健壮又简单文件共享服务

系统运维

官方语言介绍下ftp,文件传输协议(File Transfer Protocol,FTP)是用于在网络上进行文件传输的一套标准协议,FTP 的目标是提高文件的共享性。今天从ftp的两种模式,ftp用户管理主要的两方面实践使用下。

昌邑网站制作公司哪家好,找创新互联公司!从网页设计、网站建设、微信开发、APP开发、响应式网站等网站项目制作,到程序开发,运营维护。创新互联公司于2013年开始到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联公司

1.ftp 两种模式
简明直接:

主动FTP:
命令连接:客户端 >1024端口 ---> 服务器 21端口
数据连接:客户端 >1024端口 <--- 服务器 20端口
被动FTP:
命令连接:客户端 >1024端口 ---> 服务器 21端口
数据连接:客户端 >1024端口 ---> 服务器 >1024端口

具体说明:

如图对于两种传输模式来说,控制连接的建立过程都是一样,均为服务器监听21号端口,客户端向服务器的该端口发起TCP连接。主动模式服务器通过控制连接知道客户端监听的端口后,使用自己的20号端口作为源端口,“主动”发起TCP数据连接。而被动模式服务器监听1024-65535的一个随机端口,并通过控制连接将该端口告诉客户端,客户端向服务器的该端口发起TCP数据连接。

两种模式该选择哪个了?选择被动模式。

如果FTP客户端在私网,FTP服务器在公网(云主机的应用场景)应该使用被动模式,因为这种应用场景FTP服务器访问不到在私网的FTP客户端,而FTP客户端可以访问到FTP服务器。

那ftp服务器放开大于1024端口,不安全,如何做了?

服务端配置高点端口,然后防火墙中限制这个端口段可以被客户端连接过来。
再者就是限制客户端的ip,指定特定的客户端地址。(谁用谁连)

被动模式配置
connect_from_port_20=NO
PASV_enable=YES 开启被动模式
PASV_min_port=%number% 被动模式低端口
PASV_max_port=%number% 被动模式高端口

2.ftp 创建虚拟用户(加强访问安全的措施)
简明直接:

我们登录FTP有三种方式,匿名登录、本地用户登录和虚拟用户登录。
匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。
本地用户登录:使用系统用户登录,在/etc/passwd中。
虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户登录FTP,只能访问FTP服务器提供的资源,大大增强了系统的安全。

具体实施:
2.1 搭建
yum -y install vsftpd
添加虚拟用户文件,添加虚拟用户名和密码,一行用户名,一行密码,以此类推。奇数行为用户名,偶数行为密码。
vim /etc/vsftpd/vuser.txt
name #用户
passwd #密码
生成虚拟用户认证文件
db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db
编辑vsftpd的pam认证文件/etc/pam.d/vsftpd
vsftpd的其他行可注释掉。
添加以下:
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
建立本地映射用户并设置宿主目录权限
useradd -d /data -s /sbin/nologin vsftpd
chmod a-w /data
chown -R vsftpd:vsftpd /data
2.2 配置文件vsftpd.conf

#连接相关
ftpd_banner=welcome to ftp service
#空闲超时时间,用户超过这段时间不动作被服务器提出。
idle_session_timeout=300
#数据连接超时时间
data_connection_timeout=60
connect_timeout=60
max_clients=100
#允许每个客户端连接3个
max_per_ip=3
listen_address=192.168.100.100
listen_port=21

#权限相关
#不允许匿名用户登录
anonymous_enable=NO
#允许本地用户登录(这里指创建系统用户vsftpd)
local_enable=YES
#允许ascii模式的上传(可以防止上传脚本等恶意文件),而不会遭受拒绝服务的危险。
ascii_upload_enable=YES

guest_enable=YES
guest_username=vsftpd
#允许匿名用户上传(这里指系统用户下的虚拟用户)
anon_upload_enable=YES
#允许匿名用户创建和写入
anon_mkdir_write_enable=YES

#开启全局权限
write_enable=YES
#设置这个之后客户端上传目录权限就改为755,文件权限就为644
anon_umask=022
#以下为系统默认设置
#允许为目录配置显示信息,显示每个目录下面的message_file文件的内容。
dirmessage_enable=YES
#xferlog_enable=YES,启用记录上传/下载活动日志功能。
xferlog_enable=YES
#connect_from_port_20=YES启用FTP数据端口的连接请求
connect_from_port_20=NO
xferlog_std_format=YES

#在VSFTPD中使用TCP_Wrappers远程访问控制机制,默认值为YES
tcp_wrappers=YES

特别强调的配置:

#开启虚拟用户;虚拟用户对应的系统用户;PAM认证文件。
guest_enable=YES
guest_username=vsftpd
pam_service_name=vsftpd

#这种完成后只能上传文件,及下载文件。但是不能修改ftp 服务端的文件。
如何才能修改及删除呢?
anon_other_write_enable=YES  #允许虚拟用户写入权限(即修改删除操作)

2.3 启动vsftpd
systemctl start vsftpd

分享文章:健壮又简单文件共享服务
地址分享:https://www.cdcxhl.com/article46/chcchg.html

成都网站建设公司_创新互联,为您提供外贸建站微信公众号搜索引擎优化响应式网站小程序开发商城网站

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

成都网页设计公司