ftp工作是会启动两个通道:
控制通道 , 数据通道
在ftp协议中,控制连接均是由客户端发起的,而数据连接有两种模式:port模式(主动模式)和pasv(被动模式)
PORT模式:
在客户端需要接收数据时,ftp_client(大于1024的随机端口)-PORT命令->ftp_server(21) 发送PORT命令,这个PORT命令包含了客户端是用什么端口来接收数据(大于1024的随机端口),在传送数据时,ftp_server将通过自己的TCP 20 端口和PORT中包含的端口建立新的连接来传送数据。
PASV模式:
传送数据时,ftp_client--PASV命令-->ftp_server(21) 发送PASV命令时,ftp_server自动打开一个1024--5000之间的随机端口并且通知ftp_client在这个端口上传送数据,然后客户端向指定的端口发出请求连接,建立一条数据链路进行数据传输。
1 安装ftp
#rpm -qa vsftpd 查看是否已经安装
#yum install -y vsftpd
#rpm -ql vsftpd /etc/logrotate.d/vsftpd. vsftpd的日志文件 /etc/pam.d/vsftpd PAM认证文件 /etc/rc.d/init.d/vsftpd 启动脚本 /etc/vsftpd vsftpd的配置文件存放的目录 /etc/vsftpd/ftpusers 禁止使用vsftpd的用户列表文件 /etc/vsftpd/user_list 禁止或允许使用vsftpd的用户列表文件 /etc/vsftpd/vsftpd.conf 主配置文件 /etc/vsftpd/vsftpd_conf_migrate.sh vsftpd操作的一些变量和设置 /usr/sbin/vsftpd vsftpd的主程序 其他一些说明文档和手册文件略! /var/ftp 匿名用户主目录 /var/ftp/pub 匿名用户的下载目录
#service vsftpd start #chkconfig --level vsftpd #chkconfig --level 2345 vsftpd on
2 匿名用户的登录名:ftp(anonymous) 密码空 ,登录的目录为/var/ftp
用匿名用户登录的时候默认是只有下载的权限,没有上传,创建和删除的权限:
#vim /etc/vsftpd/vsftpd.conf anon_upload_enable=YES 上传 anon_mkdir_write_enable=YES 创建 anon_other_write_enable=YES 删除 #service vsftpd restart
为了安全应该禁止匿名用户的登录:
#vim /etc/vsftpd/vsftpd.conf anonymous_enable=NO #anon_upload_enable=YES 上传 #anon_mkdir_write_enable=YES 创建 #anon_other_write_enable=YES 删除 #service vsftpd restart
3 创建一个直接登录系统用户来登录ftp:
#useradd -s /sbin/nologin viong #passwd viong
用户具有 上传 创建 下载 切换目录
------------------------------------------------------------------
4 加强vsftp安全设置:
限制系统用户锁定在家目录:
#vim /etc/vsftpd/vsftpd.conf chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list 限制更多的系统用户,把需要限制的用户加入/etc/vsftpd/chroot_list中即可 #touch /etc/vsftpd/chroot_list #cut -d: -f 1 /etc/passwd >>/etc/vsftpd/chroot_list 将本地用户都加入到chroot_list
限制重要系统用户不能登录ftp:
#cat /etc/vsftpd/ftpusers 默认已经添加了系统中一些比较重要的用户 #echo "viong" >>/etc/vsftpd/ftpusers 此时viong不能登录ftp
利用ftp用户策略允许登录ftp的系统用户:
/etc/vsftpd/user_list 只有在这个文件中的用户才能登录系统: #vim /etc/vsftpd/vsftpd.conf #在userlist_enable=YES 的后面添加 userlist_deny=NO userlist_file=/etc/vsftpd/user_list
设置登录ftp目标ip地址:用iptables设置
---------------------------------------
搭建支持SSL加密传输的vsftpd:
#openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem 生成证书 #vim /etc/vsftpd/vsftpd.conf ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=YES ssl_sslv3=YES rsa_cert_file=/etc/vsftpd/vsftpd.pem
下面是ssl参数一些定义,根据自己需求去修改:
ssl_enable=yes/no //是否启用 SSL,默认为no
allow_anon_ssl=yes/no //是否允许匿名用户使用SSL,默认为no
rsa_cert_file=/path/to/file //rsa证书的位置
dsa_cert_file=/path/to/file //dsa证书的位置
force_local_logins_ssl=yes/no //非匿名用户登陆时是否加密,默认为yes
force_local_data_ssl=yes/no //非匿名用户传输数据时是否加密,默认为yes
force_anon_logins_ssl=yes/no //匿名用户登录时是否加密,默认为no
force_anon_data_ssl=yes/no //匿名用户数据传输时是否加密,默认为no
ssl_sslv2=yes/no //是否激活sslv2加密,默认no
ssl_sslv3=yes/no //是否激活sslv3加密,默认no
ssl_tlsv1=yes/no //是否激活tls v1加密,默认yes
ssl_ciphers=加密方法 //默认是DES-CBC3-SHA
#service vsftpd restart
用flashftp连接:
连接类型为:FTP使用公开SSL(验证SSL)
地址:192.168.137.130:21
登录类型:普通
用户:viong
密码:123
---------------------------------------------------------------------
建立多个ftp虚拟机用户支持不同的访问权限:
实验环境:
公司最近上了一款游戏,当游戏客户端登录到服务器有补丁更新时,是通过ftp来更新数据.所以需要建立一个普通虚拟用户账号,用于客户端登录ftp服务器更新补丁用,此账号只支持下载权限.由于平时我们也要维护服务器后台上传数据,需要建立一个专用虚拟用户账号,此账号拥有所有权限.还要把上传数据发布到普通虚拟用户家目录下,提供下载!
一个普通用户public:下载
一个专用用户personal:所有权限
解决方案:
创建用户数据库:
#vim /etc/vsftpd/vsftpd_login.txt
public 账号
public 密码
personal 账户
personal 密码
生成数据库:
db_load:安装 db4,db4-devel,db4-utils
#yum -y install db4*
#db_load -T -t hash -f /etc/vsftpd/vsftpd_login.txt /etc/vsftpd/vsftpd_login.db
修改数据文件访问权限:
chmod 600 /etc/vsftpd/vsftp_login.db
修改pam配置:
#cat /etc/pam.d/vsftpd
将原来的全部注释掉,加入:
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
注意:db=/etc/vsftpd/vsftpd_login 后面的.db必须去掉
创建虚拟账号对应的系统用户:
普通帐号public对应系统帐号ftp_public,并指定其主目录为/var/ftp/public
普通帐号public只允许下载,修改public目录其他用户权限为rx可读可执行
专用帐号personal对应系统帐号ftp_personal,指定主目录为/var/ftp/personal
专用帐号personal允许上传和下载,所以对personal目录权限设置为rwx,可读可写可执行,如果不设置可执行用户登录会出不能更改目录错误
# useradd -d /var/ftp/personal/ -s /sbin/nologin ftp_personal
# useradd -d /var/ftp/public/ -s /sbin/nologin ftp_public
# chmod -R 500 /var/ftp/public/
# chmod -R 700 /var/ftp/personal/
为不同的虚拟用户创建不用的ftp权限:
#vim /etc/vsftpd/vsftpd.com
anonymous_enable=NO(修改配置)禁用匿名用户登录
write_enable=YES (默认开启)允许使用任何可以修改文件系统的FTP的指令
local_enable=YES(默认开启)启用本地用户登录设置
chroot_local_user=YES (自建配置)将所有本地用户限制在家目录中
pam_service_name=vsftpd(默认开启)配置vsftpd使用的PAM模块为vsftpd
user_config_dir=/etc/vsftpd/vsftpd_login (自建配置)设置虚拟帐号的主目录为/vsftpd_login
max_clients=300 (自建配置)设置FTP服务器最大接入客户端数为300个
max_per_ip=10 (自建配置)设置每个IP地址最大连接数为10个
listen=YES
port_enable=NO(自建配置)取消PORT模式进行数据传输
connect_from_port_20=NO (修改配置)PORT模式进行数据传输部使用20端口
pasv_enable=YES(自建配置)允许PASV模式进行数据传输
pasv_min_port=65341 (自建配置)PASV模式下数据传输所使用port范围下界
pasv_max_port=65351 (自建配置)PASV模式下数据传输所使用port范围上界
建立虚拟账户的配置文件:
在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段
[[email protected] vsftpd]# mkdir /etc/vsftpd/vsftpd_login
[[email protected] vsftpd]# touch /etc/vsftpd/vsftpd_login/public
[[email protected] vsftpd]# touch /etc/vsftpd//vsftpd_login/personal
首先建立普通帐号public的配置文件
[[email protected] vsftpd_login]# echo guest_enable=yes >>public
[[email protected] vsftpd_login]# echo guest_username=ftp_public >>public
[[email protected] vsftpd_login]# echo anon_world_readable_only=no >>public
[[email protected] vsftpd_login]# echo anon_max_rate=50000 >>public
[[email protected] vsftpd_login]# cat public
guest_enable=yes 开启虚拟帐号登录
guest_username=ftp_public 设置虚拟用户public对应的系统帐号为ftp_public
anon_world_readable_only=no 不允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=50000 限定传输速率为50KB/s
注意:
vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈,而是在80%~120%之间变化哈~比如设置100KB/s则实际是速度在80KB/s~120KB/s之间变化哈~
接着建立专用帐号的配置文件personal
[[email protected] v:wqsftpd_login]# echo guest_enable=yes >> personal
[[email protected] vsftpd_login]# echo guest_username=ftp_personal >> personal
[[email protected] vsftpd_login]# echo anon_world_readable_only=no >> personal
[[email protected] vsftpd_login]# echo anon_mkdir_write_enable=yes >> personal
[[email protected] vsftpd_login]# echo anon_upload_enable=yes >> personal
[[email protected] vsftpd_login]# echo anon_max_rate=50000 >> personal
[[email protected] vsftpd_login]# cat personal
guest_enable=yes 开启虚拟帐号登录
guest_username=ftp_ personal 设置虚拟用户对应的系统帐号为ftp_personal
anon_other_write_enable=YES 允许匿名账号具有删除.更名权限
anon_mkdir_write_enable=yes 允许创建文件夹
anon_upload_enable=yes 开启匿名帐号的上传功能
anon_world_readable_only=no 不允许匿名用户浏览整个服务器的文件系统
anon_max_rate=100000 限定传输速度为100KB/s
#service vsftpd restart
关于把上传数据发布到普通虚拟用户家目录下提供下载!
[[email protected] ~]# cp /var/ftp/personal/* /var/ftp/public/
把上传数据发布到普通虚拟用户家目录下提供下载
[[email protected] ~]# chown -R ftp_public.ftp_public /var/ftp/public/
更改public目录的所有者和属组为ftp_public,这样public用户才能下载
--------------------------------------------------------------------------
利用quota对Vsftpd做磁盘配额
打开VMware点击VM---settings—add—Hard Disk—---Create a new virtual disk—SCSI—disk size(GB)2.0----重启虚拟机系统
[[email protected] ~]# fdisk -l
Disk /dev/sda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/sda1 * 1 13 104391 83 Linux
/dev/sda2 14 1044 8281507+ 8e Linux LVM
Disk /dev/sdb: 2147 MB, 2147483648 bytes -----------à说明已经生效了
255 heads, 63 sectors/track, 261 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
先把/dev/sdb划分为一个扩展分区,再新建一个逻辑分区,格式化为ext3分区,然后设置为重启自动加载。
[[email protected] ~]# fdisk /dev/sdb
对/dev/sdb进行分区
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel. Changes will remain in memory only,
until you decide to write them. After that, of course, the previous
content won‘t be recoverable.
Warning: invalid flag 0x0000 of partition table 4 will be corrected by w(rite)
Command (m for help): n 增加一个分区
Command action
e extended
p primary partition (1-4)
e增加扩展分区
Partition number (1-4): 1
First cylinder (1-261, default 1): 回车
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-261, default 261): 回车
Using default value 261
Command (m for help): w保存退出
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
[[email protected] ~]# fdisk /dev/sdb
Command (m for help): n
Command action
l logical (5 or over)
p primary partition (1-4)
l增加逻辑分区
First cylinder (1-261, default 1): 回车
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (1-261, default 261): 回车
Using default value 261
Command (m for help): w
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
[[email protected] ~]# fdisk -l
Disk /dev/sda: 8589 MB, 8589934592 bytes
255 heads, 63 sectors/track, 1044 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/sda1 * 1 13 104391 83 Linux
/dev/sda2 14 1044 8281507+ 8e Linux LVM
Disk /dev/sdb: 2147 MB, 2147483648 bytes
255 heads, 63 sectors/track, 261 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Device Boot Start End Blocks Id System
/dev/sdb1 1 261 2096451 5 Extended
/dev/sdb5 1 261 2096419+ 83 Linux
[[email protected] ~]# mkfs.ext3 /dev/sdb5 格式化sdb5
mke2fs 1.39 (29-May-2006)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
262144 inodes, 524104 blocks
26205 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=536870912
16 block groups
32768 blocks per group, 32768 fragments per group
16384 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912
Writing inode tables: done
Creating journal (8192 blocks): done
Writing superblocks and filesystem accounting information: done
This filesystem will be automatically checked every 25 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.
[[email protected] ~]# mkdir /mnt/ftp
创建一个目录来挂载sdb5
[[email protected] ~]# mount /dev/sdb5 /mnt/ftp/
挂载sdb5到/mnt/ftp/
[[email protected] ~]# vi /etc/fstab
添加最后一条信息,来达到重启自动挂载上去
/dev/VolGroup00/LogVol00 / ext3 defaults 1 1
LABEL=/boot /boot ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
/dev/VolGroup00/LogVol01 swap swap defaults 0 0
/dev/sdb5 /mnt/ftp ext3 defaults 0 0
.
最后重启系统看有没有被自动挂载上
创建一个ftp用户做测试
[[email protected] ~]# useradd -d /mnt/ftp/hom -s /sbin/nologin hom
[[email protected] ~]# passwd hom
Changing password for user hom.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
[[email protected] ~]# ll /mnt/ftp/
总计 20
drwx------ 2 hom hom 4096 01-10 17:15 hom
drwx------ 2 root root 16384 01-10 16:53 lost+found
[[email protected] ~]# service vsftpd start
为 vsftpd 启动 vsftpd:[确定]
为ftp用户做磁盘配额
刚才创建的hom用户是在/dev/sdb5分区中,那么如果我们要对hom用户进行磁盘限额,那我们需要修改/etc/fstab中根分区的记录,将/dev/sdb5分区的第4个字段改成defaults,usrquota,如下:
/dev/sdb5 /mnt/ftp ext3 defaults,usrquota 0 0
为了不然系统重启才生效,利用一下命令直接生效
# mount -o remount /dev/sdb5
对一个组进行磁配额,那我们需要增加参数grpquota,如下:
/dev/sdb5 /mnt/ftp ext3 defaults,usrquota, grpquota 0 0
[[email protected] /]# quotacheck -avug
生成每个启动了配额的文件系统的当前磁盘用量表
quotacheck: Scanning /dev/sdb5 [/mnt/ftp] quotacheck: Cannot stat old user quota file: 没有那个文件或目录
quotacheck: Old group file not found. Usage will not be substracted.
done
quotacheck: Checked 4 directories and 6 files
quotacheck: Old file not found.
注释:
-a :扫瞄所有在 /etc/mtab 里头已经 mount 的具有 quota 支持的磁盘
-u :扫瞄使用者的档案与目录
-v :显示扫瞄过程
-g :扫瞄群组使用的档案与目录
-m :强制进行 quotacheck
[[email protected] /]# edquota -u hom (设置限额容量)
为用户hom设置磁盘配额
系统会自动用
VI文本打开配额文件,如下:
Disk quotas for user hom (uid 501):
Filesystem blocks soft hard inodes soft hard
/dev/sdb5 16 0 1024 4 0 0
这里为了做测试,我把硬块限度为1024kb
注释:
Filesystem是启用了配额的文件系统的名称
blocks显示了用户当前使用的块数,单位为KB
soft用来设置用户在该文件系统上的软块限度.使用者在宽限期间之内,他的容量可以超过 soft ,但必需要宽限时间之内将磁盘容量降低到 soft 的容量限制之下
hard用来设置用户在该文件系统上的硬块限度,绝对不能超过的容量
inodes显示了用户当前使用的i节点数量。
最后两列用来设置用户在该文件系统上的软硬i节点限度.不同的是软限可以在一段时期内被超过。 soft 到 hard 之间的容量其实就是宽限的容量啦!可以达到针对使用者的警示作用!这段时期被称为过渡期(grace period),默认七天的超越。过渡期可以用秒钟、分钟、小时、天数、周数、或月数表示。
如果以上值中的任何一个被设置为 0,那个限度就不会被设置。
注释:
-u :编辑 user 的 quota
-g :编辑 group 的 quota
-t :编辑宽限时间(就是超过 quota 值后,还能使用硬盘的宽限期限)
-p :copy 模板(以建立好的使用者或群组)到另一个使用者(或群组)
[[email protected] /]# quotaon -avu
打开磁盘配额监控进程,u是用户g是组,这里我没设置g参数
注释:
-a :全部的 quota 设定都启动(会自动去寻找 /etc/mtab 的设定)
-u :使用者的 quota 启动
-g :群组的 quota 设定启动
-v :显示讯息
/dev/sdb5 [/mnt/ftp]: user quotas turned on
[[email protected] /]# quota -uvs hom
要校验用户的配额是否被设置
Filesystem blocks quota limit grace files quota limit grace
/dev/sdb5 16 0 1024 4 0 0
注释:
-g :显示 group 群组
-u :显示 user
-v :显示 quota 的值
-s :选择 inod 或 硬盘空间来显示
[[email protected] /]# edquota –t
设置过渡期(grace period),只针对软限制而言
Grace period before enforcing soft limits for users:
Time units may be: days, hours, minutes, or seconds
Filesystem Block grace period Inode grace period
/dev/sdb5 7days 7days
查看用户配额
*** Report for user quotas on device /dev/sdb5
Block grace time: 7days; Inode grace time: 7days
Block limits File limits
User used soft hard grace used soft hard grace
----------------------------------------------------------------------
root -- 35880 0 0 5 0 0
hom -- 16 0 1024 4 0 0
注释:
-a 列出在/etc/fstab文件里,有加入quota设置的分区的使用状况与用户和群组
-g 列出所有群组的磁盘空间限制
-u 列出所有用户的磁盘空间限制
-v 显示该用户或群组的所有空间限制
测试用户配额是否生效
下面利用FlashXP做测试,上传一首故乡原风景.mp3,传输到1M就失败了.说明生效了
[[email protected] /]# quotaoff -vug /dev/sdb5
关闭/mnt/ftp分区的磁盘限额
/dev/sdb5 [/mnt/ftp]: user quotas turned off
注释:
-a :全部的 quota 设定都关闭(会自动去寻找 /etc/mtab 的设定)
最后并删除/etc/fstab中设置配额的部分
总结:在对用户进行磁盘限额时,需要掌握以下几点原则:
A.由于对用户进行文件数量的限制不是很实用,所以通常进行磁盘配额只限制用户占用的磁盘容量。
B.为用户设置的软限制和硬限制的数值都不应该小于用户已占用的磁盘容量或文件数量,否则可能造成用户无法正常登录和使用系统。
C.设置的硬限制数量应该大于软限制数量,否则没有实际的意义
D././boot/./proc./mnt/cdrom 等不要使用配额
E.quota 实际在运作的时候,是针对整个分区进行限制的,例如:如果你的 /dev/sdb5 是挂载在/mnt/ftp底下,那么在 /mnt/ftp底下的所有目录都会受到限制!