关于ftp的介绍FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为”文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:”下载”(Download)和”上传”(Upload)。”下载”文件就是从远程主机拷贝文件至自己的计算机上;”上传”文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说,用户可通过客户机程序向(从)远程主机上传(下载)文件。FTP服务器简单地说,支持FTP协议的服务器就是FTP服务器。与大多数Internet服务一样,FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序,连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机。比如说,用户发出一条命令,要求服务器向用户传送某一个文件的一份拷贝,服务器会响应这条命令,将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件,将其存放在用户目录中。用户分类Real帐户这类用户是指在FTP服务上拥有帐号。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等。Guest用户在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。但是,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。Anonymous(匿名)用户这也是我们通常所说的匿名访问。这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。在组建FTP服务器的时候,我们就需要根据用户的类型,对用户进行归类。默认情况下,Vsftpd服务器会把建立的所有帐户都归属为Real用户。但是,这往往不符合企业安全的需要。因为这类用户不仅可以访问自己的主目录,而且,还可以访问其他用户的目录。这就给其他用户所在的空间带来一定的安全隐患。所以,企业要根据实际情况,修改用户所在的类别。使用方式TCP/IP协议中,FTP标准命令TCP端口号为21,Port方式数据端口为20。FTP的任务是从一台计算机将文件传送到另一台计算机,不受操作系统的限制。需要进行远程文件传输的计算机必须安装和运行ftp客户程序。在windows操作系统的安装过程中,通常都安装了tcp/ip协议软件,其中就包含了ftp客户程序。但是该程序是字符界面而不是图形界面,这就必须以命令提示符的方式进行操作,很不方便。启动ftp客户程序工作的另一途径是使用ie浏览器,用户只需要在ie地址栏中输入如下格式的url地址:ftp://[用户名:口令@]ftp服务器域名:[端口号](在CMD命令行下也可以用上述方法连接,通过put命令和get命令达到上传和下载的目的,通过ls命令列出目录,除了上述方法外还可以在cmd下输入ftp回车,然后输入open IP来建立一个连接,此方法还适用于linux下连接ftp服务器)传输方式FTP的传输有两种方式:ASCII、二进制。ASCII传输方式假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。但是常常有这样的情况,用户正在传输的文件包含的不是文本文件,它们可能是程序,数据库,字处理文件或者压缩文件。在拷贝任何非文本文件之前,用binary 命令告诉ftp逐字拷贝。二进制传输模式在二进制传输中,保存文件的位序,以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例如,macintosh以二进制方式传送可执行文件到Windows系统,在对方系统上,此文件不能执行。如在ASCII方式下传输二进制文件,即使不需要也仍会转译。这会损坏数据。(ASCII方式一般假设每一字符的第一有效位无意义,因为ASCII字符组合不使用它。如果传输二进制文件,所有的位都是重要的。)支持模式FTP支持两种模式:Standard (PORT方式,主动方式),Passive (PASV,被动方式)。Port模式FTP 客户端首先和服务器的TCP 21端口建立连接,用来发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。Passive模式建立控制通道和Standard模式类似,但建立连接后发送Pasv命令。服务器收到Pasv命令后,打开一个临时端口(端口号大于1023小于65535)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口传送数据。很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。更多关于FTP的知识请参考《鸟哥的私房菜-服务器架设篇》第21章内容。window上ftp安装最著名的FileZilla有服务端和客户端。FileZilla是一个免费开源的FTP软件,分为客户端版本和服务器版本,具备所有的FTP软件功能。可控性、有条理的界面和管理多站点的简化方式使得Filezilla客户端版成为一个方便高效的FTP客户端工具,而FileZilla Server则是一个小巧并且可靠的支持FTP&SFTP的FTP服务器软件。filezilla server下载:http://www.filezilla.cn/download/serverserver端安装和配置,搭建个人ftp服务:参考 http://jingyan.baidu.com/article/6079ad0e67acf828ff86db3f.htmlvsftpd介绍vsftpd 是”very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。比如:非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高等。vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。在开源操作系统中常用的FTPD套件主要还有ProFTPD、PureFTPd和wuftpd等特点①vsftpd 是以一般身份启动服务,所以对于 Linux 系统的使用权限较低,对于Linux 系统的危害就相对的减低了。此外, vsftpd 亦利用 chroot() 这个函式进行改换根目录的动作,使得系统工具不会被vsftpd 这支服务所误用;②任何需要具有较高执行权限的 vsftpd 指令均以一支特殊的上层程序( parent process ) 所控制 ,该上层程序享有的较高执行权限功能已经被限制的相当的低,并以不影响Linux 本身的系统为准;③所有来自 clients 端,想要使用这支上层程序所提供的较高执行权限之vsftpd 指令的需求,均被视为『不可信任的要求』来处理,必需要经过相当程度的身份确认后,方可利用该上层程序的功能。例如chown(), Login 的要求等等动作;④此外,上面提到的上层程序中,依然使用 chroot() 的功能来限制使用者的执行权限。vsftpd安装配置过程此过程所有涉及到的linux命令,可以参考:http://man.linuxde.net/安装VSFTPD1.首先确认系统内无vsftpd。rpm -qa|grep vsftpd若有的话会显示vsftpd-x.x.x.-x.xxx.x86_64若没有的话会空返回2.安装vsftpdyum -y install vsftpd正在安装中:要求linux能够联网安装完成,注意提示信息:3.设置开机启动chkconfig vsftpd on配置VSFTPD1.打开vsftpd配置文件/etc/vsftpd/vsftpd.confcd /etc/vsftpd vi vsftpd.conf通过上下箭头移动光标修改配置文件(核对以下几个参数,顺序可能不一致):anonymous_enable=NOlocal_enable=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listascii_upload_enable=YESascii_download_enable=YES//已下内容请在配置文件中手动添加,加到最后guest_enable=yesguest_username=ftpuser_config_dir=/etc/vsftpd/vuser_confallow_writeable_chroot=YES编辑后记得 :wq! 保存2.创建用户密码文件/etc/vsftpd/vuser_passwd.txt ,注意奇行是用户名,偶行是密码vi vuser_passwd.txtftpftp123456截图如下:3.生成虚拟用户认证的db文件db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.dbls 查看有没有vuser.passwd.db生成4.编辑认证文件/etc/pam.d/vsftpdvi /etc/pam.d/vsftpd把已有的内容都注释了,然后加上以下几条auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwdaccount required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd效果如下:5.创建虚拟用户配置文件在/etc/vsftpd/目录下创建chroot_list文件vi chroot_list文件内容只需要写配置的ftp用户名即可:创建ftp用户的配置文件:mkdir /etc/vsftpd/vuser_conf/vi /etc/vsftpd/vuser_conf/ftp //最后的ftp文件名等于vuser_passwd.txt里面的账户名,否则下面设置无效6.设置用户配置文件内容local_root=/data/ftpwrite_enable=YESanon_umask=022anon_world_readable_only=NOanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YES如图:7.设置文件夹权限在根目录下创建文件夹mkdir /data/ftp修改文件夹权限chmod -R 777 /data9.启动vsftpd服务service vsftpd start或者systemctl start vsftpd.service执行 service vsftpd start时如果显示 redirect …..一行信息,这个是正常的,不是错误的启动后,查看是否启动成功,如果看到绿色的 active(running)代表成功:service vsftpd status 或者 systemctl status vsftpd.service如果ftp连接失败,在服务器上查看错误信息:tail -f /var/log/secure使用FileZilla连接先关闭虚拟机的防火墙,这里不再详述如何将ftp端口加到防火墙的放行配置中连接成功如果出现500的错误:执行: setsebool -P ftp_home_dir 1如果不能上传文件,执行:setsebool -P allow_ftpd_full_access=1此命令为临时的,重启系统就失效了,如果要永久的改,更改配置:然后重启系统即可附录:ftp操作命令启动:systemctl start vsftpd.service停止:systemctl stop vsftpd.service重启:systemctl restart vsftpd.service/etc/vsftpd/目录:chroot_list文件内容:vuser_passwd.txt内容:vuser_conf/ftp内容:vsftpd.conf内容:# 是否允许匿名登录FTP服务器,默认设置为YES允许# 用户可使用用户名ftp或anonymous进行ftp登录,口令为用户的E-mail地址。# 如不允许匿名访问则设置为NOanonymous_enable=YES# 是否允许本地用户(即linux系统中的用户帐号)登录FTP服务器,默认设置为YES允许# 本地用户登录后会进入用户主目录,而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub# 若只允许匿名用户访问,前面加上#注释掉即可阻止本地用户访问FTP服务器local_enable=YES# 是否允许本地用户对FTP服务器文件具有写权限,默认设置为YES允许write_enable=YES# 掩码,本地用户默认掩码为077# 你可以设置本地用户的文件掩码为缺省022,也可根据个人喜好将其设置为其他值#local_umask=022# 是否允许匿名用户上传文件,须将全局的write_enable=YES。默认为YES#anon_upload_enable=YES# 是否允许匿名用户创建新文件夹#anon_mkdir_write_enable=YES# 是否激活目录欢迎信息功能# 当用户用CMD模式首次访问服务器上某个目录时,FTP服务器将显示欢迎信息# 默认情况下,欢迎信息是通过该目录下的.message文件获得的# 此文件保存自定义的欢迎信息,由用户自己建立#dirmessage_enable=YES# 是否让系统自动维护上传和下载的日志文件# 默认情况该日志文件为/var/log/vsftpd.log,也可以通过下面的xferlog_file选项对其进行设定# 默认值为NOxferlog_enable=YES# Make sure PORT transfer connections originate from port 20 (ftp-data).# 是否设定FTP服务器将启用FTP数据端口的连接请求# ftp-data数据传输,21为连接控制端口connect_from_port_20=YES# 设定是否允许改变上传文件的属主,与下面一个设定项配合使用# 注意,不推荐使用root用户上传文件#chown_uploads=YES# 设置想要改变的上传文件的属主,如果需要,则输入一个系统用户名# 可以把上传的文件都改成root属主。whoever:任何人#chown_username=whoever# 设定系统维护记录FTP服务器上传和下载情况的日志文件# /var/log/vsftpd.log是默认的,也可以另设其它#xferlog_file=/var/log/vsftpd.log# 是否以标准xferlog的格式书写传输日志文件# 默认为/var/log/xferlog,也可以通过xferlog_file选项对其进行设定# 默认值为NO#xferlog_std_format=YES# 以下是附加配置,添加相应的选项将启用相应的设置# 是否生成两个相似的日志文件# 默认在/var/log/xferlog和/var/log/vsftpd.log目录下# 前者是wu_ftpd类型的传输日志,可以利用标准日志工具对其进行分析;后者是vsftpd类型的日志#dual_log_enable# 是否将原本输出到/var/log/vsftpd.log中的日志,输出到系统日志#syslog_enable# 设置数据传输中断间隔时间,此语句表示空闲的用户会话中断时间为600秒# 即当数据传输结束后,用户连接FTP服务器的时间不应超过600秒。可以根据实际情况对该值进行修改#idle_session_timeout=600# 设置数据连接超时时间,该语句表示数据连接超时时间为120秒,可根据实际情况对其个修改#data_connection_timeout=120# 运行vsftpd需要的非特权系统用户,缺省是nobody#nopriv_user=ftpsecure# 是否识别异步ABOR请求。# 如果FTP client会下达”async ABOR”这个指令时,这个设定才需要启用# 而一般此设定并不安全,所以通常将其取消#async_abor_enable=YES# 是否以ASCII方式传输数据。默认情况下,服务器会忽略ASCII方式的请求。# 启用此选项将允许服务器以ASCII方式传输数据# 不过,这样可能会导致由”SIZE /big/file”方式引起的DoS攻击#ascii_upload_enable=YES#ascii_download_enable=YES# 登录FTP服务器时显示的欢迎信息# 如有需要,可在更改目录欢迎信息的目录下创建名为.message的文件,并写入欢迎信息保存后#ftpd_banner=Welcome to blah FTP service.# 黑名单设置。如果很讨厌某些email address,就可以使用此设定来取消他的登录权限# 可以将某些特殊的email address抵挡住。#deny_email_enable=YES# 当上面的deny_email_enable=YES时,可以利用这个设定项来规定哪些邮件地址不可登录vsftpd服务器# 此文件需用户自己创建,一行一个email address即可#banned_email_file=/etc/vsftpd/banned_emails# 用户登录FTP服务器后是否具有访问自己目录以外的其他文件的权限# 设置为YES时,用户被锁定在自己的home目录中,vsftpd将在下面chroot_list_file选项值的位置寻找chroot_list文件# 必须与下面的设置项配合#chroot_list_enable=YES# 被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录# 从而有利于FTP服务器的安全管理和隐私保护。此文件需自己建立#chroot_list_file=/etc/vsftpd/chroot_list# 是否允许递归查询。默认为关闭,以防止远程用户造成过量的I/O#ls_recurse_enable=YES# 是否允许监听。# 如果设置为YES,则vsftpd将以独立模式运行,由vsftpd自己监听和处理IPv4端口的连接请求listen=YES# 设定是否支持IPV6。如要同时监听IPv4和IPv6端口,# 则必须运行两套vsftpd,采用两套配置文件# 同时确保其中有一个监听选项是被注释掉的#listen_ipv6=YES# 设置PAM外挂模块提供的认证服务所使用的配置文件名,即/etc/pam.d/vsftpd文件# 此文件中file=/etc/vsftpd/ftpusers字段,说明了PAM模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers中#pam_service_name=vsftpd# 是否允许ftpusers文件中的用户登录FTP服务器,默认为NO# 若此项设为YES,则user_list文件中的用户允许登录FTP服务器# 而如果同时设置了userlist_deny=YES,则user_list文件中的用户将不允许登录FTP服务器,甚至连输入密码提示信息都没有#userlist_enable=YES/NO# 设置是否阻扯user_list文件中的用户登录FTP服务器,默认为YES#userlist_deny=YES/NO# 是否使用tcp_wrappers作为主机访问控制方式。# tcp_wrappers可以实现linux系统中网络服务的基于主机地址的访问控制# 在/etc目录中的hosts.allow和hosts.deny两个文件用于设置tcp_wrappers的访问控制# 前者设置允许访问记录,后者设置拒绝访问记录。# 如想限制某些主机对FTP服务器192.168.57.2的匿名访问,编缉/etc/hosts.allow文件,如在下面增加两行命令:# vsftpd:192.168.57.1:DENY 和vsftpd:192.168.57.9:DENY# 表明限制IP为192.168.57.1/192.168.57.9主机访问IP为192.168.57.2的FTP服务器# 此时FTP服务器虽可以PING通,但无法连接版权声明:本文为博主原创文章,转载请附上博文链接!pam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YES#addguest_enable=yesguest_username=ftpuser_config_dir=/etc/vsftpd/vuser_confallow_writeable_chroot=YES常见问题:首先,安装Berkeley DB工具,很多人找不到db_load的问题就是没有安装这个包。yum install db4 db4-utils这里有个问题,我在创建的时候,在后面的build过程中出现过如下出错提示:db_load: unexpected end of input data or key/data pairdb_load: odd number of key/data pairs原因大概是在ftpUserInfo.txt最后需要再加个回车,加回车后,就没问题了,在图形界面的文本编辑器保存默认也会添加一个回车,所以,如果是在图形界面的文本编辑器下直接生成的,不会出现该错误.
本文出自快速备案,转载时请注明出处及相应链接。