安装完后,有/etc/vsftpd/vsftpd.conf 文件,是vsftp的配置文件。
[root@bogon ~]# yum -y install vsftpd
FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21(命令端口)和20(数据端口)。但FTP工作方式的不同,数据端口并不总是20。这就是主动与被动FTP的最大不同之处。
FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。
(一) FTP主动模式
Willh的个人博客
主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始 监听端口N+1,
并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
1\. 任何大于1024的端口到FTP服务器的21端口。(客户端初始化的连接)
2\. FTP服务器的21端口到大于1024的端口。 (服务器响应客户端的控制端口)
3\. FTP服务器的20端口到大于1024的端口。(服务器端初始化数据连接到客户端的数据端口)
4\. 大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口)
简明概括:
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,
客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,
建立一条数据链路来传送数据。
开启主动模式:
pasv_enable=no
若设置为YES,则使用PASV工作模式;若设置为NO,则使用PORT模式。默认值为YES,即使用PASV工作模式。
主动模式下:
SecureFX工具去连接ftp,客户没有允许开放端口,服务器没法与客户端相连接,关闭客户端防火墙
(二) FTP被动模式
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于
被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端发起,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。
当开启一个 FTP连接时,客户端打开两个任意的非特权本地端口(N > 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,
客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024)
,并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
1\. 从任何大于1024的端口到服务器的21端口 (客户端初始化的连接)
2\. 服务器的21端口到任何大于1024的端口 (服务器响应到客户端的控制端口的连接)
3\. 从任何大于1024端口到服务器的大于1024端口 (客户端初始化数据连接到服务器指定的任意端口)
4\. 服务器的大于1024端口到远程的大于1024的端口(服务器发送ACK响应和数据到客户端的数据端口)
简明概括:
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,
服务器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据
链路来传送数据。
开启被动模式
默认是开启的,但是要指定一个端口范围,打开vsftpd.conf文件,在后面加上
pasv_enable=yes
若设置为YES,则使用PASV工作模式;若设置为NO,则使用PORT模式。默认值为YES,即使用PASV工作模式。
pasv_min_port=30000
在PASV工作模式下,数据连接可以使用的端口范围的最大端口,0 表示任意端口。默认值为0。
pasv_max_port=30999
在PASV工作模式下,数据连接可以使用的端口范围的最小端口,0 表示任意端口。默认值为0。
表示端口范围为30000~30999,这个可以随意改。改完重启一下vsftpd
由于指定这段端口范围,iptables也要相应的开启这个范围,所以像上面那样打开iptables文件。
也是在21上下面另起一行,更那行差不多,只是把21 改为30000:30999,然后:wq保存,重启下iptables。这样就搞定了。
(三)主动与被动FTP优缺点:
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的
防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端
口,而这 个端口很有可能被服务器端的防火墙阻塞掉。
幸运的是,有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动FTP。我们可以通过为FTP服务器指定
一个有 限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的
危险,但它大大减少了危险。
简而言之:
主动模式(PORT)和被动模式(PASV)。主动模式是从服务器端向客户端发起连接;被动模式是客户端向服务器端发起连接。两者的共同点是都使
用21端口进行用户验证及管理,差别在于传送数据的方式不同,PORT模式的FTP服务器数据端口固定在20,而PASV模式则在1025-65535之间随机。
常见的FTP客户端软件的PASV方式的关闭方法
大部分FTP客户端默认使用PASV方式。IE默认使用PORT方式。 在大部分FTP客户端的设置里,常见到的字眼都是“PASV”或“被动模式”,
极少见到“PORT”或“主动模式”等字眼。因为FTP的登录方式只有两种:PORT和PASV,取消PASV方式,就意味着使用PORT方式。
(1)IE:工具 -> Internet选项 -> 高级 -> “使用被动FTP”(需要IE6.0以上才支持)。
(2)CuteFTP:Edit -> Setting -> Connection -> Firewall -> “PASV Mode” 或File -> Site Manager,在左边选中站
点 -> Edit -> “Use PASV mode” 。
(3)FlashGet:工具 -> 选项 -> 代理服务器 -> 直接连接 -> 编辑 -> “PASV模式”。
(4)FlashFXP:选项 -> 参数选择 -> 代理/防火墙/标识 -> “使用被动模式” 或 站点管理 -> 对应站点 -> 选项 ->
“使用被动模式”或快速连接 -> 切换 -> “使用被动模式”。
因为ftp默认的端口为21,而centos默认是没有开启的,所以要修改iptables文件
[root@bogon ~]# vim /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
在行上面有22 -j ACCEPT 下面另起一行输入跟那行差不多的,只是把22换成21,然后:wq保存。
还要运行下,重启iptables
[root@bogon ~]# service iptables restart
FTP的匿名登录一般有三种:
1、 用户名:anonymous 密码:Email或者为空
2、 用户名:FTP 密码:FTP或者为空
3、 用户名:USER 密码:pass
ftp默认开启的匿名用户登录和主动模式,用IE访问需要把“使用被动FTP”选项去掉前面的勾,这样ftp都连接上去
在文件管理器输入框中输入ftp://域名或者ip,如果端口不是21的后面加端口。
默认配置
anonymous_enable=YES
#允许匿名用户和本地用户登陆。
local_enable=YES
#匿名用户使用的登陆名为ftp或anonymous,口令为空;匿名用户不能离开匿名用户家目录/var/ftp,且只能下载不能上传。
write_enable=YES
#本地用户的登录名为本地用户名,口令为此本地用户的口令;本地用户可以在自己家目录中进行读写操作;本地用户可以离开自家目录切换至有权限
访问的其他目录,并在权限允许的情况下进行上传/下载。
#写在文件/etc/vsftpd.ftpusers中的本地用户禁止登陆。
anonymous_enable=YES/NO(YES)
#控制是否允许匿名用户登入,YES 为允许匿名登入,NO 为不允许。默认值为YES。
write_enable=YES/NO(YES)
#是否允许登陆用户有写权限。属于全局设置,默认值为YES。
no_anon_password=YES/NO(NO)
#若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO。
ftp_username=ftp
#定义匿名登入的使用者名称。默认值为ftp。
anon_root=/var/ftp
#使用匿名登入时,所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性,即匿名用户的家目录不能有777的权限。
anon_upload_enable=YES/NO(NO)
#如果设为YES,则允许匿名登入者有上传文件(非目录)的权限,只有在write_enable=YES时,此项才有效。当然,匿名用户必须要有对上层目录的写入权。默认值为NO。
anon_world_readable_only=YES/NO(YES)
#如果设为YES,则允许匿名登入者下载可阅读的档案(可以下载到本机阅读,不能直接在FTP服务器中打开阅读)。默认值为YES。
anon_mkdir_write_enable=YES/NO(NO)
#如果设为YES,则允许匿名登入者有新增目录的权限,只有在write_enable=YES时,此项才有效。当然,匿名用户必须要有对上层目录的写入权。
默认值为NO。
anon_other_write_enable=YES/NO(NO)
#如果设为YES,则允许匿名登入者更多于上传或者建立目录之外的权限,譬如删除或者重命名。(如果anon_upload_enable=NO,则匿名用户不能
上传文件,但可以删除或者重命名已经存在的文件;如果anon_mkdir_write_enable=NO,则匿名用户不能上传或者新建文件夹,但可以删除或者重
命名已经存在的文件夹。)默认值为NO。
chown_uploads=YES/NO(NO)
#设置是否改变匿名用户上传文件(非目录)的属主。默认值为NO。
chown_username=username
#设置匿名用户上传文件(非目录)的属主名。建议不要设置为root。
anon_umask=077
#设置匿名登入者新增或上传档案时的umask 值。默认值为077,则新建档案的对应权限为700。
deny_email_enable=YES/NO(NO)
#若是启动这项功能,则必须提供一个档案/etc/vsftpd/banner_emails,内容为email address。若是使用匿名登入,则会要求输入email address,
若输入的email address 在此档案内,则不允许进入。默认值为NO。
banned_email_file=/etc/vsftpd/banner_emails
#此文件用来输入email address,只有在deny_email_enable=YES时,才会使用到此档案。若是使用匿名登入,则会要求输入email address,若输入的email address 在此档案内,则不允许进入。
local_umask目录:
777-022=755
local_umask文件:
666-022=644
事例:
Linux下允许vsftp匿名用户上传和下载的配置
配置要注意三部分,请一一仔细对照:
1、vsftpd.conf配置文件
# vi /etc/vsftpd/vsftpd.conf(vsftpd.conf文件的配置)
anonymous_enable=YES
#允许匿名用户登录FTP
anon_root=/var/ftp/pub
#设置匿名用户的登录目录(如需要,需自己添加并修改)
anon_upload_enable=YES
#打开匿名用户的上传权限
anon_mkdir_write_enable=YES
#打开匿名用户创建目录的权限
anon_other_write_enable=YES
#打开匿名用户删除和重命名的权限(如需要,需自己添加)
anon_umask=022
#匿名用户的掩码(如需要,需自己添加,含义:如umask是022,这时创建一个权限为666的文件,文件的实际权限为666-022=644)
2、ftp目录的权限设置(匿名用户)
默认情况下,ftp的根目录为/var/ftp,为了安全,这个目录默认不允许设置为777权限,否则ftp将无法访问。但是我们要匿名上传文件,需要“other”用户的写权限,正确的做法:
chmod o+w /var/ftp/pub/
上传的文件权限是600,属主和属组默认都是ftp
3、为了安全修改属主权限为匿名的ftp权限,不用默认的root权限
chown ftp /var/ftp/pub/ -R
_net use _/d 清除ftp连接缓存*
anonymous_enable=no
#不允许匿名用户登入
local_enable=YES/NO(YES)
#控制是否允许本地用户登入,YES 为允许本地用户登入,NO为不允许。默认值为YES。
local_root=/home/username
#当本地用户登入时,将被更换到定义的目录下。默认值为各用户的家目录。
write_enable=YES/NO(YES)
#是否允许登陆用户有写权限。属于全局设置,默认值为YES。
local_umask=022
#本地用户新增档案时的umask 值。默认值为077。
file_open_mode=0755
#本地用户上传档案后的档案权限,与chmod所使用的数值相同。默认值为0666。
chroot_local_user=YES
#用于指定用户列表文件中的用户不允许切换到上级目录。默认值为NO。
此用户就是用来登录ftp服务器用的。
[root@bogon ~]# useradd ftpuser -s /sbin/nologin
这样一个用户建完,不可以用这个登录,记得用普通登录不要用匿名了。登录后默认的路径为 /home/ftpuser.
[root@bogon ~]# passwd ftpuser
输入两次密码后修改密码。
修改/etc/vsftpd/vsftpd.conf文件:
anonymous_enable=no
local_enable=YES
local_root=/home/ftpuser
write_enable=YES
local_umask=022
file_open_mode=0755
chroot_local_user=YES
[root@bogon ~]# service vsftpd restart
在windows资源管理器中连接ftp://ip
本地用户登录(家目录/home/ftpuser),可以创建或删除目录、文件,目录权限是755,文件权限是644
修改路径为/opt/test下(local_root=/opt/test),为了安全,在/opt/test目录下建tt目录,并给tt目录属主和属组修改为ftpuser,这样才可以创建或删除目录,上传、删除文件
pam_service_name=vsftpd
#虚拟用户使用PAM认证方式。
guest_enable= YES/NO(NO)
#设置PAM使用的名称,默认值为/etc/pam.d/vsftpd。
guest_username=ftp
#启用虚拟用户。默认值为NO。
virtual_use_local_privs=YES/NO(NO)
#这里用来映射虚拟用户。默认值为ftp。
#当该参数激活(YES)时,虚拟用户使用与本地用户相同的权限。当此参数关闭(NO)时,虚拟用户使用与匿名用户相同的权限。默认情况下此参数
是关闭的(NO)。
首先需要建立一个文本格式的用户名/密码列表文件,奇数行为用户名,偶数行为上一行中用户名所对应的密码。
例如:添加两个用户jene、john,密码分别为abc123、abc456执行以下的操作:
[root@ling ~]# vi /etc/vsftpd/juser.txt
jene
abc123
john
abc456
db_load:安装 db4,db4-devel,db4-utils
# cd //etc/vsftpd #切换到/etc/vsftpd的目录下
# yum -y install db4*
# db_load -T -t hash -f juser.txt juser.db #将刚创建的juser.list列表转换为juser.list.db
file juser.db #查看转换后的文件类型
chmod 600 /etc/vsftpd/juser.db
# vi /etc/pam.d/juser.pam //为虚拟用户创建PAM认证文件,文件名为juser.pam(见名之义)
auth required pam_userdb.so db=/etc/vsftpd/juser
account required pam_userdb.so db=/etc/vsftpd/juser
注意:db=/etc/vsftpd/vsftpd_login 后面的.db必须去掉
或
# vi /etc/pam.d/vsftpd
将里面其他的都注释掉,添加下面这两行:
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
# useradd -d /var/ftptom -s /sbin/nologin tom #添加用户tom,指定到新建的家目录,将虚拟用户对应到这个系统账号上,这个
账号无需设置密码及登录Shell
# chmod 755 /var/ftptom/ #调整权限以允许浏览目录
# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=no //禁用匿名用户登录
(anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_umask=022 //指定上传权限掩码)
local_enable=YES //需映射本地用户,所以启用些项
write_enable=YES //启用上传写入支持
chroot_local_user=YES //(自建配置)将所有本地用户限制在家目录中
guest_enable=YES //启用映射功能
guest_username=tom //指定映射的系统用户名称
pam_service_name=juser.pam //指定新的PAM认证文件
user_config_dir=/opt/vsftpd/juser_dir //(自建配置)设置虚拟帐号的主目录为/juser_dir
max_clients=300 //(自建配置)设置FTP服务器最大接入客户端数为300个
max_per_ip=10 //(自建配置)设置每个IP地址最大连接数为10个
listen=YES
port_enable=NO //(自建配置)取消PORT模式进行数据传输
connect_from_port_20=NO //(修改配置)PORT模式进行数据传输部使用20端口
ftp_data_port=20
pasv_enable=YES //(自建配置)允许PASV模式进行数据传输
pasv_min_port=65341 //(自建配置)PASV模式下数据传输所使用port范围下界
pasv_max_port=65351 //(自建配置)PASV模式下数据传输所使用port范围上界
如上面的在没有给予虚拟用户上传、建目录等权限的设置,可以用下面的方法给虚拟用户建立独立的配置文件。
在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段
# mkdir /opt/vsftpd/juser_dir
cd /opt/vsftpd/juser_dir //切换到这个新建的配置文件夹下
touch jene 创建jene配置文件
touch john 创建john配置文件
#vi jene //为用户jene建立独立的配置文件,允许他可以上传和创建目录
anon_upload_enable=YES
anon_mkdir_write_enable=YES
#touch john //为其它用户(john)创建空的配置文件,也就是他们没有上传和创建目录的权限
[root@ling juser_dir]# service vsftpd reload //重载vsftpd服务器
登录ftp服务器
已经登录tom的家目录下了
以上的虚拟用户jene和john共用映射的tom家目录的
vi vsftpd.conf
anonymous_enable=NO(修改配置)禁用匿名用户登录
write_enable=YES (默认开启)允许使用任何可以修改文件系统的FTP的指令
local_enable=YES(默认开启)启用本地用户登录设置
chroot_local_user=YES (自建配置)将所有本地用户限制在家目录中
pam_service_name=juser.pam(默认开启)配置vsftpd使用的PAM模块为vsftpd
user_config_dir=/opt/vsftpd/juser_dir (自建配置)设置虚拟帐号的主目录为/vsftpd_login
# mkdir /opt/vsftpd/juser_dir //建虚拟账号主目录
# cd /opt/vsftpd/juser_dir //切换到这个新建的配置文件夹下
# touch jene 创建jene配置文件
# touch john 创建john配置文件
为各虚拟用户建立独立的配置文件
# vi jene
anon_world_readable_only=YES 只读,不能下载
anon_world_readable_only=no 表示用户可以浏览FTP目录和下载文件
guest_enable=yes 开启虚拟帐号登录
guest_username=ftp_jene 设置虚拟用户jene对应的系统帐号为ftp_jene
local_root=/opt/jene 用户登入时,所在目录
anon_world_readable_only=no 不允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=50000 限定传输速率为50KB/s
# vi john
guest_enable=yes 开启虚拟帐号登录
guest_username=ftp_ john 设置虚拟用户john对应的系统帐号为ftp_john
local_root=/opt/john 用户登入时,所在目录
anon_other_write_enable=YES 允许匿名账号具有删除、改名权限
anon_mkdir_write_enable=yes 允许创建文件夹,不能删除目录
anon_upload_enable=yes 开启匿名帐号的上传功能
anon_world_readable_only=no 不允许匿名用户浏览整个服务器的文件系统
anon_max_rate=100000 限定传输速度为100KB/s
重启vsftpd服务
#service vsftpd restart
linux文件权限分成“属主”、“属组”和“其他人”这三种,如果“其他人”没有可读权限,那anon_world_readable_only这个参数就起效了,对于目录来说,如果“其他人”没有可读权限,且anon_world_readable_only=YES,则匿名用户无法浏览该目录下的所有内容(看上去像个空目录),而对于文件来说,如果“其他人”没有可读权限,且anon_world_readable_only=YES,则匿名用户无法下载该文件。
外网是可以访问上去了,可是发现没法返回目录(使用ftp的主动模式,被动模式还是无法访问),也上传不了,因为selinux作怪了。
修改selinux:
执行以下命令查看状态:
[root@bogon ~]# getsebool -a | grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
[root@bogon ~]#
执行上面命令,再返回的结果看到两行都是off,代表,没有开启外网的访问
[root@bogon ~]# setsebool -P allow_ftpd_full_access on
[root@bogon ~]# setsebool -P ftp_home_dir on
这样应该没问题了(如果,还是不行,看看是不是用了ftp客户端工具用了passive模式访问了,如提示Entering Passive mode,就代表是passive模式,默认是不行的,因为ftp passive模式被iptables挡住了,下面会讲怎么开启,如果懒得开的话,就看看你客户端ftp是否有port模式的选项,或者把passive模式的选项去掉。如果客户端还是不行,看看客户端上的主机的电脑是否开了防火墙,关吧)
FileZilla的主动、被动模式修改:
菜单:编辑→设置
[root@bogon ~]# chkconfig vsftpd on
# vim /etc/vsftpd/vsftpd.conf
在文件末尾增加listen_port=2121
pasv_enable=yes
pasv_min_port=30000
pasv_max_port=30999
listen_port=2121
[plain] view plain copy
# vim /etc/services
找到ftp选项并将21修改成你设置的端口,本文为2121
# 21 is registered to ftp, but also used by fsp
ftp 2121/tcp
ftp 2121/udp fsp fspd
# /etc/init.d/vsftpd restart
使用netstat -utlpn | grep vsftp命令查看设置的端口,确认是否成功
# netstat -utlpn | grep vsftp
tcp 0 0 0.0.0.0:2121 0.0.0.0:* LISTEN 33004/vsftpd
tcp 0 0 192.168.11.6:30954 0.0.0.0:* LISTEN 33006/vsftpd
# vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2121 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2120 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 30000:30999 -j ACCEPT
在主动模式中,FTP的两个端口是相对固定的,如果命令端口是x的话,那数据端口就是x-1,也就是说默认情况下,命令端口是21,数据端口就是20;你把命令端口改成了2121,那么数据端口就是2120。这样使用防火墙就很方便了,只要开通这两个端口就可以了,但是如果客户端是共享上网的话那岂不是不能正常使用FTP了,这样还是不行,一定需要被动模式。
被动模式中就麻烦了些,命令端口修改为2121,那么数据端口就是2120,但是数据端口是随机的,所以需要在设备里设置一下被动端口范围6000到7000(pasv_min_port=6000 pasv_max_port=7000)
防火墙里允许修改过端口号及随机端口号范围
1、防火墙添加端口
# firewall-cmd --zone=public --permanent --add-port=80/tcp
# firewall-cmd --reload
# firewall-cmd --zone=public --permanent --add-port=31000-31999/tcp
# firewall-cmd --reload
2、防火墙删除端口
# firewall-cmd --zone=public --permanent --remove-port=80/tcp
# firewall-cmd --reload
3、查看防火墙配置
# cat /etc/firewalld/zones/public.xml