vsftpd详解

时间 2020-01-13

标签 vsftpd 详解栏目 FTP 繁體版

原文原文链接

vsftpd详解mysql

1 简介

FTP：file transfer protocol 属于应用层的协议linux

服务端管理链接：21/tcp 数据链接 20/tcpsql

数据的传输模式：数据库

二进制ubuntu

文本windows

ftp模式：浏览器

1. 主动FTP安全

1) 客户端x>1024端口链接服务端的21端口服务器

2) 客户端监听在x+1端口，并发送port x+1到服务端session

3) 服务端使用20端口链接客户端的x+1

2. 被动FTP

1) 客户端x>1024端口链接服务器的21端口

2) 客户端发送PASV命令到服务端

3) 服务端开启随机端口y，并发送port y命令到客户端

4) 客户端使用x+1端口链接服务端的y端口

x，y都是大于1024的随机端口

主动链接图解：

被动链接图解

主动模式和被动模式的优缺点：

1. 主动模式对服务端管理有利，可是对客户端不利，由于服务端经过20端口去链接客户端的大于1024的端口x+1，而这个端口可能被防火墙阻塞了。

2. 被动模式对客户端管理有利，可是对服务端管理不利，由于客户端在发起数据链接到服务器的大于1024的端口y链接的时候，而这个端口可能被服务端的防火墙关闭

综上：为了提供有效的ftp服务，通常都是使用这个被动模式，由于服务端的行为是可控的，可是客户端倒是有不一样的配置，没法控制。

链接模式的配置：

各客户端默认链接方式说明:

1、 IE浏览器访问方式-------被动模式

2、 Linux字符链接------------被动模式

3、 Windows字符链接-------被动模式

1) IE更改FTP链接方式为主动方法：

工具---Internet选项---高级---使用被动FTP（去掉勾选）-------OK

2) Linux下更改ftp链接方式为主动：

当ftp正常链接后输入:passive，至关灯的开关

liunx启动方式:

ftp> passive

Passive mode off.

ftp> passive

Passive mode on.

3) 各个windows客户端则在设置内设置

2 ftp安装

ftp的服务端程序：

Serv-u

vsftpd:安全轻巧，建议linux使用这个

Filezilla

wu-ftpd

proftpd

pureftpd

客户端程序：

CLI模式：

ftp

lftp

GUI模式：

gftpd

FlashFXP

Cuteftp

Filezilla

学习使用vsftpd这个软件

1.查看是否安装了软件

[root@samba-server ~]# yum list vsftpd

2.安装vsftpd

[root@samba-server ~]# yum -y install vsftpd

3.查看安装了什么文件，doc man之类的显示了

[root@samba-server ~]# rpm -ql vsftpd

/etc/logrotate.d/vsftpd #日志滚动配置

/etc/pam.d/vsftpd #pam认证配置

/etc/rc.d/init.d/vsftpd #服务脚本

/etc/vsftpd #主目录

/etc/vsftpd/ftpusers #用于指定哪些用户不能访问FTP服务器

/etc/vsftpd/user_list #用于容许使用vsftpd的用户列表文件

/etc/vsftpd/vsftpd.conf #主配置文件

/etc/vsftpd/vsftpd_conf_migrate.sh #vsftpd操做的一些变量和设置脚本

/usr/sbin/vsftpd #主程序

/var/ftp #ftp目录

/var/ftp/pub #共享目录

上传和下载：

下载文件相对安全，可是上传文件则会有风险，所以vsftpd默认设置了这样的权限

pub目录默认只有rx权限，只有上传目录有这个rwx权限

通常系统安装服务以后，会自动建立一个不能登陆的系统用户，用做服务的运行，vsftpd也不例外

服务开启,开机自启动

[root@localhost vsftpd]# chkconfig vsftpd on

[root@localhost vsftpd]# service vsftpd start

Starting vsftpd for vsftpd: [ OK ]

安装客户端软件

[root@localhost vsftpd]# yum -y install ftp

状态响应码

1xx：信息码

2xx：成功状态码

3xx：进一步提示补全信息的状态码

4xx：客户端错误

5xx：服务器端错误

ftp用户总共有三类:

匿名用户 ftp anonymous

本地用户 /etc/passwd /etc/shadow下的用户密码

虚拟用户将一个本地用户映射为多个虚拟用户

实现方式： PAM（手动定义配置文件认证方式）

1.mysql，建立表，建立表 user passwd，经过pam配置，访问这类虚拟用户经过本地的一个用户映射访问，不过只能映射一个本地用户，可是能够为每一个虚拟用户设置这个权限，虚拟用户的权限默认是这个匿名用户的权限

2.经过配置文件/etc/vsftpd/vuser定义，而后经过命令db_load把文件转化为二进制格式，前提得安装rpm工具包db4_utils

USERNAME(奇数)

PASSWORD(偶数)

默认系统用户，包括root不能登陆，缘由是ftp是明文协议：

/etc/vsftpd/user_list /etc/vsftpd/ftpusers

root

bin

daemon

adm

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

其控制流程为；先经过user_list检查（能够设置为黑名单或者白名单），经过的用户再让ftpusers(黑名单)检查一遍，最后才能登陆.

上传文件本地文件的权限问题：

A主机tom用户使用B主机提供的一个ftp帐户hadoop，A主机使用hadoop登陆

hadoop有上传文件的权限

A主机要上传本地的文件，前提是tom用户有该文件的权限便可

上传完成后的属主属组为hadoop的属主属组

用户权限：

事实上权限是系统用户权限和服务配置的权限的交集

日志信息记录：

下载上传的日志：/var/log/xferlog

帐户登陆日志:/var/log/secure

3 配置详解与配置样例

养成好习惯，配置以前，备份下配置文件

[root@samba-server vsftpd]# cp vsftpd.conf vsftpd.conf.bak

注意：斜体的蓝色选项是默认配置文件没有给出的，详细的参数能够参考第5章节的vsftpd参数详解

/etc/vsftpd/vsftpd.conf

其中#是能够启用的配置，有些参数是默认配置，有些则不是.

匿名用户配置

anonymous_enable=YES (默认使用ftp用户/etc/passwd下的ftp)

#anon_upload_enable=YES#容许匿名用户上传，前提是该用户有对系统目录有写权限

#anon_mkdir_write_enable=YES#容许匿名用户建立目录

#anon_other_write_enable=YES#容许其余匿名用户的其余操做，如删除，移动等

系统本地用户配置

local_enable=YES #容许本地用户登陆

write_enable=YES#容许上传文件

上传文件的umask

anon_umask

local_umask=022 # umask

日志配置

xferlog_std_format=YES #默认使用xferlog日志，记录上传下载相关，若是为NO的话，则日志格式为vsftpd_log_file

xferlog_enable=YES #上面选项为YES，enable才生效

#xferlog_file=/var/log/xferlog #日志名字和策略配置在文件/etc/logrotate.d/vsftpd中

默认文件容易被扫描，建议修改位置：

xferlog_file=/var/log/ vsftpd.log，日志配置文件也要相应修改

改变上传文件的属主

#chown_uploads=YES #修改匿名用户，仅对匿名用户生效

#chown_username=whoever

锁住本地用户在本身的家目录下，默认是没有锁定

#chroot_local_user=YES #锁定全部用户

#chroot_list_enable=YES #锁定部分用户，用户列表在chroot_list中

# (default follows)

#chroot_list_file=/etc/vsftpd/chroot_list

显示提示信息

dirmessage_enable=YES #切换目录的时候显示提示信息，须要在对应的目录建立文件.message

#ftpd_banner=Welcome to blah FTP service. #登陆提示信息，自定义

vsftpd使用pam机制认证

pam_service_name=vsftpd #名字要和pam-msyql配置文件一致便可

guest_enable=YES

guest_username=vuser #本地帐户，用作映射虚拟帐户使用

是否启用控制用户登陆的列表文件

userlist_enable=YES

默认文件为/etc/vsftpd/user_list

userlist_deny=YES|NO #控制user_list分别成为黑名单，白名单，默认白名单

/etc/vsftpd/ftpusers中的用户不容许使用ftp服务

tcp_wrappers=YES #容许tcp_wrapper管理控制

服务模式：

listen=YES #独立服务若是为NO，则能够配置成瞬时守护进程，须要在xinetd目录建立配置文件

链接限制

max_clients #最大的并发链接数

max_per_ip#每一个ip同时能够发起的并发请求数

传输速率

anon_max_rate：匿名用户的最大传输速率,单位是bytes/s

local_max_rate：本地用户的最大传输速率，单位是bytes/s

SSL会话配置

ssl_enable=YES

ssl_tlsv1=YES #开启v1和v3版本，v2不安全，不使用

ssl_sslv3=YES

allow_annon_ssl=NO #匿名用户不必加密

force_local_data_ssl=YES

force_local_logins_ssl=YES

rsa_cert_file=/etc/vsftpd/ssl/vsftpd_cert.pem #证书

rsa_private_key_file=/etc/vsftpd/ssl/vsftpd_key.pem #私钥

#修改了配置文件，须要重启服务，而且从新链接ftp

例子：

1.客户端匿名登陆，帐户是anonymous 或者ftp 密码都为空

4 基于openssl的ftps建立

因为ftp是明文协议，很是不安全，所以能够经过高ssl来配置ftps

1.建立这个私有CA所需目录和文件

cd /etc/pki/CA

mkdir certs newcerts crl

touch index.txt

echo 01 > serial

2.生成服务器私钥

(umask 077;openssl genrsa -out private/cakey.pem 2048)

Generating RSA private key, 2048 bit long modulus

.............................................+++

.........................................................+++

e is 65537 (0x10001)

3.生成服务器的自签证书

[root@vsftpd CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [GuangDong]:

Locality Name (eg, city) [GuangZhou]:

Organization Name (eg, company) [Tech]:

Organizational Unit Name (eg, section) [gaibiandu]:

Common Name (eg, your name or your server's hostname) []:gaibiandu.com Email Address []:

4.生成vsftpd的私钥

mkdir /etc/vsftpd/ssl

[root@vsftpd ssl]# (umask 077;openssl genrsa -out vsftpd.key 2048)

Generating RSA private key, 2048 bit long modulus

......+++

................................+++

e is 65537 (0x10001)

5.生成证书申请

[root@vsftpd ssl]# openssl req -new -key vsftpd.key -out vsftpd.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [CN]:

State or Province Name (full name) [GuangDong]:

Locality Name (eg, city) [GuangZhou]:

Organization Name (eg, company) [Tech]:

Organizational Unit Name (eg, section) [gaibiandu]:

Common Name (eg, your name or your server's hostname) []:ftp.gaibiandu.com

Email Address []:

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

6.向私有CA申请并颁发证书

[root@vsftpd ssl]# openssl ca -in vsftpd.csr -out vsftpd.crt

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 2 (0x2)

Validity

Not Before: Feb 15 12:07:05 2016 GMT

Not After : Feb 14 12:07:05 2017 GMT

Subject:

countryName = CN

stateOrProvinceName = GuangDong

organizationName = Tech

organizationalUnitName = gaibiandu

commonName = ftp.gaibiandu.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

34:A9:2A:9F:3B:D2:72:41:8D:56:92:5E:EE:E8:D2:01:12:7A:1F:D4

X509v3 Authority Key Identifier:

keyid:F7:A8:93:FB:CF:28:CA:B4:FE:87:B8:3D:71:76:A7:A6:CE:E4:2E:C5

Certificate is to be certified until Feb 14 12:07:05 2017 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

7.编辑vsftpd.conf配置文件

#ssl

ssl_enable=YES

ssl_tlsv1=YES

ssl_sslv3=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt

rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key

8.重启服务生效

9.使用ftp客户端登陆测试，windows平台测试

使用flashfxp，fillezilla测试不经过

默认会弹出这个证书，只要本地信任了这个CA的证书，而后这个主机名和ip是对应的，有dns解析，则会显示可信性，过程复杂，暂时不实施，不然为以下

可是信任接收便可；链接上去。

抓包测试：

5 基于openssh的sftp建立

这个功能linux默认实现了，可是这个就属于全系统的登陆，不受ftp的控制，至关于该用户的ssh登陆的权限。

linux登陆

[root@vsftpd ~]# sftp ubuntu@192.168.80.250

Connecting to 192.168.80.250...

ubuntu@192.168.80.250's password:

sftp> ls

fstab issue

sftp> pwd

Remote working directory: /home/ubuntu

sftp> cd /etc

sftp> ls

windows登陆

6 FTP基于PAM和MySQL/MariaDB实现虚拟用户访问控制

1.安装mysql，pam_mysql，vstpd等工具

# yum -y install mysql-server mysql-devel

# yum -y groupinstall "Development Tools" "Development Libraries"

pam_mysql能够编译安装也可使用yum 安装

#yum -y install pam_mysql

编译安装

# tar zxvf pam_mysql-0.7RC1.tar.gz

# cd pam_mysql-0.7RC1

# ./configure --with-mysql=/usr --with-openssl

# make

# make install

2.建立虚拟用户帐户

1)准备数据库和相关表

mysql> create database vsftpd;

mysql> grant select on vsftpd.* to vsftpd@localhost identified by vsftp;

mysql> flush privileges;

mysql> use vsftpd;

mysql> create table users (

-> id int AUTO_INCREMENT NOT NULL,

-> name char(20) binary NOT NULL,

-> password char(48) binary NOT NULL,

-> primary key(id)

-> );

2)添加虚拟用户，这里要特别注意password函数，可能不兼容，则另找解决办法

mysql> insert into users(name,password) values('xiaoming',password('xiaoming'));

mysql> insert into users(name,password) values('daming',password('xiaoming'));

3.配置vsftpd

1)创建pam认证所需文件

#vi /etc/pam.d/vsftpd.mysql

添加以下两行

auth required /lib/security/pam_mysql.so user=vsftpd passwd=vsftp host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

account required /lib/security/pam_mysql.so user=vsftpd passwd=vsftp host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

加密方式详情能够看文件/usr/share/doc/pam_mysql-0.7/README

2).修改vsftpd的配置文件

创建虚拟用户映射的系统用户及对应的目录

#useradd -s /sbin/nologin -d /var/ftproot vuser

#chmod go+rx /var/ftproot

vsftpd配置文件添加如下行

anonymous_enable=YES#其余选项为默认

guest_enable=YES

guest_username=vuser

pam_service_name=vsftpd.mysql #名字要和文件一致

重启服务便可访问

4.修改不一样虚拟用户具备不一样的权限

1)配置文件添加选项

user_config_dir=/etc/vsftpd/vusers_dir

2)建立目录，并未虚拟帐户提供单独的配置文件

mkdir /etc/vsftpd/vusers_dir/

cd /etc/vsftpd/vusers_dir/

touch xiaoming daming

xiaoming

daming

测试结果：xiaoming能够，下载文件，上传文件，建立目录，删除等，daming只能下载文件

7 vsftpd参数详解(引用)

参数	说明
listen_address=ip address	指定侦听IP
listen_port=port_value	指定侦听端口，默认21
anonymous_enable=YES	是否容许使用匿名账户
local_enable=YES	是否容许本地用户登陆
nopriv_user=ftp	指定vsftpd服务的运行账户，不指定时使用ftp
write_enable=YES	是否容许写入
anon_upload_enable=YES	匿名用户是否可上传文件
anon_mkdir_write_enable=YES	匿名用户是否创建目录
dirmessage_enable=YES	进入每一个目录是显示欢迎信息，在每一个目录下创建.message文件在里面写欢迎信息
xferlog_enable=YES	上传/下载文件时记录日志
connect_from_port_20=YES	是否使用20端口传输数据(是否使用主动模式)
chown_uploads=YES、chown_username=whoever	修改匿名用户上传文件的拥有者
xferlog_file=/var/log/vsftpd.log	日志文件
xferlog_std_format=YES	使用标准文件日志
idle_session_timeout=600	会话超时，客户端链接到ftp但未操做
data_connection_timeout=120	数据传输超时
async_abor_enable=YES	是否容许客户端使用sync等命令
ascii_upload_enable=YES、ascii_download_enable=YES	是否容许上传/下载二进制文件
chroot_local_user=YES	限制全部的本地用户在自家目录
chroot_list_enable=YES、chroot_list_file=/etc/vsftpd/chroot_list	指定不能离开家目录的用户，将用户名一个一行写在/etc/vsftpd/chroot_list文件里，使用此方法时必须chroot_local_user=NO
ls_recurse_enable=YES	是否容许使用ls -R等命令
listen=YES	开启ipv4监听
listen_ipv6=YES	开启ipv6监听
pam_service_name=vsftpd	使用pam模块控制，vsftpd文件在/etc/pam.d目录下
userlist_enable=YES	此选项被激活后，vsftpd将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登陆FTP服务器时，该用户在提示输入密码以前就被禁止了。即该用户名输入后，vsftpd查到该用户名在列表中，vsftpd就直接禁止掉该用户，不会再进行询问密码等后续步聚
userlist_deny=YES	决定禁止仍是只容许由userlist_file指定文件中的用户登陆FTP服务器。此选项在userlist_enable 选项启动后才生效。YES，默认值，禁止文件中的用户登陆，同时也不向这些用户发出输入密码的提示。NO，只容许在文件中的用户登陆FTP服务器
tcp_wrappers=YES	是否容许tcp_wrappers管理
local_root=/home/ftp	全部用户的根目录，，对匿名用户无效
anon_max_rate	匿名用户的最大传输速度，单位是Byts/s
local_max_rate	本地用户的最大传输速度，单位是Byts/s
download_enable= YES	是否容许下载

vsftpd如何设置pasv模式：
pasv_enable=yes （Default: YES）设置是否容许pasv模式
pasv_promiscuous=no （Default: NO）是否屏蔽对pasv进行安全检查，（当有安全隧道时可禁用）
pasv_max_port=10240 （Default: 0 (use any port)） pasv使用的最大端口
pasv_min_port=1024 （Default: 0 (use any port)） pasv使用的最小端口
pasv_address （Default: (none - the address is taken from the incoming connected socket)
） pasv模式中服务器传回的ip地址

8 vsftp日志xferlog格式分析(引用)

1、开始vsftp记录日志。修改/etc/vsftpd/vsftpd.conf 以下：

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog

2、/var/log/xferlog 实例：

Sun Feb 23 21:14:36 2014 4 212.73.193.130 915950 /LilleOL_IconSport4/win_230214_51_19.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 21:14:46 2014 5 212.73.193.130 1018969 /LilleOL_IconSport4/win_230214_51_18.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:44 2014 1 212.73.193.130 189 /Lille_IconSP/message_46263.txt b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:49 2014 4 212.73.193.130 891359 /Lille_IconSP/win_230214_84_80.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:54 2014 4 212.73.193.130 874509 /Lille_IconSP/win_230214_52_15.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:07:59 2014 4 212.73.193.130 862666 /Lille_IconSP/win_230214_52_12.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:04 2014 4 212.73.193.130 726242 /Lille_IconSP/win_230214_52_13.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:09 2014 4 212.73.193.130 833576 /Lille_IconSP/win_230214_84_77.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:15 2014 5 212.73.193.130 1009117 /Lille_IconSP/win_230214_84_78.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:20 2014 4 212.73.193.130 507537 /Lille_IconSP/win_230214_84_79.jpg b _ i r sipafranch ftp 0 * c
Sun Feb 23 22:08:26 2014 6 212.73.193.130 1023575 /Lille_IconSP/win_230214_52_11.jpg b _ i r sipafranch ftp 0 * c

3、每列含义：

Sun Feb 23 22:08:26 2014 | 6 | 212.73.193.130 | 1023575 | /Lille_IconSP/win_230214_52_11.jpg |b| _| i| r| sipafranch| ftp| 0| *| c

记录	含义
Sun Feb 23 22:08:26 2014	FTP传输时间
6	传输文件所用时间。单位/秒
212.73.193.130	ftp客户端名称/IP
1023575	传输文件大小。单位/Byte
/Lille_IconSP/win_230214_52_11.jpg	传输文件名，包含路径
b	传输方式： a以ASCII方式传输; b以二进制(binary)方式传输;
_	特殊处理标志位："_"不作任何处理；"C"文件是压缩格式；"U"文件非压缩格式；"T"文件是tar格式；
i	传输方向："i"上传；"o"下载；
r	用户访问模式：“a”匿名用户；"g"访客模式；"r"系统中用户;
sipafranch	登陆用户名
ftp	服务名称，通常都是ftp
0	认证方式："0"无；"1"RFC931认证；
*	认证用户id，"*"表示没法获取id
c	完成状态："i"传输未完成；"c"传输已完成；