文件传输协议(File Transfer Protocol)是一种传统的网络协议,主要功能是实现服务器和客户端之间的文件发送,ftp以tcp封装包
的模式进行服务器与客户端连接,当连接建立后,使用者可以使用客户端程序连接服务器端,并进行文件的下载与上传,此外还可以直接管理用户在服务器上
面的文件。FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端
口是21(命令端口)和20(数据端口)。但FTP 工作方式的不同,数据端口并不总是20。这就是主动与被动FTP的最大不同之处。
(一)主动FTP
主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发
送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。 针对FTP服务器前面的防火墙来
说,必须允许以下通讯才能支持主动方式FTP:
1. 任何大于1024的端口到FTP服务器的21端口。(客户端初始化的连接)
2. FTP服务器的21端口到大于1024的端口。 (服务器响应客户端的控制端口)
3. FTP服务器的20端口到大于1024的端口。(服务器端初始化数据连接到客户端的数据端口)
4. 大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口)
(二)被动FTP
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模
式时才启用。 在被动方式FTP中,命令连接和数据连接都由客户端发起,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。
当开启一个 FTP连接时,客户端打开两个任意的非特权本地端口(N > 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不
会提交PORT命令并允许服务器来回连它的数据端口,而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送
PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
1. 从任何大于1024的端口到服务器的21端口 (客户端初始化的连接)
2. 服务器的21端口到任何大于1024的端口 (服务器响应到客户端的控制端口的连接)
3. 从任何大于1024端口到服务器的大于1024端口 (客户端初始化数据连接到服务器指定的任意端口)
4. 服务器的大于1024端口到远程的大于1024的端口(服务器发送ACK响应和数据到客户端的数据端口)
一:浅析vsftpd主配置文件:
[root@lyt ~]# mkdir /mnt/cdrom
[root@lyt ~]# mount /dev/cdrom /mnt/cdrom/
[root@lyt ~]# cd /mnt/cdrom/Server/
[root@lyt Server]# rpm -ivh vsftpd-2.0.5-16.el5.i386.rpm
[root@lyt Server]# service vsftpd start
[root@lyt Server]# chkconfig vsftpd on
1:匿名用户和本地用户:
[root@lyt Server]# vim /etc/vsftpd/vsftpd.conf
[root@lyt server]# useradd user1 #创建user1用户
[root@lyt server]# passwd user1
[root@lyt server]# cd /home/user1/
[root@lyt user1]# touch user1 #在user1家目录中创建一个文件user1
进入到/var/ftp/中,在界面中点击鼠标右键,选择“登录”:
在user1的家目录中可以看到文件user1,并且可以上传文件
2:匿名用户怎么上传文件:
[root@lyt user1]# vim /etc/vsftpd/vsftpd.conf
[root@lyt user1]# service vsftpd restart
[root@lyt user1]# cd /var/ftp/
[root@lyt ftp]# chmod o+wt pub/ #将pub目录赋予匿名用户可读权限,所有者有权删除自己上传的文件
3:匿名用户创建目录、改名删除的权限及下载匿名用户上传的文件:
4:ftp的日志
5:为避免攻击,拒绝使用邮箱地址登录ftp服务器:
[root@lyt ftp]# echo "qq@sina.com">> /etc/vsftpd/banned_emails #将qq@sina.com写入到banned_emails文件中,就可以拒绝使用该地址登陆ftp
使用其他主机测试:
6:禁止用户登录ftp服务器后切换目录,是该用户禁锢在自己的家目录中:
[root@lyt ftp]# echo "user1">/etc/vsftpd/chroot_list #将user1导入到创建的chroot_list文件中
使用其他主机测试:
7:禁止某些用户登录:禁止用户某些用户登录的文件有/etc/vsftpd/user_list和/etc/vsftpd/ftpusers,
user_list较ftpusers安全
[root@lyt ftp]# vim /etc/vsftpd/vsftpd.conf
[root@lyt ftp]# vim /etc/vsftpd/user_list #编辑该文件,user_list文件可以禁止用户登录,不提示输入密码,更为安全。
使用其他主机测试:
[root@lyt ftp]# vim /etc/vsftpd/ftpusers #ftpusers需要输入用户名和密码才提示登录失败,安全性较低
使用其他主机测试:
8:借助于简易防火墙实现tcp_wrappers。也即需要编辑/etc/hosts.allow和/etc/hosts.deny文件
[root@lyt ftp]# vim /etc/vsftpd/vsftpd.conf
[root@lyt ftp]# vim /etc/hosts.allow
[root@lyt ftp]# vim /etc/hosts.deny
使用ip地址为192.168.101.66的主机访问ftp服务器
使用其他ip地址的主机无法登陆:
如果不允许192.168.101.99访问ftp服务器,其他的都可以访问,则可以作如下修改:
[root@lyt ftp]# vim /etc/hosts.allow
使用其他主机测试:
二:磁盘配额:
创建ftp服务器,在新硬盘上提供ftp所有的服务,本地账号拥有自己的私有空间,限制为10M,同时在线用户数量100,每用户连接数2,本地速率
1M/S,匿名100k/s,ftp服务器只能在上班时间访问(08-20:00)。
1:用户磁盘配额:
[root@mail Server]# fdisk –l #查看磁盘分区
[root@mail Server]# fdisk /dev/sda
[root@mail Server]# partprobe /dev/sda #重新读取分区信息
[root@mail Server]# mkfs -t ext3 /dev/sda4 #格式化sda4为ext3格式
[root@mail Server]# vim /etc/fstab #永久挂载分区
[root@mail Server]# mkdir /mnt/ftp #新建挂载点
[root@mail Server]# vim /etc/fstab #编辑该文件,永久挂载
[root@mail Server]# mount –a
[root@mail Server]# mount
[root@mail Server]# quotacheck –augvc #检查磁盘配额
[root@mail ftp]#edquota -u user1 #为user1分配磁盘空间
[root@mail ftp]# edquota -p user1 user2 #将user1的磁盘配额复制给user2
[root@mail ftp]# edquota -u user2 #查看user2磁盘配额
[root@mail ftp]# quotaon /dev/sda4 #启用配额
[root@mail Server]# vim /etc/rc.d/rc.local #开机启动选项
2:创建ftp用户的公共目录和新的家目录:
[root@mail ftp]# mkdir public
[root@mail ftp]# cd public/
[root@mail public]# touch test1 #创建两个文件test1和test2
[root@mail public]# touch test2
[root@mail public]# cd ..
[root@mail ftp]# mkdir home
[root@mail ftp]# mv /home/* /mnt/ftp/home/
[root@mail ftp]# useradd -D -b /mnt/ftp/home #新建本地用户更改目录
[root@mail ftp]# useradd user3 #新建用户user3
[root@mail ftp]# passwd user3
[root@mail ftp]# grep user /etc/passwd #查看用户的新的家目录
[root@mail ftp]# vim /etc/vsftpd/vsftpd.conf
[root@mail ftp]# service vsftpd restart #重启vsftpd服务器
[root@mail home]# dd if=/dev/zero of=f1 bs=1M count=5 #创建一个大小为5M的文件f1
[root@mail home]# dd if=/dev/zero of=f2 bs=1M count=7 #创建一个大小为7M的文件f2
[root@mail home]# ftp 127.0.0.1 #登录本地ftp
[root@mail home]# vim /etc/vsftpd/vsftpd.conf
[root@mail home]# vim /etc/vsftpd/vsftpd.conf #重启vsftpd服务器
使用其他主机测试本地用户下载速度:
[root@mail home]# cp -p f1 ../public/
使用其他主机测试匿名用户下载速度:
使用其他主机测试一个ip地址的最大连接数:
3:通过超级守护进程限制用户访问ftp的时间:
[root@mail home]# vim /etc/vsftpd/vsftpd.conf
[root@mail home]# cd /etc/xinetd.d/
[root@mail xinetd.d]# mv tftp vsftpd
[root@mail xinetd.d]# vim /etc/xinetd.d/vsftpd
[root@mail xinetd.d]# service xinetd restart #使用超级守护进程xinetd启动ftp
[root@mail xinetd.d]# date 092318002012 #设定系统时间在可以访问的时间段内
使用其他主机测试(在规定的时间内可以访问ftp):
[root@mail xinetd.d]# date 092321002012 #设定时间不在可以访问的时间段内
使用其他主机测试(不在规定的时间内不可以访问ftp):
