FTP服务基础

时间 2019-12-08

标签 ftp 服务基础栏目 FTP 繁體版

原文原文链接

网络文件共享

本章内容

FTP服务
NFS服务
SAMBA服务mysql

DAS、NAS、SAN（文件）

DAS:开放系统的直连式存储(Direct-Attached Storage)
磁盘链接到本机的电脑上，应用程序访问磁盘空间的数据时，直接经过本机的文件系统去访问
直连式存储与服务器主机之间的链接通道一般采用SCSI链接，随着服务器CPU的处理能力愈来愈强，存储硬盘空间愈来愈大，阵列的硬盘数量愈来愈多，SCSI通道将会成为IO瓶颈；服务器主机SCSI ID资源有限，可以创建的SCSI通道链接有限。linux

NAS:（Network Attached Storage：网络附属存储）按字面简单说就是链接在网络上，具有资料存储功能的装置，所以也称为“网络存储器”（数据由远端数据存储服务器的文件系统进行管理，本地的服务器主机只具备访问数据的权限）。它是一种专用数据存储服务器。它以数据为中心，将存储设备与服务器完全分离，集中管理数据，从而释放带宽、提升性能、下降总拥有成本、保护投资。其成本远远低于使用服务器存储，而效率却远远高于后者。sql

SAN:存储区域网络（Storage Area Network）采用网状通道（Fibre Channel ，简称FC，区别与Fiber Channel光纤通道）技术，经过FC交换机链接存储阵列和服务器主机（存储区域网络只提供存储空间，本地的服务器主机把网络网络存储做为块设备映射到本身的主机上，利用本机的文件系统管理数据。），创建专用于数据存储的区域网络。SAN通过十多年历史的发展，已经至关成熟，成为业界的事实标准（但各个厂商的光纤交换技术不彻底相同，其服务器和SAN存储有兼容性的要求）。
shell

文件传输协议（FTP）

File Transfer Protocol 早期的三个应用级协议之一
http协议，ftp协议，邮件协议（smtp，pop）最先的三个应用级协议数据库

基于C/S结构apache

FTP服务与客户端链接采用双通道链接协议，一个通道负责传输指令链接以及协商数据传输的随机端口，一个通道负责传输数据链接
数据传输格式：二进制（默认）和文本（asicc），以文本格式传输数据时linux的文本格式与windows文本格式存在差别，数据传输时系统会作自动转换形成数据破坏。建议使用二进制（binary）形式传输文件。vim

两种模式：主动与被动都是在服务器数据传输的角度来定义的，FTP服务的数据传输能够有两种模式，主动与被动模式。
主动模式是指服务器固定的数据传输tcp20端口主动去链接客户端，客户端的数据链接端口为随机端口，服务器与客户端会事先在命令传输通道协商好该随机端口的端口号。主动链接模式下每每会由于客户端有防火墙而链接失败。windows

通常状况下，FTP服务的数据传输通道都采用被动链接模式。被动模式是指在数据传输通道中客户端向FTP服务器发起链接请求，而FTP服务端通常会设置企业级的防火墙，该防火墙具备数据的跟踪功能，FTP服务器的防火墙会记录客户端的与服务端在命令传输通道协商出的数据传输通道端口，从而设置防火墙策略开放该端口的链接。centos

主动(PORT style)：对于数据端口来讲服务器主动链接客户端，经过命令端口协商出来客户端的随机数据端口，服务器使用固定的tcp20数据端口去链接客户端的随机数据端口。
命令（控制）：客户端：随机port --->服务器：tcp21
数据：客户端：随机port+1 <---服务器：tcp20浏览器

被动(PASV style)：客户端链接服务器的固定tcp21命令传输端口，协商出服务器数据端口的随机端口号，并使用客户端的随机端口去链接服务器的协商出来的数据随机端口。
命令（控制）：客户端：随机port ---> 服务器：tcp21
数据：客户端：随机port+1 --->服务器：随机port

服务器被动模式数据端口示例：
227 Entering Passive Mode (192,168,175,138,224,59)
服务器数据端口为：224*256+59

通常状况下FTP服务器会兼容两种数据传输通道的链接模式，数据传输时究竟使用被动模式仍是使用主动模式，每每取决与客户端。客户端在访问FTP服务器时，能够根据自身的状况选择使用被动模式仍是主动模式去链接FTP服务器。在通常的FTP命令行客户端工具中都会由passive命令去控制主动被动模式链接开关。

FTP服务的实现使用主动模式仍是被动模式，通常有客户端设置。

FTP软件介绍

FTP服务器：
Wu-ftpd，Proftpd，Pureftpd，ServU，IIS
vsftpd:Very Secure FTP Daemon，CentOS默认FTP服务器高速，稳定，下载速度是WU-FTP的两倍 ftp,redhat.com数据:单机最多可支持15000个并发

客户端软件： ftp，lftp，lftpget，wget，curl
ftp -A ftpserver port -A主动模式 –p 被动模式
lftp –u username ftpserver
lftp username@ftpserver
lftpget ftp://ftpserver/pub/file
gftp: GUI centos5 最新版2.0.19 (11/30/2008)
filezilla（开源免费的linuxftp客户端软件，支持ssh协议），CuteFtp，FlashFXP，LeapFtp
IE ftp://username:password@ftpserver

FTP服务介绍

状态码：

1XX：信息 125：数据链接打开
2XX：成功类状态 200：命令OK 230：登陆成功
3XX：补充类 331：用户名OK
4XX：客户端错误 425：不能打开数据链接
5XX：服务器错误 530：不能登陆

用户认证：

http服务访问服务时通常不用进行身份验证以匿名用户身份进行访问，可是ftp服务通常须要用户验证，当使用图形界面的浏览器去访问ftp服务时系统会自动进行用户认证，以ftp用户或者anonymous用户进行访问，与匿名用户概念类似。
匿名用户：ftp,anonymous,对应Linux用户ftp
系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow
虚拟用户：特定服务的专用用户，独立的用户/密码文件
nsswitch:network service switch名称解析框架
pam:pluggable authentication module 用户认证
/lib64/security /etc/pam.d/ /etc/pam.conf

vsftpd服务

vsftp相关文件

由vsftpd包提供

[root@CentOS7 ~]#rpm -qf `which vsftpd`
vsftpd-3.0.2-22.el7.x86_64

再也不由xinetd管理
用户认证配置文件:/etc/pam.d/vsftpd

服务脚本：
/usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd #服务名vsftpd

配置文件:/etc/vsftpd/vsftpd.conf
man 5 vsftpd.conf
格式：option=value（键值对形式）
注意：=先后不要有空格

匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp
系统用户共享文件位置：用户家目录
虚拟用户共享文件位置：为其映射的系统用户的家目录

对于http服务来讲系统会以apache用户身份运行服务，可是vsftpd服务运行的身份是root

vsftpd服务配置

端口配置

命令端口 listen_port=21

主动模式端口
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 指定主动模式的端口

被动模式端口范围
定义被动模式端口范围在于当企业的防火墙不支持追踪模式的状况下，经过定义有限的ftp服务的被动模式端口范围，便于防火墙设置访问限制策略。
linux客户端默认使用被动模式
windows 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配
pasv_max_port=6010

时间设置

使用当地时间
use_localtime=YES 使用当地时间（默认为NO，使用GMT）

匿名用户

anonymous_enable=YES 支持匿名用户
no_anon_password=YES(默认NO) 匿名用户略过口令检查
anon_world_readable_only (默认YES)只能下载所有读的文件
anon_upload_enable=YES 匿名上传，注意:文件系统权限
anon_mkdir_write_enable=YES anon_other_write_enable=YES 可删除和修改上传的文件
anon_umask=077 指定匿名上传umask
指定上传文件的默认的全部者和权限
chown_uploads=YES(默认NO)
chown_username=wang
chown_upload_mode=0644

linux系统用户

guest_enable=YES 全部系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效，指定guest用户
local_enable=YES 是否容许linux用户登陆
write_enable-YES 容许linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限
local_root=/ftproot 非匿名用户登陆所在目录

禁锢全部系统用户在家目录中

chroot_local_user=YES（默认NO，不由锢）禁锢系统用户

禁锢或不由锢特定的系统用户在家目录中

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
当chroot_local_user=YES时，则chroot_list中用户不由锢
当chroot_local_user=NO时，则chroot_list中用户禁锢

wu-ftp日志：

默认启用
xferlog_enable=YES （默认）启用记录上传下载日志
xferlog_std_format=YES （默认）使用wu-ftp日志格式
xferlog_file=/var/log/xferlog （默认）可自动生成

vsftpd日志：

默认不启用
dual_log_enable=YES 使用vsftpd日志格式，默认不启用
vsftpd_log_file=/var/log/vsftpd.log（默认）可自动生成

登陆提示信息

ftpd_banner=“welcome to ftp server"
banner_file=/etc/vsftpd/ftpbanner.txt 独立文件优先生效
文件加颜色：同时按ctrl、v、[ 键再加配色

[root@CentOS7 ~]#vim color
^[[32mThis is Green ^[[0m

目录访问提示信息

dirmessage_enable=YES (默认)
message_file=.message(默认)信息存放在指定目录下.message

使用pam实现用户认证

主配置文件中定义了vsftpd服务调用了pam模块：
pam_service_name=vsftpd
pam配置文件:/etc/pam.d/vsftpd #设置pam策略

[root@CentOS7 ~]#vim /etc/pam.d/vsftpd 
#%PAM-1.0
session    optional     pam_keyinit.so    force revoke
auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required     pam_shells.so
auth       include      password-auth
account    include      password-auth
session    required     pam_loginuid.so
session    include      password-auth
#定义了基于用户身份的验证，在/etc/vsftpd/ftpuser文件中的用户拒绝访问

/etc/vsftpd/ftpusers 默认文件中用户拒绝登陆

是否启用控制用户登陆的列表文件

userlist_enable=YES 默认有此设置
userlist_deny=YES(默认值)黑名单,不提示口令，NO为白名单
userlist_file=/etc/vsftpd/users_list 此为默认值

链接限制

max_clients=0 最大并发链接数
max_per_ip=0 每一个IP同时发起的最大链接数

vsftpd指定用户身份运行

nopriv_user=nobody

传输速率：字节/秒

anon_max_rate=0 匿名用户的最大传输速率
local_max_rate=0 本地用户的最大传输速率

链接时间：秒为单位

connect_timeout=60 主动模式数据链接超时时长
accept_timeout=60 被动模式数据链接超时时长
data_connection_timeout=300 数据链接无数据输超时时长
idle_session_timeout=60 无命令操做超时时长

优先以文本方式传输

ascii_upload_enable=YES
ascii_download_enable=YES

非独立方式运行

更改主配置文件中监听方式：
listen=NO，FTP服务默认为独立方式
而后编辑xinetd服务脚本，能够参考其余非独立服务的脚本好比telnet服务复制一份稍加修改便可。

cat  /etc/xinetd.d/vsftpd 
service ftp 
{ 
    flags           = REUSE 
    socket_type     = stream 
    wait            = no 
    user            = root 
    server          = /usr/sbin/vsftpd #程序路径
    log_on_failure  += USERID 
    disable         = no 
}

实现基于SSL的FTPS

查看是否支持SSL
ldd which vsftpd 查看到libssl.so

建立自签名证书
cd /etc/pki/tls/certs/
make vsftpd.pem openssl x509 -in vsftpd.pem -noout –text

配置vsftpd服务支持SSL：/etc/vsftpd/vsftpd.conf
ssl_enable=YES 启用SSL
allow_anon_ssl=NO 匿名不支持SSL
force_local_logins_ssl=YES 本地用户登陆加密
force_local_data_ssl=YES 本地用户数据传输加密
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem #证书路径

用filezilla等工具测试，命令行界面下的ftp客户端工具好比lftp不支持加密模式访问vsftpd服务。

vsftpd虚拟用户概念

虚拟用户：
全部虚拟用户会统一映射为一个指定的系统账号：访问共享位置，即为此系统账号的家目录
各虚拟用户可被赋予不一样的访问权限，经过匿名用户的权限控制参数进行指定

虚拟用户账号的存储方式：
一、文件：编辑文本文件，此文件须要被编码为hash
格式奇数行为用户名，偶数行为密码
db_load -T -t hash -f vusers.txt vusers.db #使用该工具将文本转化为hash格式

二、关系型数据库中的表中：
实时查询数据库完成用户认证
mysql库：pam要依赖于pam-mysql
/lib64/security/pam_mysql.so
/usr/share/doc/pam_mysql-0.7/README

实现基于文件验证的vsftpd虚拟用户

1、建立用户数据库文件
• vim /etc/vsftpd/vusers.txt
wang
wangpass
mage
magepass
• cd /etc/vsftpd/
• db_load -T -t hash -f vusers.txt vusers.db
• chmod 600 vusers.db
2、建立用户和访问FTP目录
• useradd -d /var/ftproot -s /sbin/nologin vuser
• chmod +rx /var/ftproot/
#虚拟用户不能访问磁盘数据，因此须要建立一个系统用户去代替虚拟用户去访问磁盘数据

• centos7 还须要执行如下操做：
• chmod -w /var/ftproot/
• mkdir /var/ftproot/upload
• setfacl -m u:vuser:rwx /var/ftproot/upload
3、建立pam配置文件
• vim /etc/pam.d/vsftpd.db
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
4、指定pam配置文件
• vim /etc/vsftpd/vsftpd.conf
guest_enable=YES
guest_username=vuser
pam_service_name=vsftpd.db
5、SELinux设置：
禁用SELinux 或者 setsebool -P ftpd_full_access 1
6、虚拟用户创建独立的配置文件
mdkir /etc/vsftpd/vusers.d/ 建立配置文件存放的路径
vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers.d/
cd /etc/vsftpd/vusers.d/ 进入此目录
容许wang用户可读写，其它用户只读
vim wang 建立各用户自已的配置文件
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
vim mage 建立各用户自已的配置文件
local_root=/ftproot 登陆目录改变至指定的目录

实现基于MYSQL验证的vsftpd虚拟用户

说明：本实验在两台CentOS主机上实现，一台作为FTP服务器，一台作数据库服务器

1、安装所须要包和包组：
在数据库服务器上安装包：
• Centos7：在数据库服务器上安装
yum –y install mariadb-server mariadb
systemctl start mariadb.service
systemctl enable mariadb
• Centos6：在数据库服务器上安装
yum –y install mysql-server

在FTP服务器上安装vsftpd和pam_mysql包
centos6：pam_mysql由epel6的源中提供
yum install vsftpd pam_mysql

centos7：无对应rpm包，需手动编译安装
yum -y groupinstall "Development Tools"
yum -y install mariadb-devel pam-devel vsftpd
下载pam_mysql-0.7RC1.tar.gz ftp://172.16.0.1/pub/Sources/sources/pam/
tar xvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1/
./configure --with-mysql=/usr --with-pam=/usr --with-pam-mods-dir=/lib64/security
make
make install

2、在数据库服务器上建立虚拟用户帐号
1.创建存储虚拟用户数据库和链接的数据库用户
mysql> CREATE DATABASE vsftpd;
mysql> SHOW DATABASES;

ftp服务和mysql不在同一主机：
mysql> GRANT SELECT ON vsftpd.* TO vsftpd@'172.16.%.%' IDENTIFIED BY '0315';

ftp服务和mysql在同一主机：
mysql> GRANT SELECT ON vsftpd.* TO vsftpd@localhost IDENTIFIED BY '0315';
mysql> GRANT SELECT ON vsftpd.* TO vsftpd@'127.0.0.1' IDENTIFIED BY '0315';
mysql> FLUSH PRIVILEGES;

2.准备相关表
mysql> USE vsftpd;
Mysql> SHOW TABLES;
mysql> CREATE TABLE users ( id INT AUTO_INCREMENT NOT NULL PRIMARY KEY, name CHAR(50) BINARY NOT NULL, password CHAR(48) BINARY NOT NULL );
mysql>DESC users;
测试链接 mysql -uvsftpd -h 172.16.200.200 -pmagedu
mysql> SHOW DATABASES;

3.添加虚拟用户
根据须要添加所须要的用户，为了安全应该使用PASSWORD 函数加密其密码后存储
mysql>DESC users;
mysql> INSERT INTO users(name,password) values(‘wang',password('0315'));
mysql> INSERT INTO users(name,password) values(‘mage',password('0315'));
mysql> SELECT * FROM users;

3、在FTP服务器上配置vsftpd服务
1.在FTP服务器上创建pam认证所需文件
vi /etc/pam.d/vsftpd.mysql 添加以下两行
auth required pam_mysql.so user=vsftpd passwd=magedu host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required pam_mysql.so user=vsftpd passwd=magedu host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
注意：参考README文档，选择正确的加密方式
crypt是加密方式，0表示不加密，1表示crypt(3)加密，2表示使用mysql password()函数加密，3表示md5加密，4表示 sha1加密
配置字段说明：
• auth 表示认证
• account 验证帐号密码正常使用
• required 表示认证要经过
• pam_mysql.so模块是默认的相对路径，是相对/lib64/security/路径而言，也能够写绝对路径；后面为给此模块传递的参数
• user=vsftpd为登陆mysql的用户
• passwd=magedu 登陆mysql的的密码
• host=mysqlserver mysql服务器的主机名或ip地址
• db=vsftpd 指定链接msyql的数据库名称
• table=users 指定链接数据库中的表名
• usercolumn=name 当作用户名的字段
• passwdcolumn=password 当作用户名字段的密码
• crypt=2 密码的加密方式为mysql password()函数加密

2.创建相应用户和修改vsftpd配置文件，使其适应mysql认证
创建虚拟用户映射的系统用户及对应的目录
useradd -s /sbin/nologin -d /var/ftproot vuser
chmod 555 /var/ftproot centos7 需除去ftp根目录的写权限
mkdir /var/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /var/ftproot/upload
确保/etc/vsftpd.conf中已经启用了如下选项
anonymous_enable=YES
添加下面两项
guest_enable=YES #全部系统用户都映射成guest用户
guest_username=vuser #指定gust用户为vuser
修改下面一项，原系统用户没法登陆
pam_service_name=vsftpd.mysql

4、启动vsftpd服务
service vsftpd start;systemctl start vsftpd
chkconfig vsftpd on;systemctl enable vsftpd
查看端口开启状况 netstat -tnlp |grep :21

5、Selinux相关设置：在FTP服务器上执行
• restorecon -R /lib64/security
• setsebool -P ftpd_connect_db 1
• setsebool -P ftp_home_dir 1
• chcon -R -t public_content_rw_t /var/ftproot/

6、测试：利用FTP客户端工具,以虚拟用户登陆验证结果
• tail /var/log/secure

7、在FTP服务器上配置虚拟用户具备不一样的访问权限
vsftpd能够在配置文件目录中为每一个用户提供单独的配置文件以定义其ftp服务访问权限，每一个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录能够是任意未使用目录，只须要在 vsftpd.conf指定其路径及名称便可
一、配置vsftpd为虚拟用户使用配置文件目录
vim /etc/vsftpd/vsftpd.conf
添加以下选项
user_config_dir=/etc/vsftpd/vusers_config

二、建立所须要目录，并为虚拟用户提供配置文件
mkdir /etc/vsftpd/vusers_config/
cd /etc/vsftpd/vusers_config/
touch wang mage

三、配置虚拟用户的访问权限
虚拟用户对vsftpd服务的访问权限是经过匿名用户的相关指令进行的。若是须要让用户wang具备上传文件的权限，能够修改/etc/vsftpd/vusers_config/wang文件，在里面添加以下选项并设置为YES便可,只读则设为NO
注意：需确保对应的映射用户对于文件系统有写权限 anon_upload_enable={YES|NO} anon_mkdir_write_enable={YES|NO} anon_other_write_enable={YES|NO}

FTP工具

Axel:网络客户端工具
下载安装axel
ftp://172.16.0.1/pub/Sources/6.x86_64/axel/axel2.4-1.el6.rf.x86_64.rpm

axel -n 3 -o /root ftp://172.16.0.1/pub/ISOs/CentOS-7-x86_64Everything-1511.iso