vsftpd简析

erwewwe

                                                vsftpd是FTP协议的实现工具，是一个ftp服务器。

FTP协议基于TCP协议通信，且占用两个TCP端口，分为两个连接，分别为命令连接和数据连接；
命令连接：即正常客户端与服务器端简历连接，数据请求时建立的连接等。
数据连接：即数据传输时建立的连接。

FTP协议有两种工作模式，分别为主动模式和被动模式
主动模式：客户端使用TCP随机端口号发起请求到服务器端，而服务器端使用TCP21号端口相应并与之建立命令连接，然后服务器端使用TCP20号端口向客户端发送数据传输请求的数据连接，客户端使用命令连接所使用的随机端口号+1的端口(如果+1被占用，那就+2，以此类推)等待并相应服务器端。
被动模式：客户端使用随机端口发起请求到服务器端，服务器端使用TCP21号端口相应并与之建立命令连接，然后客户端使用命令连接所使用的随机端口号+1的端口(如果+1被占用，那就+2，以此类推)发起数据传输请求到服务器端，服务器端使用TCP随机端口号相应；之所以使用随机端口，是为了解决可能出现多个客户端同时需要传输文件的需求。
注意：主动模式有一个弊端，如果客户端上有防火墙存在，是不允许服务器主动发起请求到客户端的，防火墙会视之为扫描后攻击，会导致FTP传输的失败，而被动模式不会有这种情况发生。

FTP数据都是流式化以后传输的，要么是文本字节码，要么是二进制流

FTP协议是C/S架构
  服务器端常用的程序：
    wu-ftp
    proftpd
    pureftp
    vsftpd：Very Secure ftpd
    IIS
    ServU
  客户端常用的程序：
    GUI，图形界面程序
     flashfxp
     cuteftp
     filezilla(开源)
     gftp(Linux)
    CLI，命令行程序
     ftp
     lftp
     wget
     lftpwget

用户认证方式：
  系统用户
  虚拟用户
    hash file，使用hash文件存储用户名及密码
    mysql，使用mysql数据库存储用户名及密码
  匿名用户
数据传输安全：
  sftp：ssh提供的基于ssh协议的ftp
  ftps：基于ssl的ftp
响应码：
  1xx：信息码
  2xx：成功状态码
  3xx：进一步提示补全信息的状态码
  4xx：客户端错误
  5xx：服务端错误

安装vsftpd：
使用rpm包安装即可

pam：Plugable Authentication Module,插件式认证模块
nsswitch：名称解析框架
  模块化：/lib64/libnss*,/usr/lib64/libnss*
  配置文件：/etc/nsswitch.conf
pam：认证框架，pam认证时都是基于配置文件认证的
  模块化：/lib64/security/pam*.so
  配置文件：/etc/pam.conf和/etc/pam.d/*

服务脚本：/etc/rc.d/init.d/vsftpd
配置文件：/etc/vsftpd/vsftpd.conf
主程序文件：/usr/sbin/vsftpd
数据文件：/var/ftp

配置文件的修改：/etc/vsftpd/vsftpd.conf
对于ftp访问ftp服务时应该对其chroot，避免切换目录后产生安全隐患

1 2 3 4 5 6 7

chroot_local_user={YES|NO} //YES即启用禁锢用户功能，使用户登陆进入FTP目录后，无法切换目录 chroot_list_enable={YES|NO} // 这个指令必须和chroot_list_file一起启用 // 不能上面的chroot_local_user同时启用，因为上面的chroot_list_enable指令是禁锢所有用户 chroot_list_file=/etc/vsftpd/chroot_list // chroot_list_file文件中的用户名即为指定的被禁锢的用户，每行一个用户名

匿名用户的配置：

1 2 3 4 5 6 7 8 9 10 11

anonymous_enable=YES // 允许匿名用户登陆 anonymous_upload_enable=YES // 允许匿名用户上传文件 anonymous_write_enable=YES // 允许匿名用户删除文件 anon_mkdir_write_enable=YES // 允许匿名用户创建删除目录 注意：启用写入功能时，ftp用户对相应的本地文件系统也要有相应的写入权限；生效的权限取决于文件 系统权限和服务权限的交集；

banner信息的配置：

1 2 3 4 5 6 7 8 9 10 11 12

ftpd_banner=Welcome to blah FTP service. // 直接输入banner信息 banner_file=/PATH/TO/BANNER_FILE // 定义banner信息文件 例：banner_file=/etc/vsftpd/banner，然后在banner文件中输出banner信息即可 注意：ftpd_banner和banner_file指令不能同时开启 dirmessage_enable=YES // 这个指令的作用是，用户在访问特定目录时会弹出特定banner信息 // 在需要弹出banner信息的目录下编辑一个.message文件即可 // 例如/var/ftp/.message

控制登陆用户的机制：
/etc/vsftpd/ftpusers中的用户都不允许使用ftp服务，这是在/etc/pam.d/vsftpd文件中定义的，一行一个用户

/etc/vsftpd/userlist文件：
  黑名单：默认即为黑名单

1 2 3 4 5

在/etc/vsftpd/vsftpd.conf中修改 userlist_enable=YES // 启用userlist文件 userlist_deny=YES // 拒绝此文件中的用户

  白名单：

1 2 3 4 5

在/etc/vsftpd/vsftpd.conf中修改 userlist_enable=YES // 启用userlist文件 userlist_deny=NO // 允许此文件中的用户访问ftp服务

注意：/etc/vsftpd/ftpusers是黑名单，/etc/vsftpd/userlist如果设置为白名单，如果这时候黑名单和白名单中存在同一个用户，那么拒绝优先

连接限制：

1 2 3 4

max_clients= // 最大并发连接数 max_per_ip= // 每IP可同时发起的并发请求

速率限制：

1 2 3 4

anon_max_rate= // 匿名用户的最大传输速率，单位是“字节/秒” local_max_rate= // 本地用户的最大传输速率，单位是“字节/秒”

上传文件的umask：用于限制上传的文件的权限

1 2 3 4

anon_umask= // 匿名用户上传文件的umask； local_umask= // 本地用户上传文件的umask；

修改匿名用户上传文件的属主和属组：

1 2 3

chown_uploads=YES chown_username=someuser // 所有匿名用户上传的文件的属主和属组都会改变成chown_username所指定的用户名

虚拟用户：
所有的虚拟用户都会被映射为一个系统用户，访问时的文件目录是为此系统用户的家目录；

虚拟用户的用户名和密码存储方式：
  hash编码的文件：
    奇数行为用户名，偶数行为密码
  关系型数据库：
    vsftpd的用户认证支持从关系型数据库中读取用户名和密码，因为vsftpd的认证机制由pam进行管理，所以只要pam支持关系型数据库就可以。
    pam-mysql实现认证
      由于pam不支持mysql认证，所以此处的pam-mysql模块是第三方模块，使得pam支持
传输日志：

1 2	xferlog_enable=YES xferlog_file=/var/log/vsftpd.log

这篇主要是笔记的整理，写的比较潦草，如有遗漏错误和争议之处，欢迎大家的批评指正和讨论，谢谢。