Chinaunix首页 | 论坛 | 博客
  • 博客访问: 118287
  • 博文数量: 42
  • 博客积分: 932
  • 博客等级: 准尉
  • 技术积分: 470
  • 用 户 组: 普通用户
  • 注册时间: 2011-07-18 22:33
文章分类
文章存档

2011年(42)

分类: LINUX

2011-08-16 20:09:47

  今天介绍下文件共享最常用的应用FTP,这是一个十分古老的基于tcp的文件传输协议,诞生40年之久,全称:File Transfer Protocol,用于Internet上的控制文件的双向传输,同时它也是一个C/S架构的服务系统,基于不同的操作系统有不同的FTP应用程序,这个协议与其他早期的协议都相同,设计之初都是明文传送的!下面简单介绍下这个协议!
一、FTP的两种连接:
command命令连接,监听在21号端口,只要开启ftp服务就一直处于活动状态
data数据连接,只在下载或上传文件是才会开启连接,数据连接又分为俩种模式:
active 主动模式(有些地方也写做Standard)此模式下FTP 客户端首先和服务器的TCP 21端口建立连接,用来发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据,一般是服务器端的20号端口与客户端发送请求的端口加1的端口建立新的连接 ,如:客户端通过7000端口向服务器端的21号端口发送命令请求建立连接,而在进行数据传送的时候通过服务器端的20号端口和客户端的7001端口建立新的连接来传输数据。
 
passive 被动模式建立控制通道和主动模式类似,但建立连接后发送Pasv命令。服务器收到Pasv命令后,打开一个临时端口(端口号大于1023小于65535)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口传送数据。
 
俩种传输模式是为了保护数据的安全,被动模式下服务端数据传输的端口是临时打开的,不容易被窃听,然而一般情况下FTP服务器都是位于防火墙之后的,在做访问控制的时候这种模式会比较复杂,而主动模式下防火墙的设置相对简单的多。
 
二、FTP的用户类型:
匿名用户:这就是我们常说的匿名登录,ftp服务器支持匿名登录时通常当用户匿名访问可以使用ftp/anoymous这两个用户匿名登录。
本地用户:这类用户是指在FTP服务上拥有帐号,账号名称,密码信息存放在passwd,shadow文件中。当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。但是,其还可以变更到其他目录中去。如系统的主目录等等,这将十分的危险,下面介绍vsftp的时候会稍作介绍!
虚拟用户(有些地方也叫GUEST用户):使用独立的账号/密码数据文件,这个账户有个特点,就是其只能够访问自己的主目录。服务器通过这种方式来保障FTP服务上其他文件的安全性。这类帐户,在Vsftpd软件中就叫做Guest用户。拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
 
三、常见的FTP服务器程序:
windows:IIS、Serv-U
LINUX:wu-ftpd  Proftpd vsftpd
在这里主要说下vsftpd,这是红帽默认提供的FTP服务器程序,全称:Very Sceure FTP Dacmon,安全性能出众也能提供较完整的ftp服务,稍微说下Proftpd这是款功能十分强大的ftp服务器程序,能满足自己的各种定制和需求!
四、常见的FTP客户端程序:
ftp命令
CuteFTP 、FlashFXP(号称是最快的FTP客户端)、LeapFTP、Filezilla
gftp、kuftp
当然我们也可以通过IE等浏览器直接登录FTP服务器等等,不过以上所说的都是专业的FTPFTP客户端服务程序。这里不多做说明了。为了避免selinux对后面的实际操作产生影响,我们使用setenforce 0临时关闭掉selinux。
 
下面主要介绍下 vsftpd这款服务器程序:
我们通过yum直接安装此软件包:
yum -y install vsftpd
会不会很惊奇的发现这个安装包只有140k大小呢!
通过这种方法安装
主程序文件安装在/usr/sbin/vsftpd
配置文件在/etc/vsftpd下
有3个文件:
ftpusers 配置禁止登陆ftp的用户列表
user_list 定义了一些用户列表,这些用户是否可以登录取决于主配置文件的设置
vsftpd.conf 主配置文件这是这个程序的配置文件,所有的设置都在此定义,里面能定义的选项十分多有兴趣的可以自己看看稍微介绍下几个常用的选项(详见百科或其他资料):
  1、默认配置
  anonymous_enable=YES #允许匿名用户访问
  local_enable=YES #允许本地用户访问
  write_enable=YES #具有写权限
  local_umask=022 #本地用户创建文件或目录的掩码
  connect_from_port_20=YES #开启20端口
  2、允许匿名用户具有写权限(上传/创建目录)
  在默认配置下添加以下内容:
  anon_upload_enable=YES
  anon_mkdir_write_enable=YES
  anon_world_readable_only=NO 允许匿名帐号写 另外还需具有所有权限的目录
  3、屏蔽本地所有用户浏览其他目录的权限(除了家目录,匿名用户本身只能访问家目录)
  在默认配置下添加以下内容:
  chroot_local_user=YES
  4、屏蔽部分本地用户浏览其他目录的权限
  在默认配置下添加以下内容:
  chroot_local_user=NO
  chroot_list_enable=YES
  chroot_list_file=/etc/vsftpd.chroot_list
  另外再创建文件/etc/vsftpd.chroot_list,并添加需要屏蔽的用户。
相关的命令十分简单常用的有以下几个跟其他能被service调用的服务基本相同:
service vsftpd start/stop/restart/reload
下面主要介绍俩个应用:
ssl实现ftp数据传输的安全性具体实现方法:
首先建立CA服务器
# cd /etc/pki/CA
# mkdir certs newcerts crl
# touch index.txt serial
# openssl genrsa 2048 > pricate/cakey.pem
# chmod 600 private/cakey.pem
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650
接下来得交互式命令按自己的情况填写
也可以在配置文件/etc/pki/tls/openssl.conf中将有些字段设置为默认值方便给其他服务器***书
如:国家,省,城市,证书有效期等 ,注意其中的一项dir这一项改为自己CA所在目录 dir   =/etc/pki/CA
不多做说明了
这样CA就建设好了接下来我们要给ftp服务器颁发证书具体做法如下:
# cd /etc/vsftpd
# openssl genrsa 1024 > vsftpd.key
# openssl req -new -key vsftpd.key -out vsftpd.csr
交互式命令按自己需求填即可
# openssl ca -in vsftpd.csr -out vsftpd.crt
# vim vsftpd.conf
添加以下几项:
ssl_enable=yes
ssl_tlsv1=yes
ssl_sslv2=yes
ssl_sslv3=yes
allow_anon_ssl=NO
force_local_data_ssl=yes
force_local_logins_ssl=yes
rsa_cer_file=/etc/vsftpd/ssl/vsftpd.crt
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key
# !se
这样就能实现基于ssl的加密了,最好使用FlashFXP等专业的FTP客户端程序做测试,同时可以使用抓包工具看看效果这里就不说了。
 
 
构建基于虚拟用户的vsftpd服务器一共有以下7步(主要得配置是5步):
1.建立虚拟FTP用户的账号数据库文件(注意此处的是数据库文件在下面的操作中有转化的步骤)
2.创建FTP根目录及虚拟用户映射的系统用户
3.建立支持虚拟用户的PAM认证文件
4.在vsftpd.conf文件中添加支持配置
5.为个别虚拟用户建立独立的配置文件
6.重新加载vsftpd配置
7.使用虚拟ftp账户访问测试
 
具体操作如下:
# vim /etc/vsftpd/vusers.list
mike
123
john
456
# cd /etc/vsftpd
下面要将其转换为数据库文件这需要装一个软件包
# yum install -y db4-utils
# db_load -T -t hash -f vusers.list vusers.db
# file vusers.db(查看下这个文件的特点)
# chmod 600 /etc/vsftpd/vusers.*
创建虚拟用户映射的系统用户
# mkdir /var/ftproot(这个不写也可以写了可能会报错)
# useradd -d /var/ftproot -s /sbin/nologin
# chmod 755 /var/ftproot
建立支持虚拟用户的PAM认证文件(s33ca的课程这里只是简单的应用不做说明)
# vim /etc/pam.d/vsftpd.vu
%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
# vim /etc/vsftpd/vsftpd.conf
将之前的ssl配置注释掉以防影响实验结果
添加以下内容:
guest_enable=YES
guest_username=virtual
pam_service_name=vsftpd.vu
注释掉这一行或将其改为如下行:
anonymous_enable=NO
重启服务就可以做测试了!
 
为个别虚拟用户建立独立的配置文件
这个是对db数据库里的用户做更详细的权限设置的
首先要再主配置文件中开启如下项:
user_config_dir=/etc/vsftpd/vusers_dir
# mkdir /etc/vsftpd/vusers_dir
# cd /etc/vsftpd/vusers_dir
# touch mike john
# vim mike
# vim john
添加你想添加的控制项如:
anon_upload_enable=YES
anon_mkdir_write_enable=YES
具体可以添加那些可以参考主配置文件或其他资料!
阅读(2394) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~