Linux搭建FTP服务器配置

一、概念

1.1介绍

FTP：File transfer protocol 文件传输协议

端口

TCP21:命令

TCP20:数据

1.2原理

默认采用被动模式

被动模式FTP

为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:

FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）

FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）

FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据连接到服务器指定的任意端口）

FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

NFS,基于主机认证，只是局域网之间文件传输

FTP，可以实现用户之间的认证

Real：本地用户 ，服务端用户

匿名用户

虚拟（游客）用户

（只需要一台服务机）

1.3 配置文件

主配置文件：

vim /etc/vsftpd/vsftpd.conf

从配置文件

vim /var/ftp/pub

主配置文件详解

anonymous_enable=YES 是否启用匿名用户

local_enable=YES

write_enable=YES 允许写入(无论是匿名用户还是本地用户要实现上传就需要快开启它)

local_umask=022 默认本地用户上传文件权限755

dirmessage_enable=YES 显示每个目录下的文件信息

xferlog_enable=YES 日志启用

connect_from_port_20=YES 主动请求的数据端口

chown_uploads=YES 所有匿名用户上传的文件所属用户将会被改成chown_username

chown_username=whoever 匿名上传的所属用户名是whoever

xferlog_file=/var/log/xferlog 启用的日志文件

xferlog_std_format=YES

idle_session_timeout=600 空闲连接超时

data_connection_timeout=120 数据连接超时

nopriv_user=ftpsecure 当服务器运行于最底层时使用的用户名

chroot_list_enable=YES chroot_local_user=YES 所有文件列出用户， 可以切换到其他目录

chroot_list_file=/etc/vsftpd/chroot_list

listen=NO 服务将自己监听处理listen_ipv6=YES

pam_service_name=vsftpd 设置PAM认证模块使用名称预设为vsftpd

userlist_enable=YES

tcp_wrappers=YES 服务端和客户端访问控制策略（服务器级别的一种防火墙）

二、实验

2.1匿名用户

默认访问/ftp/pub

2.1.1 准备工作

1)安装vsftpd

root@localhost ~# mount /dev/sr0 /mnt

mount: /dev/sr0 is write-protected, mounting read-only

root@localhost ~# yum install vsftpd –y

2)关闭起vsftpd服务,关闭防火墙和SE linux

root@localhost ~# systemctl stop firewalld

root@localhost ~# setenforce 0

root@localhost ~# systemctl restart vsftpd

2.1.2下载

虚拟机Ip为192.168.233.131

root@localhost ~# mkdir /var/ftp/pub/{1.3}

1. 访问window资源管理器 输入ftp://192.168.233.131

         2.或者访问浏览器ftp://192.168.233.131/pub/，进行下载

2.1.3 上传

1)修改配置文件/etc/vsftpd/vsftpd.conf相关选项

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

内容

anon_umask=022（增加）

anon_upload_enable=YES（取消注释）

anon_mkdir_write_enable=YES（取消注释）

2）重启vsftpd服务

root@localhost ~# systemctl restart vsftpd

3)修改目录/var/ftp/pub权限，给目录写权限

root@localhost ~# chmod 777 /var/ftp/pub

4）访问window资源管理器 输入ftp://192.168.233.131，进入pub目录底下上传文件或者访问浏览器ftp://192.168.233.131/pub/，进行上传

2.1.4删除

1）修改配置文件/etc/vsftpd/vsftpd.conf相关选项

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

增加内容

anon_other_write_enable=YES

2）重启vsftpd服务测试

root@localhost ~# systemctl restart vsftpd

2.2 本地用户

2.2.1下载

1）修改主配置文件/etc/vsftpd/vsftpd.conf开启本地用户权限(关闭匿名用户)

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

修改布尔值打开/home目录的权限

root@localhost haha# getsebool -a | grep ftp_home_dir

ftp_home_dir --> off

root@localhost haha# setsebool -P ftp_home_dir on

2.2.2上传和删除（一样）

1）修改主配置文件/etc/vsftpd/vsftpd.conf开启本地用户权限(默认开启，不用改)

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

write_enable=YES

2）重启服务vsftpd

root@localhost ~# systemctl restart vsftpd

3）在浏览器访问地址ftp://192.168.233.138查看。用户密码登陆，默认上来是用户的根目录，在资源管理器访问地址ftp://192.168.233.138，进行上传删除

删除

2.2.3遍历

当前用户来回切换文件系统，如果开启，就不能来回切换目录

1. 本地用户不能翻目录 chroot_local_user=YES开启代表本地用户不能访问 首先开启chroot选项，allow_writeable_chroot=YES， 再指定本地用户不能访问 root@localhost ~# vim /etc/vsftpd/vsftpd.conf 增加内容为：开启chroot选项 allow_writeable_chroot=YES 取消注释 指定本地用户不能翻目录 chroot_local_user=YES

重启服务查看

2）指定用户列表文件中用户访问

chroot_list_enable=YES 开启代表用户列表文件/etc/vsftpd/chroot_list中的用户可以访问（在/etc/vsftpd目录下创建文件chroot_list，在文件中写入用户名），未在文件中列出的用户不能访问

首先开启chroot选项，allow_writeable_chroot=YES，

再指定本地用户不能访问 ，chroot_local_user=YES

最后指定用户列表文件的用户可以访问 chroot_list_enable=YES

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

增加内容为：开启chroot选项

allow_writeable_chroot=YES

取消注释 指定本地用户不能翻目录

chroot_local_user=YES

指定用户列表文件的用户可以访问，未在文件中列出的用户不能访问

chroot_list_enable=YES

重启服务，在/etc/vsftpd目录下创建文件chroot_list，在文件中写入用户名xixi,xigua

root@localhost ~# systemctl restart vsftpd

root@localhost vsftpd# cd

root@localhost ~# cd /etc/vsftpd/

root@localhost vsftpd# vim chroot_list

xixi

xigua

创建用户xixi,xigua(用户在列表文件中),密码为redhat,访问浏览器ftp://192.168.233.138查看，可以访问

root@localhost vsftpd# echo redhat | passwd --stdin xigua

更改用户 xigua 的密码 。

passwd：所有的身份验证令牌已经成功更新。

root@localhost vsftpd# echo redhat | passwd --stdin xixi

更改用户 xixi 的密码 。

passwd：所有的身份验证令牌已经成功更新。

创建用户hh（用户不在列表文件中）密码为redhat,访问浏览器ftp://192.168.233.138查看，不能访问

root@localhost ~# useradd hh

root@localhost ~# echo redhat | passwd --stdin hh

更改用户 hh 的密码 。

passwd：所有的身份验证令牌已经成功更新。

2.3游客用户（虚拟用户）

2.3.1原理

在linux,使用vsftp建立用户后，默认使用ftp访问的时候，是访问对应的用户家目录。想要多个用户同时访问一个目录，同时对同一目录有着不同的权限，这些设定只能通过vsftp中的虚拟用户来进行设定，普通用户无法达到这样的效果。

首先通过建立一个普通系统用户，建立家目录，然后将所有的虚拟用户映射到对应的普通系统用户家目录，然后对各虚拟用户进行权限控制，虚拟用户没有查看目录的权限。

1）创建系统用户ftp，修改用户ftp家目录权限

root@localhost ~# useradd -s /sbin/nologin ftp

root@localhost ~# chmod 704 /home/ftp

2)修改主配置文件

root@localhost ~# vim /etc/vsftpd/vsftpd.conf

#增加内容

guest_enable=YES

guest_username=ftp

#本地虚拟用户特权开启

virtual_use_local_privs=YES

重启服务

root@localhost ~# systemctl restart vsftpd

3）创建虚拟用户文件，

root@localhost ~# cd /etc/vsftpd/

root@localhost vsftpd# vim ftp

ftp1

redhat

ftp2

redhat

ftp3

redhat

root@localhost ~# cd /etc/vsftpd/

root@localhost vsftpd# vim ftp

root@localhost vsftpd# db_load -T -t hash -f ftp ftp.db

root@localhost vsftpd# chmod 600 ftp.db

root@localhost vsftpd# ll -Z ftp.db

-rw-------. root root unconfined_u:object_r:etc_t:s0 ftp.db

root@localhost vsftpd# vim /etc/pam.d/vsftpd

auth required pam_userdb.so db=/etc/vsftpd/ftp

account required pam_userdb.so db=/etc/vsftpd/ftp

root@localhost vsftpd# systemctl restart vsftpd