一、FTP簡介

檔案傳輸協議（英文：File Transfer Protocol，縮寫：FTP）是用於在網路上進行檔案傳輸的一套標準協議。它工作於網路傳輸協議的應用層，使用客戶/伺服器模式，主要是用來在伺服器與客戶端之間進行資料傳輸。FTP 其實是以 TCP 封包的模式進行伺服器與客戶端計算機之間的聯機，當聯機建立後，使用者可以在客戶端端連上 FTP 伺服器來進行檔案的下載與上傳，此外，也可以對 FTP 伺服器上面的文件進行管理等。

FTP傳輸模式
檔案傳輸協議（File Transfer Protocol，FTP），基於該協議FTP客戶端與服務端可以實現共享檔案、上傳檔案、下載檔案。
FTP基於C/S模式，FTP客戶端與伺服器端有兩種傳輸模式，分別是FTP主動模式、FTP被動模式(預設的工作模式)。主被動模式均是以FTP伺服器端為參照。

FTP主動模式：客戶端從一個任意的埠N（N>1024）連線到FTP伺服器的port 21命令埠，客戶端開始監聽埠N+1，併發送FTP命令“port N+1”到FTP伺服器，FTP伺服器以資料埠（20）連線到客戶端指定的資料埠（N+1）。

FTP被動模式：客戶端從一個任意的埠N（N>1024）連線到FTP伺服器的port 21命令埠，客戶端開始監聽埠N+1，客戶端提交 PASV命令，伺服器會開啟一個任意的埠（P >1024），併發送PORT P命令給客戶端。客戶端發起從本地埠N+1到伺服器的埠P的連線用來傳送資料。

在企業實際環境中，如果FTP客戶端與FTP服務端均開放防火牆，FTP需以主動模式工作，這樣只需要在FTP伺服器端防火牆規則中，開放20、21埠即可。

環境準備。

FTP服務端操作步驟

• 1.服務端安裝vsftpd服務。

[root@wencheng-1 ~]# yum install -y vsftpd
[root@wencheng-1 ~]# rpm -qa | grep vsftpd
vsftpd-3.0.2-28.el7.x86_64

[root@wencheng-1 ~]# rpm -ql vsftpd　
/etc/pam.d/vsftpd　　　　# vsftpd 使用PAM模組時的配置檔案，主要做認證功能
/etc/vsftpd/ftpusers　　　　# 使用者登入黑名單，拒絕ftpusers列表內的使用者登入vsftpd，一行一個賬號
/etc/vsftpd/user_list　　　　# 預設為使用者登入黑名單，拒絕user_list列表內的使用者登入vsftpd，一行一個賬號，這個
配置是否能夠生效與 vsftpd.conf 內的引數 userlist_enable, userlist_deny 有關
/etc/vsftpd/vsftpd.conf　　　　# vsftpd 伺服器的主配置檔案，配置格式使用 [引數=設定值] 來設定，注意，等號兩邊不能有空白
/etc/vsftpd/vsftpd_conf_migrate.sh　　　　# 遷移指令碼
/usr/sbin/vsftpd　　　　# vsftpd命令執行指令碼檔案
/var/ftp　　　　# 匿名使用者訪問根目錄

[root@wencheng-1 ~]# systemctl start vsftpd
[root@wencheng-1 ~]# ps -ef | grep vsftpd
root      10988      1  0 16:20 ?        00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
root      10990   1583  0 16:21 pts/1    00:00:00 grep --color=auto vsftpd

[root@wencheng-1 ~]# ps -ef | grep vsftpd
root      10988      1  0 16:20 ?        00:00:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
root      10992   1583  0 16:21 pts/1    00:00:00 grep --color=auto vsftpd

[root@wencheng-1 ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

注意：從現在開始，凡是涉及到服務的配置，就要考慮防火牆和SELinux的因素，很多教程和書籍上都是直接關閉防火牆和selinux，雖然這樣在學習階段可以避免干擾，但是這樣非常不安全。另外凡是配置了服務，都要加入開機啟動中，讓其每次重啟自動生效。

• 2.服務端修改配置檔案/etc/vsftpd/vsftpd.conf

[root@wencheng-1 ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak
[root@wencheng-1 ~]# grep -Ev "^$|#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf

[root@wencheng-1 ~]# cat /etc/vsftpd/vsftpd.conf　　　　# 預設配置檔案詳解
# 預設匿名使用者配置
anonymous_enable=YES           # 開啟匿名使用者訪問；

# 預設本地使用者配置
local_enable=YES               # 啟用本地系統使用者訪問；
local_umask=022                # 本地使用者建立檔案及目錄預設許可權掩碼；

# 預設全域性配置
write_enable=YES               # 本地系統使用者寫入許可權；
dirmessage_enable=YES          # 列印目錄顯示資訊，通常用於使用者第一次訪問目錄時，資訊提示；
xferlog_enable=YES             # 啟用上傳/下載日誌記錄； 
connect_from_port_20=YES       # FTP使用20埠進行資料傳輸；
xferlog_std_format=YES         # 日誌檔案將根據xferlog的標準格式寫入；
listen=NO                      # Vsftpd不以獨立的服務啟動，通過Xinetd服務管理，建議改成YES；
listen_ipv6=YES                # 啟用IPV6監聽；
pam_service_name=vsftpd        # 登入FTP伺服器，依據/etc/pam.d/vsftpd中內容進行認證；
userlist_enable=YES            # Vsftpd.user_list和ftpusers配置檔案裡使用者禁止訪問FTP；
tcp_wrappers=YES               # 設定vsftpd與tcp wrapper結合進行主機的訪問控制，Vsftpd伺服器檢查/etc/hosts.allow 和/etc/hosts.deny中的設定，
　　　　　　　　　　　　　　　　　　　來決定請求連線的主機，是否允許訪問該FTP伺服器。

• 3.vsftpd三種認證模式

　　vsftpd作為更加安全的檔案傳輸的服務程式，允許使用者以三種認證模式登入到FTP伺服器上：匿名開放模式、本地使用者模式、虛擬使用者模式。實際生產環境中虛擬使用者模式用的較多。

　　首先要在防火牆新增ftp，20，21埠。

# firewalld 新增ftp,20,21埠
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-service=ftp --permanent
success
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-port=20/tcp --permanent
success
[root@wencheng-1 ~]# firewall-cmd --zone=public --add-port=21/tcp --permanent
success

[root@wencheng-1 ~]# firewall-cmd --zone=public --list-ports　　　　# 檢視firewalld開放的埠
20/tcp 21/tcp
[root@wencheng-1 ~]# firewall-cmd --get-services | grep -o 'ftp'　　# 檢視firewalld開放的協議
ftp

[root@wencheng-1 ~]# systemctl restart firewalld

• 3.1 匿名開放模式：任何人都可以無需密碼驗證而直接登入到FTP伺服器，是一種最不安全的認證模式。

[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全域性配置
write_enable=YES               # 本地系統使用者寫入許可權；
local_umask=022                # 本地使用者建立檔案及目錄預設許可權掩碼；
dirmessage_enable=YES          # 列印目錄顯示資訊，通常用於使用者第一次訪問目錄時，資訊提示；
xferlog_enable=YES             # 啟用上傳/下載日誌記錄； 
connect_from_port_20=YES       # FTP使用20埠進行資料傳輸；
xferlog_std_format=YES         # 日誌檔案將根據xferlog的標準格式寫入；
listen=NO                      # Vsftpd不以獨立的服務啟動，通過Xinetd服務管理，建議改成YES；
listen_ipv6=YES                # 啟用IPV6監聽；
pam_service_name=vsftpd        # 登入FTP伺服器，依據/etc/pam.d/vsftpd中內容進行認證；
userlist_enable=YES            # Vsftpd.user_list和ftpusers配置檔案裡使用者禁止訪問FTP；
tcp_wrappers=YES               # 設定vsftpd與tcp wrapper結合進行主機的訪問控制，Vsftpd伺服器檢查/etc/hosts.allow 和/etc/hosts.deny中的設定，
　　　　　　　　　　　　　　　　　　　來決定請求連線的主機，是否允許訪問該FTP伺服器。

# 本地使用者配置
local_enable=YES               # 啟用本地系統使用者訪問；
local_umask=022                # 本地使用者建立檔案及目錄預設許可權掩碼；
local_root=/data/ftpdata　　　　# 修改本地使用者登入時訪問的目錄路徑

# 匿名使用者訪問配置（最大許可權）
anonymous_enable=YES           # 開啟匿名使用者訪問；
anon_umask=022　　　　　　　　　　# 匿名使用者上傳檔案的umask值
anon_upload_enable=YES　　　　　 # 允許匿名使用者上傳檔案
anon_mkdir_write_enable=YES　　 # 允許匿名使用者建立目錄
anon_other_write_enable=YES     # 允許匿名使用者修改目錄名稱或刪除目錄
anon_root=/data/ftpdata　　　　  # 修改匿名使用者登入時訪問的目錄路徑

注：工作中，匿名使用者只是只讀訪問，寫的許可權也沒有的。

[root@wencheng-1 ~]# ls -l /data/ftpdata
drwxr-xr-x. 2 root root 18 Mar 25 16:26 ftppub
[root@wencheng-1 ~]# ls -ld /data/ftpdata
drwxr-xr-x. 3 root root 17 Mar 25 14:53 /data/ftpdata

# 修改目錄許可權
[root@wencheng-1 ~]# chmod o+w /data/ftpdata/ftppub
# 修改目錄屬主
[root@wencheng-1 ~]# chown ftp /data/ftpdata/ftppub/ -R
[root@wencheng-1 ~]# ls -ld /data/ftpdata/ftppub/
drwxr-xrwx. 2 ftp root 18 Mar 25 16:26 /data/ftpdata/ftppub

[root@wencheng-1 ~]# systemctl restart vsftpd

3.1.1 匿名訪問測試。

Win10測試訪問ftp路徑。

並能執行上傳/下載/刪除操作。

FTP服務端檢視。

• 3.2 本地使用者模式：是通過Linux系統本地的賬戶密碼資訊進行認證的模式。如果被黑客破解了賬戶資訊，就可以暢通無阻地登入FTP伺服器，從而完全控制整臺伺服器。

　　a.將anonymous_enable=YES改為NO，即關閉了匿名模式，此時就不能在使用匿名模式登陸了。

　　 b.另外前面新加的與匿名配置引數可以保留，也可以直接刪除，只要總開關anonymous_enable關閉了就禁用了匿名登入。

[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全域性配置
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 本地使用者配置
local_enable=YES
local_umask=022
local_root=/data/ftpdata

# 匿名使用者設定
anonymous_enable=NO　　　　# 僅修改此項為NO
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_root=/data/ftpdata

[root@wencheng-1 ~]# systemctl restart vsftpd

3.2.1 此時已需要賬號密碼登入。

3.2.2新增一個ftp使用者並建立密碼，用來登入ftp伺服器。

[root@wencheng-1 ~]# useradd ftpuser -s /sbin/nologin
[root@wencheng-1 ~]# passwd ftpuser
Changing password for user ftpuser.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.

[root@wencheng-1 ~]# grep ftpuser /etc/passwd
ftpuser:x:1000:1000::/home/ftpuser:/sbin/nologin

3.2.3 再次嘗試訪問ftppub目錄。

• 3.3 虛擬使用者模式：需要為FTP服務單獨 建立使用者資料庫檔案，虛擬出用來進行口令驗證的賬戶資訊，而這些賬戶資訊在 伺服器系統中實際上是不存在的，僅供 FTP 服務程式進行認證使用。這樣，即使 黑客破解了賬戶資訊也無法登入伺服器，從而有效降低了破壞範圍和影響。是三種模式中最安全的一種認證模式。

Vsftpd虛擬使用者企業案例配置步驟如下：

a.安裝Vsftpd虛擬使用者需用到的軟體及認證模組：

[root@wencheng-1 ~]# yum install pam* libdb-utils libdb* --skip-broken -y

b.建立包含使用者資訊的檔案vuser.list（檔名字任意取）,檔案中奇數行表示賬號名，偶數行表示密碼。

[root@wencheng-1 ~]# vim /etc/vsftpd/vuser.list
vuser1
123456
vuser2
123456

c.生成Vsftpd虛擬使用者資料庫認證檔案，設定許可權700。

[root@wencheng-1 ~]# db_load -T -t hash -f /etc/vsftpd/vuser.list /etc/vsftpd/vsftpd_login.db
[root@wencheng-1 ~]# chmod 700 /etc/vsftpd/vsftpd_login.db

d.配置PAM認證檔案，/etc/pam.d/vsftpd行首加入如下兩行。

[root@wencheng-1 ~]# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd_bak
[root@wencheng-1 ~]# vim /etc/pam.d/vsftpd
auth      required        pam_userdb.so  db=/etc/vsftpd/vsftpd_login
account   required        pam_userdb.so  db=/etc/vsftpd/vsftpd_login

e.所有Vsftpd虛擬使用者需要對映到一個系統使用者，該系統使用者不需要密碼，也不需要登入，主要用於虛擬使用者對映使用。

[root@wencheng-1 ~]# useradd -d /data/ftpdir -s /sbin/nologin ftpvuser　　# /data/ftpdir 為虛擬使用者預設訪問目錄
[root@wencheng-1 ~]# chmod -Rf /data/ftpdir/
[root@wencheng-1 ~]# ls -ld /data/ftpdir/
drwxr-xr-x. 2 ftpvuser ftpvuser 76 Mar 29 23:51 /data/ftpdir/

f.建立虛擬使用者各自的配置檔案

假設我們要區別對待vuser1和vuser2，只允許vuser1檢視檔案，而允許vuser2上傳、建立、修改、檢視、刪除檔案。這種需求在企業真實環境中是常見的。

[root@wencheng-1 ~]# mkdir -p /etc/vsftpd/vsftpd_users_conf
[root@wencheng-1 ~]# cd /etc/vsftpd/vsftpd_users_conf
[root@wencheng-1 vsftpd_users_conf]# touch vuser1
[root@wencheng-1 vsftpd_users_conf]# vim vuser2
 anon_upload_enable=YES
 anon_mkdir_write_enable=YES
 anon_other_write_enable=YES

g.修改配置檔案/etc/vsftpd/vsftpd.conf。

[root@wencheng-1 ~]# vim /etc/vsftpd/vsftpd.conf
# 全域性配置
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 本地使用者配置
local_enable=YES
local_umask=022
#local_root=/data/ftpdata

# 虛擬使用者設定
anonymous_enable=NO　　　　# 禁止匿名開放模式
guest_enable=YES　　　　　　# 開啟虛擬使用者模式
guest_username=ftpvuser　　# 對映虛擬使用者至系統使用者ftpvuser
allow_writeable_chroot=YES　　# 允許對禁錮的FTP根目錄執行寫入操作，而且不拒絕使用者的登入請求
user_config_dir=/etc/vsftpd/vsftpd_users_conf 　　# 設定虛擬使用者配置檔案所在的目錄

[root@wencheng-1 ~]# systemctl restart vsftpd

測試通過Windows10客戶端資源管理器訪問登入。

[root@wencheng-1 ~]# echo 11 > /data/ftpdir/Vfire1
[root@wencheng-1 ~]# echo 22 > /data/ftpdir/Vfire2
[root@wencheng-1 ~]# echo 33 > /data/ftpdir/Vfire3
[root@wencheng-1 ~]# ls /data/ftpdir/
Vfire1  Vfire2  Vfire3

客戶端操作步驟

測試賬號：vuser1；密碼：123456 　

無法執行刪除操作。

測試賬號：vuser2；密碼：123456

刪除成功。

至此，已實現vsftpd服務的三種認證模式。