FTP協(xié)議就是文件傳輸控制協(xié)議。它可以使文件通過網(wǎng)絡(luò)從一臺主機傳送到同一網(wǎng)絡(luò)的另一臺主機上,而不受計算機類型和操作系統(tǒng)類型的限制。服務(wù)器、大型機,還是DOS操作系統(tǒng)、Windows操作系統(tǒng)、Linux操作系統(tǒng),只要雙方都支持FTP協(xié)議,就可以方便地傳送文件。
FTP分為兩種工作模式:主動模式(Active)與被動模式(Passive)
FTP客戶端首先會隨機開啟一個大于1024的端口N(1032),并連接服務(wù)端的21號端口,然后開放M端口(與端口N沒直接聯(lián)系)進行監(jiān)聽, 同時向服務(wù)器發(fā)出PORT 1033命令通知服務(wù)器自己的在接收數(shù)據(jù)時所使用的端口號。服務(wù)器在傳輸數(shù)據(jù)的時候,服務(wù)端通過自己的20端口去連接客戶端的端口M。當不需要傳輸時,此連接會自動斷開。如下圖(圖中端口號僅為示例):
FTP 被動模式(PASV)原理
FTP客戶端隨機開啟一個大于1024的端口X向服務(wù)器的21端口發(fā)起連接,同時會開啟X+1端口。然后向服務(wù)器發(fā)送PASV命令,通知服務(wù)器自己處于被動模式。服務(wù)器收到命令后,會開放一個大于1024的端口Y進行監(jiān)聽,然后在ACK回復中通知客戶端,自己的數(shù)據(jù)端口是Y。客戶端收到命令后,會通過X+1號端口連接服務(wù)器的端口Y,然后在兩個端口之間進行數(shù)據(jù)傳輸。這樣就能使防火墻知道用于數(shù)據(jù)連接的端口號,而使數(shù)據(jù)連接得以建立 。如下圖:
主動模式與被動模式區(qū)別
在主動模式中,傳輸數(shù)據(jù)時,服務(wù)器是主動連接客戶端的數(shù)據(jù)端口。但如果客戶端存在防火墻,那么當服務(wù)端在連接客戶端數(shù)據(jù)端口的時,就有可能被防火墻阻擋。所以FTP主動模式在許多時候用于沒有防火墻隔離的內(nèi)部網(wǎng)絡(luò)機器。一但有防火墻的存在,那么一般就不會在使用主動模式,而是被動模式。因為在被模式中,命令連接與數(shù)據(jù)連接,都是由客戶端發(fā)起的,而防火墻一般不會對出去的數(shù)據(jù)包進行阻擋。
同時,F(xiàn)TP的主動模式(PORT)和被動模式(PASV)都只ipv4,在針對IPV6擴展后就出現(xiàn)EPRT、EPSV相對應(yīng)。
簡而言之,客戶端被防火墻保護時,盡量使用被動模式;服務(wù)端被保護時,盡量使用主動模式。但不管使用哪種模式,數(shù)據(jù)連接的目標端口都不固定,無法簡單配置基于端口的策略,當前防火墻一般通過解析FTP控制連接數(shù)據(jù),臨時開啟數(shù)據(jù)連接訪問權(quán)限的方式實現(xiàn)(經(jīng)測試確認H3C防火墻確實采用此方式支持FTP協(xié)議,且V5版本不支持EPSV、EPRT)。
EPSV:增強被動模式
請關(guān)注本頭條號,每天堅持更新原創(chuàng)干貨技術(shù)文章。
如需學習視頻,請在微信搜索公眾號“智傳網(wǎng)優(yōu)”直接開始自助視頻學習
1. 前言
本文主要是講解與演示如何在Linux上配置vsftp 虛擬多用戶。虛擬用戶不能是系統(tǒng)用戶,也不可能用于登錄系統(tǒng),只能用于ftp用戶驗證,所以對操作系統(tǒng)本身并無安全威脅問題。
2. 安裝vsftpd
[root@zcwyou ~]# yum -y install vsftpd
安裝vsftpd
3. 設(shè)置與vsftp相關(guān)的SElinux策略
設(shè)置ftp用戶擁有所有權(quán)限
[root@zcwyou ~]# setsebool -P allow_ftpd_full_access=1 [root@zcwyou ~]# setsebool -P allow_ftpd_anon_write=1
4. 設(shè)置防火墻
4.1 CentOS 6防火墻設(shè)置
允許20、21端口通過防火墻
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
設(shè)置ftp被動模式的端口范圍
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 9000:9045 -j ACCEPT
保存防火墻配置:
[root@zcwyou ~]# service iptables save
4.2 CentOS 7防火墻設(shè)置
[root@zcwyou ~]# firewall-cmd --add-service=ftp [root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
4.3 CentOS 6 設(shè)置開機自啟動服務(wù)
[root@zcwyou ~]# chkconfig vsftpd on
4.4 CentOS 7 設(shè)置開機自啟動服務(wù)
[root@zcwyou ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
5. 配置vsftp虛擬用戶
所謂虛擬用戶就是沒有使用真實的帳戶,只是通過映射到真實帳戶和設(shè)置權(quán)限的目的。虛擬用戶不能登錄CentOS系統(tǒng)。
修改配置文件
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
配置vsftp虛擬用戶
配置以下內(nèi)容:
設(shè)定不允許匿名訪問,即使用賬號密碼登錄
anonymous_enable=NO
設(shè)定本地用戶可以訪問。注:如使用虛擬宿主用戶,在該項目設(shè)定為NO的情況下所有虛擬用戶將無法訪問
local_enable=YES write_enable=YES
允許匿名用戶和虛擬用戶寫文件和目錄
anon_upload_enable=YES anon_mkdir_write_enable=YES chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list
指定PAM認證文件名
pam_service_name=vsftpd
以下這些是關(guān)于vsftpd虛擬用戶支持的重要配置項,默認vsftpd.conf中不包含這些設(shè)定項目,需要自己手動添加
設(shè)定啟用虛擬用戶功能
userlist_enable=YES guest_enable=YES
指定虛擬用戶的宿主用戶,CentOS中已經(jīng)有內(nèi)置的ftp用戶了
guest_username=ftp
設(shè)定虛擬用戶個人vsftp的CentOS FTP服務(wù)文件存放路徑。
user_config_dir=/etc/vsftpd/vuser_conf
創(chuàng)建chroot用戶名單:
[root@zcwyou ~]# vi /etc/vsftpd/chroot_list
把虛擬用戶寫入這個文件,一行一個用戶
test
6. 安裝Berkeley DB工具
安裝db4和db4-utils工具需要先安裝epel倉庫。用于建立用戶數(shù)據(jù)庫信息
[root@zcwyou ~]# yum install epel-release -y [root@zcwyou ~]# yum install db4 db4-utils -y
安裝Berkeley DB工具
7. 創(chuàng)建用戶密碼文本
創(chuàng)建文件/etc/vsftpd/vuser_passwd.txt ,注意奇行是用戶名,偶行是密碼
[root@zcwyou ~]# vi /etc/vsftpd/vuser_passwd.txt
例如,建立test賬號,密碼為123456,輸入以下內(nèi)容
test
123456
8. 生成虛擬用戶認證的數(shù)據(jù)庫文件
[root@zcwyou ~]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
9. 修改pam認證參數(shù)
隨后,編輯認證文件/etc/pam.d/vsftpd,全部注釋掉原來語句,再增加以下兩句:
[root@zcwyou ~]# vi /etc/pam.d/vsftpd
不需要添加db后綴名
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
10. 創(chuàng)建虛擬用戶配置文件
最后,創(chuàng)建虛擬用戶配置文件,文件名等于vuser_passwd.txt里面的賬戶名,否則下面設(shè)置無效
[root@zcwyou ~]# mkdir /etc/vsftpd/vuser_conf/ [root@zcwyou ~]# vi /etc/vsftpd/vuser_conf/test
內(nèi)容如下:
虛擬用戶根目錄,根據(jù)實際情況修改
local_root=/data/ftp/test
可寫權(quán)限及文件掩碼
write_enable=YES anon_umask=022 anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=NO
創(chuàng)建test用戶根目錄及設(shè)置權(quán)限
[root@zcwyou ~]# mkdir -p /data/ftp/test/test_data [root@zcwyou ~]# chmod -R 755 /data/ [root@zcwyou ~]# chmod 555 /data/ftp/test/ [root@zcwyou ~]# chown -R ftp:ftp /data/
最新的vsftpd要求對主目錄不能有寫的權(quán)限所以data為755,主目錄下面的子目錄再設(shè)置755權(quán)限或者你想要的權(quán)限。這樣,test用戶就可以對/data/ftp/test/test_data這個目錄進行讀寫操作了。
11. 配置vsftp PASV模式(可選)
vsftpd默認沒有開啟PASV模式,現(xiàn)在FTP只能通過PORT模式連接,要開啟PASV默認需要通過下面的配置
打開/etc/vsftpd/vsftpd.conf,在末尾添加
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
開啟PASV模式
pasv_enable=YES
最小端口號
pasv_min_port=40000
最大端口號
pasv_max_port=40080 pasv_promiscuous=YES
配置vsftp PASV模式
在防火墻配置內(nèi)開啟40000到40080端口
CentOS 6防火墻設(shè)置:
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 4000:40080 -j ACCEPT
CentOS 6重啟防火墻:
[root@zcwyou ~]# service iptables save [root@zcwyou ~]# service iptables restart
CentOS 7防火墻設(shè)置:
[root@zcwyou ~]# firewall-cmd --add-service=ftp [root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
CentOS 6重啟vsftpd:
[root@zcwyou ~]# service vsftpd restart
CentOS 7重啟vsftpd:
[root@zcwyou ~]# systemctl restart vsftpd
12. 總結(jié)
vsftp是一個使用率非常高的服務(wù),運維人員必須要熟悉配置和使用。
本文已同步至博客站,尊重原創(chuàng),轉(zhuǎn)載時請在正文中附帶以下鏈接:
https://www.linuxrumen.com/rmxx/757.html
點擊了解更多,快速查看更多的技術(shù)文章列表。