Linux网络服务之vsftpd
基于GPL开发,是Linux下稳定,快速,安全的FTP软件,它支持IPV6以及SSL加密。vsftpd的安全特性主要体现在三个方面:进程分离,处理不同任务的进程彼此是独立运行的,进程运行时均以最小权限运行,多数进程都使用chroot进行了禁锢,防止客户访问非法共享目录,这里的chroot是改变根的一种技术,如果我们通过vsftpd共享了/var/ftp目录,则该目录对客户端而言就是共享的根目录。
FTP不用与其他互联网的协议,它使用多端口通信,当客户端连接服务器请求资源时,服务器会使用21端口与客户端通信,该端口专门处理客户端发送给服务器的请求命令,即命令端口。服务器与客户端进行数据传输时,还需要使用另一个数据端口,数据端口号取决于服务器运行模式是主动模式还是被动模式。传输数据时,服务器主动连接客户端为主动模式
传输数据时,客户端主动连接服务器为被动模式。一开是FTP一般为主动模式,但由于防火墙的原因,主动模式的ftp无法正常工作,就有了被动模式
FTP工作模式
主动工作模式:客户端随机开启大于1024的X端口与服务器的21端口建立连接通信,通道建立后,客户端随时可以通过该通道发送上传或下载命令。当客户端需要与服务器进行数据传输时,客户端会开启一个大于1024的随机端口y,并将y端口通过之前的命令通道传送给服务器的21号端口。服务器获取到客户端的第二个端口后会主动连接客户端的该端口,通过三次握手后,完成服务器与客户端数据通道的建立,所有的数据均通过该数据通道进行传输。
被动工作模式:客户端随意开启一个大于1024的X端口与服务器的21号端口建立连接通道,当客户端需要与服务器进行数据传输时,客户端从命令通道发送数据请求要求上传或下载数据。服务器收到数据请求后会随机开启一个端口Y,并通过命令通道将该端口信息传给客户端。客户端在收到服务器发送过来的数据端口Y的信息后,将在客户端开启一个随 机端口Z,此时客户端在主动通过本地的Z端口与服务器的Y端口进行连接,通过三次握手完成后,即可进行数据传输。
FTP安装配置
yum install -y vsftpd
service vsftpd start
chkconfig vsftpd on
vsftpd的核心文件
/etc/logrotate.d/vsftpd (日志轮转备份配置文件)
/etc/pam.d/vsftpd (基于pam的vsftpd验证配置文件)
/etc/rc.d/init.d/vsftpd(vsftpd启动脚本,可以使用service调用)
/etc/vsftpd (vsftpd软件主目录)
/etc/vsftpd/ftpusers(默认的vsftpd黑名单)
/etc/vsftpd/user_list (可以通过主配置文件设置该文件为黑名单或白名单)
/etc/vsftpd/vsftpd.conf (vsftpd主配置文件)
/usr/sbin/vsftpd(vsftpd主程序)
/usr/share/doc/vsftpd-2.2.2(vsftpd文档资料路径)
/var/ftp(默认vsftpd共享目录)
配置文件解析
默认配置文件在/etc/vsftpd目录下,vsftpd会自动寻找以.conf结尾的配置文件,并以此配置文件启动FTP服务。配置文件格式为 选项=值(中间不可有任何空格)
vsftpd支持的常用登录方式有:匿名登录,本地账户登录,虚拟账户
匿名账户登录一般应用于下载服务器,vsftpd默认开启的匿名共享,默认路径为/var/ftp
本地账户登录则需要使用系统账户以及对应的系统密码才可以登录使用FTP,默认local_enablede anonymous均被设置为yes,若要开启本地账户登录,需要将anonymous——enable设置为no,默认共享路径为账户个人家目录。开启本地登录后,用户可以离开家目录,进入系统中的其他目录,如果配置文件中使用chroot_local_user,用户将被禁锢在自己的家目录下,防止用户进入系统中的其他目录。seLinux默认不允许FTP共享家目录。
当有大量用户需要使用FTP时,vsftpd支持虚拟账户登录FTP,从而避免创建大量的系统账户,通过guest_enable 可以开启vsftpd的虚拟账户功能,guest_name用来指定本地账户的虚拟映射名称。
配置虚拟登录
vsftpd虚拟账户的数据需要保存在berkeley DB格式的数据文件中,首先需要创建明文密码,明文密码奇数为账户名,偶数为密码,使用db_load工具将器转换为数据库文件。db_load 工具需要安装db4_utils工具来创建这样的数据文件。
yum install -y db4-utils
vi /etc/vsftpd/vlogin添加账户密码
tom
123
jerr
1234
db_load -T -t hash -f /etc/vsftpd/vlogin /etc/vsftpd/vlogin.db
chmod 600 /etc/vsftpd/{vlogin,vlogin.db}
创建PAM文件,设置基于虚拟账户验证
Linux一般通过PAM文件设置账户的验证机制,然后通过创建新的PAM文件,使用的数据文件进行登录验证,PAM文件中的db选项于指定并验证账户和密码的数据库文件,数据库无需.db名称后缀。centos6验证模块调用的是lib64目录下的文件。
vim /etc/pam.d/vsftpd.pam
auto required /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin
创建虚拟账户共享目录,因为所有的虚拟账户最终都需要映射到一个真实的系统账户,所以需要添加一个系统账户并设置家目录。
useradd -s /sbin/nologin -d /home/ftp virtual
修改主配置文件
修改vsftpd的主配置文件,使用guest_enable选项开启虚拟账户功能,所有虚拟账户都将被映射到guest_username指定的一个系统真实账户。如需要对虚拟账户进行权限设置,使用与匿名用户一样的设置项即可。
vsftpd有两个文件(黑白名单文件)可以对用户进行ACL控制,/etc/vsftpd/ftpusers默认是一个黑名单文件,存在该文件中的用户无法访问FTP,格式为每行一个账户名称。
/etc/vsftpd/user_list文件会根据主配置文件中配置项设定的不同,而成为黑名单文件或白名单文件,也可以禁用该文件,主配置文件中的userlist_enable 决定了是否启用user_list文件,如果启用,还要跟userlist_deny来决定该文件是黑名单文件还是白名单文件,等于yes 则为黑名单文件,等于no则为白名单,白名单以为着只有白名单中的账户可以访问FTP,其他用户都不可以,黑名单意味着除黑名单中账户外其他用户默认都可以访问FTP