ftp之心脏病

FTP基础　　

FTP只经过TCP链接,没有用于FTP的UDP组件.FTP不一样于其余服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口)。一般21端口是命令端口，20端口是数据端口。当混入主动/被动模式的概念时，数据端口就有可能不是20了

FTP的主动模式

　   主动模式下，FTP客户端从任意的非特殊的端口（N > 1023）连入到FTP服务器的命令端口--21端口。而后客户端在N+1（N+1 >= 1024）端口监听，而且经过N+1（N+1 >= 1024）端口发送命令给FTP服务器。服务器会反过来链接用户本地指定的数据端口，好比20端口。

　　以服务器端防火墙为立足点，要支持主动模式FTP须要打开以下交互中使用到的端口：

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始链接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据（20）端口到客户端端口（>1023）（服务器初始化数据链接到客户端数据端口）
• FTP服务器数据（20）端口接受客户端端口（>1023）（客户端发送ACK包到服务器的数据端口）

　　用图表示以下：

 

　　在第1步中，客户端的命令端口与FTP服务器的命令端口创建链接，并发送命令“PORT 1027”。而后在第2步中，FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中，FTP服务器发起一个从它本身的数据端口（20）到客户端先前指定的数据端口（1027）的链接，最后客户端在第4步中给服务器端返回一个"ACK"。

　　主动方式FTP的主要问题实际上在于客户端。FTP的客户端并无实际创建一个到服务器数据端口的链接，它只是简单的告诉服务器本身监听的端口号，服务器再回来链接客户端这个指定的端口。对于客户端的防火墙来讲，这是从外部系统创建到内部客户端的链接，这是一般会被阻塞的。

 

被动模式FTP

　　为了解决服务器发起到客户的链接的问题，人们开发了一种不一样的FTP链接方式。这就是所谓的被动方式，或者叫作PASV，当客户端通知服务器它处于被动模式时才启用。

　　在被动方式FTP中，命令链接和数据链接都由客户端，这样就能够解决从服务器到客户端的数据端口的入方向链接被防火墙过滤掉的问题。当开启一个FTP链接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口链接服务器的21端口，但与主动方式的FTP不一样，客户端不会提交PORT命令并容许服务器来回连它的数据端口，而是提交PASV命令。这样作的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。而后客户端发起从本地端口N+1到服务器的端口P的链接用来传送数据。

　　对于服务器端的防火墙来讲，必须容许下面的通信才能支持被动方式的FTP:

• FTP服务器命令（21）端口接受客户端任意端口（客户端初始链接）
• FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
• FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据链接到服务器指定的任意端口）
• FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

 

　　用图表示以下：

 

　　在第1步中，客户端的命令端口与服务器的命令端口创建链接，并发送命令“PASV”。而后在第2步中，服务器返回命令"PORT 2024"，告诉客户端（服务器）用哪一个端口侦听数据链接。在第3步中，客户端初始化一个从本身的数据端口到服务器端指定的数据端口的数据链接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。

　　被动方式的FTP解决了客户端的许多问题，但同时给服务器端带来了更多的问题。最大的问题是须要容许从任意远程终端到服务器高位端口的链接。幸运的是，许多FTP守护程序，包括流行的WU-FTPD容许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。 

　　第二个问题是客户端有的支持被动模式，有的不支持被动模式，必须考虑如何能支持这些客户端，以及为他们提供解决办法。例如，Solaris提供的FTP命令行工具就不支持被动模式，须要第三方的FTP客户端，好比ncftp。

　　随着WWW的普遍流行，许多人习惯用web浏览器做为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这究竟是好仍是坏取决于服务器和防火墙的配置。

主动／被动模式的选择

客户端软件经过主动模式去连接，咱们客户端上不会设置防火墙，服务器能够直接连接过来

若是客户端是fz，请在设置中更改被动模式中退回主动模式

搭建FTP虚拟帐号，更安全的访问

针对centos能够直接将下面代码运行，目录，帐号自行更改

1. 建立本地帐号，禁止登录shell

useradd -d /data/ftproot -s /sbin/nologin virtualftp

2. 建立虚拟用户登录操做目录

mkdir -p /data/ftproot/ftp_virturl_user_dir

目录对应权限

chmod 555 /data/ftproot

chown -R virtualftp.virtualftp /data/ftproot

3.安装vsftpd

yum install -y vsftpd db-util

vsftpd.conf

anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
chroot_list_enable=NO
ascii_upload_enable=YES
ascii_download_enable=YES
guest_enable=YES
#虚拟的本地帐号，能够不用设置密码，不须要登录
guest_username=virtualftp
#虚拟账号的配置文件目录
user_config_dir=/etc/vsftpd/vuser_conf
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

4. 虚拟用户帐号密码

/etc/vsftpd/vuser_passwd.txt 

ftp_virturl_user
1233456

5. 生成验证db

db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db

6. 修改验证模式

/etc/pam.d/vsftpd 

auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd

7. 虚拟帐号目录配置

/etc/vsftpd/vuser_conf/ftp_virturl_user

local_root=/data/ftproot
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@localtuiliu vuser_conf]# pwd
/etc/vsftpd/vuser_conf

8. 启动服务

 systemctl start vsftpd

附上配置文件解释

anonymous_enable=YES  //是否容许anonymous登陆FTP服务器,默认是容许的.
local_enable=YES //是否容许本地用户登陆FTP服务器,默认是容许
write_enable=YES  //是否容许用户具备在FTP服务器文件中执行写的权限,默认是容许
local_umask=022 //设置本地用户的文件生成掩码为022,默认是077
 anon_upload_enable=YES
anon_mkdir_write_enable=YES  //是否容许匿名帐户在FTP服务器中建立目录
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
xferlog_enable=YES  //启用上传和下载日志功能
connect_from_port_20=YES   //启用FTP数据端口的链接请求
xferlog_file=/var/log/vsftpd.log  //设置日志文件的文件名和存储路径,这是默认的
xferlog_std_format=YES//是否使用标准的ftpd xferlog日志文件格式
idle_session_timeout=600  //设置空闲的用户会话中断时间,默认是10分钟
data_connection_timeout=120//设置数据链接超时时间,默认是120秒.
ascii_upload_enable=YES
ascii_download_enable=YES //是否容许使用ASCII格式来上传和下载文件
ftpd_banner=Welcome to blah FTP service.//在FTP服务器中设置欢迎登陆的信息.
chroot_list_enable=YES //若是但愿用户登陆后不能切换到本身目录之外的其它目录,须要设置该项,若是设置chroot_list_enable=YES,那么只容许/etc/vsftpd.chroot_list中列出的用户具备该功能.若是但愿全部的本地用户都执行者chroot,能够增长一行:chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
pam_service_name=vsftpd  //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.
userlist_enable=YES //用户列表中的用户是否容许登陆FTP服务器,默认是不容许
listen=YES  //使vsftpd 处于独立启动模式
tcp_wrappers=YES  //使用tcp_wrqppers做为主机访问控制方式