FTP简述之CentOS平台vsftpd参数讲解
FTP知识概述node
FTP的全称为“File Transfer Protocol”即(文件传输协议),用于在Internet或Intranet的两台主机之间传输文件,利用FTP能够传输文本文件和二进制文件;
该协议的简称叫“FTP”,现现在已然成为文件传输的代名词;
FTP 是Internet上最先出现且使用也最为普遍的一种文件传输服务。基于C/S架构,工做在应用层且经过该服务可在FTP服务器和FTP客户端之间创建链接,实现FTP服务器和FTP客户端之间的数据文件传输;mysql
构建FTP基础linux
要使用FTP在两台计算机之间传输文件,两台计算机必须各自扮演不一样的角色;
即一台计算机必须是FTP客户端,而另外一台则必须是FTP服务器端;sql
FTP链接传输模式数据库
相比于HTTP,FTP协议要独特一些。其缘由是FTP协议要用到两个TCP链接;
一个是命令链接,用来在FTP客户端与服务器之间传递命令(固定监听端口TCP/21);
另外一个是数据链接,用来上传或下载数据(监听端口TCP/20);
命令链接:传输命令
客户端发出请求,服务端响应 ;
数据链接:传输数据
数据链接必须是经过某个命令链接发起 ;
协议安全:
明文传输即认证时传输帐号和密码的传输亦是明文 ;
请参考上图vim
FTP数据链接传输模式centos
FTP协议有两种工做模式:站在服务器的角度即为主动模式和被动模式
主动模式:服务器端经过固定TCP/20端口主动去链接客户端的命令链接的端口+1的端口(PORT模式);
服务器端口:固定,客户端口:随机;
被动模式:客户端发出数据请求后,服务端会响应一个打开的临时随机端口给客户端(PASV模式);
服务器端口:随机(半随机);
被动模式端口创建的计算方法:
(1)、客户端经过命令链接发数据请求给服务器端,服务器端与客户端经过命令创建数据链接后会浏览器
自动响应并告诉客户端此次传输咱们两个用哪一个端口,好比44442端口;安全
(2)、服务器端通常会传回给客户端“两个数字(如132,与221);
(3)、其计算方法是:
拿44442/256=结果必是(商+余)。商就是132,余就是221;
而后服务器端把商和余看成两个数字传给客户端;
而后客户端经过计算:商*256+余数,来推断出端口号从而创建数据链接;
(4)、以此类推,来体现出服务器端的高风亮节,即把方便留给他人; bash
FTP里的用户类型
基于vsftp用户模型讲解
(1) 匿名用户(映射至某一固定的系统用户),ftp,vsftp映射路径是var/ftp/;
(2) 本地用户(也叫系统用户),即root及系统用户,一般为0-999之间的数字;
(3) 虚拟用户 借助于其它存储系统或是非本地的/etc/passwd、shadow当中的用户及密码;
vsftp认证须要用到PAM模块即插入式认证模块(Plugable Authentication Modules)
还有个NSSWITCH(Name Server Switch),这个用不到只是提下,叫名称解析服务;
依据以上基础讲解在CentOS系统上vsftp的功能实现
vsftpd (Very Secure FTP Daemon) ;
是一个为UNIX类系统开发的轻量,稳定和安全的FTP服务器端;
vsftp应用程序特色
(1)、安全,稳定这毋庸置疑;
(2)、不执行任何外部程序,减小安全隐患;
(3)、支持两种认证方式(PAP或xinetd/ tcp_wrappers);
(4)、支持带宽限制;
(5)、支持虚拟目录;
(6)、等其它功能,可参考Google
vsftp应用程序安装
配置环境基于CentOS 7.2实现;
此程序已收录于base仓库可直接yum安装; ~]# yum info vsftpd ~]# rpm -q vsftpd ~]# yum install vsftpd -y
vsftp程序环境及文件
[root@node1 ~]# rpm -ql vsftpd 主配置文件:/etc/vsftpd/vsftpd.conf; 主程序文件:/usr/sbin/vsftpd; Unit File:/usr/lib/systemd/system/vsftpd.service; 文件路径映射:/var/ftp (如 ftp://ftp.glances.org/pub/a.txt --> /var/ftp/pub/a.txt); 用户家目录映射:访问ftp必须以某个系统用户的身份,此用户的家目录即文档目录; 匿名用户:anonymous,要映射为某固定一个系统用户;vsftp服务管理首次启动
在了解了以上的简单内容后,咱们接下来就简单实现服务启动;
确保selinux与iptables处于关闭状态;
在CentOS 7 上服务管理可经过脚本实现
~]# setenforce 0 //把selinux设置为 permissive模式;
~]# iptables -F //清理防火墙规则链;
~]# yum install -y vsftpd //安装vsftp应用程序;
~]# systemctl start vsftpd.service //启动vsftpd守护进程;
确保服务端口被监听(TCP/21端口);
~]# ss -tnl
打开浏览器测试能否正常链接; ftp://172.16.5.40
可新建用户进行上传下载文件测试;
~]# useradd centos;
~]# echo centos | passwd –stdin centos;
~]# lftp -u centos,centos 172.16.5.40 //用lftp命令-u选项指明用户名密码ip后访问ftp;
~]# lcd /etc //lcd是切换到本地目录;
~]# put fstab //上传一个文件测试;
主配置文件说明/etc/vsftpd.conf
配置文件内语法指令 directive value
注意:directive 以前不能有任何字符;
vsftpd]# cp vsftpd.conf{,.back}
匿名用户:
anonymous_enable=YES //是否启用匿名访问(把显示改成no,而不是注释);
anon_upload_enable=YES //是否容许匿名用户上传文件,依赖于write_enable=YES;
write_enable=YES //是否容许修改文件系统,全局配置;
anon_other_write_enable=YES //是否容许远程匿名用户删除、重命名文件权限;
anon_mkdir_write_enable=YES //是否容许远程用户在ftp服务器上建立目录;
重点提示:
匿名用户是映射到一个系统用户,/var/ftp的属主属组权限都是root状况下不容许上传文件;
报错代码530
可修改文件的属主:chown ftp upload
目录管理是独立权限,依赖于anon_mkdir_write_enable=YES
报错代码550
在远端删除文件的权限,依赖于anon_other_write_enable=YES
报错代码550
本地用户:
local_enable=YES //是否开发本地用户登陆访问ftp服务yes启用,任何/etc/passwd用户都 可能登陆对全部非匿名用户和虚拟用户想工做起来,必须启用此项;
若是只开放匿名用户local_enable=NO
write_enable=YES //是否容许修改文件系统,全局配置;
其它指令:
local_umask=022 //设定本地用户上传文件和目录权限掩码;
只能本地用户能访问,文件权限644,目录权限755;
dirmessage_enable=YES //定义目录消息显示(lftp命令不支持,支持ftp客户端)
用户第一次进入目录vsftpd会查看.message文件并将其内容显示给用户,可指定
文件路径,而不使用默认的.message;
~]# cd /var/ftp/upload
vim .message
– upload dir
– ftp.glances.org
~]# ftp ip -u
ftpd_banner=Welcome to blah FTP service //每一次登陆都显示一条横幅,欢迎信息;
数据传输日志:
xferlog_std_format=YES 是否使用标准传输日志格式;
xferlog_enable=YES //是否打开上传下载日志功能;
默认/var/log/ftp.log
xferlog_file=/var/log/xferlog //用于定义传输日志的日志文件名;
数据传输模式:
connect_from_port_20=YES //是否启用PORT模式;
到底使用什么模式,须要客户端发起请求,两者进行协商来决定的;
修改匿名用户上传的文件的属主:
chown_uploads=YES //是否修改‘;
chown_username=whoever;
若是启用chown_uploads指令时将文件属主修改成此指令的指定用户,默认为root;
chown_upload_mode //设定匿名用户上传的文件的权限,默认600;
设定会话超时时长:
idle_session_timeout=600 //设定空闲会话超时时长;
cannect_timeout //在主动模式下服务器链接客户端的超时时长;
data_connection_timeout //设定数据传输的超时时长;
命令链接的监听端口:
Listen_port;
设定链接传输速率:
local_max_rate //设定默认链接传输速率,单位为字节,默认为零表示无显示;
max_clients //设定最大并发链接数,默认2000,零表示无限制;
max_per_ip //设定每一个ip所容许发起的最大链接数;
anon_max_rate //设定匿名用户的传输速率,单位为字节;
设定文本传输:
ascii_upload_enable=YES;
ascii_download_enable=YES;
以上设置是否容许以文本方式上传下载文件;
禁锢用户:
chroot_local_users=YES //禁锢全部本地用户;
注意:要求用户不能对家目录有写权限,报错代码421,500;
chroot_list_enable=YES //是否启用禁锢列表;
chroot_list_file=/etc/vsftpd/chroot_list //禁锢列表文件,需单首创建;
禁锢指定的文件中的用户于本身的家目录中;但须要事先移除用户对家目录的写权限;
注意:chroot_local_users=YES,chroot_list_file=/etc/vsftpd/chroot_list 不可同时使用;
控制可登陆vsftpd服务的用户列表:
禁止登陆ftp的全部用户:ftpusers(黑名单);
userlist_enable=YES
启用时将加载一个由userlist_file指令指定的用户列表文件,此文件中的用户是否能访问vsftpd服务取决于userlist_deny指令; userlist_deny=YES 表示此列表为黑名单; userlist_deny=NO 表示此列表为白名单;
配置基于Mysql虚拟用户的认证明现
一、下载pam—mysql程序包
下载连接:http://pam-mysql.sourceforge.net/
程序包:pam_mysql-0.7RC1.tar.gz
二、安装开发环境
~]# yum groupinstall Development Tools
三、安装mysql
~]# yum install mariadb-server mariadb-devel openssl-devel pam-devel -y
启动mysql :systemctl start mariadb.service
自启mysql:systemctl enable mariadb.service
四、解压pam_mysql-0.7RC1.tar.gz文件,并进入到目录中;
五、编译安装pam_mysql模块
# ./configure –with-pam=/usr –with-mysql=/usr –with-pam-mods-dir=/usr/lib64/security
# make
# make install
验证下:~]# ls /lib64/security/
六、准备数据库
登陆mysql并建立数据库
mysql> CREATE DATABASE vsftpd;
mysql> CREATE TABLE vsftpd.users (id INT NOT NULL AUTO_INCREMENT PRIMARY KEY, name CHAR(30) NOT NULL UNIQUE KEY,password CHAR(48));
mysql> INSERT INTO vsftpd.users (name,password) VALUES ('tom',PASSWORD('tom')),('jerry',PASSWORD('jerry'));
mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'centos';
mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'127.0.0.1' IDENTIFIED BY 'centos';
mysql> FLUSH PRIVILEGES;
七、vsftpd经过pam_mysql进行认证的配置文件路径是/etc/pam.d/vsftpd.mysql
参考格式文件是/etc/pam.d/vsftpd; 在此目录下新建mysql的独立认证文件:vim vsftpd.mysql,写入以下内容 auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2 认证,此项检查成功才经过,使用的模块,登陆mysql用户,登陆mysl密码,主机是谁,链接哪个数据库,表是哪一个,登陆用户名的字段,登陆密码的字段,密码加密的方式 account required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2 验证 此项检查成功才经过 后续内容解释同上 以上参数字段的解释: user:链接mysql服务器的用户名,此用户要有权限访问认证vsftpd服务的数据库; passwd:上面的用户的密码; host:mysql服务器主机地址; db:认证vsftpd服务的数据库名称; table:存放了用户和密码的表; usercolumn:用户名对应的字段; passwdcolumn:密码对应的字段; crypt:密码加密方法;
八、准备匿名用户映射的系统用户帐号
~]# mkdir /ftproot
~]# useradd -s /sbin/nologin -d /ftproot vuser
~]# mkdir /ftproot/{pub,upload}
~]# setfacl -m u:vuser:rwx /ftproot/upload
九、配置vsftpd.conf文件,增长如下内容
其它的参数不动,加入 pam_service_name=vsftpd.mysql //指明认证文件的路径; guest_enable=YES //是否容许来宾帐号访问; guest_username=vuser //把全部来宾帐号都映射为vuser; 重启vsftpd,肯定21号端口被监听; ~]# systemctl start vsftpd 若有故障请认证排查,vsftpd对权限很敏感,对写权限要谨慎;
十、配置每匿名用户有单独的权限设定
修改配置文件vsftpd.conf: 注释掉anon_upload_enable=YES,在文件尾部加入 user_config_dir=/etc/vsftpd/vusers_conf 建立目录: ~]# mkdir /etc/vsftpd/vusers_conf ~]# cd /etc/vsftpd/vusers_conf 为每用户提供配置文件: ~]# vim tom anon_upload_enable=YES //tom容许上传文件 ~]# vim jerry anon_upload_enable=NO //jerry不容许上传文件 重启vsftpd服务在客户端进行文件上传测试 ~]# systemctl restart vsftpd.service 使用tom登陆到ftp,put一个文件。若是put成功,则更换jerry测试; 测试直到知足咱们的要求便可
done@@@
- 1. centos 安装vsftpd、ftp
- 2. FTP&&VSFTPD
- 3. 基于vsftpd部署ftp服务(centos/rhel)
- 4. Centos 7 的vsftpd安装和配置ftp
- 5. CentOS 6.3下FTP vsftpd 安装及配置
- 6. Linux Centos安装vsftpd (FTP服务器)
- 7. 搭建FTP服务之vsftpd
- 8. JVM -- 01Java平台简述
- 9. exportfs、NFS、FTP、vsftpd
- 10. ftp服务vsftpd
- 更多相关文章...
- • ionic 平台 - ionic 教程
- • Web Services 平台元素 - Web Services 教程
- • Flink 数据传输及反压详解
- • Github 简明教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。