一。介绍
FTP两种模式的区别: (1)PORT(主动)模式 所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始 监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。 (2)PASV(被动)模式 所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与 主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端 发起从本 地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了) 两种模式的比较: (1)PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。 (2)从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度 出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取,因此使用PASV方式来架设ftp server是最安 全绝佳方案。
因此:如果只是简单的为了文件共享,完全可以禁用PASV模式,解除开放大量端口的威胁,同时也为防火墙的设置带来便利。 不幸的是,FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器,因此,必须要使vsftpd在开启了防火墙的情况下,也能够支持PASV模式进行数据访问。
二。安装与启动命令:
yum -y install vsftpd #安装 /etc/init.d/vsftpd start #contos 6.5启动 systemctl start vsftpd #contos 7启动 service vsftpd restart #contos 6.5重启 systemctl restart vsftpd #contos 7重启 service vsftpd stop #contos 6.5停止 systemctl stop vsftpd #contos 7停止 chkconfig vsftpd on #contos 6.5设置开机时自动运行 systemctl enable vsftpd.service #contos 7设置开机时自动运行
三。配置vsftp服务器:
配置文件说明: /etc/vsftpd/vsftpd.conf # vsftpd的核心配置文件 /etc/vsftpd/ftpusers #用于指定哪些用户不能访问FTP服务器 /etc/vsftpd/user_list #指定允许使用vsftpd的用户列表文件 /etc/vsftpd/vsftpd_conf_migrate.sh #是vsftpd操作的一些变量和设置脚本 /var/ftp/ #默认情况下匿名用户的根目录
1.配置vsftpd.conf
# 是否允许匿名登录FTP服务器,默认设置为YES允许 # 用户可使用用户名ftp或anonymous进行ftp登录,口令为用户的E-mail地址。 # 如不允许匿名访问则设置为NO anonymous_enable=NO # 是否允许本地用户(即linux系统中的用户帐号)登录FTP服务器,默认设置为YES允许 # 本地用户登录后会进入用户主目录,而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub # 若只允许匿名用户访问,前面加上#注释掉即可阻止本地用户访问FTP服务器 local_enable=YES # 是否允许本地用户对FTP服务器文件具有写权限,默认设置为YES允许 write_enable=YES # 掩码,本地用户默认掩码为077 # 你可以设置本地用户的文件掩码为缺省022,也可根据个人喜好将其设置为其他值 local_umask=022 # 是否激活目录欢迎信息功能 # 当用户用CMD模式首次访问服务器上某个目录时,FTP服务器将显示欢迎信息 # 默认情况下,欢迎信息是通过该目录下的.message文件获得的 # 此文件保存自定义的欢迎信息,由用户自己建立 dirmessage_enable=YES # 表明FTP服务器记录上传下载的情况 xferlog_enable=YES # 表明将记录的上传下载情况写在xferlog_file所指定的文件中,即xferlog_file选项指定的文件中 xferlog_std_format=YES xferlog_file=/var/log/xferlog # 启用双份日志。在用xferlog文件记录服务器上传下载情况的同时, # vsftpd_log_file所指定的文件,即/var/log/vsftpd.log也将用来记录服务器的传输情况 dual_log_enable=YES vsftpd_log_file=/var/log/vsftpd.log # 设定 FTP 服务器将启用 FTP 数据端口的连接请求 ,ftp-data 数据传输 ,21 为连接控制端口 connect_from_port_20=NO #开启被动模式 pasv_enable=YES #被动模式最低端口 pasv_min_port=12000 #被动模式最高端口 pasv_max_port=15000 pasv_promiscuous=YES pasv_addr_resolve=YES pasv_address=59.151.37.141 (外网地址) # 设定是否允许 改变 上传文件的属主 chown_uploads=NO #如果设置为 YES , 则 vsftpd 将以独立模式运行,由vsftpd自己监听和处理连接请求 listen=YES guest_enable=YES guest_username=ftproot user_config_dir=/etc/vsftpd/vuser_conf pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES ascii_upload_enable=YES ascii_download_enable=YES [root@pt-158 ~]#
2.先建立虚拟用户名单文件:
touch /etc/vsftpd/account.txt 编辑虚拟用户名单文件:(第一行账号,第二行密码,注意:不能使用root做用户名,系统保留) vi /etc/vsftpd/account.txt test01 test02 user01 user02
3.生成虚拟用户数据文件:
db_load -T -t hash -f /etc/vsftpd/account.txt /etc/vsftpd/account.db chmod 600 /etc/vsftpd/account.db #设定PAM验证文件,并指定对虚拟用户数据库文件进行读取
4.在/etc/pam.d/vsftpd的文件头部加入以下信息(在后面加入无效):
[root@pt-158 vsftpd]# cat /etc/pam.d/vsftpd #%PAM-1.0 #session optional pam_keyinit.so force revoke #auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so #auth include password-auth #account include password-auth #session required pam_loginuid.so #session include password-auth auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/account account required /lib64/security/pam_userdb.so db=/etc/vsftpd/account [root@pt-158 vsftpd]#
5.新建一个系统用户vsftpd,用户家目录为/data1/ftphome/ftproot, 用户登录终端设为/bin/false(即使之不能登录系统):
useradd vsftpd -d /data1/ftphome/ftproot -s /bin/false
chown vsftpd:vsftpd /data1/ftphome/ftproot -R
6.建立虚拟用户个人Vsftp的配置文件:
mkdir /etc/vsftpd/vuser_conf [root@pt-158 vuser_conf]# cat test01 anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES anon_umask=022 local_root=/data1/ftphome/ftproot [root@pt-158 vuser_conf]# cat user01 anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES anon_umask=022 local_root=/data1/ftphome/ftproot [root@pt-158 vuser_conf]#
7.配置防火墙:
59.151.37.141物理机防护墙添加,关闭192.168.7.158虚拟机的防火墙:
-A PREROUTING -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.7.158:21
-A PREROUTING -p tcp --dport 12000:15000 -j DNAT --to 192.168.7.158:12000-15000
8.最后重启vsftpd服务器:
systemctl restart vsftpd
原文:https://www.cnblogs.com/iamjianghao/p/10936344.html