FTP協議就是文件傳輸控制協議。它可以使文件通過網絡從一臺主機傳送到同一網絡的另一臺主機上�,而不受計算機類型和操作系統類型的限制����。服務器���、大型機�����,還是DOS操作系統、Windows操作系統����、Linux操作系統�,只要雙方都支持FTP協議���,就可以方便地傳送文件��。
FTP客戶端首先會隨機開啟一個大于1024的端口N(1032)�����,并連接服務端的21號端口,然后開放M端口(與端口N沒直接聯系)進行監聽, 同時向服務器發出PORT 1033命令通知服務器自己的在接收數據時所使用的端口號���。服務器在傳輸數據的時候,服務端通過自己的20端口去連接客戶端的端口M。當不需要傳輸時,此連接會自動斷開。如下圖(圖中端口號僅為示例):
FTP客戶端隨機開啟一個大于1024的端口X向服務器的21端口發起連接�,同時會開啟X+1端口����。然后向服務器發送PASV命令��,通知服務器自己處于被動模式���。服務器收到命令后���,會開放一個大于1024的端口Y進行監聽��,然后在ACK回復中通知客戶端,自己的數據端口是Y���。客戶端收到命令后,會通過X+1號端口連接服務器的端口Y�,然后在兩個端口之間進行數據傳輸�。這樣就能使防火墻知道用于數據連接的端口號����,而使數據連接得以建立 。如下圖:
在主動模式中,傳輸數據時�����,服務器是主動連接客戶端的數據端口�����。但如果客戶端存在防火墻��,那么當服務端在連接客戶端數據端口的時,就有可能被防火墻阻擋。所以FTP主動模式在許多時候用于沒有防火墻隔離的內部網絡機器���。一但有防火墻的存在,那么一般就不會在使用主動模式,而是被動模式。因為在被模式中����,命令連接與數據連接����,都是由客戶端發起的�����,而防火墻一般不會對出去的數據包進行阻擋�。
簡而言之��,客戶端被防火墻保護時����,盡量使用被動模式�;服務端被保護時,盡量使用主動模式�。但不管使用哪種模式����,數據連接的目標端口都不固定�,無法簡單配置基于端口的策略,當前防火墻一般通過解析FTP控制連接數據�����,臨時開啟數據連接訪問權限的方式實現(經測試確認H3C防火墻確實采用此方式支持FTP協議����,且V5版本不支持EPSV、EPRT)����。
請關注本頭條號�,每天堅持更新原創干貨技術文章��。
如需學習視頻�,請在微信搜索公眾號“智傳網優”直接開始自助視頻學習
1. 前言
本文主要是講解與演示如何在Linux上配置vsftp 虛擬多用戶����。虛擬用戶不能是系統用戶���,也不可能用于登錄系統���,只能用于ftp用戶驗證,所以對操作系統本身并無安全威脅問題����。
2. 安裝vsftpd
[root@zcwyou ~]# yum -y install vsftpd
安裝vsftpd
3. 設置與vsftp相關的SElinux策略
設置ftp用戶擁有所有權限
[root@zcwyou ~]# setsebool -P allow_ftpd_full_access=1
[root@zcwyou ~]# setsebool -P allow_ftpd_anon_write=1
4. 設置防火墻
4.1 CentOS 6防火墻設置
允許20�、21端口通過防火墻
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
設置ftp被動模式的端口范圍
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 9000:9045 -j ACCEPT
保存防火墻配置:
[root@zcwyou ~]# service iptables save
4.2 CentOS 7防火墻設置
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
4.3 CentOS 6 設置開機自啟動服務
[root@zcwyou ~]# chkconfig vsftpd on
4.4 CentOS 7 設置開機自啟動服務
[root@zcwyou ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
5. 配置vsftp虛擬用戶
所謂虛擬用戶就是沒有使用真實的帳戶���,只是通過映射到真實帳戶和設置權限的目的�����。虛擬用戶不能登錄CentOS系統����。
修改配置文件
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
配置vsftp虛擬用戶
配置以下內容:
設定不允許匿名訪問�����,即使用賬號密碼登錄
anonymous_enable=NO
設定本地用戶可以訪問����。注:如使用虛擬宿主用戶���,在該項目設定為NO的情況下所有虛擬用戶將無法訪問
local_enable=YES
write_enable=YES
允許匿名用戶和虛擬用戶寫文件和目錄
anon_upload_enable=YES
anon_mkdir_write_enable=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
指定PAM認證文件名
pam_service_name=vsftpd
以下這些是關于vsftpd虛擬用戶支持的重要配置項���,默認vsftpd.conf中不包含這些設定項目��,需要自己手動添加
設定啟用虛擬用戶功能
userlist_enable=YES
guest_enable=YES
指定虛擬用戶的宿主用戶,CentOS中已經有內置的ftp用戶了
guest_username=ftp
設定虛擬用戶個人vsftp的CentOS FTP服務文件存放路徑。
user_config_dir=/etc/vsftpd/vuser_conf
創建chroot用戶名單:
[root@zcwyou ~]# vi /etc/vsftpd/chroot_list
把虛擬用戶寫入這個文件�,一行一個用戶
test
6. 安裝Berkeley DB工具
安裝db4和db4-utils工具需要先安裝epel倉庫�����。用于建立用戶數據庫信息
[root@zcwyou ~]# yum install epel-release -y
[root@zcwyou ~]# yum install db4 db4-utils -y
安裝Berkeley DB工具
7. 創建用戶密碼文本
創建文件/etc/vsftpd/vuser_passwd.txt ,注意奇行是用戶名,偶行是密碼
[root@zcwyou ~]# vi /etc/vsftpd/vuser_passwd.txt
例如,建立test賬號�,密碼為123456����,輸入以下內容
test
123456
8. 生成虛擬用戶認證的數據庫文件
[root@zcwyou ~]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
9. 修改pam認證參數
隨后���,編輯認證文件/etc/pam.d/vsftpd���,全部注釋掉原來語句����,再增加以下兩句:
[root@zcwyou ~]# vi /etc/pam.d/vsftpd
不需要添加db后綴名
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
10. 創建虛擬用戶配置文件
最后,創建虛擬用戶配置文件,文件名等于vuser_passwd.txt里面的賬戶名���,否則下面設置無效
[root@zcwyou ~]# mkdir /etc/vsftpd/vuser_conf/
[root@zcwyou ~]# vi /etc/vsftpd/vuser_conf/test
內容如下:
虛擬用戶根目錄,根據實際情況修改
local_root=/data/ftp/test
可寫權限及文件掩碼
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=NO
創建test用戶根目錄及設置權限
[root@zcwyou ~]# mkdir -p /data/ftp/test/test_data
[root@zcwyou ~]# chmod -R 755 /data/
[root@zcwyou ~]# chmod 555 /data/ftp/test/
[root@zcwyou ~]# chown -R ftp:ftp /data/
最新的vsftpd要求對主目錄不能有寫的權限所以data為755,主目錄下面的子目錄再設置755權限或者你想要的權限。這樣,test用戶就可以對/data/ftp/test/test_data這個目錄進行讀寫操作了��。
11. 配置vsftp PASV模式(可選)
vsftpd默認沒有開啟PASV模式���,現在FTP只能通過PORT模式連接���,要開啟PASV默認需要通過下面的配置
打開/etc/vsftpd/vsftpd.conf��,在末尾添加
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
開啟PASV模式
pasv_enable=YES
最小端口號
pasv_min_port=40000
最大端口號
pasv_max_port=40080
pasv_promiscuous=YES
配置vsftp PASV模式
在防火墻配置內開啟40000到40080端口
CentOS 6防火墻設置:
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 4000:40080 -j ACCEPT
CentOS 6重啟防火墻:
[root@zcwyou ~]# service iptables save
[root@zcwyou ~]# service iptables restart
CentOS 7防火墻設置:
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
CentOS 6重啟vsftpd:
[root@zcwyou ~]# service vsftpd restart
CentOS 7重啟vsftpd:
[root@zcwyou ~]# systemctl restart vsftpd
12. 總結
vsftp是一個使用率非常高的服務�,運維人員必須要熟悉配置和使用�����。
本文已同步至博客站,尊重原創�,轉載時請在正文中附帶以下鏈接:
https://www.linuxrumen.com/rmxx/757.html
點擊了解更多����,快速查看更多的技術文章列表�。
