FTP服务器管理和配置

67uyefw

FTP服务的简介

  FTP是Internet上使用非常广泛的一种通信协议，用于在不同的主机之间进行文件传输。Linux系统下常用的FTP服务器软件包括有wu-ftpd；vsftpd(Very Secure ftp Daemon)；proftpd；pureftpd等

   客户端软件有：

     CLI：ftp；lftp；(wget ，lftpget)下载工具，非交互式

     GUI: gftpd ；FlashFXP；Cuteftp；Filezilla

FTP采用C/S的工作模式，通过TCP协议建立客户端和服务器之间的连接。但与其他大多数的应用协议不同，FTP协议在客户端和服务器之间建立了两套通信链路，分别是控制链路和数据链路；


FTP客户端与服务器之间的通信过程

      1、用户使用FTP协议的客户机程序，连接到远程的FTP服务器程序上

     2、用户使用客户端程序进行FTP文件的上传或下载，FTP客户端程序通过控制链路向FTP发送相应的控制命令

    3、服务器程序接收并执行用户所发出的命令

    4、FTP服务器将执行结果返回到客户端


  FTP通过两组套接字通信：控制莲姐套接字 21/TCP,数据连接套接字 20/TCP。但是传输数据又可以分为主动模式与被动模式，其数据传输端口有所不同。

  主动模式工作的原理：FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，客户端随机开放一个端口（1024以上），发送PORT命令到FTP服务器 ，告诉服务器客户端采用主动模式并开放端口；FTP服务器收到PORT主动模式命令和端口号后，通过服务器的20端口和客户端开放的端口连接，发送数据，原理如下图：



被动模式工作原理：FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器， 服务器在本地随机开放一个端口（1024以上 ），然后把开放的端口告诉客户端，客户端再连接到服务器开放的端口进行数据传输，原理如下图：



VSFTP服务器的安装和配置

  vsftpd可以通过rpm包或者源码安装，通过rpm安装只需使用yum命令即可。

文件的组成：

/etc/vsftpd: 配置文件目录

/etc/rc.d/init.d/vsftpd: 服务脚本

/usr/sbin/vsftpd： 主程序

/var/ftp：数据文件目录(匿名用户访问目录)

/etc/pam.d/vsftpd: 认证文件 pam(Plugable Authentication Module)插件式认证模块

  模块化库文件：/lib64/security/pam*.so

  认证配置文件：/etc/pam.conf和/etc/pam.d/*

基本配置：/etc/vsftpd/vsftpd.conf

   

启动和关闭vsftpd

  vsftpd支持两种启动方式：xinetd和standalone。其中，xinetd是通过xinetd进程来启动和关闭vsftpd服务，这是vsftpd默认启动方式。standalone方式则是采用独立进程启动和关闭，与普通程序的启动方式一样。

xinetd方式：

  采用这种方式时，vsftpd不能单独管理，当vsftpd需要重启时，也必须重启整个xinetd服务器。不推荐这种方式

standalone方式：

    # service vsftpd star

    # service vsftpd stop

    # service vsftpd restart

  或者使用： # chkconfig vsftpd on 使得ftp服务自启动

  

vsftpd.conf配置文件

    vsftpd服务器的配置主要通过其主配置文件/etc/vsftpd.conf来完成。该文件以'#'作为注释，每个选项一行，格式为'选项=值'。

常用选项：

匿名用户的配置：

  anonymous_enable=YES登陆权限

  anon_upload_enable=YES上传权限

  anon_other_write_enable=YES删除权限

  anon_mkdir_write_enable=YES创建目录

  启用写入功能时，ftp用户对相应的本地文件系统也有相应的写入权限；生效的权限取决于文件系统权限和服务权限的交集。

禁锢用户于其家目录中：

  chroot_local_user={Yes|No}

  chroot_list_enable={YES|NO}                只禁锢列表中的用户在家目录

  chroot_list_file=/etc/vsftpd/chroot_list   禁锢用户列表

欢迎信息的定义：

  ftp_banner=some string

    或者banner_file=/path/to/some_banner_file(文件中写欢迎信息)

  dirmessage_enable=yes（切换目录时，目录下的欢迎信息）

    在ftp可访问的目录下创建.messages文件

控制登录用户的机制：

  /etc/vsftpd/ftpusers中的用户都不允许使用ftp服务, 这是在/etc/pam.d/vsftpd中定义。

user_list配置文件有两种用法：

  黑名单：

    userlist_enable=YES

    userlist_deny=YES

  白名单：

    userlist_enable=YES

    userlist_deny=NO

连接限制：

  max_clients: 最大并发连接数

  max_per_ip: 每IP可同时发起并发请求

传输速率：

  anon_max_rate: 匿名用户的最大传输速率，单位是“字节/秒”；

  local_max_rate: 本地用户的最大传输速率，单位是“字节/秒”

上传文件的umask：

  anno_umask: 匿名用户上传文件的umask;

  local_umask: 本地用户上传文件的umask;

修改匿名用户上传文件的属主和属组：

  chown_uploads=YES

  chown_username=someuser

ftp用户：

   匿名用户： anonymous_enable

   系统用户：local_enable

   虚拟用户：所有的虚拟用户会映射会一个系统用户，访问时的文件目录是为此系统用户的家目录。

用户的存放位置：

  

虚拟用户账户在 ： 文件，MySQL，Oracle，Redis，LDAP...

    以文件存放虚拟用户的配置步骤：

        1.创建用于保存虚拟用户文件，其中奇数行为用户名，偶数行为密码；

            # touch VUSER_FILE

            tom

            123456

            jerry

            123123

        2.将保存虚拟用户账户的文本文件转换为数据库文件：

            db_load -T -t hash -f /PATH/TO/VUSER_FILE /PATH/TO/USERDB.db

        3.设定PAM的认证文件

            /etc/pam.d/vusers.file

            auth required /lib64/security/pam_userdb.so db=/PATH/TO/USERDB

            account required /lib64/security/pam_userdb.so db=/PATH/TO/USERDB


        4.创建一个用于映射虚拟用户身份的本地用户

            useradd LOCAL_USER

        5.修改此虚拟主机的配置文件：

            anonymous_enable=NO

            guest_enable=YES

            guest_username=LOCAL_USER

            pam_service_name=vusers.file

            local_root=/myftp/ftpdata

            anon_upload_enable=YES

            anon_mkdir_write_enable=YES

            anon_other_write_enable=YES



    如果想要对于所有的虚拟用户分别设定权限，可以使用：

        在虚拟主机的主配置文件中添加指令：

            user_config_dir=/PATH/TO/CONFIG_DIR


        创建出这个目录，并且在目录下创建出与虚拟用户名相同的文件；

        anon_upload_enable=YES

        anon_mkdir_write_enable=YES

        anon_other_write_enable=YES

        local_root=/myftp/ftpdata/alice

        anon_umask=022


基于MySQL存放虚拟用户

'centos',PASSWORD('qhdlink')

'suse',PASSWORD('link19')


    1.编译安装pam的mysql驱动

        下载地址：http://pam-mysql.sourceforge.net/


        需要预先安装编译环境，即: Development Tools，Server Platform Development, pam-devel, mysql_devel

        # tar xf pam_mysql-0.7RC1.tar.gz

        # cd pam_mysql-0.7RC1

        # ./configure --with-pam=/usr --with-mysql=/usr --with-pam-mods-dir=/lib64/secutiry

        # make -j 4 && make install


    2.创建数据库，数据表，及授权用户；

        mysql> create database vsftpd;

        mysql> use vsftpd;

        mysql> create table users (username char(20),password char(48));

        mysql> insert into users values ('centos',PASSWORD('qhdlink')),('gentoo',PASSWORD('qhdlink'))

        mysql> grant all on vsftpd.* to 'vsftpd'@'localhost' identified by 'vsftppass';

        mysql> grant all on vsftpd.* to 'vsftpd'@'127.0.0.1' identified by 'vsftppass';

        mysql> grant all on vsftpd.* to 'vsftpd'@'172.16.%.%' identified by 'vsftppass';


    3.创建pam的认证文件：

        /etc/pam.d/vusers.mysql


        auth required /lib64/security/pam_mysql.so user=vsftpd passwd=vsftppass host=127.0.0.1 db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2

        account required /lib64/security/pam_mysql.so user=vsftpd passwd=vsftppass host=127.0.0.1 db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2


    4.创建映射用户：

        useradd mysqluser


    5.修改此虚拟主机的配置文件：

        anonymous_enable=NO

        guest_enable=YES

        guest_username=LOCAL_USER

        pam_service_name=vusers.mysql

        user_config_dir=/PATH/TO/MYSQL_USER_CONFIG