您的位置: 首页  >  文章  >  关于Linux的那些事—使用vsftpd服务传输文件

关于Linux的那些事—使用vsftpd服务传输文件

分类: 文章 2024-07-30 14:45:52

文件传输协议
FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口20(数据端口)用于进行数据传输,端口21(命令端口)用于接受客户端发出的相关FTP命令与参数。FTP服务器普遍部署于内网中,具有容易搭建、方便管理的特点。而且有些FTP客户端工具还可以支持文件的多点下载以及断点续传技术,因此FTP服务得到了广大用户的青睐。FTP协议的传输拓扑如图所示。
关于Linux的那些事—使用vsftpd服务传输文件
FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机,FTP客户端则是向服务器发送连接请求,以建立数据传输链路的主机。FTP协议有下面两种工作模式。
主动模式:FTP服务器主动向客户端发起连接请求。
被动模式:FTP服务器等待客户端发起连接请求(FTP的默认工作模式)。

在学习防火墙服务配置时曾经讲过,防火墙一般是用于过滤从外网进入内网的流量,因此有些时候需要将FTP的工作模式设置为主动模式,才可以传输数据。
vsftpd(very secure ftp daemon,非常安全的FTP守护进程)是一款运行在Linux操作系统上的FTP服务程序,不仅完全开源而且免费,此外,还具有很高的安全性、传输速度,以及支持虚拟用户验证等其他FTP服务程序不具备的特点。
在配置妥当Yum软件仓库之后,就可以安装vsftpd服务程序了。

例1:安装vsftpd,因为iptables防火墙管理工具默认禁止了FTP传输协议的端口号,清空iptables防火墙的默认策略并永久生效,以避免被这些默认策略影响vsftpd服务的配置。
yum install -y httpd #安装vsftpd服务程序
iptables -F #清空iptables防火墙策略
service iptables save #把当前已经被清理的防火墙策略状态保存下来
vsftpd服务程序的主配置文件:/etc/vsftpd/vsftpd.conf。
cd /etc/vsftpd #进入vsftpd主配置文件所在目录
mv vsftpd.conf vfstpd.conf_bak #把vsftpd服务的主配置文件重命名为vsftpd.conf_bak
grep -v “#” vsftpd.conf_bak > vsftpd.conf #在grep命令后面添加-v参数,过滤并反选出没有包含井号(#)的参数行(即过滤掉所有的注释信息),然后将过滤后的参数行通过输出重定向符写回原始的主配置文件中

cat vsftpd.conf #查看删除所有注释信息后的vsftpd主配置文件
anonymous_enable=YES #是否允许匿名用户访问
local_enable=YES #是否允许本地用户登录FTP
write_enable=YES #是否允许用户进行写操作
local_umask=022 #本地用户上传文件的umask值(反掩码),如022,若是文件,则该文件权限为666-022=644,若是目录,则目录权限777-022=755
dirmessage_enable=YES
xferlog_enable=YES #是否开启日志
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO #是否进行独立监听
listen_ipv6=YES
pam_service_name=vsftpd #支持pam模块
userlist_enable=YES #是否支持用户黑名单
tcp_wrappers=YES

vsftpd服务程序常用的参数以及作用
参数 作用
listen=[YES|NO] 是否以独立运行的方式监听服务
listen_address=IP地址 设置要监听的IP地址
listen_port=21 设置FTP服务的监听端口
download_enable=[YES|NO] 是否允许下载文件
userlist_enable=[YES|NO] 设置用户列表为“允许”还是“禁止”操作
userlist_deny=[YES|NO] 设置用户列表为“允许”还是“禁止”操作
max_clients=0 最大客户端连接数,0为不限制
max_per_ip=0 同一IP地址的最大连接数,0为不限制
anonymous_enable=[YES|NO] 是否允许匿名用户访问
anon_upload_enable=[YES|NO] 是否允许匿名用户上传文件
anon_umask=022 匿名用户上传文件的umask值
anon_root=/var/ftp 匿名用户的FTP根目录
anon_mkdir_write_enable=[YES|NO] 是否允许匿名用户创建目录
anon_other_write_enable=[YES|NO] 是否开放匿名用户的其他写入权限(包括重命名、删除等操作权限)
anon_max_rate=0 匿名用户的最大传输速率(字节/秒),0为不限制
local_enable=[YES|NO] 是否允许本地用户登录FTP
local_umask=022 本地用户上传文件的umask值
local_root=/var/ftp 本地用户的FTP根目录
chroot_local_user=[YES|NO] 是否将用户权限禁锢在FTP目录,以确保安全
local_max_rate=0 本地用户最大传输速率(字节/秒),0为不限制
Vsftpd服务程序

vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。

匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。

本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客**了账户的信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。

虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用。这样,即使黑客**了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。

ftp是Linux系统中以命令行界面的方式来管理FTP传输服务的客户端工具。
安装ftp客户端工具:yum install -y ftp

** 匿名访问模式**

在vsftpd服务程序中,匿名开放模式是最不安全的一种认证模式。任何人都可以无需密码验证而直接登录到FTP服务器。这种模式一般用来访问不重要的公开文件(在生产环境中尽量不要存放重要文件)。当然,如果采用防火墙管理工具(如Tcp_wrappers服务程序)将vsftpd服务程序允许访问的主机范围设置为企业内网,也可以提供基本的安全性。

vsftpd服务程序默认开启了匿名开放模式,我们需要做的就是开放匿名用户的上传、下载文件的权限,以及让匿名用户创建、删除、更名文件的权限。需要注意的是,针对匿名用户放开这些权限会带来潜在危险,目前只是为了在Linux系统中练习配置vsftpd服务程序而放开了这些权限,不建议在生产环境中如此行事。
下表罗列了可以向匿名用户开放的权限参数以及作用。
参数 作用
anonymous_enable=YES 允许匿名访问模式
anon_umask=022 匿名用户上传文件的umask值
anon_upload_enable=YES 允许匿名用户上传文件
anon_mkdir_write_enable=YES 允许匿名用户创建目录
anon_other_write_enable=YES 允许匿名用户修改目录名称或删除目录
例2:在例1基础上,配置vsftpd服务允许用户以匿名开放模式登录到FTP服务器。
#1.编辑vsftpd服务的主配置文件,使其开启匿名开放模式,并开放匿名用户的上传下载文件的权限,以及让匿名用户创建删除重命名文件的权限。
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

#2.重启vsftpd服务并加入开机启动项
systemctl restart vsftpd
systemctl enable vsftpd
#3.匿名用户的FTP根目录为/var/ftp,该目录下还有一个pub目录,pub目录默认只有root管理员才有写入权限。需要更改目录所有者为ftp。
ls -ld /var/ftp/pub
chown -Rf ftp /var/ftp/pub #更改pub目录的属主为ftp
ls -ld /var/ftp/pub
#4.修改SELinux域策略ftpd_full_access为永久允许,经过这一步用户才能进行增删改文件的操作。
getsebool -a | grep ftp #查看与FTP相关的SELinux域策略
setsebool -P ftpd_full_access=on
#5.用客户端执行“ftp 服务端ip地址”登录ftp服务器。登录帐号为anonymous,密码为空。执行文件的增删改操作验证vsftpd服务配置是否成功。
ftp 192.168.10.10 #登录ftp
Name (192.168.10.10:root): anonymous #匿名模式下的账户
Password: #匿名模式下的密码为空,直接Enter
ftp> cd pub #进入目录pub
ftp> mkdir test #创建目录test
ftp> rename test abc #把目录test重命名为abc
ftp> rmdir abc #删除目录abc
ftp> exit #退出ftp

本地用户模式
相较于匿名开放模式,本地用户模式要更安全,而且配置起来也很简单。
针对本地用户模式的权限参数以及作用如表所示。
参数 作用
anonymous_enable=NO 禁止匿名访问模式
local_enable=YES 允许本地用户模式
write_enable=YES 设置可写权限
local_umask=022 本地用户模式创建文件的umask值
userlist_deny=YES 启用“禁止用户名单”,名单文件为ftpusers和user_list
userlist_enable=YES 开启用户作用名单文件功能
在vsftpd服务程序的主配置文件中正确填写参数,然后保存并退出。还需要重启vsftpd服务程序,让新的配置参数生效。

userlist_enable参数决定是否启用名单文件user_list,而userlist_deny参数决定名单文件user_list是作为白名单(参数值为NO,允许访问)还是黑名单(参数值为YES,拒绝访问)。

除此之外,还有一个名单文件ftpusers,它不受任何配置项的影响,它永远生效,是一个黑名单!即只要在ftpusers文件中的用户,是无论如何都不允许访问的。

例3:在例1基础上,配置vsftpd服务允许用户以本地用户模式登录到FTP服务器。
#1.编辑vsftpd服务的主配置文件,使其开启本地用户模式。开启用户名单文件功能(不设置userlist_deny参数则默认把user_list作为黑名单)
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022

userlist_enable=YES
#2.重启vsftpd服务
systemctl restart vsftpd
systemctl enable vsftpd
#3.root默认在ftpusers和user_list中(上面配置使得user_list是黑名单),因此不能登录。要修改这两个文件。
vim /etc/vsftpd/user_list

#root

vim /etc/vsftpd/ftpusers

#root

#4.此时客户端就能以root身份登录ftp服务器了,默认访问的是该用户的家目录,而且该目录的默认所有者、所属组都是该用户自己,因此不存在写入权限不足的情况。但是当前的操作仍然会因为SELinux域策略的设置而被拒绝。需要在服务端把相关域策略设置为允许。
getsebool -a | grep ftp
setsebool -P ftpd_full_access=on

虚拟用户模式
虚拟用户模式是这三种模式中最安全的一种认证模式,因为安全性较之于前面两种模式有了提升,所以配置流程也会稍微复杂一些。

PAM(可插拔认证模块)是一种认证机制,通过一些动态链接库和统一的API把系统提供的服务与认证方式分开,使得系统管理员可以根据需求灵活调整服务程序的不同认证方式。要想把PAM功能和作用完全讲透,至少要一个章节的篇幅才可以(对该主题感兴趣的读者敬请关注本书的进阶篇,里面会详细讲解PAM)。

通俗来讲,PAM是一组安全机制的模块,系统管理员可以用来轻易地调整服务程序的认证方式,而不必对应用程序进行任何修改。PAM采取了分层设计(应用程序层、应用接口层、鉴别模块层)的思想,其结构如图所示。
关于Linux的那些事—使用vsftpd服务传输文件
利用PAM文件进行认证时使用的参数以及作用
关于Linux的那些事—使用vsftpd服务传输文件
例4:在例1基础上,配置vsftpd服务允许用户以虚拟用户模式登录到FTP服务器。
#1-1.创建用于进行FTP认证的用户数据库文件,其中奇数行为账户名,偶数行为密码。
cd /etc/vsftpd/
vim vuser.list
zhangsan
lisi
#1-2.这样创建的文件都是明文信息,不安全,也不符合让vsftpd服务程序直接加载的格式,需要使用db_load命令用哈希(hash)算法将原始的明文信息文件转换成数据库文件。
db_load -T -t hash -f vuser.list vuser.db #-T加密 -t指定加密协议 -f要加密的文件。对文件vuser.list用hash算法加密为vuser.db
file vuser.db #查看文件类型
chmod 600 vuser.db #降低文件的权限。避免其他人看到数据库文件内容
rm -Rf vuser.list #删掉明文信息文件
#2.由于Linux系统中的每一个文件都有所有者、所属组属性,为此需要创建一个可以映射到虚拟用户的系统本地用户,让虚拟用户默认登录到与之有映射关系的这个系统本地用户的家目录中,虚拟用户创建的文件的属性也都归属于这个系统本地用户,从而避免Linux系统无法处理虚拟用户所创建文件的属性权限。
useradd -d /var/ftproot -s /sbin/nologin virtual #创建用户virtual,shell解释器为nologin,即不允许登录,默认家目录为/var/ftproot,即虚拟用户登录ftp后的默认目录
ls -ld /var/ftproot/
chmod -Rf 755 /var/ftproot/ #设置权限保证其他用户能对该目录进行相关操作
#3.建立用于支持虚拟用户的PAM文件。配置参数格式可以参考/etc/pam.d/vsftpd
vim /etc/pam.d/vsftpd.vu #新建用于虚拟用户认证的PAM文件vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser #“db=”参数为使用db_load命令生成的账户密码数据库文件的路径,但不用写数据库文件的后缀
account required pam_userdb.so db=/etc/vsftpd/vuser
#4.为虚拟用户设置不同权限。创建一个目录,在目录里生成与虚拟用户同名的权限参数配置文件。在后续配置vsftpd服务主配置文件时通过添加user_config_dir参数来引用。
mkdir /etc/vsftpd/vusers_dir/
cd /etc/vsftpd/vusers_dir/
touch lisi #创建空白文件lisi,即不赋予lisi任何权限
vim zhangsan #创建并编辑文件zhangsan
anon_upload_enable=YES #允许上传文件
anon_mkdir_write_enable=YES #允许创建目录
anon_other_write_enable=YES #允许修改或删除目录
#5.编辑vsftpd服务的主配置文件,开启虚拟用户模式。
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO #禁止匿名开放模式
local_enable=YES #允许本地用户模式
guest_enable=YES #开启虚拟用户模式
guest_username=virtual #指定虚拟用户账户
allow_writeable_chroot=YES #允许对禁锢的FTP根目录执行写入操作,而且不拒绝用户的登录请求(牢笼机制,只能在FTP根目录操作)

pam_service_name=vsftpd.vu #指定PAM文件

user_config_dir=/etc/vsftpd/vusers_dir #定义虚拟用户权限配置文件所在路径
#6.重启vsftpd服务
systemctl restart vsftpd
systemctl enable vsftpd
#7.设置SELinux域允许策略
getsebool -a | grep ftp
setsebool -P ftpd_full_access=on

测试结果:
zhangsan:可以增删改目录
lisi:没有增删改权限

相关推荐