ftp主動/被動模式+虛擬賬號配置
FTP基礎
FTP只通過TCP連接,沒有用於FTP的UDP組件.FTP不同於其他服務的是它使用了兩個端口, 一個數據端口和一個命令端口(或稱為控制端口)。通常21端口是命令端口,20端口是數據端口。當混入主動/被動模式的概念時,數據端口就有可能不是20了
FTP的主動模式
主動模式下,FTP客戶端從任意的非特殊的端口(N > 1023)連入到FTP服務器的命令端口--21端口。然後客戶端在N+1(N+1 >= 1024)端口監聽,並且通過N+1(N+1 >= 1024)端口發送命令給FTP服務器。服務器會反過來連接用戶本地指定的數據端口,比如20端口。
以服務器端防火墻為立足點,要支持主動模式FTP需要打開如下交互中使用到的端口:
- FTP服務器命令(21)端口接受客戶端任意端口(客戶端初始連接)
- FTP服務器命令(21)端口到客戶端端口(>1023)(服務器響應客戶端命令)
- FTP服務器數據(20)端口到客戶端端口(>1023)(服務器初始化數據連接到客戶端數據端口)
- FTP服務器數據(20)端口接受客戶端端口(>1023)(客戶端發送ACK包到服務器的數據端口)
用圖表示如下:
在第1步中,客戶端的命令端口與FTP服務器的命令端口建立連接,並發送命令“PORT 1027”。然後在第2步中,FTP服務器給客戶端的命令端口返回一個"ACK"。在第3步中,FTP服務器發起一個從它自己的數據端口(20)到客戶端先前指定的數據端口(1027)的連接,最後客戶端在第4步中給服務器端返回一個"ACK"。
主動方式FTP的主要問題實際上在於客戶端。FTP的客戶端並沒有實際建立一個到服務器數據端口的連接,它只是簡單的告訴服務器自己監聽的端口號,服務器再回來連接客戶端這個指定的端口。對於客戶端的防火墻來說,這是從外部系統建立到內部客戶端的連接,這是通常會被阻塞的。
被動模式FTP
為了解決服務器發起到客戶的連接的問題,人們開發了一種不同的FTP連接方式。這就是所謂的被動方式,或者叫做PASV,當客戶端通知服務器它處於被動模式時才啟用。
在被動方式FTP中,命令連接和數據連接都由客戶端,這樣就可以解決從服務器到客戶端的數據端口的入方向連接被防火墻過濾掉的問題。當開啟一個FTP連接時,客戶端打開兩個任意的非特權本地端口(N >; 1024和N+1)。第一個端口連接服務器的21端口,但與主動方式的FTP不同,客戶端不會提交PORT命令並允許服務器來回連它的數據端口,而是提交PASV命令。這樣做的結果是服務器會開啟一個任意的非特權端口(P >; 1024),並發送PORT P命令給客戶端。然後客戶端發起從本地端口N+1到服務器的端口P的連接用來傳送數據。
對於服務器端的防火墻來說,必須允許下面的通訊才能支持被動方式的FTP:
- FTP服務器命令(21)端口接受客戶端任意端口(客戶端初始連接)
- FTP服務器命令(21)端口到客戶端端口(>1023)(服務器響應客戶端命令)
- FTP服務器數據端口(>1023)接受客戶端端口(>1023)(客戶端初始化數據連接到服務器指定的任意端口)
- FTP服務器數據端口(>1023)到客戶端端口(>1023)(服務器發送ACK響應和數據到客戶端的數據端口)
用圖表示如下:
在第1步中,客戶端的命令端口與服務器的命令端口建立連接,並發送命令“PASV”。然後在第2步中,服務器返回命令"PORT 2024",告訴客戶端(服務器)用哪個端口偵聽數據連接。在第3步中,客戶端初始化一個從自己的數據端口到服務器端指定的數據端口的數據連接。最後服務器在第4 步中給客戶端的數據端口返回一個"ACK"響應。
被動方式的FTP解決了客戶端的許多問題,但同時給服務器端帶來了更多的問題。最大的問題是需要允許從任意遠程終端到服務器高位端口的連接。幸運的是,許多FTP守護程序,包括流行的WU-FTPD允許管理員指定FTP服務器使用的端口範圍。詳細內容參看附錄1。
第二個問題是客戶端有的支持被動模式,有的不支持被動模式,必須考慮如何能支持這些客戶端,以及為他們提供解決辦法。例如,Solaris提供的FTP命令行工具就不支持被動模式,需要第三方的FTP客戶端,比如ncftp。
隨著WWW的廣泛流行,許多人習慣用web瀏覽器作為FTP客戶端。大多數瀏覽器只在訪問ftp://這樣的URL時才支持被動模式。這到底是好還是壞取決於服務器和防火墻的配置。
主動/被動模式的選擇
客戶端軟件通過主動模式去鏈接,我們客戶端上不會設置防火墻,服務器可以直接鏈接過來
如果客戶端是fz,請在設置中更改被動模式中退回主動模式
搭建FTP虛擬賬號,更安全的訪問
針對centos可以直接將下面代碼運行,目錄,賬號自行更改
#/bin/bash # 咱們比如映射本地帳號joker path=/data/pro/ # 自定義 which vsftpd >> /dev/null if [ $? = 0 ];then #####實際賬號是否是tomcat cat>/etc/vsftpd.conf<<EOF anonymous_enable=YES local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=NO listen_ipv6=YES chroot_list_enable=NO ascii_upload_enable=YES ascii_download_enable=YES guest_enable=YES guest_username=joker user_config_dir=/etc/vsftpd/vuser_conf pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES EOF cd /etc/vsftpd && mkdir vuser_conf ####虛擬賬號以及密碼 cat>/etc/vsftpd/vuser_passwd.txt<<EOF joker # 虛擬帳號 joker123 # 虛擬密碼 EOF db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db ####更改驗證機制 cat>/etc/pam.d/vsftpd<<EOF auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd account required pam_userdb.so db=/etc/vsftpd/vuser_passwd EOF ####虛擬賬號家目錄555,底層777的活動目錄 cat>/etc/vsftpd/vuser_conf/$user<<EOF local_root=$path write_enable=YES anon_umask=022 anon_world_readable_only=NO # 註意,不能只讀 anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES EOF ####更改目錄權限 ####為了避免一個安全漏洞,從 vsftpd 2.3.5 開始,chroot 目錄必須不可寫 mkdir -p $path # 創建目錄 cd $path && mkdir a # a項目 chown -R joker:joker $path/a cd /data && chmod 555 pro && chmod 777 a systemctl restart vsftpd.serivce >> /dev/null #### else echo "you apt-get install vsftpd,please again" yum install -y vsftpd db-util fi
附上配置文件解釋
anonymous_enable=YES //是否允許anonymous登錄FTP服務器,默認是允許的. local_enable=YES //是否允許本地用戶登錄FTP服務器,默認是允許 write_enable=YES //是否允許用戶具有在FTP服務器文件中執行寫的權限,默認是允許 local_umask=022 //設置本地用戶的文件生成掩碼為022,默認是077 anon_upload_enable=YES anon_mkdir_write_enable=YES //是否允許匿名賬戶在FTP服務器中創建目錄 dirmessage_enable=YES //激活目錄信息,當遠程用戶更改目錄時,將出現提示信息 xferlog_enable=YES //啟用上傳和下載日誌功能 connect_from_port_20=YES //啟用FTP數據端口的連接請求 xferlog_file=/var/log/vsftpd.log //設置日誌文件的文件名和存儲路徑,這是默認的 xferlog_std_format=YES//是否使用標準的ftpd xferlog日誌文件格式 idle_session_timeout=600 //設置空閑的用戶會話中斷時間,默認是10分鐘 data_connection_timeout=120//設置數據連接超時時間,默認是120秒. ascii_upload_enable=YES ascii_download_enable=YES //是否允許使用ASCII格式來上傳和下載文件 ftpd_banner=Welcome to blah FTP service.//在FTP服務器中設置歡迎登錄的信息. chroot_list_enable=YES //如果希望用戶登錄後不能切換到自己目錄以外的其它目錄,需要設置該項,如果設置chroot_list_enable=YES,那麽只允許/etc/vsftpd.chroot_list中列出的用戶具有該功能.如果希望所有的本地用戶都執行者chroot,可以增加一行:chroot_local_user=YES chroot_list_file=/etc/vsftpd.chroot_list pam_service_name=vsftpd //設置PAM認證服務的配置文件名稱,該文件存放在/etc/pam.d/目錄下. userlist_enable=YES //用戶列表中的用戶是否允許登錄FTP服務器,默認是不允許 listen=YES //使vsftpd 處於獨立啟動模式 tcp_wrappers=YES //使用tcp_wrqppers作為主機訪問控制方式
ftp主動/被動模式+虛擬賬號配置