FTP 文件共享服务 基于tcp协议 端口:tcp 21(三次握手建立连接);tcp 20(数据传输)
工作模式 应用层
根据客户端的角度划分的:
[主动模式]
客户端开启一个1024以上的动态端口如:(2000)
--》连接服务器21号端口进行三次握手建立连接,三次握手的过程中会有延迟,延迟过程中:
客户端再次开启一个比上一个端口大1的端口(2001),监听
--》客户端给服务器发送命令Port2001,告知服务器,客户端的数据传输端口的2001
--》服务器端开启20端口与客户端的2001号端口建立连接进行数据通信
[被动模式]
客户端开启一个动态端口(2000)
--》连接服务器21号端口进行三次握手建立连接,三次握手的过程中会有延迟,延迟过程中:
客户端再次开启一个比上一个端口大1的端口(2001),监听
--》客服端给服务器端发送pasv命令,告知服务器,客户端现在处于被动模式,等待服务器端主动连接客户端
--》服务器端给客户端发送Port3000命令,告知给客户端,服务器端的数据传输端口的3000
--》客户端拿着2001号端口与服务器端的3000号端口建立连接进行数据通信
实验准备
两台服务器linux系统 centos 7.1
关闭防火墙
systemctl stop firewalld 临时关闭
systemctl disable firewalld 永久关闭
关闭selinux
setenforce 0 临时关闭
sed -i ‘/SELINUX/s/enforcing/disabled/g‘ /etc/selinux/config 永久关闭
yum -y install ftp 客户端安装FTP服务
yum -y install vsftpd 服务端安装vsftp服务
启动服务
systemctl enable vsftpd 开启自动启动服务
systemctl restart vsftpd 重启服务
systemctl stop vsftpd 停止服务
主配置文件 /etc/vsftpd/vsftpd.conf
#12 开启匿名访问
#16 允许本地的实体账户登陆
#19 允许实体账户有写权限
#23 创建文件的权限644(实体用户)
#29 允许匿名用户上传(只能上传文件不能上传目录)
#33 匿名创建目录的权限
#37 记录访问开启
#40 开启日志记录功能
#43 开启20号端口数据传输
#48、49 改变上传文件的属主
#53 日志所在的路径及文件名
#57 日志记录时是否采用标准格式
#60 会话连接超时时间600s
#63 数据传输超时时间120s
#82 上传数据传输模式
#90 不允许匿名用户的邮箱地址作为其密码
#92 记录文件的邮箱地址
#100 实体账户只让其在默认登录的位置活动
#101 开启其列表功能
#103 列表的存放位置及路径
#114 拒绝监听(ipv4)
#123 ipv6监听,能帮助监听ipv4
#125 用户认证 映射认证列表
#126 只要在用户列表中的用户都不能登录ftp
实验一
在配置文件中的特殊设置(实体用户切换目录限制)
【不允许实体用户切换路径,只能在默认访问位置活动】
vim /etc/vsftpd/vsftpd.conf
100行 解注释(即将#号去掉) 开启实体用户切换目录功能
chroot_local_user = yes
手动添加
allow_writeable_chroot = yes 允许用户进行登陆
101行 解注释
chroot_list_enable = YES 开启用户列表功能,在该列表中的用户可以切换路径
103行 解注释
chroot_list_file = /etc/vsftpd/chroot_list
指定用户列表所在路径及文件名,手动创建
vim /etc/vsftpd/chroot_list
加入到列表中的用户可以切换路径,列表外的用户不可以
重启服务验证
实验二
vim etc/vsftpd/vsftpd.conf
在配置文件中特殊权限设置 (允许匿名用户使用权限)
【实现匿名用户上传、创建目录、删除等权限】
29行 解注释
anon_upload_enable = YES 开启匿名用户上传功能,只能上传文件
33行 解注释
anon_mkdir_write_enable = YES 创建目录权限
34行 解注释
anon_other_write_enable = YES 手动添加,开启匿名用户的其他写权限
重启服务验证
客户端验证
用户名:ftp
密码:任意
修改匿名用户默认登陆位置的安全权限(属主、属组)
chown -R ftp.ftp /var/ftp/pub
重启服务验证
客户端:可以上传、创建目录、删除等
实验三
用户限制配置文件 /etc/vsftpd
【限制实体系统用户的登陆】
用户列表文件:ftpusers、user_list
ftpusers:
只要在给列表中的用户都拒绝访问
user_list:
在主配置文件中设置
userlist_enable = yes/no
若该项值为YES -》 开启用户列表功能,在user_list中用户拒绝登录
若该项值为NO -》 user_list列表失效
userlist_enable = yes
若userlist_deny = YES 表示列表内用户不允许登陆,列表外用户只能命令行登陆
若userlist_deny = NO 只有在列表中用户可以登录
实验四
虚拟用户:w
思想:客户端需要通过账号和密码登录,但是该账户不是系统中的实体账号,而是一个虚拟账号
在服务器端创建一个实体账户,将该账户映射到多个虚拟账号上
1.新创建虚拟账号文本文件 /etc/vsftpd
vim vftpuser (奇数行写用户名,偶数行写密码)
snow
123
lisa
321
不能有多余的空行
保存退出
2.将文本文件制作数据库文件
命令:db_load -T -t hash -f /vftpuser /etc/vsftpd/vftpuser.db
-T :将文本文件中内容导入到数据库文件中
-t :指定加密算法为hash
-f :指定文本文件,生成的库文件所在路径及文件名
3.配置验证文件 /etc/pam.d/vsftpd
将原验证文件备份
cp /usr/share/doc/vsftpd-3.0.2/EXAMPLE/VIRTUAL_USERS/vsftpd.pam /etc/pam.d/vsftpd 拷贝模板验证文件
vim /etc/pam.d/vsftpd
auth required pam_userdb.so db = /etc/vsftpd/vftpuser
account required pam_userdb.so db = /etc/vsftpd/vftpuser
执行数据库文件的位置及文件名,注意不需要加.db
4.创建实体账户,将其映射到多个虚拟账户
#useradd -d /var/ftp/vftp test 创建新账户test 并指定家目录路径
#chmod 777 /var/ftp/vftp
修改主配置文件 vim /etc/vsftpd/vsftpd.conf
在最下面一行添加
guest_enable = yes 开启虚拟用户
guest_username = test 映射的实体账号
5.重启服务验证
[注]开启虚拟用户功能后,所有实体账户都不能登录
若要实体账户登录,需将实体用户加入到~/vftpuser中
systemctl status vsftpd -l 显示详细状态
实验五:
限制虚拟用户的权限
vim /etc/vsftpd/vsftpd.conf
【将所有的匿名功能关闭】
在最下一行添加
user_config_dir = /etc/vsftpd/vftp
【设置所有虚拟用户的权限限制文件的路径】
#cd /etc/vsftpd/vftp
vim snow
anon_world_readable_only = yes 开启读权限
write_enable = yes 开启写权限
anon_upload_enable = yes 上传
anon_mkdir_write_enable = yes 创建目录
anon_other_write_enable = yes 其它写权限
保存退出,重启服务验证