一、FTP 文件传输协议
1.FTP为系统提供了通过网络与远程服务器进行传输的简单方法,分主动和被动两种;
2.vsftpd:安全型服务器包,被动传输的接口是随机的,安全级别更高;
3.默认配置文件让anonymous用户只能下载位于chroot目录中的内容;
4./var/ftp:远程FTP客户端能以用户anonymous或ftp用户连接到服务器,无需密码;
二、设置FTP服务
530密码输入错误
550当前用户没有权限
553文件权限不够
500文件权限过大
2.开启ftp服务,查看ftp接口,设置开机自启动
[root@localhost ~]# systemctl start vsftpd 开启服务
[root@localhost ~]# systemctl enable vsftpd 开机自启动
[root@localhost ~]# netstat -antlupe | grep ftp 查看ftp接口 tcp6 0 0 :::21 :::* LISTEN 0 107439 32498/vsftpd
(显示为21接口)
3.在客户端进行实验 (防火墙处于开启状态)
[kiosk@foundation8 Desktop]$ lftp 172.25.254.148
lftp 172.25.254.148:~> ls
Interrupt
4.在服务端修改配置文件,允许ftp连接
查看防火墙限制的服务 firewall-cmd --get-services
[root@localhost ~]# firewall-cmd --get-services
firewall-cmd --permanent --add-service=ftp
firewall-cmd --reload
[root@localhost ~]# firewall-cmd --list-all
5.修改配置后,客户端连接ok ##默认目录 /pub
三、用户登陆设置
注意:该实验必须修改内核级限制文件 /etc/sysconfig/selinux SELINUX=disabled(关闭) (如不修改会影响试验效果)
编辑配置文件 vim /etc/vsftpd/vsftpd.conf
注:(每次修改完配置文件后必须重新加载systemctlrestartvsfapd)否则修改后的配置文件不生效
1.匿名用户登陆
anonymous_enable=YES 允许匿名用户登陆
anonymous_enable=NO 不允许匿名用户登陆
实验:在服务端修改配置文件为不允许匿名用户登陆,设置完成后重起服务,在客户端连接服务端被禁止。
不允许登陆状态如下:
local_enable=YES 允许本地用户登陆
local_enable=No 不允许本地用户登陆 (注:本地用户需加-u指定本地用户)
实验:修改服务端配置文件为不允许指定用户登陆,在客户端指定 -u student用户连接服务端被拒绝。
3.本地用户读写
write_enable=NO 不允许读写
实验:上传(put),删除(rm -fr )
1.查看ftp可操作的命令 help
2.匿名用户上传文件权限 vim /etc/vsftpd/vsftpd.conf (打开修改配置文件)
anon_upload_enable=YES (允许匿名用户上传文件)
实验效果如下:
[kiosk@foundation8 Desktop]$ lftp 172.25.254.148
修改权限 chmod 775 /var/ftp/pub/
3.匿名用户删除文件权限 vim /etc/vsftpd/vsftpd.conf (打开修改配置文件)
anon_other_write_enable=YES(允许匿名用户删除或移动文件)
4.匿名用户下载文件权限 vim /etc/vsftpd/vsftpd.conf (打开修改配置文件)
anon_world_readable_only=NO (不允许你名用户下载文件)
lftp 172.25.254.148:/pub> get group
anon_mkdir_write_enable=YES (允许匿名用户新建目录)
实验效果如下:
lftp 172.25.254.148:/pub> mkdir hello
mkdir ok, `hello' created
五、用户登陆的相关配置
vim /etc/vsftpd/vsftpd.conf (打开修改配置文件)
chown_uploads=YES
chown_username=student
anon_max_rate=102400 (表示上传最大速度为10M/s)
anon_root=/mnt 匿名用户登陆的默认目录修改
local_root=/mnt 本地用户登陆的默认目录
4.最多同时在线人数设定
5.修改本地用户登陆后,文件默认权限修改
local_umask=022(配置文件默认022,改为033,改完后文件默认权限为644)
chroot_local_user=YES
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u student
Password:
lftp [email protected]:~> ls
ls: Login failed: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
用户登陆,可切换目录,如切到根目录
chroot_local_user=NO
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u student
Password:
lftp [email protected]:~> cd /
cd ok, cwd=/
7.本地用户登陆黑/白名单
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
注意:当锁定用户家目录(YES)时,/etc/vsftpd/chroot_list是白名单
当不锁定用户家目录(NO)时,/etc/vsftpd/chroot_list是黑名单
8.黑名单配置文件
ftpusers ##永久黑名单,一旦加入,任何操作都不能洗白
user_list ##临时黑名单,可修改配置文件,变为白名单
userlist_enable=YES ##开启userlist列表
userlist_deny=NO ##默认所有用户加入黑名单,白名单用户可登陆
注意:若用户既在永久黑名单,也在白名单,此用户不能登陆!!
六、虚拟用户登陆
1.建立虚拟用户
vim /etc/vsftpd/users ##名字可自定义
hello
123 ##注意:不能有空格
2.对虚拟用户和密码加密
db_load -T -t hash -f users users.db
会生成 /etc/vsftpd/users.db文件
3.建立ftp验证文件
/etc/pam.d/usercheck
account required pam_userdb.so db=/etc/vsftpd/users ##用户认证
auth required pam_userdb.so db=/etc/vsftpd/users ##密码认证
4.修改配置文件,使虚拟用户登陆
pam_service_name=usercheck ##pam读取虚拟用户文件usercheck
guest_enable=YES ##开启虚拟用户登陆
guest_username=ftp ##使虚拟用户以ftp映射用户登陆,
5.配置虚拟用户具备独立的家目录
建立虚拟用户的家目录(例:两个用户)
mkdir /var/ftpdir/hello/hellodir -p
mkdir /var/ftpdir/nihao/nihaodir -p ##—p 表示上层目录不存在,自动建立
修改配置文件,使虚拟用户登陆到自己独立的家目录
local_root=/var/ftpdir/$USER
user_sub_token=$USER
实验效果如下:
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u hello
Password:
lftp [email protected]:~> ls
drwxr-xr-x 2 0 0 6 Apr 18 08:12 hellodir
lftp [email protected]:/> exit
[kiosk@foundation8 Desktop]$ lftp 172.25.254.108 -u nihao
Password:
lftp [email protected]:~> ls
drwxr-xr-x 2 0 0 6 Apr 18 08:12 nihaodir
6.虚拟用户分开管理(VIP)
将匿名用户所有的权限关闭
修改配置文件,给指定虚拟用户特殊权限
user_config_dir=/etc/vsftpd/user_conf
在/etc/vsftpd/user_conf目录下建立文件,以虚拟用户名命名
touch hello
[root@localhost user_conf]# cat hello
anon_upload_enable=YES
修改虚拟用户登陆家目录权限
chmod 755 /var/ftpdir/hello/hellodir/
更改虚拟用户登陆家目录组
chgrp student /var/ftpdir/hello/hellodir/