动模式的过程:- 1.
Server
工作在22
端口,client
通过自己随机的端口和server的21
端口建立TCP
连接; - 2.当需要获得数据时,
client
将自己采用的active
方式通知给server
,并且client
打开自己的一个随机端口, - 3.
server
将通过请求的数据通过数据端口20
数据发送到client
的随机端口上面,完成数据的发送;
- 1.
总结:
- 1.
server
需要两个端口,21
用于接收用户的命令,并且将命令的执行结果返回; - 2.
20
端口用于在用于请求数据时打开,用于完成数据连接的请求; - 3.
client
需要用自己的第一个随机端口和serer
的21
端口建立连接,当工作在active
模式下,发起数据请求时,需要将自己生成的第二个随机端口,发送给server
,server
将请求的数据,通过数据端口22
发送给client
的第二个随机端口;
*FTP
被动连接的工作过程;
- 1.
1.
client
通过正常的TCP
三次连接建立和server
的21
端口的连接;- 2.在
client
发起数据请求时,首先将自己的工作模式PASV
发送给server
; - 3.
server
,首先选择随机的空闲端口打开,并且将自己的随机端口,这里不在是20
,发送给client
; 4.
Client
使用自己生成的随机端口连接server
发送过来的随机端口,然后完成数据传送;FTP服务器的配置
- 需要安装的软件
vsftpd
,安装之后会生成以下几个文件:
/etc/pam.d/vsftpd
:用于完成用户认证的;/etc/rc.d/init.d/vsftpd
:表示服务控制脚本;/etc/vsftpd/vsftpd.conf
:表示服务配置文件;/etc/vsftpd/ftpusers /etc/vsftpd/user_list
:用于控制用户登录的配置文件;/var/ftp
:ftp
服务的根目录,不允许root
之外任何用户具有写权限,一定不允许运行这个进程的用户具有写权限,如果需要可以创建新的目录具有写权限;/var/ftp/pub
:各个用户的公共文件目录,也就是匿名用户的家目录;vsftpd
在安装成功之后,就会创建默认的的用户“
接下来启动
ftp
服务
[root@server23 private]# /etc/init.d/vsftpd start
Starting vsftpd for vsftpd: [ OK ]
- 作为客户端需要安装的软件是
lftp
,来提供相应的客户端工具,接下来需要确保防火墙的状态是关闭的,其次需要确保selinux
的状态是Permissive
的;
[root@server23 private]# /etc/init.d/iptables stop
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Flushing firewall rules: [ OK ]
iptables: Unloading modules: [ OK ]
[root@server23 private]# setenforce 0
- 接下来尝试连接
lftp
服务器端
- 可以通过
help
命令来查看支持的命令一个选项
!<shell-command> (commands)alias [<name> [<value>]] attach [PID]bookmark [SUBCMD] cache [SUBCMD]cat [-b] <files> cd <rdir>chmod [OPTS] mode file... close [-a][re]cls [opts] [path/][pattern] debug [<level>|off] [-o <file>]du [options] <dirs> exit [<code>|bg]get [OPTS] <rfile> [-o <lfile>] glob [OPTS] <cmd> <args>help [<cmd>] history -w file|-r file|-c|-l [cnt]jobs [-v] [<job_no...>] kill all|<job_no>lcd <ldir> lftp [OPTS] <site>ln [-s] <file1> <file2> ls [<args>]mget [OPTS] <files> mirror [OPTS] [remote [local]]mkdir [-p] <dirs> module name [args]more <files> mput [OPTS] <files>mrm <files> mv <file1> <file2>[re]nlist [<args>] open [OPTS] <site>pget [OPTS] <rfile> [-o <lfile>] put [OPTS] <lfile> [-o <rfile>]pwd [-p] queue [OPTS] [<cmd>]quote <cmd> repeat [OPTS] [delay] [command]rm [-r] [-f] <files> rmdir [-f] <dirs>scache [<session_no>] set [OPT] [<var> [<val>]]site <site-cmd> source <file>torrent [-O <dir>] <file|URL>... user <user|URL> [<pass>]wait [<jobno>] zcat <files>zmore <files>
- 接下来解释以下配置文件
/etc/vsftpd/vsftpd.conf
里面的相关信息 anonymous_enable=YES
:表示是否允许匿名用户登录,修改为NO
,匿名用户无法登陆
local_enable=YES
:是否启用系统用户,这里已经启用了系统用户,所以可以使用hadoop
用户的帐号和密码进行登陆;write_enable=YES
:是否允许写权限,也就是执行STOR, DELE, RNFR,RNTO, MKD, RMD, APPE and SITE.
命令来改变文件系统属性,如果这个选项被更改为NO
,那么用户将无法上传文件到服务器,并且无法执行创建目录等操作;anon_upload_enable=YES
:表示是否允许匿名用户上传文件;anon_mkdir_write_enable
:用于定义用户是否具有创建目录的权限;dirmessage_enable=YES
:用户进入一个目录时否显示欢迎信息,如果需要显示欢迎信息,就需要在对应的目录里面创建隐藏文件.messages
,然后再切换用户目录时,就会显示目录的切换信息;xferlog_enable=YES
:用于记录用户下载文件等信息;xferlog_file=/var/log/xferlog
:用于定义日志的生成位置;xferlog_std_format=YES
:用于定义日志的格式,这个方便某些日志访问软件对于日志进行分析;chown_uploads=YES 以及 chown_username=whoever
:用于文件在上传之后更改文件的权限,用于防止用户在上传之后修改这些文件;idle_session_timeout=600
:用于定义会话超时时间的;data_connection_timeout=120
:用于定义数据传输超时时间的;ascii_upload_enable=YES ascii_download_enable=YES
:表示使用文本方式上传和下载文件,不建议开启;chroot_list_enable=YES
:表示锁定某个用户在自己的家目录里面,防止用户随意切换;chroot_list_file=/etc/vsftpd/chroot_list
:创建用户名称的文件列表,所有里面的用户;chroot_local_user=YES
:直接禁锢所有的用户的家目录,这个选项是建议已用的,否则会导致用户随意访问系统目录,不安全;max_clients
:表示最多允许多少个Client
登陆;max_per_ip
:表示最多允许一个IP
地址登陆多少次;接下来可以实现对于某些功能的启用或者是禁用
FTP
进行传输的数据都是明文进行传输的,甚至包括用户认证的过程,底下抓包,抓到的信息甚至包括用户的认证信息和密码;
tions [nop,nop,TS val 5306475 ecr 321537], length 130x0000: 4500 0041 af5f 4000 4006 0414 ac19 17fa E..A._@.@.......0x0010: ac19 1717 bead 0015 b0ca 5746 8177 7eff ..........WF.w~.0x0020: 8018 00e5 8777 0000 0101 080a 0050 f86b .....w.......P.k0x0030: 0004 e801 5553 4552 2068 6164 6f6f 700d ....USER.hadoop.0x0040: 0a 这段是用户名信息 .
10:37:55.004685 IP (tos 0x0, ttl 64, id 39314, offset 0, flags [DF], proto TCP (6), length 86)172.25.23.23.21 > 172.25.23.250.48813: Flags [P.], cksum 0x878c (incorrect -> 0xfe4f), seq 134:168, ack 34, win 453, options [nop,nop,TS val 321537 ecr 5306475], length 340x0000: 4500 0056 9992 4000 4006 19cc ac19 1717 E..V..@.@.......0x0010: ac19 17fa 0015 bead 8177 7eff b0ca 5753 .........w~...WS0x0020: 8018 01c5 878c 0000 0101 080a 0004 e801 ................0x0030: 0050 f86b 3333 3120 506c 6561 7365 2073 .P.k331.Please.s0x0040: 7065 6369 6679 2074 6865 2070 6173 7377 pecify.the.passw0x0050: 6f72 642e 0d0a ord...
10:37:55.004791 IP (tos 0x0, ttl 64, id 44896, offset 0, flags [DF], proto TCP (6), length 65)172.25.23.250.48813 > 172.25.23.23.21: Flags [P.], cksum 0x8777 (incorrect -> 0x3765), seq 34:47, ack 168, win 229, options [nop,nop,TS val 5306476 ecr 321537], length 130x0000: 4500 0041 af60 4000 4006 0413 ac19 17fa E..A.`@.@.......0x0010: ac19 1717 bead 0015 b0ca 5753 8177 7f21 ..........WS.w.!0x0020: 8018 00e5 8777 0000 0101 080a 0050 f86c .....w.......P.l0x0030: 0004 e801 5041 5353 2068 6164 6f6f 700d ....PASS.hadoop.
这段是密码信息
- 配置允许系统用户上传文件
write_enable=YES
- 配置允许匿名用户上传文件
anon_upload_enable=YES
- 打开这个权限之后,还需要对应的目录
ftp
具有写权限,为了安全,这里自己创建一个目录
[root@server23 vsftpd]# mkdir /var/ftp/upload
[root@server23 vsftpd]# setfacl -m u:ftp:rwx /var/ftp/upload/
- 接下来的上传就是成功的
[root@my Desktop]# ftp 172.25.23.23
Connected to 172.25.23.23 (172.25.23.23).
220 (vsFTPd 2.2.2)
Name (172.25.23.23:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.ftp> cd upload
250 Directory successfully changed.
ftp> put LVS+.pdf
local: LVS+.pdf remote: LVS+.pdf
227 Entering Passive Mode (172,25,23,23,103,106).
150 Ok to send data.
226 Transfer complete.
790569 bytes sent in 0.13 secs (6058.19 Kbytes/sec)
对于共享的权限=文家系统权限*文件共享权限
配置匿名用户可以创建目录
anon_mkdir_write_enable=YES
- 接下来尝试匿名用户
ftp
创建目录
ftp> ls
227 Entering Passive Mode (172,25,23,23,243,227).
150 Here comes the directory listing.
-rw------- 1 14 50 790569 Apr 16 03:01 LVS+.pdf
226 Directory send OK.
ftp> mkdir test
257 "/upload/test" created
150 Here comes the directory listing.
-rw------- 1 14 50 790569 Apr 16 03:01 LVS+.pdf
drwx------ 2 14 50 4096 Apr 16 03:07 test
226 Directory send OK.
- 因为
upload
这个目录ftp
用户具有了rwx
权限,所以暂时匿名用户只能够在这个目录里面创建安目录; - 配置匿名用户
ftp
具有删除文件的权限
150 Here comes the directory listing.
-rw------- 1 14 50 790569 Apr 16 03:01 LVS+.pdf
drwx------ 2 14 50 4096 Apr 16 03:07 test
226 Directory send OK.
ftp> delete LVS+.pdf
550 Permission denied.
- 然后退出重新登陆之后,就可以删除文件
227 Entering Passive Mode (172,25,23,23,148,23).
150 Here comes the directory listing.
-rw------- 1 14 50 790569 Apr 16 03:01 LVS+.pdf
drwx------ 2 14 50 4096 Apr 16 03:07 test
226 Directory send OK.
ftp> delete LVS+.pdf
250 Delete operation successful.
- 配置显示欢迎信息
- 首先创建目录里面的欢迎文件;
[root@server23 vsftpd]# vim /var/ftp/upload/.message /在那个目录创建,进入那个目录会显示信息
Welcome to upload directory
- 使用匿名用户进行登陆会显示欢迎信息;
ftp> ls
227 Entering Passive Mode (172,25,23,23,46,90).
150 Here comes the directory listing.
drwxr-xr-x 3 0 0 4096 Feb 12 2013 pub
drwxrwxr-x 3 0 0 4096 Apr 16 03:13 upload
226 Directory send OK.
ftp> cd upload
250-Welcome to upload directory
250-
上面使用
lftp
登陆并且切换用户目录的过程,是不会显示欢迎信息的打开日志功能
- 需要打开两个选项
xferlog_enable=YES
xferlog_file=/var/log/xferlog
在上传和下载文件的过程中,可以查看到详细的日志信息
锁定用户的家目录
- 首先需要开启
chroot_list_enable
用于打开锁定用户家目录的功能,接下来需要chroot+list_file
用于指定这个文件里面定义的用户,用于执行锁定用户家目录的功能;
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
- 创建文件,并且添加限定的用户
[root@server23 vsftpd]# vim /etc/vsftpd/chroot_list
hadoop
hadoop
用户随意的切换目录就会失败
[root@my Desktop]# ftp 172.25.23.23
Connected to 172.25.23.23 (172.25.23.23).
220 (vsFTPd 2.2.2)
Name (172.25.23.23:root): hadoop
331 Please specify the password.
Password:
230-welcome to upload directory;
230-
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> cd /etc/
550 Failed to change directory.
- 对于不在这个目录里面的用户,是可以随便的切换目录的,可以直接使用指令
chroot_local_user=YES
,表示所有的用户都会被禁锢到自己的家目录,需要注释上面的开启的两行选项 - 配置工作为独立守护进程
listen=YES
表示配置为独立守护进程,如果需要配置为瞬时守护进程,需要在/etc/xinetd.d
里面提供瞬时守护脚本;对于
ftpusers
里面定义的用户都是禁止访问ftp
服务器的;
[root@my Desktop]# ftp 172.25.23.23
Connected to 172.25.23.23 (172.25.23.23).
220 (vsFTPd 2.2.2)
Name (172.25.23.23:root): root
530 Permission denied.
Login failed.
ftp>
- 因为
vsftp
的用户控制是接收pam
进行控制的,pam
里面存在关于vfstpd
的定义
[root@server23 vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth
- 尤其是第二行,表示对于
/etc/vsftpd/ftpusers
里面定义的文件都是用来进行拒绝的; user_list
首先是这个文件控制敏感用户能否登陆系统的,其次才是ftpusers
控制的,删除这个文件之后,控制就只由ftpusers
来进行控制
[root@server23 vsftpd]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]
- 之后尝试登陆,是可以输入密码的,但是提示登录失败;
[root@my Desktop]# ftp 172.25.23.23
Connected to 172.25.23.23 (172.25.23.23).
220 (vsFTPd 2.2.2)
Name (172.25.23.23:root): root
331 Please specify the password.
Password: //之前是密码都不能够进行输入,直接提示失败的;
530 Login incorrect.
Login failed.
如果不希望拒绝
userlist
里面的用户登陆,可以通过添加指令userlist_deny=NO
,表示不拒绝这个文件里面的用户登录,在这个文件里面定义的用户就是可以的,但是这个列表之外的用户就不能够使用ftp
服务了,也就是说,如果定义为no
,表示仅仅允许这个文件里面的用户使用ftp
服务接下来期望提供
vsftpd
结合ssl/tls
实现加密通信- 首先生成私钥
[root@server23 CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
Generating RSA private key, 2048 bit long modulus
...........................................+++
................+++
e is 65537 (0x10001)
- 其次生成自签名证书
[root@server23 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SS
Locality Name (eg, city) [Default City]:XX
Organization Name (eg, company) [Default Company Ltd]:TE
Organizational Unit Name (eg, section) []:TEC
Common Name (eg, your name or your server's hostname) []:ca.linux.com
Email Address []:
- 接下来配置
vsftpd
- 首先创建目录,然后生成私钥
[root@server23 CA]# cd /etc/vsftpd/ssl/
[root@server23 ssl]# (umask 077;openssl genrsa -out vsftpd.key 2048)Generating RSA private key, 2048 bit long modulus
...........................+++
......+++
e is 65537 (0x10001)
- 接下来生成证书签署请求
[root@server23 ssl]# openssl req -new -key vsftpd.key -out vsftpd.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:SX
Locality Name (eg, city) [Default City]:XA
Organization Name (eg, company) [Default Company Ltd]:LINUX
Organizational Unit Name (eg, section) []:TECH
Common Name (eg, your name or your server's hostname) []:ftp.server23.com
Email Address []:Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
CA
签署请求
[root@server23 ssl]# openssl ca -in vsftpd.csr -out vsftpd.crt
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:Serial Number: 1 (0x1)ValidityNot Before: Apr 16 08:35:09 2018 GMTNot After : Apr 16 08:35:09 2019 GMTSubject:countryName = CNstateOrProvinceName = SXorganizationName = LINUXorganizationalUnitName = TECHcommonName = ftp.server23.comX509v3 extensions:X509v3 Basic Constraints: CA:FALSENetscape Comment: OpenSSL Generated CertificateX509v3 Subject Key Identifier: 40:26:AB:BD:6C:FE:50:82:44:7D:41:A8:E7:43:7F:5E:55:7C:DC:7AX509v3 Authority Key Identifier: keyid:B3:C1:80:F2:07:25:42:C1:82:96:FE:C7:70:F1:46:63:7B:2E:16:B1Certificate is to be certified until Apr 16 08:35:09 2019 GMT (365 days)
Sign the certificate? [y/n]:y1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
- 编辑
vsftpd.conf
配置文件来使用生成的证书
# ssl or tls
ssl_enable=YES
ssl_sslv3=YES
ssl_tlsv1=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key
- 然后需要重启
vsftpd
服务
[root@my Desktop]# ftp 172.25.23.23
Connected to 172.25.23.23 (172.25.23.23).
220 (vsFTPd 2.2.2)
Name (172.25.23.23:root): hadoop
530 Non-anonymous sessions must use encryption.
Login failed.
ftp> hadoop
?Invalid command
- 上面提示的信息表示非匿名用户必须使用
encryption
来进行连接,这里如果需要进行连接ftp
服务器,就不能够使用Linux lftp
命令来进行连接了,暂时只能够使用Windows FileZilla
等软件来进行连接;
FTP服务器的配置,以及配置ftp支持ftps相关推荐
- centos FTP服务器的架设和配置
Ftp搭建 参考资料:centos FTP服务器的架设和配置 2009-06-17 18:08 12119人阅读 评论(0) 收藏 举报 1.yum install vsftpd 2.启动/重启/关闭 ...
- FTP服务器的安装和配置
FTP服务器的安装和配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 本来是想出一个源码安装ftp的教程,但是想想还是算了,如果你自学python有个10天的话你自己就能写一个f ...
- Serv-U组建个人FTP服务器, ——完全图解教程:FTP架设、端口映射、动态域名申请...
serv-u组建个人ftp服务器, --完全图解教程:ftp架设.端口映射.动态域名申请(一) 为了支持"共享小组事务"的胜利开设,我花了两天时间,参考网上众老鸟文章之长,由我这小 ...
- 文件浏览器ftp服务器,es文件浏览器查看ftp服务器
es文件浏览器查看ftp服务器 内容精选 换一换 本节操作介绍如何在Windows操作系统的本地主机上使用FTP上传文件到云服务器.已在待上传文件的云服务器中搭建 FTP 服务.如果您的云服务器为 W ...
- 网络位置添加一个ftp服务器,win7网络中添加ftp服务器
win7网络中添加ftp服务器 内容精选 换一换 支持.SFS容量型文件系统:支持为SFS容量型文件系统配置多个VPC,以使归属于不同VPC的云服务器,只要所属的VPC被添加到文件系统的VPC列表下, ...
- 安卓文件浏览器ftp服务器地址,安卓文件浏览器ftp服务器
安卓文件浏览器ftp服务器 内容精选 换一换 CDM支持周期性自动将新增文件上传到OBS,不需要写代码,也不需要用户频繁手动上传即可使用OBS的海量存储能力进行文件备份.这里以CDM周期性备份FTP的 ...
- 修改ftp服务器上的编码格式,windows ftp服务器设置编码格式
windows ftp服务器设置编码格式 内容精选 换一换 当您有如下需求时,可以考虑使用用户数据注入功能来配置裸金属服务器:通过脚本简化裸金属服务器配置通过脚本初始化系统已有脚本,在创建裸金属服务器 ...
- FTP服务器的搭建与使用FTP软件进行文件上传
使用工具:VMware pro,windows server 2008 r2系统镜像文件 1.新建虚拟机,两个模式都可以创建 1.新建一个空白系统. 1.选择操作系统 2.选择操作系统版本 1.配置w ...
- FTP服务器的安装与配置
FTP的安装与配置 安装前准备 vsftpd是linux下的一款小巧轻快,安全易用的FTP服务器软件,是一款在各个Linux发行版中最受推崇的FTP服务器软件. 1.安装vsftpd,直接yum 安装 ...
- linux中ftp服务器的搭建和配置
linux中的ftp服务的搭建及配置 1 ftp概述 2 ftp服务的搭建 2.1 ftp的客户端 2.2 FTP的服务端 2.2.1 服务端软件vsftpd的下载 2.2.2 vsftp的环境配置 ...
最新文章
- 对比两个同类型的泛型集合并返回差异泛型集合 ——两个List类名的比较
- 深入剖析Java即时编译器(上)
- Chapter 2 Open Book——34
- phpinfo信息泄漏
- 【Java 虚拟机原理】栈帧 | 动态链接 | 方法区 | 字节码文件二进制分析
- teach-es6-2(class)
- 有了 serverless,前端也可以快速开发一个 Puppeteer 网页截图服务
- Django从理论到实战(part44)--JsonResponse类
- 基于VHDL自动售邮票机设计
- 浅谈Hibernate批量操作
- c++ to_string 指定字符位数_你不知道的ES6字符串的扩展
- lwip_sendto函数详解
- linux个人游戏服务器搭建,linux游戏服务器搭建(一)
- 利用百度点击原理提升关键词排名
- gst-launch-1.0用法小记
- 慧安金科黄铃:面对金融欺诈, AI 如何揪出“老赖”
- vue 点击动态展示不同的图片
- 《白帽子讲Web安全》| 学习笔记之Web框架安全
- 新唐单片机移植RT-Thread,Finsh组件的接口函数编写
- python表白代码照片墙-这个七夕节,用Python为女友绘制一张爱心照片墙吧!