FTP服务介绍及相关实验

一、FTP服务

FTP是File Transfer Protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。

用于Internet上的控制文件的双向传输。FTP协议是早期的三个应用级协议之一。

基于C/S结构

双通道协议：数据和命令连接

数据传输格式：二进制（默认）和文本

两种模式：

服务器角度

主动(PORT style)：服务器主动连接

​ 命令（控制）：客户端：随机port — 服务器：tcp21

​ 数据： 客户端：随机port — 服务器：tcp20

被动(PASV style)：客户端主动连接

​ 命令（控制）：客户端：随机port — 服务器：tcp21

​ 数据： 客户端：随机port — 服务器：随机port

服务器被动模式数据端口示例：

​ 227 Entering Passive Mode (192,168,175,138,224,59)

​ 服务器数据端口为：224*256+59

注：Linux客户端默认使用被动模式

​ Windows客户端默认使用主动模式

​ Linux系统客户端若要切换主动模式，可使用：ftp -A ServerIP Port

主动连接与被动连接的优缺点：

1. 主动连接对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。
2. 被动连接对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。

注：可通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险。

FTP服务器：

Wu-ftpd，Proftpd，Pureftpd，ServU，IIS

vsftpd：Very Secure FTP Daemon，CentOS默认FTP服务器

高速，稳定，下载速度是WU-FTP的两倍

ftp.redhat.com数据：单机最多可支持15000个并发

客户端软件：

ftp，lftp，lftpget，wget，curl

​ ftp -A ftpserver port -A 主动模式 -p 被动模式

​ lftp -u username ftpserver

​ lftp username@ftpserver

​ lftpget ftp://ftpserver/pub/file

gftp: GUI centos5 最新版2.0.19 (11/30/2008)

filezilla，CuteFtp，FlashFXP，LeapFtp

IE ftp://username:password@ftpserver

状态码：

1XX：信息类 125：数据连接打开

2XX：成功类状态 200：命令OK 230：登录成功

3XX：补充类 331：用户名OK

4XX：客户端错误 425：不能打开数据连接

5XX：服务器错误 530：不能登录

用户认证：

匿名用户：ftp,anonymous,对应Linux用户ftp

系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow

虚拟用户：特定服务的专用用户，独立的用户/密码文件

nsswitch：network service switch 名称解析框架

pam：pluggable authentication module 可插拔认证模块

​ pam的相关文件： /lib64/security /etc/pam.d/ /etc/pam.conf

二、vsftpd服务

vsftpd全称为”Very Secure FTP Daemon“,意为非常安全的FTP守护进程，

vsftpd最初发展理念就是建构一个以安全为重心的FTP服务器。

由vsftpd包提供，CentOS 7之后不再由xinetd管理

用户认证配置文件：

/etc/pam.d/vsftpd

服务脚本：

/usr/lib/systemd/system/vsftpd.service

/etc/rc.d/init.d/vsftpd

配置文件：

/etc/vsftpd/vsftpd.conf

格式：option=value

注意：= 前后不要有空格

匿名用户（映射为系统用户ftp ）登录的根目录位置：/var/ftp

系统用户共享文件位置：用户家目录

虚拟用户共享文件位置：为其映射的系统用户的家目录

vsftpd虚拟用户

虚拟用户：

所有虚拟用户会统一映射为一个指定的系统帐号：访问共享位置，即为此系统帐号的家目录

各虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式：

文件：编辑文本文件，此文件需要被编码为hash格式

奇数行为用户名，偶数行为密码

db_load -T -t hash -f vusers.txt vusers.db

关系型数据库中的表中：

实时查询数据库完成用户认证

mysql库：pam要依赖于pam-mysql

/lib64/security/pam_mysql.so

/usr/share/doc/pam_mysql-0.7/README

vsftpd.conf常用配置

帮助查询：man 5 vsftpd.conf

重设命令端口：listen_port=21

主动模式端口

​ connect_from_port_20=YES 主动模式端口为20

​ ftp_data_port=20 指定主动模式的端口

被动模式端口范围

​ Linux客户端默认使用被动模式

​ Windows客户端默认使用主动模式

​ pasv_min_port=6000 0为随机分配

​ pasv_max_port=6010

注：可以通过为FTP服务器指定一个有限的端口范围来减小服务器端口暴露的风险

使用当地时间

use_localtime=YES 使用当地时间（默认为NO，使用GMT）

匿名用户

​ anonymous_enable=YES 支持匿名用户

​ no_anon_password=YES(默认NO) 匿名用户略过口令检查

​ anon_world_readable_only (默认YES)只能下载全部读的文件

​ anon_upload_enable=YES 匿名上传，注意:文件系统权限

​ anon_mkdir_write_enable=YES 匿名创建，写权限

​ anon_umask=077 指定匿名上传文件的umask

​ anon_other_write_enable=YES 可删除和修改上传的文件

可指定上传文件的默认的所有者和权限

​ chown_uploads=YES(默认NO)

​ chown_username=wang

​ chown_upload_mode=0644

Linux系统用户

​ guest_enable=YES 所有系统用户都映射成guest用户

​ guest_username=ftp 配合上面选项才生效，指定guest用户

​ local_enable=YES 是否允许Linux用户登录

​ write_enable-YES 是否允许Linux用户上传文件

​ local_umask=022 指定系统用户上传文件的默认权限

​ local_root=/ftproot 非匿名用户登录所在目录

禁锢所有系统用户在家目录中

​ chroot_local_user=YES（默认NO，不禁锢）禁锢系统用户

禁锢或不禁锢特定的系统用户在家目录中，与上面设置功能相反

​ chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

​ 当chroot_local_user=YES时，则chroot_list中用户不禁锢，白名单

​ 当chroot_local_user=NO时，则chroot_list中用户禁锢，黑名单

ftp日志

wu-ftp日志：默认启用

​ xferlog_enable=YES （默认） 启用记录上传下载日志

​ xferlog_std_format=YES （默认）使用wu-ftp日志格式

​ xferlog_file=/var/log/xferlog （默认）可自动生成

vsftpd日志：默认不启用

​ dual_log_enable=YES 使用vsftpd日志格式，默认不启用

​ vsftpd_log_file=/var/log/vsftpd.log（默认）可自动生成

登录提示信息

​ ftpd_banner=”welcome to mage ftp server”

​ banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效

目录访问提示信息

​ dirmessage_enable=YES (默认)

​ message_file=.message(默认) 信息存放在指定目录下.message

使用PAM完成用户认证

​ pam_service_name=vsftpd

​ pam配置文件:/etc/pam.d/vsftpd

/etc/vsftpd/ftpusers 默认文件中用户拒绝登录

/etc/vsftpd/users_list 默认文件中用户拒绝登录，不提示口令输入

是否启用控制用户登录的列表文件

​ userlist_enable=YES 默认有此设置

​ userlist_deny=YES(默认值) 黑名单,不提示口令，NO为白名单

​ userlist_file=/etc/vsftpd/users_list 此为默认值

连接限制

​ max_clients=0 最大并发连接数

​ max_per_ip=0 每个IP同时发起的最大连接数

注：生成环境一般会将最大并发连接数按需设置；单个IP最大连接数尽量调小

vsftpd服务指定用户身份运行

​ nopriv_user=nobody

传输速率：字节/秒

​ anon_max_rate=0 匿名用户的最大传输速率

​ local_max_rate=0 本地用户的最大传输速率

连接时间：秒为单位

​ connect_timeout=60 主动模式数据连接超时时长

​ accept_timeout=60 被动模式数据连接超时时长

​ data_connection_timeout=300 数据连接无数据输超时时长

​ idle_session_timeout=60 无命令操作超时时长

优先以文本方式传输

​ ascii_upload_enable=YES

​ ascii_download_enable=YES

配置FTP服务以非独立服务方运行:listen=NO，默认为独立方式

vim /etc/xinetd.d/rsync
service ftp
{
    flags = REUSE
    socket_type = stream
    wait = no
    user = root
    server = /usr/sbin/vsftpd
    log_on_failure += USERID
    disable = no
}

三、实验：实现基于SSL的FTPS

前期准备：

FTP服务器：CentOS7.4

IP地址：192.168.2.11

具体步骤：

查看是否支持SSL

ldd `which vsftpd`|grep libssl  # 查看到libssl.so

创建自签名证书

cd /etc/pki/tls/certs/
make vsftpd.pem
openssl x509 -in vsftpd.pem -noout -text

配置vsftpd服务支持SSL：

vim /etc/vsftpd/vsftpd.conf
    ssl_enable=YES 		# 启用SSL
    allow_anon_ssl=NO	# 匿名不支持SSL
    force_local_logins_ssl=YES 	# 本地用户登录加密
    force_local_data_ssl=YES 	# 本地用户数据传输加密
    rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem 	# 指定证书位置

用filezilla工具测试:

1. 点击文件–>站点管理器–>新站点，协议选择SFTP，登录类型选择一般

2. 是否信任主机并继续，点确定

3. 连接成功

四、实验：基于文件验证的vsftpd虚拟用户

前期准备:

Ftp服务器: CentOS 7.4 192.168.2.7

访问端：CentOS7.5 192.168.2.11

具体步骤：

1. 创建用户数据库文件

vim /etc/vsftpd/vusers.txt
    vuse1
    centos
    vuse2
	lpx
cd /etc/vsftpd/  
db_load -T -t hash -f vusers.txt vusers.db   # 转换为db型文件
chmod 600 vusers.db

2. 创建用户和访问FTP目录

mkdir -pv /data/ftp
useradd -d /data/ftp -s /sbin/nologin vuser
chmod +rx /data/ftp/
# centos7 还需要执行以下操作：
chmod -w /data/ftp/
mkdir /data/ftp/upload
setfacl -m u:vuser:rwx /data/ftp/upload

3. 创建pam配置文件

vim /etc/pam.d/vsftpd.db
    auth required pam_userdb.so db=/etc/vsftpd/vusers
    account required pam_userdb.so db=/etc/vsftpd/vusers

4. 指定pam

vim /etc/vsftpd/vsftpd.conf
    guest_enable=YES
    guest_username=vuser
    user_config_dir=/etc/vsftpd/vusers.d/

找到此行，将vsftpd模块替换为vsftpd.db

pam_service_name=vsftpd==>pam_service_name=vsftpd.db

5. 虚拟用户建立独立的配置文件

mkdir /etc/vsftpd/vusers.d/
cd /etc/vsftpd/vusers.d/

# 创建个用户自己的配置文件
# 允许vuser1用户可读写，其他用户只读
vim vuser1
    anon_upload_enable=YES
    anon_mkdir_write_enable=YES
    anon_other_write_enable=YES

指定vuse2用户登录的根目录
vim vuser2
	local_root=/data/ftp

6. 测试

切换到另外一台主机ftp连接，虚拟用户vuser1，vuser2登录成功

五、实验：实现基于MySQL验证的vsftpd虚拟用户

前期准备：

虚拟机2台

FTP服务器： CentOS 7.4 IP：192.168.2.11

MySQL服务器：CentOS 7.4 IP：192.168.2.12

具体步骤：

一、安装所需要包和包组：

在数据库服务器上安装包：

Centos7：在数据库服务器上安装

yum –y install mariadb-server
systemctl start mariadb.service
systemctl enable mariadb

Centos6：在数据库服务器上安装

yum –y install mysql-server

在FTP服务器上安装vsftpd和pam_mysql包

CentOS6：pam_mysql由epel6的源中提供

yum install vsftpd pam_mysql

CentOS7：无对应rpm包，需手动编译安装

yum -y groupinstall "Development Tools"
yum -y install mariadb-devel pam-devel vsftpd

编译安装pam_mysql

下载pam_mysql-0.7RC1.tar.gz报
tar xvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1/
./configure --with-mysql=/usr --with-pam=/usr --with-pam-mods-dir=/lib64/security
make
make install

二、在数据库服务器上创建虚拟用户账号

1. 建立存储虚拟用户数据库和连接的数据库用户

mysql> CREATE DATABASE vsftpd;
mysql> SHOW DATABASES;
# ftp服务和mysql不在同一主机：
mysql> GRANT SELECT ON vsftpd.* TO vsftpd@'192.168.%.%' IDENTIFIED BY 'magedu';

ftp服务和mysql在同一主机：

mysql> GRANT SELECT ON vsftpd.* TO vsftpd@localhost IDENTIFIED BY 'magedu';
mysql> GRANT SELECT ON vsftpd.* TO vsftpd@'127.0.0.1′ IDENTIFIED BY 'magedu';
mysql> FLUSH PRIVILEGES;

2. 准备相关表

mysql> USE vsftpd;
mysql> SHOW TABLES;
mysql> CREATE TABLE users (
    id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,
    name CHAR(50) BINARY NOT NULL,
    password CHAR(48) BINARY NOT NULL
);
mysql>DESC users;

测试连接

mysql -uvsftpd –h192.168.2.11 -pmagedu
mysql> SHOW DATABASES;

3. 添加虚拟用户

根据需要添加所需要的用户，为了安全应该使用PASSWORD函数加密其密码后存储

mysql> DESC users;
mysql> INSERT INTO users(name,password)	values('wang',password('magedu'));
mysql> INSERT INTO users(name,password) values('mage',password('magedu'));
mysql> SELECT * FROM users;

三、在FTP服务器上配置vsftpd服务

1. 在FTP服务器上建立pam认证所需文件

vim /etc/pam.d/vsftpd.mysql 添加如下两行
    auth required pam_mysql.so user=vsftpd passwd=magedu
    host=192.168.2.11 db=vsftpd table=users usercolumn=name
    passwdcolumn=password crypt=2
    account required pam_mysql.so user=vsftpd passwd=magedu
    host=192.168.2.11 db=vsftpd table=users usercolumn=name
    passwdcolumn=password crypt=2

注意：参考README文档，选择正确的加密方式

crypt是加密方式，0表示不加密，1表示crypt(3)加密，2表示使用mysql

password()函数加密，3表示md5加密，4表示sha1加密

配置字段说明：

​ auth 表示认证

​ account 验证账号密码正常使用

​ required 表示认证要通过

​ pam_mysql.so 模块是默认的相对路径，是相对/lib64/security/路径而言，也可以写绝对路径；

​ 后面为给此模块传递的参数

​ user=vsftpd 登录mysql的用户

​ passwd=magedu 登录mysql的的密码

​ host=mysqlserver mysql 服务器的主机名或ip地址

​ db=vsftpd 指定连接msyql的数据库名称

​ table=users 指定连接数据库中的表名

​ usercolumn=name 当做用户名的字段

​ passwdcolumn=password 当做用户名字段的密码

​ crypt=2 密码的加密方式为mysql password()函数加密

2. 建立相应用户和修改vsftpd配置文件，使其适应mysql认证

   建立虚拟用户映射的系统用户及对应的目录

useradd -s /sbin/nologin -d /var/ftproot vuser
chmod 555 /var/ftproot centos7 需除去ftp根目录的写权限
mkdir /var/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /var/ftproot/upload
# 确保**/etc/vsftpd.conf**中已经启用了以下选项
vim /etc/vsftpd.conf
	anonymous_enable=YES
# 添加下面两项
	guest_enable=YES
	guest_username=vuser

修改下面一项，原系统用户无法登录

pam_service_name=vsftpd.mysql

四、启动vsftpd服务

service vsftpd start;systemctl start vsftpd
chkconfig vsftpd on;systemctl enable vsftpd

#查看端口开启情况
netstat -tnlp |grep :21

五、测试：利用FTP客户端工具,以虚拟用户登录验证结果