Final
Docker
keepalived
sonarqube
Varnish
OpenstackFTP
type
Post
status
Published
date
Sep 10, 2024
slug
ftp
summary
tags
思考
工具
category
Linux
icon
password
FTP
DAS、SAN 、NAS 区别
直接存储(Direct Attached Storage)。存储设备与主机的紧密相连
1、管理成本较低,实施简单
2、储时直接依附在服务器上,因此存储共享受到限制
3、CPU必须同时完成磁盘存取和应用运行的双重任务,所以不利于CPU的指令周期的优化,增加系统负担
存储基础知识—存储网络
网络连接存储(Network Attached Storage):
通过局域网在多个文件服务器之间实现了互联,基于文件的协议( FTP、NFS、SMB/CIFS等 ),实现文件共享
1、集中管理数据,从而释放带宽、提高性能
2、可提供跨平台文件共享功能
3、可靠性较差,适用于局域网或较小的网络
存储区域网络(Storage Area Networks,SAN)
利用高速的光纤网络链接服务器与存储设备,基于SCSI,IP,ATM等多种高级协议,实现存储共享
1、服务器跟储存装置两者各司其职
2、利用光纤信道来传输数据﹐以达到一个服务器与储存装置之间多对多的高效能、高稳定度的存储环境
3、实施复杂,管理成本高
文件传输协议FTP
File Transfer Protocol 早期的三个应用级协议之一
基于C/S结构
双通道协议:数据和命令连接
数据传输格式:二进制(默认)和文本
- 两种模式:服务器角度
- 主动(PORT style):服务器主动连接 命令(控制):客户端:随机port — 服务器:tcp21 数据:客户端:随机port — 服务器:tcp20
- 被动(PASV style):客户端主动连接 命令(控制):客户端:随机port — 服务器:tcp21 数据:客户端:随机port — 服务器:随机port
服务器被动模式数据端口示例:
227 Entering Passive Mode (172,16,0,1,224,59)
服务器数据端口为:224\*256+59
FTP软件介绍
vsftpd:Very Secure FTP Daemon,CentOS默认FTP服务器
高速,稳定,下载速度是WU-FTP的两倍
ftp.redhat.com数据:单机最多可支持15000个并发
客户端软件
lftp支持文件名补全
状态码
1XX:信息 125:数据连接打开
2XX:成功类状态 200:命令OK 230:登录成功
3XX:补充类 331:用户名OK
4XX:客户端错误 425:不能打开数据连接
5XX:服务器错误 530:不能登录
用户认证
匿名用户:ftp,anonymous,对应Linux用户ftp
系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
虚拟用户:特定服务的专用用户,独立的用户/密码文件
nsswitch:network service switch名称解析框架
pam:pluggable authentication module 用户认证
/lib64/security /etc/pam.d/ /etc/pam.conf
vsftpd服务
用户认证配置文件:/etc/pam.d/vsftpd
服务脚本: /usr/lib/systemd/system/vsftpd.service
/etc/rc.d/init.d/vsftpd
配置文件:/etc/vsftpd/vsftpd.conf
man 5 vsftpd.conf
格式:option=value注意:= 前后不要有空格
匿名用户(映射为系统用户ftp )共享文件位置:/var/ftp
系统用户共享文件位置:用户家目录
虚拟用户共享文件位置:为其映射的系统用户的家目录
getent passwd ftp
usermod -d /data/ftp ftp 更改ftp用户家目录,匿名用户登录后会在/data/ftp目录下
FTP被动和主机模式,取决于什么样的客户端
ftp 命令客户端使用passive 会切换被/主动模式
vsftpd服务配置文件
命令端口
listen_port=21
主动模式端口
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 (默认)指定主动模式的端口
被动模式端口范围
linux 客户端默认使用被动模式
windows 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配
pasv_max_port=6010
若配置端口范围,每个客户端会占用一个端口,建议多设置一点,防止客户连不上
使用当地时间
use_localtime=YES使用当地时间(默认为NO,使用GMT)
默认是使用UTC时间,客户端访问时间正常的,但服务端文件的时候会不太一样
匿名用户
指定上传文件的默认的所有者和权限
chown\_uploads=YES(默认NO)
chown\_username=final
chown\_upload\_mode=0644
- Linux系统用户 local\_enable=YES 是否允许linux用户登录 write\_enable=YES 允许linux用户上传文件 local\_umask=022 指定系统用户上传文件的默认权限 guest\_enable=YES 所有系统用户都映射成guest用户 guest\_username=ftp 配合上面选项才生效,指定guest用户 local\_root=/ftproot guest用户登录所在目录,这样就安全了,禁锢所在目录,比如cd /etc其实是/ftproot/etc,而不是/etc,但是所有用户登录会在/ftproot目录下
- 禁锢所有系统用户在家目录中 chroot\_local\_user=YES(默认NO,不禁锢)禁锢系统用户,此方法也可禁锢,但需要将家目录的写权限去掉
- 禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反 chroot\_list\_enable=YES #如果改成NO,表示黑名单了 chroot\_list\_file=/etc/vsftpd/chroot\_list #相当于白名单,有些用户不禁锢 当chroot\_local\_user=YES时,则chroot\_list中用户不禁锢 当chroot\_local\_user=NO时,则chroot\_list中用户禁锢
- wu-ftp日志:默认启用 xferlog\_enable=YES (默认) 启用记录上传下载日志 xferlog\_std\_format=YES (默认) 使用wu-ftp日志格式 xferlog\_file=/var/log/xferlog (默认)可自动生成
- vsftpd日志:默认不启用 dual\_log\_enable=YES 使用vsftpd日志格式,默认不启用 vsftpd\_log\_file=/var/log/vsftpd.log(默认)可自动生成
- 登录提示信息 ftpd\_banner=“welcome to mage ftp server” #登录FTP输出信息 banner\_file=/etc/vsftpd/ftpbanner.txt #可以将登录输出信息写入到文件中
- 目录访问提示信息 dirmessage\_enable=YES (默认) message\_file=.message(默认) 信息存放在指定目录下.message
- 使用pam(Pluggable Authentication Modules)完成用户认证 pam\_service\_name=vsftpd pam配置文件:/etc/pam.d/vsftpd /etc/vsftpd/ftpusers 默认文件中用户拒绝登录
- 是否启用控制用户登录的列表文件 userlist\_enable=YES 默认有此设置 userlist\_deny=YES(默认值) 黑名单,不提示口令,NO为白名单 userlist\_file=/etc/vsftpd/users\_list 此为默认值
- vsftpd服务指定用户身份运行,默认是nobody身份运行FTP进程 nopriv\_user=nobody (默认值)
- 连接数限制 max\_clients=0 最大并发连接数 max\_per\_ip=0 每个IP同时发起的最大连接数
- 传输速率:字节/秒 anon\_max\_rate=0 匿名用户的最大传输速率 local\_max\_rate=0 本地用户的最大传输速率
- 连接时间:秒为单位 connect\_timeout=60 主动模式数据连接超时时长 accept\_timeout=60 被动模式数据连接超时时长 data\_connection\_timeout=300 数据连接无数据输超时时长 idle\_session\_timeout=60 无命令操作超时时长
- 优先以文本方式传输,建议使用binary传输 ascii\_upload\_enable=YES ascii\_download\_enable=YES
- 配置FTP服务以非独立服务方运行
实现基于SSL的FTPS
- 查看是否支持SSL
ldd
which vsftpd查看到libssl.so
- 创建自签名证书 cd /etc/pki/tls/certs/ make vsftpd.pem openssl x509 -in vsftpd.pem -noout -text
- 配置vsftpd服务支持SSL:/etc/vsftpd/vsftpd.conf ssl\_enable=YES 启用SSL allow\_anon\_ssl=NO 匿名不支持SSL force\_local\_logins\_ssl=YES 本地用户登录加密 force\_local\_data\_ssl=YES 本地用户数据传输加密 rsa\_cert\_file=/etc/pki/tls/certs/vsftpd.pem
- 用filezilla等工具测试
vsftpd虚拟用户
- 虚拟用户: 所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号的家目录 各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
- 虚拟用户帐号的存储方式:
文件:编辑文本文件,此文件需要被编码为hash格式
奇数行为用户名,偶数行为密码
db_load -T -t hash -f vusers.txt vusers.db#这种方式不太方便,每新增一个用户,就需要转换一次 关系型数据库中的表中:实时查询数据库完成用户认证 mysql库:pam要依赖于pam-mysql /lib64/security/pam\_mysql.so /usr/share/doc/pam\_mysql-0.7/README
实现基于文件验证的vsftpd虚拟用户
一、创建用户数据库文件
二、创建用户和访问FTP目录
三、创建pam配置文件
四、指定pam配置文件
五、SELinux设置:
禁用SELinux 或者
setsebool -P ftpd_full_access 1六、虚拟用户建立独立的配置文件
实现基于MYSQL验证的vsftpd虚拟用户
说明:本实验在两台CentOS主机上实现,一台做为FTP服务器,一台做数据库服务器
一、安装所需要包和包组
在数据库服务器上安装包:
- Centos7:在数据库服务器上安装
- Centos6:在数据库服务器上安装
centos7:无对应rpm包,需手动编译安装,没有pam\_mysql包,需要手工下载
二、在数据库服务器上创建虚拟用户账号
1.建立存储虚拟用户数据库和连接的数据库用户
2.准备相关表
3.添加虚拟用户
根据需要添加所需要的用户,为了安全应该使用PASSWORD函数加密其密码后存储
三、在FTP服务器上配置vsftpd服务
1.在FTP服务器上建立pam认证所需文件
注意:参考README文档,选择正确的加密方式
crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql password()函数加密,3表示md5加密,4表示sha1加密
2.建立相应用户和修改vsftpd配置文件,使其适应mysql认证
3.建立虚拟用户映射的系统用户及对应的目录
四、启动vsftpd服务
五、Selinux相关设置:在FTP服务器上执行
六、测试:利用FTP客户端工具,以虚拟用户登录验证结果
七、在FTP服务器上配置虚拟用户具有不同的访问权限
vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可
1、配置vsftpd为虚拟用户使用配置文件目录
2、创建所需要目录,并为虚拟用户提供配置文件
3、配置虚拟用户的访问权限
虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如
要让用户user1具有上传文件的权限,可修改/etc/vsftpd/vusers\_config/user1文件,在里面添加如下选项并设置为YES即可,只读则设为NO注意:需确保对应的映射用户对于文件系统有写权限
小结
1、FTP 配置文件= 前后不要有空格
2、listen=YES ipv4协议
3、listen_ipv6=YES ipv6协议
4、FTP家目录不能有写权限
5、虚拟用户基于mysql管理挺方便
6、被动方式和主动方式的区别
FTP分命令控制和数据两个端口
主动和被动,命令客户端随机端口到服务端21端口
主动,数据客户端随机到服务端20
被动,数据客户端随机到被服务端随机
下面是主动与被动 FTP 优缺点的简要总结:
主动 FTP 对 FTP 服务器的管理有利,但对客户端的管理不利。因为 FTP 服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动 FTP 对 FTP 客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
幸运的是,有折衷的办法。既然 FTP 服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动 FTP。我们可以通过为 FTP 服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危险。
上一篇
ELK
下一篇
firewalld
Loading...