ftp简介

FTP(file Transfer Protocol)全称文本传输协议。旨在解决不同架构，不同设备之间的文件传输。FTP是一种基于客户端/服务器模式的互联网文件传输协议。FTP默认使用20、21号端口，其中20端口用于进行数据传输，21端口号用于接受客户端发出的相关FTP命令域参数。

特点：

• 支持文件多点下载
• 支持断点续传技术

FTP服务器： 使用FTP协议在互联网上提供文件存储和访问服务的主机
FTP客户端： 向客户端发送连接请求，建立数据传输链路的主机
工作模式：

1. 主动模式: FTP服务器主动向客户端发起连接请求
2. 被动模式(默认工作模式)： FTP服务器等待客户端发起连接请求

vsftpd服务程序

vsftpd作为更加安全的文件传输服务程序。允许用户以三种认证模式登录到FTP服务器。

1. 匿名开放模式： 一种最不安全的认证模式，任何人都可以无需密码验证而直接登录到FTP服务器。
2. 本地用户模式： 通过Linux系统本地账户密码信息进行认证的模式，比匿名开放模式更安全，配置更简单那。但如果黑客破解了账户信息，就就可以畅通无阻的登录FTP服务器，控制整个服务器。
3. 虚拟用户模式： 最安全的认证模式，需要为FTP服务单独建立用户数据库文件，虚拟出用来进行口令认证的账户信息，而这些账户信息在服务器系统中实际上是不存在的，仅供FTP服务程序进行认证使用。因此，即使破解了账户信息也无法登录服务器，降低破坏范围和影响。

FTP配置实践

安装FTP服务程序

详细步骤请参考CentOS8 配置apache 搭建静态网站 踩坑向

[root@MyCentOS ~]# yum install vsftpd
[root@MyCentOS vsftpd]# yum install ftp

防火墙设置

在iptables防火墙中默认禁止了FTP传输协议的端口号。关闭iptables防火墙，使用firewalld防火墙

切换至internal区域，并开启ftp服务

firewall-cmd --set-default-zone=internal 
firewall-cmd --permanent    --zone=internal --add-service=ftp

保存原始ftp配置文件

vsftpd.conf配置文件保存在/etc/vsftpd路径下。
将原始vsftpd配置文件另存为vsftpd.conf.backup文件。

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
chown_username=whoever
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
nopriv_user=ftpsecure
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YESpam_service_name=vsftpd
userlist_enable=YES

参数	作用
listen=[Yes|No]	是否以独立运行的方式监听服务
listen_address=IP	设置要监听的IP地址
listen_port=21	设置FTP服务要监听的端口
download_enable=[Yes|No]	是否允许下载文件
userlist_enable=[Yes|No] userlist_deny=[Yes|No]	设置用户列表为允许还是禁止操作
max_clients=0	最大客户端连接数，0为不限制
anonymous_enable=[Yes|No]	是否允许匿名用户访问
anon_upload_enable=[Yes|No]	是否允许匿名晕乎上传文件
anon_umask=022	匿名用户上传文件的umask值
anon_root=/var/ftp	匿名用户deFTP根目录
anon_mkdir_write_enable=[Yes|No]	是否允许匿名用户创建目录
anon_other_write_enable=[Yes|No]	是否开放匿名用户的其他写入权限（重命名、删除等）
anon_max_rate=0	匿名用户的最大传输速率（字节/秒），0为不限制
local_enable=[Yes|No]	是否允许本地用户登录FTP
local_umask=022	本地用户上传文件的umask值
local_root=/var/ftp	本地用户的ftp根目录
chroot_local_user=[Yes|No]	是否将用户权限禁锢在FTP目录，以确保安全
local_max_rate=0	本地用户最大传输速率（字节/秒），0为不限制

匿名开放模式

匿名开放模式一般用来访问不重要的公开文件。vsftpd服务程序默认开启了匿名开放模式。

-----------------------------------------------------------匿名开放模式权限参数---------------------------------------------

参数	作用
anonymous_enable=Yes	允许匿名访问模式
anon_umask-022	匿名用户上传文件的umask值
anon_upload_enable=Yes	允许匿名用户上传文件
anon_mkdir_write_enable=Yes	允许匿名用户创建目录
anon_other_write_enable=Yes	允许匿名用户修改目录名称或删除目录

坑一

在vsftpd配置文件配置为匿名开放模式，添加如下配置。

anonymous_enable=YES
anon_umask=0
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

重启vsftpd服务程序，并将vsftpd服务加入开机启动项。

systemctl restart vsftpd
systemctl enbale vsftpd

当使用root用户连接ftp服务器时出现如下错误。

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: vsftpd: cannot locate user specified in 'chown_username':whoever

原因： 只是因为当使用匿名用户登录ftp服务器时，匿名用户要以一个FTP服务器中已存在的账户来进行操作。也就是匿名用户都是假借这个FTP服务器中已存在的身份进行操作的，匿名用户的身份除了受anon_umask的值的影响，还受匿名用户假借的这个身份所拥有的权限的影响。
解决办法： 在vsftpd.conf配置文件中

chown_uploads=YES
chown_username=yan <<<<将此处的whoever修改为ftp服务器中存在的用户名

坑二

在解决上一问题之后，再此连接到FTP服务器，出现如下情况。

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: cannot read anon e-mail list file:/etc/vsftpd/banned_emails

提示信息说无法打开banned-emails 文件。

原因： 在当前文件路径下使用ll命令查看该路径下的所有文件。发现没有banned_emails文件。
解决办法： 使用touch创建banned_emails文件。

[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root    0 8月  12 10:31 banned_emails
-rw-------. 1 root root  126 8月  12 10:30 ftpusers
-rw-------. 1 root root  361 4月  24 11:01 user_list
-rw-------. 1 root root  730 8月  12 10:28 vsftpd.conf
-rw-------. 1 root root 5081 8月  11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root  348 4月  24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# systemctl restart vsftpd 《《《重启vsftpd服务

坑三

解决上一问题后再次连接FTP服务器，出现如下问题。

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: cannot locate user entry:ftpsecure

原因： 提示信息显示缺少ftpsecure用户
解决办法： 创建ftpsecure用户

[root@MyCentOS vsftpd]# adduser ftpsecure

结果显示

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.

在排除上面的错误后，还不能在/var/ftp目录下进行创建、编辑操作。通过查看/var/ftp目录权限属性可知，当前目录属于root用户，其他用户是没有操作权限的。

drwxr-xr-x.  3 root root   33 8月  12 10:21 ftp

修改目录所属用户

[root@MyCentOS ~]# chown -Rf ftp /var/ftp
drwxr-xr-x.  3 ftp  root   33 8月  12 10:21 ftp

此时连接ftp服务器再次进行编辑创建操作，还是无法成功，这是因为selinux拒绝了ftp的相关操作。
查看selinux中与ftp服务相关的规则。

getsebool -a | grep ftp <<<查看与ftp服务相关的selinux设置
setsebool -P ftpd_full_access=on <<<<开启ftp准入连接

vsftpd目录下文件状态如下所示

[root@MyCentOS ~]# cd /etc/vsftpd/
[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root    0 8月  12 16:19 banned_emails
-rw-------. 1 root root  144 8月  12 16:21 ftpusers
-rw-------. 1 root root  370 8月  12 15:17 user_list
-rw-r--r--. 1 root root  755 8月  12 16:37 vsftpd.conf
-rw-------. 1 root root 5081 8月  11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root  348 4月  24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# cat ftpusers 
# Users that are not allowed to login via ftp
#root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody#ftpsecure
#yang
[root@MyCentOS vsftpd]# cat user_list 
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
yang
ftp
[root@MyCentOS vsftpd]# cat vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YESlocal_enable=YES
write_enable=YES
local_umask=022dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
#chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YESallow_writeable_chroot=YES
pam_service_name=vsftpd
userlist_deny=NO

匿名模式总结

在匿名开放认证模式下，访问vsftpd服务程序的账户一律为：anonymous,密码为空。当遇到vsftpd: refusing to run with writable root inside chroot()的出错提示时，应该先把/var/ftp目录的权限设置为755。

本地用户模式

对比匿名开放模式，本地模式更安全，配置更简单。

--------------------------------------------------本地用户模式权限参数--------------------------------------------------------

参数	作用
anonymous_enable=NO	禁止匿名访问模式
local_enable=YES	允许本地用户模式
write_enable=YES	设置可写权限
local_umask=022	本地用户模式创建文件的umask值
userlist_enable=YES	启用禁止用户名单，名单为ftpusers和user_list
userlist_deny=YES	开启用户作用名单文件功能

配置vsftpd.conf文件

文件配置如下所示

#匿名开放模式
anonymous_enable=NO
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#本地用户模式
local_enable=YES
write_enable=YES
local_umask=022
userlist_enable=YES
userlist_deny=NOdirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YESallow_writeable_chroot=YES
pam_service_name=vsftpd

在编辑好配置文件之后，可能会出现缺少chroot_list文件的提示而导致登录失败。此时使用touch chroot_list命令新建文件即可。

1. 无论配置何种服务，修改之后即应当重启该服务
2. 重启服务之后，将服务加入开启启动项systemctl enable 服务
3. 如果登录不成功需要查看ftpusers和user_list两个文件，看所使用的用户是否与这两个文件相关。这两个文件的作用直接看注释信息即可
4. 如果登录不成功同样需要查看selinux中与ftp相关的规则是否开启

查看结果

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit

登录ftp服务器账号与密码即为用户登录服务器的账号与密码。

虚拟用户模式

虚拟用户模式是三种模式中最安全的，但配置也相对复杂。

创建FTP认证的用户数据库文件

[root@MyCentOS ~]# cd /etc/vsftpd/
[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root    0 8月  12 16:19 banned_emails
-rw-r--r--. 1 root root    0 8月  12 19:13 chroot_list
-rw-------. 1 root root  144 8月  12 19:11 ftpusers
-rw-------. 1 root root  370 8月  12 19:11 user_list
-rw-r--r--. 1 root root  812 8月  12 19:13 vsftpd.conf
-rw-------. 1 root root 5081 8月  11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root  348 4月  24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# vim vuser.list
liyunlong   《《《《虚拟用户1
zhaogang    《《《《虚拟用户1密码
eryingzhang  《《《《《虚拟用户2
yidalipao   《《《《《虚拟用户2密码

hash加密数据库文件

原因： 明文信息不安全，不符合vsftpd服务程序加载格式
步骤：

1. 使用db_load命令用hash算法将原始明文信息转换成数据库文件
2. 降低数据库文件权限（避免他人看到数据库文件内容）
3. 删除原始明文信息

[root@MyCentOS vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@MyCentOS vsftpd]# ll
总用量 40
-rw-r--r--. 1 root root     0 8月  12 16:19 banned_emails
-rw-r--r--. 1 root root     0 8月  12 19:13 chroot_list
-rw-------. 1 root root   144 8月  12 19:11 ftpusers
-rw-------. 1 root root   370 8月  12 19:11 user_list
-rw-r--r--. 1 root root   812 8月  12 19:13 vsftpd.conf
-rw-------. 1 root root  5081 8月  11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root   348 4月  24 11:01 vsftpd_conf_migrate.sh
-rw-r--r--. 1 root root 12288 8月  12 19:42 vuser.db
-rw-r--r--. 1 root root    41 8月  12 19:35 vuser.list
[root@MyCentOS vsftpd]# chmod 600 vuser.db 
[root@MyCentOS vsftpd]# rm -r vuser.list 
rm：是否删除普通文件 'vuser.list'？y

虚拟用户映射

1. 创建vsftpd服务程序用于存储文件的根目录（虚拟用户登录后所访问的位置）
2. 将虚拟用户映射到系统本地用户

[root@MyCentOS ~]# useradd -d /var/virdir -s /sbin/nologin ftpuser  《《《新建一个专用于使用ftp服务的用户，同时创建一个ftp访问时的根目录其所有者和所有组都属于该用户
[root@MyCentOS ~]# cd /var
[root@MyCentOS var]# ll
drwx------.  3 ftpuser ftpuser   78 8月  12 20:07 virdir
[root@MyCentOS var]# chmod -Rf 755 virdir 《《《限制非管理员的操作权限

其中的目录名称可以自己取，用户名称可以自己取。

建立PAM文件

建立支持虚拟用户的PAM文件。PAM（可插拔认证模块）是一种认证机制，通过一些动态链接库和统一的API把系统提供的服务和认证方式分开，使得系统管理员可以根据需求灵活调整服务程序的不同认证方式。
步骤：

1. 新建一个用于虚拟用户认证的PAM文件vsftpd.vu
2. 文件内的db=参数为使用db_load命令生成的账户密码数据库文件路径，不写数据库文件名后缀

[root@MyCentOS ~]# cd /etc/pam.d/
[root@MyCentOS pam.d]# vim vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser

编辑vsftpd配置文件

---------------------------------------------------------利用pam认证时使用的参数------------------------------------------

参数	作用
guest_enable=YES	开启虚拟用户模式
guest_username=用户名	指定虚拟用户账户
pam_service_name=pam文件	指定pam文件
allow_writeable_chroot=YES	允许对禁锢的FTP根目录执行写入操作，而且不拒绝用户的登录请求

配置信息如下所示

#匿名开放模式
anonymous_enable=NO   《《《关闭匿名用户模式
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#本地用户模式
local_enable=NO    《《《《关闭本地用户模式
write_enable=YES
local_umask=022
userlist_enable=YES
userlist_deny=NO##虚拟用户模式
guest_enable=YES
guest_username=ftpuser
pam_service_name=vsftpd.vu
allow_writeable_chroot=YESdirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YES

为虚拟用户设置不同权限

针对不同用户设置不同的权限以区别对待。例如允许创建liyunlong用户上传、创建、修改、查看、删除文件，对于创建的eryingzhang用户只允许其查看文件。
步骤：

1. 创建一个新目录夹
2. 在目录夹中创建以用户名命名的文件
3. 在文件中写入相关的参数(使用匿名用户的参数)

[root@MyCentOS vsftpd]# mkdir user_rights
[root@MyCentOS vsftpd]# cd user_rights
[root@MyCentOS user_rights]# vim liyunlong
anon_upload_enable=YES  《《《允许该用户上传
anon_mkdir_write_enable=YES   《《允许该用户修改
anon_other_write_enable=YES   《《《允许该用户其他写入操作[root@MyCentOS user_rights]# touch eryingzhang    《《不写入权限，只允许查看

添加user_config_dir参数

修改vsftpd.conf文件，添加参数user_config_dir定义用户权限配置文件所在路径。

##虚拟用户模式
guest_enable=YES
guest_username=ftpuser
pam_service_name=vsftpd.vu
allow_writeable_chroot=YES
user_config_dir=/etc/vsftpd/user_rights

重启ftp服务，加入开启自启项

设置SElinux域允许策略

略，详情见前两种模式中的设置。

坑一

在完成以上设置后，还需将设置的虚拟用户添加至ftpusers和user_list中，才可以实现登录。在设置虚拟用户模式时，一定要把本地用户模式打开，否则无法登录。

结果显示

[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): liyunlong
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.
[root@MyCentOS vsftpd]# su yan
[yan@MyCentOS vsftpd]$ ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:yan): eryingzhang
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.