10.1 ftp介绍
网络文件共享服务主流的主要有三种,分别是ftp、nfs、samba。在上一章中我们已经了解了nfs,本章我们将来说说ftp。
FTP是File Transfer Protocol(文件传输协议)的简称,用于internet上的控制文件的双向传输。
FTP也是一个应用程序,基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。
在FTP的使用当中,用户经常遇到两种概念:下载和上传
下载(Download)文件就是从远程主机拷贝文件至自己的计算机上
上传(Upload)文件就是将文件从自己的计算机上拷贝至远程主机上。
10.2 ftp架构
FTP工作于应用层,监听于tcp的21号端口,是一种C/S架构的应用程序。其有多种客户端和服务端的应用程序,下面来简单介绍一下
Client:
ftp
lftp,lftpget
wget,curl
filezilla
gftp(Linux GUI)
商业软件:flashfxp,cuteftp
Server:
wu-ftpd
proftpd:提供web接口的一种ftp服务端程序
pureftp
vsftpd:Very Secure
ServU:windows平台的一种强大ftp服务端程序
10.3 ftp数据连接模式
ftp有2种数据连接模式:命令连接和数据连接
命令连接:是指文件管理类命令,始终在线的持久性连接,直到用户退出登录为止
数据连接:是指数据传输,按需创建及关闭的连接
其中数据连接需要关注的有2点,一是数据传输格式,二是数据传输模式
数据传输格式有以下两种:
a) 文件传输
b) 二进制传输
数据传输模式也有2种:
a) 主动模式:由服务器端创建数据连接
b) 被动模式:由客户端创建数据连接
下面来介绍下两种数据传输模式的建立过程:
主动模式:
命令连接:
Client(1025)--> Server(21)客户端以一个随机端口(大于1023)来连服务器端的21号端口
数据连接:
Server(20/tcp) --> Client(1025+1) 服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号
此处有个弊端,因为客户端的端口是随机的,客户端如果开了防火墙,则服务器端去连客户端创建数据连接时可能会被拒绝
被动模式:
命令连接:
Client(1110) --> Server(21)客户端以一个随机端口来连成服务器端的21号端口
数据连接:
Client(1110+1) --> Server(随机端口)客户端以创建命令连接的端口+1的端口号去连服务器端通过命令连接告知自己的一个随机端口号来创建数据连接
10.4 ftp响应码
1xx:纯信息的状态码
2xx:成功类的状态码
3xx:提示需进一步提供补充类信息的状态码
4xx:客户端错误
5xx:服务端错误
10.5 用户认证
ftp的用户主要有三种:
a) 虚拟用户:仅用于访问某特定服务中的资源
b) 系统用户:可以登录系统的真实用户
c) 匿名用户
ftp的用户认证主要通过nsswitch和pam来实现,关于nsswitch和pam,请看此处
10.6 vsftpd
此处我们要说的ftp应用程序是vsftpd,这也是在公司中用得最多的一款ftp软件。
本章主要说一下vsftpd的配置,关于安装就不啰嗦了,请自行google
vsftpd用户认证配置文件是/etc/pam.d/vsftpd
服务脚本为/etc/rc.d/init.d/vsftpd
配置文件目录为/etc/vsftpd/,其中主配置文件为/etc/vsftpd/vsftpd.conf
匿名用户(映射为ftp用户)的共享资源位置是/var/ftp
系统用户通过ftp访问的资源位置为用户的家目录
虚拟用户通过ftp访问的资源位置为给虚拟用户指定的映射成为的系统用户的家目录
10.7 vsftpd的常用配置
匿名用户的配置:
anonymous_enable=YES启用匿名用户登录
anon_upload_enable=YES允许匿名用户上传
anon_mkdir_write_enable=YES允许匿名用户创建目录,但是不能删除
anon_other_write_enable=YES允许匿名用户创建和删除目录
系统用户的配置:
local_enable=YES启用本地用户登录
write_enable=YES允许本地用户有写权限
local_umask=022通过ftp上传文件的默认遮罩码
chroot_local_user=YES禁锢所有的ftp本地用户于其家目录中
禁锢文件(/etc/vsftpd/chroot_list)中指定的ftp本地用户于其家目录中:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
虚拟用户的配置:
所有的虚拟用户会被统一映射为一个指定的系统帐号,访问的共享位置即为此系统帐号的家目录
各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
虚拟用户帐号的存储方式:
a) 文件:编辑文件,此文件需要被编码为hash格式。
奇数行为用户名
偶数行为密码
b) 关系型数据库的表中:
通过即时查询数据库完成用户认证
mysql库:pam要依赖于pam_mysql软件,可以通过epel源yum安装
日志配置:
xferlog_enable=YES是否启用传输日志,记录ftp传输过程
xferlog_std_format=YES传输日志是否使用标准格式
xferlog_file=/var/log/xferlog指定传输日志存储的位置
改变上传文件的属主:自动将客户端上传到服务器的某文件的属主改为指定的用户
chown_uploads=YES是否启用改变上传文件属主的功能
chown_username=whoever 指定要将上传的文件的属主改为哪个用户,此用户必须在系统中存在
vsftpd使用pam完成用户认证,其用到的pam配置文件:
pam_service_name=vsftpd指定vsftpd使用/etc/pam.d下的哪个pam配置文件进行用户认证
是否启用控制用户登录的列表文件:默认为/etc/vsftpd/user_list文件
userlist_enable=YES
userlist_deny=YES是否拒绝userlist指定的列表文件中存在的用户登录ftp
连接限制:
max_clients=#最大并发连接数
max_per_ip=#每个IP可同时发起的并发请求数
传输速率:
anon_max_rate匿名用户的最大传输速率,单位是“字节/秒”
local_max_rate本地用户的最大传输速率,单位是“字节/秒”
通用配置:
dirmessage_enable=YES启用某目录下的.message描述信息
假定有一个目录为/upload,在其下创建一个文件名为.message,在文件内写入一些描述信息,则当用户切换至/upload目录下时会自动显示.message文件中的内容
message_file设置访问一个目录时获得的目录信息文件的文件名,默认是.message
idle_session_timeout=600设置默认的断开不活跃session的时间
data_connection_timeout=120设置数据传输超时时间
ftpd_banner=Welcome to chenlf FTP service.定制欢迎信息,登录ftp时自动显示
10.8 vsftpd虚拟用户配置
vsftpd虚拟用户的配置步骤如下,这里使用mysql进行用户认证
a) 安装所需要的程序
|
1
|
yum -y
install
vsftpd mysql-server mysql-devel pam_mysql
|
注意:pam_mysql由epel源提供
b) 创建虚拟用户帐号
准备数据库及相关表:首先确保mysql服务已经正常启动。而后,按需要建立存储虚拟用户的数据库即可,这里将其创建为vsftpd数据库
|
1
2
3
4
5
6
7
8
9
10
|
mysql> CREATE DATABASE vsftpd;
mysql> GRANT SELECT ON vsftpd.* TO
'vsftpd'
@
'localhost'
IDENTIFIED BY
'Your password'
;
mysql> GRANT SELECT ON vsftpd.* TO
'vsftpd'
@
'127.0.0.1'
IDENTIFIED BY
'Your password'
;
mysql> FLUSH PRIVILEGES;
mysql> use vsftpd;
mysql> CREATE TABLE
users
(
id
int UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,
name char(20) binary NOT NULL,
password char(48) binary NOT NULL
);
|
添加测试的虚拟用户:根据需要添加所需要的用户,需要说明的是,这里将其密码为了安全起见应使用PASSWORD函数加密后存储
|
1
2
|
mysql> INSERT INTO
users
(name,password) values(
'tom'
,password(
'Your password'
));
mysql> INSERT INTO
users
(name,password) values(
'jerry'
,password(
'Your password'
));
|
c) 配置vsftpd
建立pam认证所需文件,编辑/etc/pam.d/vsftpd.mysql文件,添加如下两行:
|
1
2
|
auth required
/lib64/security/pam_mysql
.so user=vsftpd
passwd
=
'Your password'
host=mysqldb_ip db=vsftpd table=
users
usercolumn=name passwdcolumn=password crypt=2
account required
/lib64/security/pam_mysql
.so user=vsftpd
passwd
=
'Your password'
host=mysqldb_ip db=vsftpd table=
users
usercolumn=name passwdcolumn=password crypt=2
|
注意:由于mysql的安装方式不同,pam_mysql.so基于unix sock连接mysql服务器时可能会出问题,此时,建立授权一个可远程连接的mysql并访问vsftpd数据库的用户
修改vsftpd的配置文件/etc/vsftpd/vsftpd.conf,使其适应mysql认证
建立虚拟用户映射的系统用户及对应的目录:
建立虚拟用户映射的系统用户及对应的目录:
|
1
2
|
useradd
-s
/sbin/nologin
-d
/var/ftproot
vuser
chmod
go+rx
/var/ftproot/
|
请确保/etc/vsftpd/vsftpd.conf中已经启用了以下选项:
|
1
2
3
4
5
6
|
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES
|
而后添加以下选项:
|
1
2
|
guest_enable=YES
guest_username=vuser
|
并确保pam_service_name选项的值如下所示:
|
1
|
pam_service_name=vsftpd.mysql
|
d) 启动vsftpd服务并查看端口开启情况
|
1
2
3
|
service vsftpd start
chkconfig vsftpd on
ss -tnlp|
grep
21
|
e) 配置虚拟用户具有不同的访问权限
vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。
配置文件目录可以是任意未使用目录,只需要在vsfptd.conf中指定其路径及名称即可
编辑vsftpd.conf文件,添加如下选项
|
1
|
user_config_dir=
/etc/vsftpd/vusers_config
|
创建所需要的目录,并为虚拟用户提供配置文件
|
1
2
3
|
mkdir
/etc/vsftpd/vusers_config
cd
/etc/vsftpd/vusers_config
touch
tom jerry
|
配置虚拟用户的访问权限
虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。
比如,如果需要让tom用户具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/tom文件,添加如下选项即可:
|
1
2
3
|
anon_upload_enable={YES|NO}
anon_mkdir_write_enable={YES|NO}
anon_other_write_enable={YES|NO}
|
Linux下好用的下载工具:
axel:可实现多线程下载,断点续传等功能,下载速度超快
lftpget
wget
curl
