FTP

xiaoxiao2021-02-28  124

一、什么是ftp

FTP(文件传输协议)是INTERNET上仍常用的最老的网络协议之一,他为系统提供了通过网络与远程服务器进行传输的简单方法,在REDHAT ENTREPRISE LINUX7中,FTP服务器包的名称为VSFTPD,他代表Very Secure File Transfer Protocol Damon,服务器名称也叫做vsftpd vsftp提供三种远程的登录方式: (1)匿名登录方式:不需要用户名和密码,就可以登录到服务器上 (2)本地用户方式:需要账户名和密码才能登录,而且,这些用户都必须是系统已经存在的用户 (3)虚拟用户:同样需要用户名和密码才能登录,但是,这些用户是系统里面没有的。 默认配置文件让ANONYMOUS用户只能下载位于CHROOT目录中的内容 /var/ftp/这意味着远程FTP客户端能以用户ANONUMOUS或ftp身份连接到服务器(无需密码),并从ftp服务器上的/var/ftp/目录中下载文件(其本地ftp用户可以读取这些文件)

二、安装ftp

yum install vsftpd -y ##安装服务端(vsftp)和客户端(ftp)的应用软件 systemctl start vsftpd ##开启服务 systemctl enable vsftpd ##设置开机启动 systemctl start firewalld firewall-config ##防火墙策略,将ftp作为防火墙可允许访问的 进入此界面后修改三个地方: 1.勾选ftp; 2.Configuration选Permanent; 3.Option选择Reload Firewalld.

firewall-cmd --list-all ##显示防火墙信息,service中已包含ftp服务

vim /etc/sysconfig/selinux SELINUX=disabled ##关闭selinux的功能 或者 setenforce 0 ##Selinux内核文件,必须重启才能生效 reboot ##重启

/etc/sysconfig/selinux/文件的内容:

lftp ip ##能登录并且显示,表示安装成功

三、vsftpd文件信息

/var/ftp ##默认发布目录

/etc/vsftpd ##配置目录 ftpusers:指定哪些用户不能访问FTP服务器 user_list:指定哪些用户不能访问FTP服务器,由vsftp.conf文件中的userlist_deny的值决定 vsftpd.conf:主配置文件

四、vsftpd服务的配置参数

注意:每改完一个参数都要重启服务:systemctl restart vsftpd

1>匿名用户

1)anonymous_enable = YES | NO ##匿名用户登录限制

anonymous_enable = YES ##登录成功

anonymous_enable = NO ##登录失败

2)write_enable = YES | NO

## This controls whether any FTP commands which change the filesystem are allowed or not

3)anon_upload_enable = YES | NO

write_enable=YES ##可修改权限打开 anon_upload_enable=YES ##打开匿名用户上传限制 chgrp ftp /var/ftp/pub ##修改目录所属组为ftp chmod 775 /var/ftp/pub ##给目录组可写的权限

write_enable=YES ##可修改权限打开 anon_upload_enable=NO ##关闭匿名用户上传限制 chgrp ftp /var/ftp/pub ##修改目录所属组为ftp chmod 775 /var/ftp/pub ##给目录组可写的权限

550报错:说明服务不允许

4)anon_root=/directory ##匿名用户家目录修改

mkdir /westos ##新建一个目录作为匿名用户家目录 touch /westos/linux{1..3} ##往家目录里面写入三个文件,增强实验效果 vim /etc/vsftpd/vsftpd.conf ##修改配置文件 anon_root=/westos ##指定位置

5) anon_umask=xxx ##匿名用户上传文件默认权限修改

默认建立的文件的权限为:600

6)anon_mkdir_write_enable = YES | NO ##匿名用户建立目录权限修改

默认情况下不能创建目录,如下:

7)anon_world_readable_only = YES | NO ##匿名用户下载,设定参数为NO表示匿名用户可以下载

默认情况下为:YES,不能够下载文件

8)anon_other_write_enable = YES | NO

anonymous users will be perform write operations other than upload and create directory , such as deletion and renaming.(以删除为例进行实验)

a.默认删除是被拒绝的

anon_other_write_enable = NO

b.更改配置文件后

anon_other_write_enable = YES

9)chown_uploads=YES

The file mode to force for chown()ed anonymous uploads.

chown_username=student ##改变用户上传时的身份,默认为ftp,此处的用户一定是系统真实存在的用户 chown_upload_mode=0644 ##改变上传文件的权限,0表示无特殊权限

10)anon_max_rate=xxx ##设置最大上传速率

默认情况下,传输速率是很快的

修改传输速率

速度降低了很多!!!

11)max_clients=xxx ##设置最大链接数

链接数值为可同时访问的人数的最大上限

2>本地用户

1)local_enable = YES | NO ##本地用户登录限制

下图上半部分可知,student用户本身是可以登录的;中间位置重启服务后,student不能登录

2)write_enable=YES|NO ##本地用户写权限

This controls whether any FTP commands which change the filesystem are allowed or not.

3)local_umask=xxx ##本地用户上传权限

设置为022后,用户上传的文件是644(即就是:-rw-r–r–)

4)限制用户浏览目录

a.所有用户被锁定到自己的家目录中

chroot_local_user=YES chmod u-w /home/*

用户westos登录成功后,既便切换到了/下,然后,还是只能看自己家目录下的内容

b.用户黑名单建立

chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list vim /etc/vsftpd/chroot_list ##编写黑名单:westos

加入黑名单的westos活动范围受到了限制,不能够进入到/下,即便时切换到/,也只能看自己家目录下的内容

而此时的student用户则可以正常切换到/下

c.用户白名单建立

在黑名单建立操作的基础上,只需要将chroot_local_user的值由NO改为YES即可: chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

westos为白名单之后,其他所有的用户均不能登录,student理所应当的被加入到了黑名单的行列中

d.限制本地用户登录

vim /etc/vsftpd/ftpusers ##永久黑名单 永久黑名单的优先级是最高的,这意味着,即便临时白名单上有永久黑名单的用户,也无法改变此用户被拉黑无法登录的事实 vim /etc/vsftpd/user_list ##临时黑名单 当userlist_deny=NO时,临时黑名单变成白名单,只有在白名单上出现的用户可以登录ftp

3>虚拟用户

1)vim /etc/vsftpd/loginusers ##建立虚拟用户名单 ##注意:在编辑文件的时候,第一行为用户名,第二行为用户密码;并且,每行结束不能有空格! user1 123 user2 123 2)将明文的用户信息表用hash算法进行加密: db_load -T -t hash -f loginusers loginusers.db ##可用file命令查看文件的类型是否为加密类型

3)vim /etc/pam.d/ckvsftpd ##认证信息的配置文件 其中,pam_userdb.so是一个软件,可以检测用户身份是否合法,检测成功才可以登录!

4)vim /etc/vsftpd/vsftpd.conf ##修改配置文件的信息 pam_service_name=ckvsftpd ##监测虚拟服务 guest_enable=YES ##允许虚拟用户登录 guest_username=ftp ##虚拟帐号身份指定为ftp

在实际操作中,对用户必然有所区分,那就得区别对待,将用户分开管理: mkdir /vuserdir/user{1,2} ##用户user1和user2的家目录 mkdir /etc/vsftpd/vsuerconf ##存放各用户权限的目录 ##在各用户下建立标志性文件,以便实验效果明显 touch /vuserdir/user1/user1file touch /vuserdir/user2/user2file vim /etc/vsftpd/vsftpd.conf ##修改vsftpd的配置文件 local_root=/vuserdir/$USER user_sub_token=$USER ##$USER表示登录用户的身份 user_config_dir=/etc/vsftpd/vuserconf ##用户权限存放目录 为了使实验效果更加明显,在这里继续写各自的权限配置文件(文件名与用户名相同),分门别类进行管理,达到显著的实验效果:使user1不可以上传文件,user2可以上传文件

检查user1和user2未修改时的文件存在情况

在/etc/vsftpd/vuserconf/中写入相应的关于上传拒绝与否的代码

vim /etc/vsftpd/vuserconf/user1 write_enable=NO

user1上传文件被拒绝;user2成功上传文件

转载请注明原文地址: https://www.6miu.com/read-28821.html

最新回复(0)