FTP服務

FTP服務

FTP是一個非常古老並且應用十分廣泛的文件傳輸協議，FTP協議是現今使用最為廣泛的網絡文件共享協議之一，我們現在也一直有在用着FTP協議來進行各種文件的傳輸，FTP為我們提供了一種可靠的方式在網絡上進行文件的共享。

FTP原理

FTP是C/S架構的服務，擁有一個服務器端和一個客戶端，FTP底層通過TCP協議來作為傳輸協議，所以FTP協議是一種可靠的文件傳輸方式，FTP提供了兩個端口號，20和21號端口，20號是數據接口，提供數據之間的傳輸，21號是命令接口，提供命令之間的傳輸。

FTP服務端與客戶端連接一般有兩種模式：主動模式(Active Mode)和被動模式(Passive Mode)

• 主動模式：

FTP客戶端隨機開啟一個大於1024的端口N向服務器的21號端口發起連接，發送FTP用戶名和密碼，然后開放N+1號端口進行監聽，並向服務器發出PORT N+1命令，告訴服務端客戶端采用主動模式並開放了端口。FTP服務器接收到PORT命令后，會用其本地的FTP數據端口（通常是20）來連接客戶端指定的端口N+1，進行數據傳輸。

• 被動模式：

FTP客戶端隨機開啟一個大於1024的端口N向服務器的21號端口發起連接，發送用戶名和密碼進行登陸，同時會開啟N+1端口。然后向服務器發送PASV命令，通知服務器自己處於被動模式。服務器收到命令后，會開放一個大於1024的端口P（端口P的范圍是可以設置的，后面會說到這個是很重要的）進行監聽，然后用PORT P命令通知客戶端，自己的數據端口是P。客戶端收到命令后，會通過N+1號端口連接服務器的端口P，然后在兩個端口之間進行數據傳輸。

FTP狀態碼

1xx為肯定的初步答復，這些狀態代碼指示一項操作已經成功開始，但客戶端希望在繼續操作新命令前得到另一個答復。

• 110 重新啟動標記答復。
• 120 服務已就緒，在 nnn 分鍾后開始。
• 125 數據連接已打開，正在開始傳輸。
• 150 文件狀態正常，准備打開數據連接。

2xx為肯定的完成答復，一項操作已經成功完成。客戶端可以執行新命令。

• 200 命令確定。
• 202 未執行命令，站點上的命令過多。
• 211 系統狀態，或系統幫助答復。
• 212 目錄狀態。
• 213 文件狀態。
• 214 幫助消息。
• 215 NAME 系統類型，其中，NAME 是 Assigned Numbers 文檔中所列的正式系統名稱。
• 220 服務就緒，可以執行新用戶的請求。
• 221 服務關閉控制連接。如果適當，請注銷。
• 225 數據連接打開，沒有進行中的傳輸。
• 226 關閉數據連接。請求的文件操作已成功（例如，傳輸文件或放棄文件）。
• 227 進入被動模式 (h1,h2,h3,h4,p1,p2)。
• 230 用戶已登錄，繼續進行。
• 250 請求的文件操作正確，已完成。
• 257 已創建“PATHNAME”。

3xx為肯定的中間答復，該命令已成功，但服務器需要更多來自客戶端的信息以完成對請求的處理。

• 331 用戶名正確，需要密碼。
• 332 需要登錄帳戶。
• 350 請求的文件操作正在等待進一步的信息。

4xx為瞬態否定的完成答復，該命令不成功，但錯誤是暫時的。如果客戶端重試命令，可能會執行成功。

• 421 服務不可用，正在關閉控制連接。如果服務確定它必須關閉，將向任何命令發送這一應答。
• 425 無法打開數據連接。
• 426 Connection closed; transfer aborted.
• 450 未執行請求的文件操作。文件不可用（例如，文件繁忙）。
• 451 請求的操作異常終止：正在處理本地錯誤。
• 452 未執行請求的操作。系統存儲空間不夠。

5xx為永久性否定的完成答復，該命令不成功，錯誤是永久性的。如果客戶端重試命令，將再次出現同樣的錯誤。

• 500 語法錯誤，命令無法識別。這可能包括諸如命令行太長之類的錯誤。
• 501 在參數中有語法錯誤。
• 502 未執行命令。
• 503 錯誤的命令序列。
• 504 未執行該參數的命令。
• 530 未登錄。
• 532 存儲文件需要帳戶。
• 550 未執行請求的操作。文件不可用（例如，未找到文件，沒有訪問權限）。
• 551 請求的操作異常終止：未知的頁面類型。
• 552 請求的文件操作異常終止：超出存儲分配（對於當前目錄或數據集）。
• 553 未執行請求的操作。不允許的文件名。

常見FTP狀態代碼及原因

• 150 – FTP 使用兩個端口：21 用於發送命令，20 用於發送數據。狀態代碼 150 表示服務器准備在端口 20 上打開新連接，發送一些數據。
• 226 – 命令在端口 20 上打開數據連接以執行操作，如傳輸文件。該操作成功完成，數據連接已關閉。
• 230 – 客戶端發送正確的密碼后，顯示該狀態代碼。它表示用戶已成功登錄。
• 331 – 客戶端發送用戶名后，顯示該狀態代碼。無論所提供的用戶名是否為系統中的有效帳戶，都將顯示該狀態代碼。
• 426 – 命令打開數據連接以執行操作，但該操作已被取消，數據連接已關閉。
• 530 – 該狀態代碼表示用戶無法登錄，因為用戶名和密碼組合無效。如果使用某個用戶帳戶登錄，可能鍵入錯誤的用戶名或密碼，也可能選擇只允許匿名訪問。如果使用匿名帳戶登錄，IIS 的配置可能拒絕匿名訪問。
• 550 – 命令未被執行，因為指定的文件不可用。例如，要 GET 的文件並不存在，或試圖將文件 PUT 到您沒有寫入權限的目錄

FTP客戶端

ftp命令程序：是最簡單的FTP客戶端工具，Windows和Linux都擁有ftp命令程序，可以連接到FTP服務器進行交互式的上傳、下載通信。

圖形化FTP客戶端工具：CuteFTP、FlashFXP、LeapFTP、Filezilla等，

Filezilla官方網站：https://filezilla-project.org/download.php?show_all=1

VSFTP部署安裝

1、通過yum源安裝vsftp

[root@antong ~]# yum install -y vsftpd
[root@antong ~]# systemctl restart vsftpd

2、了解常用的配置文件配置

主程序：/usr/sbin/vsftpd

主配置文件：/etc/vsftpd/vsftpd.conf

常用的全局配置項：

• listen=YES：是否以獨立運行的方式監聽服務
• listen_address=192.168.x.x：設置監聽的 IP 地址
• listen_port=21：設置監聽 FTP 服務的端口號
• write_enable=YES：是否啟用寫入權限
• download_enable＝YES：是否允許下載文件
• userlist_enable=YES：是否啟用 user_list 列表文件
• userlist_deny=YES：是否禁用 user_list 中的用戶
• max_clients=0：限制並發客戶端連接數
• max_per_ip=0：限制同一 IP 地址的並發連接數
• guest_enable=YES：啟用虛擬用戶
• user_config_dir=/etc/vsftpd/vsftpd_user_conf ：虛擬用戶使用的配置文件目錄
• allow_writeable_chroot=YES：允許寫入用戶主目錄

常用的匿名 FTP 配置項：

• anonymous_enable=YES：啟用匿名訪問

• anon_umask=022：匿名用戶所上傳文件的權限掩碼

• anon_root=/var/ftp：匿名用戶的 FTP 根目錄

• anon_upload_enable=YES：允許上傳文件

• anon_mkdir_write_enable=YES：允許創建目錄

• anon_other_write_enable=YES：開放其他寫入權

• anon_max_rate=0：限制最大傳輸速率（字節/秒）
  常用的本地用戶 FTP 配置項：

• local_enable=YES：是否啟用本地系統用戶

• local_umask=022：本地用戶所上傳文件的權限掩碼

• local_root=/var/ftp：設置本地用戶的 FTP 根目錄

• chroot_local_user=YES：是否將用戶禁錮在主目錄

3、配置虛擬用戶

（1）創建賬號數據

創建文本格式的用戶名、密碼列表。奇數行：賬號名，偶數行：密碼（即上一行中賬號的密碼）

[root@antong ~]# cd /etc/vsftpd/
[root@antong vsftpd]# cat users.conf   //自己創建密碼文件
antong
zhelishiantong
zhangsan
nifanfale
[root@antong vsftpd]# db_load -T -t hash -f user.conf users.db  //轉化格式
[root@antong vsftpd]# ls
ftpusers  user.conf  user_list  users.db  vsftpd.conf  vsftpd_conf_migrate.s 
[root@antong vsftpd]# chmod 600 user*   //修改權限，防止泄露，保障安全性
[root@antong vsftpd]# ll
total 36
-rw-------. 1 root root   125 Jun  9 12:15 ftpusers
-rw-------. 1 root root    41 Sep 21 23:46 user.conf
-rw-------. 1 root root   361 Jun  9 12:15 user_list
-rw-------. 1 root root 12288 Sep 21 23:48 users_db
-rw-------. 1 root root  5116 Jun  9 12:15 vsftpd.conf
-rwxr--r--. 1 root root   338 Jun  9 12:15 vsftpd_conf_migrate.sh

（2）創建FTP根目錄及虛擬用戶映射的系統用戶

[root@antong vsftpd]# useradd vsftpd -d /home/vsftpd -s /sbin/nologin 
[root@antong vsftpd]# mkdir -p /home/vsftpd/antong
[root@antong vsftpd]# chmod -R 755 /home/vsftpd/

（3）建立支持虛擬用戶的PAM認證文件

創建好虛擬用戶的賬號數據文件后，還需要對vsftpd服務的配置做相應的調整，以便識別並讀取新的用戶信息。在vsftpd中，用戶認證是通過PAM機制來實現的，該機制包含靈活的選擇認證方式。

Vsftpd服務默認的PAM認證文件位於/etc/pam.d/vsftpd

[root@ftp ~]# vi /etc/pam.d/vsftpd   //添加以下內容
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/users
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/users

（4）添加虛擬用戶支持

為不同的虛擬用戶建立獨立的配置文件，為每個虛擬用戶建立單獨的配置文件來實現。為FTP用戶啟用獨立配置文件，需要修改vsftpd.conf配置文件，添加“user_config_dir”配置項

[root@antong vsftpd]# vim /etc/vsftpd/vsftpd.conf 
anonymous_enable=NO        #禁止匿名用戶登錄
增加下面配置參數：
chroot_local_user=YES        #禁止用戶訪問除主目錄以外的目錄
guest_enable=YES           #啟用虛擬用戶
allow_writeable_chroot=YES        # 允許寫入用戶主目錄 
user_config_dir=/etc/vsftpd/vsftpd_user_conf #虛擬用戶使用的配置文件目錄

有了上述配置以后，就可以在/etc/vsftpd/vsftpd_user_conf 目錄中為每個虛擬用戶分別建立配置文件了。

[root@antong vsftpd]# mkdir vsftpd_user_conf
[root@antong vsftpd]# cd vsftpd_user_conf/
[root@antong vsftpd_user_conf]# vim antong
local_root=/home/vsftpd/xmcsxy    # 當本地用戶登入時，將被更換到定義的目錄下。默認值為各用戶的家目錄。 
anon_upload_enable=YES	 # 是否允許登陸用戶有上傳權限。
write_enable=YES 			# 是否允許登陸用戶有寫權限。

在vsftpd.conf文件中啟用了“user_config_dir”配置項以后，應該為每一個虛擬用戶都建立一個單獨的配置文件（可以是空文件），否則該用戶可能無法登錄。在每個用戶的獨立配置文件中，可以添加新的配置項來限制訪問權限、下載速率等。

4、重啟服務並測試

[root@antong ~]# systemctl restart vsftpd
[root@antong ~]# systemctl enable vsftpd 
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

在家目錄寫入一個文件：

[root@antong ~]# cat /home/vsftpd/antong/a.txt 
this is a vsftp server

使用電腦CRT訪問：

訪問限制黑白名單

設置ftp黑白名單：（系統賬號FTP登錄限制文件）

ftpusers和user_list兩個文件用途和區別：

ftpusers

ftpusers它不受任何配置項影響，總是有效，是黑名單！

創建2個測試賬號：test1和test2

[root@antong ~]# useradd test1
[root@antong ~]# useradd test2
[root@antong ~]# passwd test1
Changing password for user test1.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@antong ~]# passwd test2
Changing password for user test2.
New password: 
BAD PASSWORD: The password is a palindrome
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@antong ~]# vim /etc/vsftpd/ftpusers  //將test1加入黑名單
test1

使用test1用戶無法訪問，返回狀態碼530，test2為200，可以訪問

user_list

user_list 則是和vsftpd.conf中的userlist_enable和userlist_deny兩個配置項緊密相關的，它可以有效，也可以無效，有效時它可以是一個黑名單，也可以是一個白名單！

userlist_enable和userlist_deny兩個選項聯合起來針對的是：本地全體用戶（除去ftpusers中的用戶）和出現在user_list文件中的用戶以及不在在user_list文件中的用戶這三類用戶集合進行的設置。

為了說明這個問題，我們來建立兩個測試用戶：

test1: 在user_list中

test2:不在user_list中

然后我們分別給兩個配置項取不同的值，分4種Case進行測試：

Case 1: userlist_enable=YES, userlist_deny=YES

test1: 拒絕登入

test2: 允許登錄

Case 2: userlist_enable=YES, userlist_deny=NO

test1: 允許登錄

test2:拒絕登錄（如user_list文件開頭的注釋所述，甚至不會提示輸入密碼，即無登入提示框，直接拒絕連接）

Case 3: userlist_enable=NO,userlist_deny=NO

test1: 允許登錄

test2: 允許登錄

Case 4: userlist_enable=NO,userlist_deny=YES

test1: 允許登錄

test2: 允許登錄

當且僅當userlist_enable=YES時：userlist_deny項的配置才有效，user_list文件才會被使用；當其為NO時，無論userlist_deny項為何值都是無效的，本地全體用戶（除去ftpusers中的用戶）都可以登入FTP

當userlist_enable=YES時，userlist_deny=YES時：user_list是一個黑名單，即：所有出現在名單中的用戶都會被拒絕登入；

當userlist_enable=YES時，userlist_deny=NO時：user_list是一個白名單，即：只有出現在名單中的用戶才會被准許登入(user_list之外的用戶都被拒絕登入)；另外需要特別提醒的是：使用白名單后，匿名用戶將無法登入！除非顯式在user_list中加入一行：anonymous