安全基础知识

Linux下FTP服务器原理简介及简单应用

 Linux下FTP服务器原理简介及简单应用

常见的FTP服务器程序

Ü Win:IIS、Serv-U

Ü Linux:wu-ftpd,Proftpd,vsftpd(Very Secure FTP Daemon)

常见的FTP客户端程序

Ü ftp命令(cmd),浏览器

Ü CuteFTP、FlashFXP、LeapFTP、Filezilla

Ü gftp、kuftp

FTP连接方式

Ü 控制连接:标准端口为21,用于发送FTP命令信息

Ü 数据连接:标准端口为20,用于上传、下载数据

数据连接的建立类型:

Ü 主动模式:服务端从20端口主动向客户端发起连接
Ü 被动模式:服务端在指定范围内的某个端口被动等待客户端发起连接

FTP传输模式

Ü 文本模式:ASCII模式,以文本序列传输数据

Ü 二进制模式:Binary模式,以二进制序列传输数据

FTP用户的类型

Ü 匿名用户:anonymousftp

Ü 本地用户:

î  帐号名称、密码等信息保存在passwd、shadow文件中

Ü 虚拟用户:

î  使用独立的帐号/密码数据文件

v常用的FTP指令

pwd  cd       lcd       bye           help     ascii binary
dir        !dir      get      mget         put      !put    

[root@ftp ~]# man 5 vsftpd.conf       #参考手册

vsftpd服务基础

vsftpd软件包:

Ü 官方站点:http://vsftpd.beasts.org/

Ü 主程序:/usr/sbin/vsftpd

Ü 服务名:vsftpd

Ü 用户控制列表文件

î  /etc/vsftpd/ftpusers
î  /etc/vsftpd/user_list

Ü 主配置文件

î  /etc/vsftpd/vsftpd.conf
安装vsftpd指令:

[root@ftp ~]# yum info vsftpd

[root@ftp ~]# yum install vsftpd -y

[root@ftp ~]# rpm -qc vsftpd

/etc/vsftpd/vsftpd.conf

v常用的全局配置项

Ü listen=YES:是否以独立运行的方式监听服务

Ü listen_address=192.168.4.1:设置监听的IP地址

Ü listen_port=21:设置监听FTP服务的端口号

Ü write_enable=YES:是否启用写入权限

Ü download_enable=YES:是否允许下载文件

Ü userlist_enable=YES:是否启用user_list列表文件

Ü userlist_deny=YES:是否禁用user_list中的用户

Ü max_clients=0:限制并发客户端连接数

Ü max_per_ip=0:限制同一IP地址的并发连接数

v常用的匿名FTP配置项

Ü anonymous_enable=YES:启用匿名访问

Ü anon_umask=022:匿名用户所上传文件的权限掩码

Ü anon_root=/var/ftp:匿名用户的FTP根目

Ü anon_upload_enable=YES:允许上传文件

Ü anon_mkdir_write_enable=YES:允许创建目录

Ü anon_other_write_enable=YES:开放其他写入权

Ü anon_max_rate=0:限制最大传输速率,单位为字节

v常用的本地用户FTP配置项

Ü local_enable=YES:是否启用本地系统用户

Ü local_umask=022:本地用户所上传文件的权限掩码

Ü local_root=/var/ftp:设置本地用户的FTP根目录

Ü chroot_local_user=YES:是否将用户禁锢在主目录

Ü local_max_rate=0:限制最大传输速率(字节/秒)

[root@ftp ~]# man 5 vsftpd.conf       #参考手册

vsftpd主要设置文件/etc/vsftpd/vsftpd.conf详解:

12 anonymous_enable=YES   #匿名账户可以登录

15 local_enable=YES              #本地账户可以登录

18 write_enable=YES             #本地账户可写权限

22 local_umask=022              #umask值(用于权限控制)
23 anon_umask=022
27 #anon_upload_enable=YES          #匿名账户是否上传文件

31 #anon_mkdir_write_enable=YES   #匿名账户是否可以创建目录

anon_other_write_enable       #匿名账户其它的写权限(删除等)

35 dirmessage_enable=YES               #启用目录说明功能

(切换到目录下,显示一些消息,在目录下创建.message文件)

38 xferlog_enable=YES          #是否启用日志文件
51 #xferlog_file=/var/log/vsftpd.log       #日志文件位置
54 xferlog_std_format=YES    #日志格式
41 connect_from_port_20=YES    #连接时打开20端口
46 #chown_uploads=YES            #上传身份是否改变
47 #chown_username=whoever #改变上传身份
57 #idle_session_timeout=600           #会话超时
60 #data_connection_timeout=120   #连接超时
79 #ascii_upload_enable=YES           #是否允许使用ascii上传
80 #ascii_download_enable=YES       #是否允许使用ascii下载

83 #ftpd_banner=Welcome to blah FTP service.      #欢迎条幅

87 #deny_email_enable=YES       #是否拒绝邮箱登陆
88 # (default follows)
89 #banned_email_file=/etc/vsftpd/banned_emails#拒绝邮箱登陆文件
94 chroot_list_enable=YES           #允许本地账户切换目录(跳出家目录)

96 chroot_list_file=/etc/vsftpd/chroot_list          #此文件中的账户将不能切换家目录(必须结合chroot_list_enable=YES   

#chroot_local_user=YES   #禁止所有用户切换根目录

(chroot_list_enable=YES,chroot_local_user=YES,

chroot_list_file=/etc/vsftpd/chroot_list此时只有放入列表中的账户可以切换,其它账户不能切换)

107 listen=YES      #监听功能打开

114 pam_service_name=vsftpd         #pam可插拔的验证模块

(设置pam的认证服务的配置文件名称,存入/etc/pam.d/目录下)

115 userlist_enable=YES   #启用账户限制,启用/etc/vsftpd/user_list文件
userlist_deny=YES      #禁止user_list中文件访问,不让输密码

userlist_deny=NO      #只允许user_list中账户访问

(/etc/vsftpd/user_list不让输密码,/etc/vsftpd/ftpusers允许输密码)

【说明:在/etc/vsftpd/user_list中 # If userlist_deny=NO, only allow users in this file# If userlist_deny=YES (default), never allow users in this file, and do not even prompt for a password.

116 tcp_wrappers=YES     #启动系统的简易防火墙

pasv_max_port     #被动连接的最大端口

pasv_min_port     #被动连接的最小端口

 
local_max_rate=1000000        #本地账户最大传输速率1M/s
anon_max_rate=100000         #匿名账户最大传输速率100K/s
 ftp服务器应用之虚拟用户
[root@ftp ~]# mkdir /mnt/cdrom/

[root@ftp ~]# mount /dev/cdrom /mnt/cdrom/

[root@ftp Server]# rpm -ivh vsftpd-2.0.5-12.el5.i386.rpm

[root@ftp Server]# rpm -ivh db4-utils-4.3.29-9.fc6.i386.rpm

[root@ftp Server]# cd /etc/vsftpd/
[root@ftp vsftpd]# vim vuser.txt
zhangsan
123
lisi
123

[root@ftp vsftpd]# db_load -T -t hash -f vuser.txt vuser.db

[root@ftp vsftpd]# chmod 600 vuser.db
[root@ftp vsftpd]# cd /etc/pam.d/
[root@ftp pam.d]# ll
[root@ftp pam.d]# cp vsftpd vsftpd.vu
[root@ftp pam.d]# vim vsftpd.vu
#%PAM-1.0

auth       required   pam_userdb.so db=/etc/vsftpd/vuser

account    required pam_userdb.so db=/etc/vsftpd/vuser

[root@ftp pam.d]# vim /etc/vsftpd/vsftpd.conf
114 guest_enable=YES
115 guest_username=qq
116 pam_service_name=vsftpd.vu

[root@ftp pam.d]# useradd -d /home/virtual qq

[root@ftp pam.d]# cd /home/
[root@ftp home]# chmod 755 virtual/
[root@ftp home]# mkdir virtual/d1
[root@ftp home]# touch virtual/f1
[root@ftp home]# service vsftpd start
Starting vsftpd for vsftpd:                                [ OK ]

客户端测试,使用虚拟账号zhangsan成功登录ftp。如下所示:

 
参考资料:
FTP 是文件传输协议 (File Transfer Protocol) 的简写,主要的功能是进行服务器与客户端的档案管理、传输等事项;

FTP 的服务器软件非常多,例如 Wu FTP, Proftpd, vsftpd 等等,各种 FTP 服务器软件的发展理念并不相同, 所以选择时请依照你的需求来决定所需要的软件;

FTP 使用的是明码传输,而过去一些 FTP 服务器软件也曾被发现安全漏洞,因此设定前请确定该软件已是最新版本,避免安全议题的衍生;

由于 FTP 是明码传输,其实可以使用 SSH 提供的 sftp 来取代 FTP

大多数的 FTP 服务器软件都提供 chroot 的功能,将实体用户限制在他的家目录内;

FTP 这个 daemon 所开启的正规埠口为 20 与 21 ,其中 21 为命令通道, 20 为主动联机的数据传输信道;

FTP 的数据传输方式主要分为主动与被动(Passive, PASV),如果是主动的话,则 ftp-data 在服务器端主动以 port 20 连接到客户端,否则需开放被动式监听的埠口等待客户端来连接;

在 NAT 主机内的客户端 FTP 软件联机时可能发生困扰,这可以透过 iptables 的 nat 模块或利用被动式联机来克服;

一般来说, FTP 上面共有三个群组,分别是实体用户、访客与匿名登录者(real, guest, anonymous);

可以藉由修改 /etc/passwd 里面的 Shell 字段,来让使用者仅能使用 FTP 而无法登入主机;

FTP 的指令、与用户活动所造成的登录档是放置在 /var/log/xferlog 里面;

vsftpd 为专注在安全议题上而发展的一套 FTP 服务器软件,他的配置文件在 /etc/vsftpd/vsftpd.conf

FTP 在建立联机以及数据传输时,会建立哪些联机?

需建立两种联机,分别是命令信道与数据传输信道。在主动式联机上为 port 21(ftp) 与 port 20(ftp-data)。

FTP 主动式与被动式联机有何不同?
 

主动式联机的时候,命令联机是由 client 端主动连接到服务器端,但是 ftp-data 则是由服务器端主动的联机到 client 端。至于被动式联机的时候,则不论 command 还是 ftp-data 的联机,服务器端都是监听客户端的要求的!

有哪些动作可以让你的 FTP 主机更为安全 (secure) ?

o 随时更新服务器软件到最新版本;

o 让 guest 与 anonymous 的家目录限制在固定的目录中(chroot 或是 restricted);

o 拒绝 root 的登入或者其他系统账号的登入;

o 拒绝大部分的 upload 行为!

我们知道 ftp 会启用两个 ports ,请问这两个 port 在哪里规范的 (以 vsftpd 为例)?而且,一般正规的 port 是几号?

若为 stand alone 时,都是由 vsftpd.conf 规范,命令通道为 listen_port=21 规范,数据连接为 connect_from_port_20=YES 及pasv_max_port=0, pasv_max_port=0 所规范。 若是 super daemon 所管理时,命令信道则由 /etc/services 所规范了。

那几个档案可以用来抵挡类似 root 这种系统账号的登入 FTP?

/etc/vsftpd/ftpusers /etc/vsftpd/user_list

在 FTP 的 server 与 client 端进行数据传输时,有哪两种模式?为何这两种模式影响数据的传输很重要?

数据的传输有 ASCII 与 Binary 两种方式,在进行 ascii 传送方式时,被传送的档案将会以文本模式来进行传送的行为, 因此,档案的属性会被修改过,可能造成执行档最后却无法执行等的问题!一般来说,ASCII 通常仅用在文本文件与一些原始码档案的传送。

我的主机明明时区设定没有问题,但为何登入 vsftpd 这个 FTP 服务时,时间就是少八小时?该如何解决?

肯定是时区方面出了问题,应该就是 vsftpd.conf 里面少了『 use_localtime=YES 』这个参数了。 

全国客服电话: 400-001-7880
值班技术:
13330159245

                       

扫一扫,咨询客服