ftp主动/被动模式+虚拟账号配置

FTP基础  

FTP只通过TCP连接,没有用于FTP的UDP组件.FTP不同于其他服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口)。通常21端口是命令端口,20端口是数据端口。当混入主动/被动模式的概念时,数据端口就有可能不是20了

FTP的主动模式

    主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口--21端口。然后客户端在N+1(N+1 >= 1024)端口监听,并且通过N+1(N+1 >= 1024)端口发送命令给FTP服务器。服务器会反过来连接用户本地指定的数据端口,比如20端口。

  以服务器端防火墙为立足点,要支持主动模式FTP需要打开如下交互中使用到的端口:

  • FTP服务器命令(21)端口接受客户端任意端口(客户端初始连接)
  • FTP服务器命令(21)端口到客户端端口(>1023)(服务器响应客户端命令)
  • FTP服务器数据(20)端口到客户端端口(>1023)(服务器初始化数据连接到客户端数据端口)
  • FTP服务器数据(20)端口接受客户端端口(>1023)(客户端发送ACK包到服务器的数据端口)

  用图表示如下:

  在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。

  主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。

被动模式FTP

  为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。

  在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

  对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:

  • FTP服务器命令(21)端口接受客户端任意端口(客户端初始连接)
  • FTP服务器命令(21)端口到客户端端口(>1023)(服务器响应客户端命令)
  • FTP服务器数据端口(>1023)接受客户端端口(>1023)(客户端初始化数据连接到服务器指定的任意端口)
  • FTP服务器数据端口(>1023)到客户端端口(>1023)(服务器发送ACK响应和数据到客户端的数据端口)

  用图表示如下:

  在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。

  被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多FTP守护程序,包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。

  第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris提供的FTP命令行工具就不支持被动模式,需要第三方的FTP客户端,比如ncftp。

  随着WWW的广泛流行,许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。

主动/被动模式的选择

客户端软件通过主动模式去链接,我们客户端上不会设置防火墙,服务器可以直接链接过来

如果客户端是fz,请在设置中更改被动模式中退回主动模式

搭建FTP虚拟账号,更安全的访问

针对centos可以直接将下面代码运行,目录,账号自行更改

#/bin/bash
# 咱们比如映射本地帐号joker
  path=/data/pro/   # 自定义
  which vsftpd >> /dev/null
if [ $? = 0 ];then
#####实际账号是否是tomcat
  cat>/etc/vsftpd.conf<<EOF
  anonymous_enable=YES
  local_enable=YES
  write_enable=YES
  local_umask=022
  dirmessage_enable=YES
  xferlog_enable=YES
  connect_from_port_20=YES
  xferlog_std_format=YES
  listen=NO
  listen_ipv6=YES

  chroot_list_enable=NO
  ascii_upload_enable=YES
  ascii_download_enable=YES
  guest_enable=YES
  guest_username=joker
  user_config_dir=/etc/vsftpd/vuser_conf

  pam_service_name=vsftpd
  userlist_enable=YES
  tcp_wrappers=YES
EOF
  cd /etc/vsftpd && mkdir vuser_conf
####虚拟账号以及密码
cat>/etc/vsftpd/vuser_passwd.txt<<EOF
joker    # 虚拟帐号
joker123 # 虚拟密码
EOF
db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
####更改验证机制
cat>/etc/pam.d/vsftpd<<EOF
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
EOF
####虚拟账号家目录555,底层777的活动目录
cat>/etc/vsftpd/vuser_conf/$user<<EOF
local_root=$path
write_enable=YES
anon_umask=022
anon_world_readable_only=NO   # 注意,不能只读
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
EOF
####更改目录权限
####为了避免一个安全漏洞,从 vsftpd 2.3.5 开始,chroot 目录必须不可写
mkdir -p $path   # 创建目录
cd $path && mkdir a # a项目
chown -R joker:joker $path/a
cd /data && chmod 555 pro && chmod 777 a
systemctl restart vsftpd.serivce >> /dev/null
####
else
  echo "you apt-get install vsftpd,please again"
  yum install -y vsftpd db-util
fi

附上配置文件解释

anonymous_enable=YES  //是否允许anonymous登录FTP服务器,默认是允许的.
local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许
write_enable=YES  //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许
local_umask=022 //设置本地用户的文件生成掩码为022,默认是077
 anon_upload_enable=YES
anon_mkdir_write_enable=YES  //是否允许匿名账户在FTP服务器中创建目录
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
xferlog_enable=YES  //启用上传和下载日志功能
connect_from_port_20=YES   //启用FTP数据端口的连接请求
xferlog_file=/var/log/vsftpd.log  //设置日志文件的文件名和存储路径,这是默认的
xferlog_std_format=YES//是否使用标准的ftpd xferlog日志文件格式
idle_session_timeout=600  //设置空闲的用户会话中断时间,默认是10分钟
data_connection_timeout=120//设置数据连接超时时间,默认是120秒.
ascii_upload_enable=YES
ascii_download_enable=YES //是否允许使用ASCII格式来上传和下载文件
ftpd_banner=Welcome to blah FTP service.//在FTP服务器中设置欢迎登录的信息.
chroot_list_enable=YES //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项,如果设置chroot_list_enable=YES,那么只允许/etc/vsftpd.chroot_list中列出的用户具有该功能.如果希望所有的本地用户都执行者chroot,可以增加一行:chroot_local_user=YES
chroot_list_file=/etc/vsftpd.chroot_list
pam_service_name=vsftpd  //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.
userlist_enable=YES //用户列表中的用户是否允许登录FTP服务器,默认是不允许
listen=YES  //使vsftpd 处于独立启动模式
tcp_wrappers=YES  //使用tcp_wrqppers作为主机访问控制方式

原文地址:https://www.cnblogs.com/jokerbj/p/9090276.html

时间: 2024-10-30 06:54:35

ftp主动/被动模式+虚拟账号配置的相关文章

centos6.5 最小化安装FTP虚拟账号配置

客户机:192.168.0.106 服务端:192.168.0.108(xiaohua108) 一.安装vsftp软件 1.服务端安装直接使用yum安装yum -y install vsftpd 2.客户端安装yum -y install lftp 二.创建虚拟账号 1.创建用户文本文件,添加用户,格式为一行用户一行密码 [[email protected] ~]# vim /etc/vsftpd/vsftpd_user.txt 此文件需要创建 xiaohua  #用户名 此用户名需要与下文创建

【Linux】 ftp 主动被动模式

LNMP 搭建得服务器,在使用ftp时候,报如下错误: 经查,是ftp 主动模式被动模式问题 工具:  Xftp5   ,把被动模式勾 取消 (其他客户端可以网上查一下 相应的 被动模式转主动模式设置方法) 还有一点: 把本地防火墙关了  !!!   因为这个原因.我找了半天,问了好多小伙伴,都不行,最后把本地防火墙关了.可以了 补充学习: ftp FTP主动模式和被动模式的比较 FTP是仅基于TCP的服务,不支持UDP.与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端

FTP主动模式和被动模式的区别

基础知识: FTP只通过TCP连接,没有用于FTP的UDP组件.FTP不同于其他服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口).通常21端口是命令端口,20端口是数据端口.当混入主动/被动模式的概念时,数据端口就有可能不是20了. 主动模式FTP: 主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口--21端口.然后客户端在N+1(N+1 >= 1024)端口监听,并且通过N+1(N+1 >= 1024)端口发送命令给F

[转] FTP主动模式和被动模式的区别

转自原文FTP主动模式和被动模式的区别 基础知识: FTP只通过TCP连接,没有用于FTP的UDP组件.FTP不同于其他服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口).通常21端口是命令端口,20端口是数据端口.当混入主动/被动模式的概念时,数据端口就有可能不是20了. 主动模式FTP: 主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口--21端口.然后客户端在N+1(N+1 >= 1024)端口监听,并且通过N+1(N+1

FTP主动模式和被动模式的区别【转】

转自:http://www.cnblogs.com/xiaohh/p/4789813.html 基础知识: FTP只通过TCP连接,没有用于FTP的UDP组件.FTP不同于其他服务的是它使用了两个端口, 一个数据端口和一个命令端口(或称为控制端口).通常21端口是命令端口,20端口是数据端口.当混入主动/被动模式的概念时,数据端口就有可能不是20了. 主动模式FTP: 主动模式下,FTP客户端从任意的非特殊的端口(N > 1023)连入到FTP服务器的命令端口--21端口.然后客户端在N+1(N

ftp虚拟账号登陆

配置使用虚拟用户登录的FTP服务器,可以避免使用操作系统帐号作为FTP用户带来的一些安全问题,也便于通过数据库或其它程序来进行管理. 废话不多说,这里记录下ftp虚拟账号登陆的部署过程及其中遇到的问题: yum安装vsftpd [[email protected] ~]#yum install -y vsftpd [[email protected] ~]#yum install -y db4 线上安装后的环境记录 [[email protected]_web vsftpd]# pwd /etc

Linux下FTP虚拟账户配置

参考模版/usr/share/doc/vsftpd-2.0.5/EXAMPLE/VIRTUAL_USERS) 1.创建虚拟账户 [[email protected] ~]#yum install db4-utils [[email protected] ~]#vim /etc/vsftpd/vlogin tomcat #账户名称 123456 #密码 jerry #账户名称 654321 #密码 [[email protected] ~]#db_load -T -t hash -f /etc/v

ftp的20 21端口和主动被动模式

ftp只支持tcp连接,不支持udp连接. ftp使用两个端口: 21(控制端口, 命令端口) , 20(数据端口) 21端口:  用来控制用户验证, 连接的建立和关闭:open/close/bye 20端口: 用来传输数据. 两个连接: 命令连接(控制连接) , 数据连接 ftp协议使用的端口是21(也称为控制端 口),其实还有一个数据端口20,根据FTP工作方式的不同,数据端口也不都是20,主动模式的被动模式使用的数据端口是不一样的. 主动和被动是相对于谁而言的? ****** 该是相对于f

[服务]ftp主动模式和被动模式

经常忘记这个东西.于是总结下这东西感受下这个协议. FTP连接方式 控制连接:标准端口为21,用于发送FTP命令信息 数据连接:标准端口为20,用于上传.下载数据 数据连接的建立类型: 主动模式:服务端从20端口主动向客户端发起连接 被动模式:服务端在指定范围内的某个端口被动等待客户端发起连接 FTP传输模式 文本模式:ASCII模式,以文本序列传输数据 二进制模式:Binary模式,以二进制序列传输数据 总结: 一 两个阶段:控制连接  tcp 21(client发起,三次握手过程) ?