FTP
FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口20(数据端口)用于进行数据传输,端口21(命令端口)用于接受客户端发出的相关FTP命令与参数。FTP服务器普遍部署于内网中,具有容易搭建、方便管理的特点。而且有些FTP客户端工具还可以支持文件的多点下载以及断点续传技术,因此FTP服务得到了广大用户的青睐。
FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机,FTP客户端则是向服务器发送连接请求,以建立数据传输链路的主机。FTP协议有下面两种工作模式。
Ø 主动模式:FTP服务器主动向客户端发起连接请求。
Ø 被动模式:FTP服务器等待客户端发起连接请求(FTP的默认工作模式)。
VSFTPD
vsftpd(very secure ftp daemon,非常安全的FTP守护进程)是一款运行在Linux操作系统上的FTP服务程序,不仅完全开源而且免费,此外,还具有很高的安全性、传输速度,以及支持虚拟用户验证等其他FTP服务程序不具备的特点。
[root@redhat ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
[root@redhat ~]# cat /etc/vsftpd/vsftpd.conf.bak | grep -v "#" >> /etc/vsftpd/vsftpd.conf
[root@redhat ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
// 权限反掩码
// 默认文件夹权限755 文件权限644 相比于满权限都少了022
// Linux 默认文件没有执行权限 所以文件满权限为666
dirmessage_enable=YES
// 是否显示提示信息
xferlog_enable=YES
//日志
connect_from_port_20=YES
// 是否从20端口传输
xferlog_std_format=YES
listen=NO
// 是否独立监听端口号
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
| 参数 | 作用 |
|---|---|
| listen=[YES|NO] | 是否以独立运行的方式监听服务 |
| listen_address=IP地址 | 设置要监听的IP地址 |
| listen_port=21 | 设置FTP服务的监听端口 |
| download_enable=[YES|NO] | 是否允许下载文件 |
| userlist_enable=[YES|NO] userlist_deny=[YES|NO] |
设置用户列表为“允许”还是“禁止”操作 |
| max_clients=0 | 最大客户端连接数,0为不限制 |
| max_per_ip=0 | 同一IP地址的最大连接数,0为不限制 |
| anonymous_enable=[YES|NO] | 是否允许匿名用户访问 |
| anon_upload_enable=[YES|NO] | 是否允许匿名用户上传文件 |
| anon_umask=022 | 匿名用户上传文件的umask值 |
| anon_root=/var/ftp | 匿名用户的FTP根目录 |
| anon_mkdir_write_enable=[YES|NO] | 是否允许匿名用户创建目录 |
| anon_other_write_enable=[YES|NO] | 是否开放匿名用户的其他写入权限(包括重命名、删除等操作权限) |
| anon_max_rate=0 | 匿名用户的最大传输速率(字节/秒),0为不限制 |
| local_enable=[YES|NO] | 是否允许本地用户登录FTP |
| local_umask=022 | 本地用户上传文件的umask值 |
| local_root=/var/ftp | 本地用户的FTP根目录 |
| chroot_local_user=[YES|NO] | 是否将用户权限禁锢在FTP目录,以确保安全 |
| local_max_rate=0 | 本地用户最大传输速率(字节/秒),0为不限制 |
vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。
Ø 匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。
Ø 本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。
Ø 虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用。这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。
vsftpd服务程序默认开启了匿名开放模式,我们需要做的就是开放匿名用户的上传、下载文件的权限,以及让匿名用户创建、删除、更名文件的权限。需要注意的是,针对匿名用户放开这些权限会带来潜在危险,我们只是为了在Linux系统中练习配置vsftpd服务程序而放开了这些权限,不建议在生产环境中如此行事。
| 参数 | 作用 |
|---|---|
| anonymous_enable=YES | 允许匿名访问模式 |
| anon_umask=022 | 匿名用户上传文件的umask值 |
| anon_upload_enable=YES | 允许匿名用户上传文件 |
| anon_mkdir_write_enable=YES | 允许匿名用户创建目录 |
| anon_other_write_enable=YES | 允许匿名用户修改目录名称或删除目录 |
登陆测试
[root@redhat ~]# ftp 172.16.1.19
Connected to 172.16.1.19 (172.16.1.19).
220 (vsFTPd 3.0.2)
Name (172.16.1.19:root): anonymous
331 Please specify the password.
Password:
此处不用输密码,直接回车
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
本地用户模式
| 参数 | 作用 |
|---|---|
| anonymous_enable=NO | 禁止匿名访问模式 |
| local_enable=YES | 允许本地用户模式 |
| write_enable=YES | 设置可写权限 |
| local_umask=022 | 本地用户模式创建文件的umask值 |
| userlist_enable=YES | 启用“禁止用户名单”,名单文件为ftpusers和user_list |
| userlist_deny=YES | 开启用户作用名单文件功能 |
[root@redhat ~]# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 3.0.2)
Name (127.0.0.1:root): liyuan
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/home/liyuan"
ftp> mkdir abc
257 "/home/liyuan/abc" created
需要开启 SELinux 域中对 FTP 服务的允许策略
[root@redhat ~]# getsebool -a | grep ftp
ftpd_anon_write --> on
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> on
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_home_dir --> off
[root@redhat ~]#
TFTP
简单文件传输协议(Trivial File Transfer Protocol,TFTP)是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议。顾名思义,它提供不复杂、开销不大的文件传输服务。<br /> TFTP服务是使用xinetd服务程序来管理的。xinetd服务可以用来管理多种轻量级的网络服务,而且具有强大的日志功能。
[root@linuxprobe ~]# vim /etc/xinetd.d/tftp
service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /var/lib/tftpboot
disable = no
per_source = 11
cps = 100 2
flags = IPv4
}
重启xinetd服务并将它添加到系统的开机启动项中,以确保TFTP服务在系统重启后依然处于运行状态。
systemctl restart xinetd
systemctl enable xinetd
TFTP的根目录为/var/lib/tftpboot。我们可以使用刚安装好的tftp命令尝试访问其中的文件,亲身体验TFTP服务的文件传输过程。
| 命令 | 作用 |
|---|---|
| ? | 帮助信息 |
| put | 上传文件 |
| get | 下载文件 |
| verbose | 显示详细的处理信息 |
| status | 显示当前的状态信息 |
| binary | 使用二进制进行传输 |
| ascii | 使用ASCII码进行传输 |
| timeout | 设置重传的超时时间 |
| quit | 退出 |
若有收获,就点个赞吧
0 人点赞
