FTP

type

status

date

slug

summary

DAS、SAN 、NAS 区别直接存储(Direct Attached Storage)。存储设备与主机的紧密相连 1、管理成本较低，实施简单 2、储时直接依附在服务器上，因此存储共享受到限制 3、CPU必须同时完成磁盘存取和应用运行的双重任务，所以不利于CPU的指令周期的优化，增加系统负担

存储基础知识—存储网络网络连接存储(Network Attached Storage)：通过局域网在多个文件服务器之间实现了互联，基于文件的协议（ FTP、NFS、SMB/CIFS等），实现文件共享 1、集中管理数据，从而释放带宽、提高性能 2、可提供跨平台文件共享功能 3、可靠性较差，适用于局域网或较小的网络

存储区域网络(Storage Area Networks，SAN) 利用高速的光纤网络链接服务器与存储设备，基于SCSI，IP，ATM等多种高级协议，实现存储共享 1、服务器跟储存装置两者各司其职 2、利用光纤信道来传输数据﹐以达到一个服务器与储存装置之间多对多的高效能、高稳定度的存储环境 3、实施复杂，管理成本高

DAS

NAS

SAN

传输类型

SCSI、FC

IP、FC、SAS

数据类型

数据块

文件

数据块

典型应用

任何

文件服务器

数据库应用

优点

磁盘与服务器分离，便于统一管理

不占用应用服务器资源；广泛支持操作系统；扩展较容易；即插即用，安装简单方便

高扩展性；高可用性；数据集中，易管理

缺点

连接距离短；数据分散，共享困难；存储空间利用率不高；扩展性有限

不适合存储量大的块级应用；数据备份及恢复占用网络带宽

相比NAS成本较高；安装和升级比NAS复杂

文件传输协议FTP

File Transfer Protocol 早期的三个应用级协议之一基于C/S结构双通道协议：数据和命令连接数据传输格式：二进制（默认）和文本

两种模式：服务器角度

主动(PORT style)：服务器主动连接命令（控制）：客户端：随机port — 服务器：tcp21 数据：客户端：随机port — 服务器：tcp20
被动(PASV style)：客户端主动连接命令（控制）：客户端：随机port — 服务器：tcp21 数据：客户端：随机port — 服务器：随机port

服务器被动模式数据端口示例： 227 Entering Passive Mode (172,16,0,1,224,59) 服务器数据端口为：224\*256+59

FTP软件介绍

vsftpd:Very Secure FTP Daemon，CentOS默认FTP服务器高速，稳定，下载速度是WU-FTP的两倍 ftp.redhat.com数据:单机最多可支持15000个并发

客户端软件

lftp支持文件名补全

状态码 1XX：信息 125：数据连接打开 2XX：成功类状态 200：命令OK 230：登录成功 3XX：补充类 331：用户名OK 4XX：客户端错误 425：不能打开数据连接 5XX：服务器错误 530：不能登录

用户认证匿名用户：ftp,anonymous,对应Linux用户ftp 系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow 虚拟用户：特定服务的专用用户，独立的用户/密码文件 nsswitch:network service switch名称解析框架 pam:pluggable authentication module 用户认证 /lib64/security /etc/pam.d/ /etc/pam.conf

vsftpd服务

用户认证配置文件：/etc/pam.d/vsftpd 服务脚本： /usr/lib/systemd/system/vsftpd.service /etc/rc.d/init.d/vsftpd 配置文件：/etc/vsftpd/vsftpd.conf man 5 vsftpd.conf 格式：option=value注意：= 前后不要有空格匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp 系统用户共享文件位置：用户家目录 虚拟用户共享文件位置：为其映射的系统用户的家目录

getent passwd ftp usermod -d /data/ftp ftp 更改ftp用户家目录，匿名用户登录后会在/data/ftp目录下

FTP被动和主机模式，取决于什么样的客户端 ftp 命令客户端使用passive 会切换被/主动模式

vsftpd服务配置文件

命令端口 listen_port=21 主动模式端口 connect_from_port_20=YES 主动模式端口为20 ftp_data_port=20 （默认）指定主动模式的端口被动模式端口范围 linux 客户端默认使用被动模式 windows 客户端默认使用主动模式 pasv_min_port=6000 0为随机分配 pasv_max_port=6010 若配置端口范围，每个客户端会占用一个端口，建议多设置一点，防止客户连不上使用当地时间 use_localtime=YES使用当地时间（默认为NO，使用GMT）默认是使用UTC时间，客户端访问时间正常的，但服务端文件的时候会不太一样

匿名用户

参数

说明

anonymous_enable=YES

支持匿名用户

no_anon_password=YES(默认NO)

匿名用户略过口令检查，匿名用户不需要输入密码直接登录

anon\_world\_readable\_only (默认YES)

只能下载全部读的文件，若遇匿名用户能上传不能下载，可以关闭，或者文件加权限

anon_upload_enable=YES

匿名上传，注意:文件系统权限

anon\_mkdir\_write\_enable=YES

匿名创建目录

anon\_umask=0333

指定匿名上传文件的umask，默认077，若遇匿名用户能上传不能下载，改这一项也可以

anon\_other\_write\_enable=YES

可删除和修改上传的文件

指定上传文件的默认的所有者和权限 chown\_uploads=YES(默认NO) chown\_username=final chown\_upload\_mode=0644

Linux系统用户 local\_enable=YES 是否允许linux用户登录 write\_enable=YES 允许linux用户上传文件 local\_umask=022 指定系统用户上传文件的默认权限 guest\_enable=YES 所有系统用户都映射成guest用户 guest\_username=ftp 配合上面选项才生效，指定guest用户 local\_root=/ftproot guest用户登录所在目录，这样就安全了，禁锢所在目录，比如cd /etc其实是/ftproot/etc,而不是/etc，但是所有用户登录会在/ftproot目录下

禁锢所有系统用户在家目录中 chroot\_local\_user=YES（默认NO，不禁锢）禁锢系统用户，此方法也可禁锢，但需要将家目录的写权限去掉

禁锢或不禁锢特定的系统用户在家目录中，与上面设置功能相反 chroot\_list\_enable=YES #如果改成NO，表示黑名单了 chroot\_list\_file=/etc/vsftpd/chroot\_list #相当于白名单，有些用户不禁锢当chroot\_local\_user=YES时，则chroot\_list中用户不禁锢当chroot\_local\_user=NO时，则chroot\_list中用户禁锢

wu-ftp日志：默认启用 xferlog\_enable=YES （默认）启用记录上传下载日志 xferlog\_std\_format=YES （默认）使用wu-ftp日志格式 xferlog\_file=/var/log/xferlog （默认）可自动生成

vsftpd日志：默认不启用 dual\_log\_enable=YES 使用vsftpd日志格式，默认不启用 vsftpd\_log\_file=/var/log/vsftpd.log（默认）可自动生成

登录提示信息 ftpd\_banner=“welcome to mage ftp server” #登录FTP输出信息 banner\_file=/etc/vsftpd/ftpbanner.txt #可以将登录输出信息写入到文件中

目录访问提示信息 dirmessage\_enable=YES (默认) message\_file=.message(默认) 信息存放在指定目录下.message

使用pam(Pluggable Authentication Modules)完成用户认证 pam\_service\_name=vsftpd pam配置文件:/etc/pam.d/vsftpd /etc/vsftpd/ftpusers 默认文件中用户拒绝登录

是否启用控制用户登录的列表文件 userlist\_enable=YES 默认有此设置 userlist\_deny=YES(默认值) 黑名单,不提示口令，NO为白名单 userlist\_file=/etc/vsftpd/users\_list 此为默认值

vsftpd服务指定用户身份运行，默认是nobody身份运行FTP进程 nopriv\_user=nobody (默认值)

连接数限制 max\_clients=0 最大并发连接数 max\_per\_ip=0 每个IP同时发起的最大连接数

传输速率：字节/秒 anon\_max\_rate=0 匿名用户的最大传输速率 local\_max\_rate=0 本地用户的最大传输速率

连接时间：秒为单位 connect\_timeout=60 主动模式数据连接超时时长 accept\_timeout=60 被动模式数据连接超时时长 data\_connection\_timeout=300 数据连接无数据输超时时长 idle\_session\_timeout=60 无命令操作超时时长

优先以文本方式传输，建议使用binary传输 ascii\_upload\_enable=YES ascii\_download\_enable=YES

配置FTP服务以非独立服务方运行

实现基于SSL的FTPS

查看是否支持SSL ldd which vsftpd查看到libssl.so

创建自签名证书 cd /etc/pki/tls/certs/ make vsftpd.pem openssl x509 -in vsftpd.pem -noout -text

配置vsftpd服务支持SSL：/etc/vsftpd/vsftpd.conf ssl\_enable=YES 启用SSL allow\_anon\_ssl=NO 匿名不支持SSL force\_local\_logins\_ssl=YES 本地用户登录加密 force\_local\_data\_ssl=YES 本地用户数据传输加密 rsa\_cert\_file=/etc/pki/tls/certs/vsftpd.pem

用filezilla等工具测试

vsftpd虚拟用户

虚拟用户：所有虚拟用户会统一映射为一个指定的系统帐号：访问共享位置，即为此系统帐号的家目录各虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式：文件：编辑文本文件，此文件需要被编码为hash格式奇数行为用户名，偶数行为密码db_load -T -t hash -f vusers.txt vusers.db #这种方式不太方便，每新增一个用户，就需要转换一次关系型数据库中的表中：实时查询数据库完成用户认证 mysql库：pam要依赖于pam-mysql /lib64/security/pam\_mysql.so /usr/share/doc/pam\_mysql-0.7/README

实现基于文件验证的vsftpd虚拟用户

一、创建用户数据库文件

二、创建用户和访问FTP目录

三、创建pam配置文件

四、指定pam配置文件

五、SELinux设置：禁用SELinux 或者 setsebool -P ftpd_full_access 1

六、虚拟用户建立独立的配置文件

实现基于MYSQL验证的vsftpd虚拟用户

说明：本实验在两台CentOS主机上实现，一台做为FTP服务器，一台做数据库服务器一、安装所需要包和包组在数据库服务器上安装包：

Centos7：在数据库服务器上安装

Centos6：在数据库服务器上安装

centos7：无对应rpm包，需手动编译安装，没有pam\_mysql包，需要手工下载

二、在数据库服务器上创建虚拟用户账号 1.建立存储虚拟用户数据库和连接的数据库用户

2.准备相关表

3.添加虚拟用户根据需要添加所需要的用户，为了安全应该使用PASSWORD函数加密其密码后存储

三、在FTP服务器上配置vsftpd服务 1.在FTP服务器上建立pam认证所需文件

注意：参考README文档，选择正确的加密方式 crypt是加密方式，0表示不加密，1表示crypt(3)加密，2表示使用mysql password()函数加密，3表示md5加密，4表示sha1加密

配置字段

说明

表示认证

验证账号密码正常使用

表示认证要通过

模块是默认的相对路径，是相对/lib64/security/路径而言，也可以写绝对路径；后面为给此模块传递的参数

为登录mysql的用户

登录mysql的的密码

mysql服务器的主机名或ip地址

指定连接msyql的数据库名称

指定连接数据库中的表名

当做用户名的字段

passwdcolumn=password

当做用户名字段的密码

crypt=2

密码的加密方式为mysql password()函数加密

2.建立相应用户和修改vsftpd配置文件，使其适应mysql认证 3.建立虚拟用户映射的系统用户及对应的目录

四、启动vsftpd服务

五、Selinux相关设置：在FTP服务器上执行

六、测试：利用FTP客户端工具,以虚拟用户登录验证结果

七、在FTP服务器上配置虚拟用户具有不同的访问权限 vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限，每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录，只需要在vsftpd.conf指定其路径及名称即可

1、配置vsftpd为虚拟用户使用配置文件目录

2、创建所需要目录，并为虚拟用户提供配置文件

3、配置虚拟用户的访问权限虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如要让用户user1具有上传文件的权限，可修改/etc/vsftpd/vusers\_config/user1文件，在里面添加如下选项并设置为YES即可,只读则设为NO注意：需确保对应的映射用户对于文件系统有写权限

小结

1、FTP 配置文件= 前后不要有空格 2、listen=YES ipv4协议 3、listen_ipv6=YES ipv6协议 4、FTP家目录不能有写权限 5、虚拟用户基于mysql管理挺方便 6、被动方式和主动方式的区别 FTP分命令控制和数据两个端口主动和被动，命令客户端随机端口到服务端21端口主动，数据客户端随机到服务端20 被动，数据客户端随机到被服务端随机

下面是主动与被动 FTP 优缺点的简要总结：　　主动 FTP 对 FTP 服务器的管理有利，但对客户端的管理不利。因为 FTP 服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动 FTP 对 FTP 客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。　　幸运的是，有折衷的办法。既然 FTP 服务器的管理员需要他们的服务器有最多的客户连接，那么必须得支持被动 FTP。我们可以通过为 FTP 服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样，不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险，但它大大减少了危险。

参考：https://www.cnblogs.com/xiaohh/p/4789813.html