FTP服務器
在centos7中搭建FTP服務器
FTP:檔案傳輸協議,作業模式[客戶端/服務器],FTP服務的埠號:tcp/21、tcp/20
FTP主動模式:客戶端從一個任意的埠N(N>1024)連接到FTP服務器的port 21命令埠,客戶端開始監聽埠N+1,并發送FTP命令“port N+1”到FTP服務器,FTP服務器以資料埠(20)連接到客戶端指定的資料埠(N+1),
FTP被動模式:客戶端從一個任意的埠N(N>1024)連接到FTP服務器的port 21命令埠,客戶端開始監聽埠N+1,客戶端提交 PASV命令,服務器會開啟一個任意的埠(P >1024),并發送PORT P命令給客戶端,客戶端發起從本地埠N+1到服務器的埠P的連接用來傳送資料,
在企業實際環境中,如果FTP客戶端與FTP服務端均開放防火墻,FTP需以主動模式作業,這樣只需要在FTP服務器端防火墻規則中,開放20、21埠即可,
一、FTP服務器簡介
FTP(File Transfer Protocol):檔案傳輸協議,是一個客戶機/服務器系統,使用FTP的用戶需要經過驗證后才能登錄,FTP服務器的用戶可分成3類,
系統用戶:即系統本機的用戶,Linux一般不會針對物體用戶進行限制,因此物體用戶可以針對整個檔案系統進行作業,但通常不希望他們通過FTP方式遠程訪問系統,
虛擬用戶:只能采用FTP方式使用系統的用戶,不能直接使用Shell登錄系統,即虛擬用戶,訪問服務器時需要驗證,大多數FTP用戶是這類用戶,
匿名用戶:對于公共性質的服務器可以提供匿名用戶訪問,用戶名:anonymous,但在使用匿名用戶時,應對其進行盡可能多的限制,權限較低,如:同時連接的用戶數量受限,訪問的檔案數目受限,不能上傳檔案,允許操作的指令較少,設定匿用戶同時登入的最大聯機數量等,
二、FTP服務器的安裝
1、使用默認yum源安裝vsftpd軟體包
#yum install vsftpd ftp
2、啟動服務并設定開機自啟
vsftpd的服務名稱:vsftpd.service
#systemctl start vsftpd.service 啟動服務
#systemctl enable vsftpd.service 開機自啟
3、設定防火墻與selinux機制
#firewall-cmd --permanent --zone=public --add-service=ftp
#firewall-cmd --reload
#systemctl stop firewalld
#setenforce 0
4、訪問ftp服務器
Linux系統中使用ftp命令進行訪問
在windows客戶端訪問ftp服務器
三、設定匿名用戶訪問ftp
1、匿名用戶訪問FTP相關知識點
(1)默認允許匿名用戶與系統用戶訪問ftp,訪問的默認目錄是:/var/ftp
訪問測驗(用戶名:anonymous 密碼為空)
(2)ftp的組態檔是:/etc/vsftpd/vsftpd.conf
設定匿名用戶訪問ftp:
anonymous_enable=YES
(3)設定匿名用戶登錄ftp時不輸入密碼:
?no_anon_password=YES
ftpd_banner= welcome to our home! //設定提示內容
(4)設定匿名用戶上傳、新建、洗掉檔案:
anon_upload_enable=YES 匿名用戶上傳權限
anon_mkdir_write_enable=YES 匿名用戶新建檔案夾的權限
anon_other_write_enable=yes 匿名用戶洗掉和修改檔案的權限
(5)設定檔案權限
chmod 777 pub 不推薦使用
setfacl -m u:ftp:rwx pub 推薦使用
(6)設定匿名用戶上傳或新建檔案的權限
?umask值:決定了新建檔案或檔案夾時的默認權限
umask值的表示方法:0022
如果使用vsftp的是本地用戶,則要修改組態檔中的 local_umask 的值;
如果使用vsftp的是虛擬用戶,則要修改組態檔中的 anon_umask 的值,
umask = 022 時,新建的目錄 權限是755,檔案的權限是 644;
umask = 077 時,新建的目錄 權限是700,檔案的權限時 600,
(7)設定不允許系統用戶登錄,只能匿名用戶登錄:
anonymous_enable=YES
local_enable=no
(8)設定匿名用戶訪問ftp的默認目錄
anon_root=/var/ftp
anon_root=/var/public
? 注意:要修改vsftp服務器匿名用戶默認目錄時,不可以將anon_root設定為一個其他賬號已有的家目錄,否則不能實作匿名用戶訪問ftp服務器,
四、配置系統用戶訪問FTP服務器
1、系統用戶訪問FTP相關知識
(1)系統用戶默認訪問主目錄,具有上傳、下載、新建、洗掉的權限,還可以切換到的系統其他目錄,
關閉匿名用戶訪問,只允許系統用戶訪問
anonymous_enable=no 關閉匿名用戶訪問
local_enable=yes 允許系統用戶訪問
local_umask=022
(2)設定系統用戶只能訪問自己的主目錄并具有所有權限,不允許切換到系統的其他目錄,
chroot_local_user=YES 控制用戶訪問路徑訪問自己的主目錄,不能切換到其他目錄
allow_writeable_chroot=YES 允許寫入
ftpd_banner= welcome to our home!
max_clients=30 設定最大連接數
idle_session_timeout=600 設定超時時間
(3)設定系統用戶訪問指定目錄,不允許切換到系統的其他目錄,并具上傳、下載、新建、洗掉的權限,
local_root=/mnt/public/ 設定系統用戶訪問ftp的默認目錄
write_enable=YES 允許寫入
chroot_local_user=YES 控制用戶訪問路徑訪問指定目錄,不能切換到其他目錄
allow_writeable_chroot=YES 允許寫入
? 修改/mnt/public/目錄下的檔案權限
2、基于本地用戶的訪問控制
默認情況下,ftp服務器中所有系統用戶都可以訪問ftp,如何來限定只有指定的系統用戶可以訪問呢?vsftp中提供了兩個與系統用戶相關的組態檔:
/etc/vsftpd/ftpusers 提供了一份用于禁止登錄的ftp用戶串列(黑名單), 此檔案中包含的用戶將被禁止登錄vsftpd服務器,不管該用戶是否在/etc/vfsftpd/user_list中出現,
/etc/vsftpd/user_list 提供了一份用于允許登錄的ftp用戶串列(白名單),此檔案中包含的用戶可能被禁止登錄,可能被允許登錄,
具體在主組態檔vsftpd.conf中決定:
? 當存在userlist_enable=YES時,user_list檔案生效,
? 當存在userlist_deny=YES時,則僅禁止串列中的帳戶登錄,
? 當存在userlist_deny=NO時,則允許串列中用戶登錄,
其中:ftpusers檔案的優先級要高于user_list檔案,即如果一個用戶同時存在于兩個檔案中,則被拒絕訪問ftp,
舉例:只讓ftpuser用戶訪問ftp,那么可以進行如下設定:
#vim /etc/vsftpd/vsftpd.conf
userlist_enable=YES #啟用userlist用戶串列(系統默認設定)
userlist_deny=NO #只允許串列中的用戶登錄
#vim/etc/vsftpd/user_list
將服務重啟后,在客戶端測驗,此時只有ftpuser用戶可以訪問ftp
五、配置虛擬用戶訪問FTP
1、安裝Vsftpd虛擬用戶需要用到的軟體及認證模塊
#yum install pam* libdb-utils libdb* --skip-broken -y
2、創建虛擬用戶臨時檔案/etc/vsftpd/ftpusers.txt,用戶名密碼格式如下:
? Techftp 用戶名
? 123456 密碼
? netftp
? 123456
? admftp
? 123456
? markftp
? 123456
3、生成Vsftpd虛擬用戶資料庫認證檔案,設定權限為600
#db_load -T -t hash -f /etc/vsftpd/ftpusers.txt /etc/vsftpd/vsftp_login.db
#chmod 600 /etc/vsftpd/vsftp_login.db
4、配置PAM認證檔案:vim /etc/pam.d/vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vsftp_login
account required pam_userdb.so db=/etc/vsftpd/vsftp_login
5、創建一個系統用戶,用于虛擬用戶映射
#useradd -s /sbin/nologin ftpuser
6、修改組態檔:#vim /etc/vsftpd/vsftpd.conf
pam_service_name=vsftpd
pam_service_name=vsftpd.vu
guest_enable=YES 開啟系統虛擬用戶訪問
guest_username=ftpuser 指定系統虛擬用戶
user_config_dir=/etc/vsftpd/vsftpd_user_conf 指定虛擬用戶的組態檔目錄
virtual_use_local_privs=YES 允許虛擬用戶訪問
7、分別為虛擬用戶創建私有的虛擬目錄與獨立的組態檔
#mkdir /home/ftpuser/techftp
#mkdir /etc/vsftpd/vsftpd_user_conf
#vim techftp
local_root=/home/ftpuser/techftp 默認訪問的目錄
write_enable=YES 允許寫入
anon_world_readable_only=YES 允許瀏覽
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#mkdir /home/ftpuser/netftp
#vim netftp
local_root=/home/ftpuser/netftp
write_enable=YES
virtual_use_local_privs=NO #不具有可登錄用戶的權限
anon_world_readable_only=YES #可瀏覽目錄
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
六、Vsftpd日志管理
1、Vsftp軟體搭建的FTP服務器的日志檔案的配置,在/etc/vsftpd.conf中找到:
? xferlog_enable=YES 開啟FTP服務器記錄上傳下載的情況
? xferlog_std_format=YES 日志格式
? xferlog_file=路徑 指定日志檔案
默認為:/var/log/xferlog
2、日志檔案輸出格式如下:
(1)當前時間(為本地時間),格式為:DDD MMM dd hh:mm:ss YYYY
(2)傳輸時間:傳送檔案所用時間,單位為秒
(3)遠程主機名稱/IP:
(4)檔案大小:傳輸檔案的大小,單位為byte
(5)檔案名:傳輸檔案名,包括路徑
(6)傳輸型別:a–以ASCII傳輸;b–以二進制檔案傳輸
(7)特殊處理標志:
? _:不做任何特殊處理
? c:檔案是壓縮格式
? u:檔案是非壓縮格式
? t:檔案時tar格式
(8)傳輸方向:o 從FTP服務器向客戶端傳輸;i 從客戶端向FTP服務器傳輸
(9)訪問模式:a 匿名用戶;g 來賓用戶;r 系統中的用戶
(10)用戶名
(11)服務名:一般為FTP
(12)認證方式:0 無; 1 RFC931認證
(13)認證用戶id:如果使用*,測表示無法獲得該id
(14)完成狀態:i 傳輸未完成;c表示傳輸已完成,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/152752.html
標籤:其他
下一篇:Linux命令