1、理论知识

1.1、配置文件

1.1.1、vsftp的简介

vsftp的名字是“very secure FTP daemon”的简称,他工作在chroot模式下(程序限定一个访问目录),故而比较安全。

1.1.2、工作模式

1)PORT模式(主动模式)

主动模式工作流程如下:

-- 客户端与服务器TCP 21端口建立连接通道

-- 接收数据时在此通道上发送PORT命令(声明一个大于1024的客户端端口)

-- 服务器端通过TCP 20向客户端传送数据(建立新的连接)

注:防火墙OUTBOUND过程

2)PASV模式(被动模式)

被动模式工作流程如下:

-- 客户端与服务器TCP 21端口建立连接通道

-- 客户端发送PASV命令给服务器

-- 服务器默认开启1024至5000之间的随机端口并通知客户端在此端口请求数据

-- 服务器端通过此端口传送数据

注:防火墙INBOUND过程

1.1.3、运行模式

1)standalone模式

-- 一次性启动,常驻内存

-- 接入反省快,消耗系统资源

-- 支持PAM验证功能

2)inetd(xinetd)模式

-- 外部请求则调用ftp进程

-- 反应慢,不占系统资源

-- 单一IP限制

1.1.4、主配置文件

/etc/vsftpd/vsftpd.conf

1.1.5、PAM配置文件

1)配置文件位置:

/etc/pam.d/vsftpd

2)PAM配置文件的修改

vim编辑/etc/pam.d/vsftpd

更改前(在列表中的不允许chroot):

auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedd

更改后(只有在列表中的用户才允许chroot):

auth required pam_listfile.so item=user sense=allow file=/etc/vsftpd/ftpusers onerr=faile

1.2、主机访问控制

/etc/hosts.deny

1.3、启动失败调试方法

启动失败解决:

bash -x /etc/init.d/vsftpd start

1.4、帮助

man vsftpd.conf

1.5、配置文件参数

1.5.1、全局配置参数

注:参数与注解正式环境下分开两行写,否则报错

1)权限参数

write_enable=YES #允许改变命令(STOR, DELE,RNFR, RNTO, MKD, RMD, APPE and SITE,默认NO)

2)登录信息参数

dirmessage_enable=YES #换目录时,显示目录下“.message”文件的内容
ftpd_banner=Welcome to www.cmdschool.org FTP servers #登录欢迎信息
banner_file=/etc/vsftpd/banner_file #登录成功信息
banner_fail=/etc/vsftpd/banner_fail #登录失败信息

注意:

ftp_banner会覆盖vsftpd默认连接后的信息显示;

banner_file设置会覆盖ftp_banner的提示;

3)日志文件参数

xferlog_enable=YES #开启日志
xferlog_std_format=YES #wu-ftpd风格记录日志
xferlog_file=/var/log/xferlog #记录上传下载的日志

4)性能参数

idle_session_timeout=600 #闲置会话中断超时
data_connection_timemout=120 #闲置数据连接超时
accept_timeout=60 #PASV模式响应数据超时
ls_recurse_enable=YES #是否允许递归查询ls -R(默认YES)
dirlist_enable=YES #允许使用dir/ls(默认YES)
download_enable=YES #允许用户下载文件
max_clients=30 #客户端最大数量
max_per_ip=3 #一个IP的最大连接数
use_localtime=YES #启用当地时间(默认GMT)

5)安全参数

tcp_wrappers=yes #开启tcp_wrapper访问控制
max_login_fails=3 #默认试探密码的次数
pam_service_name=vsftpd #PAM验证配置文件名称
nopriv_user=ftp | nobody #vsftp服务运行时的账号
deny_file={*.exe,*.dll} #拒绝上传下载的文件类型
async_abor_enable=YES #是否允许运行特殊的ftp命令async ABOR.

6)安全SSL协议

ssl_enable=YES #开启SSL加密协议
ssl_sslv2=YES #指定加密方式
ssl_sslv3=YES
ssl_tlsv1=YES
require_ssl_reuse=NO #禁用数据与控制流使用相同的ssl通道
ssl_ciphers=HIGH #加密套件
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem #指定加密证书文件

7)传输协议

#ASCII模式传送文件
ascii_upload_enable=YES
ascii_download_enable=YES

8)进程相关

background=YES #vsftp将以监听(listen)模式启动
connect_timeout=60 #PORT模式响应数据超时
listen=yes #vsftp则运行在standalone模式
listen_port=21 #vsftpd监听端口
connect_from_port_20=YES #启用默认的20端口监听
listen_ipv6=YES #开启ipv6支持
pasv_min_port=50000 #PASV模式最小端口
pasv_max_port=60000 #PASV模式最大端口

1.5.2、本地用户配置参数

1)前提参数

local_enable=YES #开启普通用户ftp访问(默认NO,不限制chroot)

2)权限参数

local_umask=0022 #上传文件默认权限设置为6644,不设置默认为0077,目录为700
chroot_local_user=NO #禁止用户chroot
chroot_list_enable=YES #开启chroot控制列表
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list #chroot控制列表(默认在列拒绝)
userlist_enable=yes #开启用户登录控制列表
userlist_deny= #拒绝或允许用户登录
userlist_file=/etc/vsftpd.user_list #用户登录控制列表
local_root= #指定ftp家目录

3)性能参数

local_max_rate=128 #本地账号最大速率128B/s(0不限制)

4)安全SSL协议

force_local_logins_ssl=YES #强制本地和虚拟用户登录使用SSL协议
force_local_data_ssl=YES #强制本地和虚拟用户数据使用SSL协议


1.5.3、匿名用户配置参数

1)前提参数

anonymous_enable=YES #开启匿名用户登录(默认YES)
ftp_username=ftp #匿名用户的系统用户名(默认ftp)

2)权限参数

anon_world_readable_only=YES #开启匿名用户文件只读
anon_upload_enable=YES #允许匿名用户上传文件
anon_mkdir_write_enable=YES #允许匿名用户创建文件夹
anon_other_write_enable=YES #允许匿名用户其他写操作(删除,重命名)
anon_umask=022 #默认0077
chown_uploads= YES #修改匿名用户所上传文件的所有权
chown_username = username #指定拥有匿名用户上传文件所有权的用户

3)性能参数

anon_upload_enable=NO #匿名用户上传文件
anon_mkdir_write_enable=NO #匿名用户上传目录权限
anon_max_rate=64 #匿名账号最大下载速度64B/s

4)安全SSL协议

allow_anon_ssl=YES #允许匿名用户使用SSL协议
force_anon_logins_ssl=YES #强制匿名用户登录使用SSL协议
force_anon_data_ssl=YES #强制匿名用户数据使用SSL协议

1.5.4、虚拟用户配置参数

1)前提参数

guest_enable=YES #开启虚拟用户
guest_username= #指定虚拟用户映射的本地用户

2)权限参数

user_config_dir=/etc/vsftpd/config #虚拟用户配置文件目录
local_root= #虚拟用户家目录

3)安全SSL协议

force_local_logins_ssl=YES #强制本地和虚拟用户登录使用SSL协议
force_local_data_ssl=YES #强制本地和虚拟用户数据使用SSL协议


2、本地用户验证的FTP实践

2.1、基础信息

ftpSer:

ipaddress=10.168.0.166

hostname=vsFTPSer


client:

ipaddress=10.168.0.8

hostname=client


应用场景:

ftp用于上传网站源代码,故需要考虑到apache的权限。

2.2、yum源安装

In ftpSer:

yum -y install vsftpd httpd

In client:

 yum -y install ftp

2.3、配置

In ftpSer:

2.3.1、step1

启动服务和配置开机默认启动

/etc/init.d/vsftpd start
 chkconfig vsftpd on

2.3.2、step2

1)修改配置文件

vim编辑/etc/vsftpd/vsftpd.conf

清空之前的配置,加入如下配置

#--------日志参数-------
#开启日志
xferlog_enable=YES
#wu-ftpd风格记录日志
xferlog_std_format=YES
#记录上传下载的日志
xferlog_file=/var/log/xferlog
#开启登录日志
dual_log_enable=YES
#登录日志保存路径
vsftpd_log_file=/var/log/vsftpd.log
#-------权限参数--------
#禁止匿名用户登录
anonymous_enable=NO
#禁止匿名用户上传文件
anon_upload_enable=NO
#禁止匿名用户创建文件夹
anon_mkdir_write_enable=NO
#禁止匿名用户其他写操作(删除,重命名)
anon_other_write_enable=NO
#开启普通用户ftp访问
local_enable=YES
#上传文件默认权限
local_umask=022
#开启用户登录控制列表
userlist_enable=YES
#禁止用户chroot
chroot_local_user=NO
#开启chroot控制列表
chroot_list_enable=YES
#chroot控制列表
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
#允许改变系统
write_enable=YES
#---------安全参数----------
#允许运行特殊的ftp命令async ABOR.
async_abor_enable=YES
#开启tcp_wrapper访问控制
tcp_wrappers=YES
#PAM验证配置文件名称
pam_service_name=vsftpd
#---------登录消息----------
dirmessage_enable=YES
ftpd_banner=Welcome to www.cmdschool.org FTP servers
#---------进行配置---------
#listen模式启动
background=YES
#运行在standalone模式
listen=YES
#PAM验证配置文件名称
pam_service_name=vsftpd
#PASV模式最小端口
pasv_min_port=50000
#PASV模式最大端口
pasv_max_port=60000
#---------传输相关---------
ascii_upload_enable=YES
ascii_download_enable=YES

2)重启服务

/etc/init.d/vsftpd restart

2.3.3、step3

配置防火墙

vim编辑/etc/sysconfig/iptables

-A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50000:60000 -j ACCEPT

2.3.4、step4

创建ftp目录

mkdir /var/www/www.cmdschool.org/ 
echo www.cmdschool.org  > index.html

2.3.5、step5

创建ftp用户并修改密码

useradd ftp_user1 -d /var/www/www.cmdschool.org/ -s /sbin/nologin
echo ftppwd | passwd --stdin ftp_user1
usermod -G apache ftp_user1

2.3.6、step6

权限调整

chown :apache -R /var/www/www.cmdschool.org/
chmod g+s /var/www/www.cmdschool.org/
chmod 770 -R /var/www/www.cmdschool.org/

2.3.7、step7

配置自动生成chroot_list

1)创建脚本文件夹

mkdir ~/script

2)vim编辑~/script/ftp_chroot.sh

键入如下内容:

cat /etc/passwd | cut -d : -f1 > /etc/vsftpd/vsftpd.chroot_list

3)添加计划任务

crontab -e

加入如下内容:

*/5 * * * * sh ~/script/ftp_chroot.sh

2.3.8、step8

关闭selinux

setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

2.3.9、step9

usermod -L ftp_user1
usermod -U ftp_user1

3、本地用户验证的SSL加密实践

2.1、yum源

In ftpSer:


yum -y install tcpdump

In ftpSer:

yum -y install lftp

2.2、SSL加密的必要性

In ftpSer:

tcpdump port 21 -nA

In client:

lftp
open 10.168.0.166
user ftp_user1 #输入用户名
ftppwd #输入密码
ls

In ftpSer:

显示如下:

#前有节删
..%.    ...USER ftp_user1
#中间有节删
..%.    ...PASS 123
#后有节删

2.3、配置

In ftpSer:

2.3.1、创建证书目录

mkdir /etc/vsftpd/.sslkey
cd /etc/vsftpd/.sslkey

2.3.2、创建证书

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

交互模式如下(根据实际情况填写):

Generating a 1024 bit RSA private key
....++++++
...........++++++
writing new private key to 'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GD
Locality Name (eg, city) [Default City]:DG
Organization Name (eg, company) [Default Company Ltd]:cmdschool.org
Organizational Unit Name (eg, section) []:MIS
Common Name (eg, your name or your server's hostname) []:ftpSer
Email Address []:[email protected]

2.3.3、设置证书目录权限

In ftpSer:

chmod -R 400 /etc/vsftpd/.sslkey/

2.3.4、加载证书配置参数

In ftpSer:

vim编辑/etc/vsftpd/vsftpd.conf

末尾加入如下配置:

#--------SSL-------
#开启SSL加密协议
ssl_enable=YES
#指定加密方式
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES
#强制本地和虚拟用户登录使用SSL协议
force_local_logins_ssl=YES
#强制本地和虚拟用户数据使用SSL协议
force_local_data_ssl=YES
#禁用数据与控制流使用相同的ssl通道
require_ssl_reuse=NO
#加密套件
ssl_ciphers=HIGH
#指定加密证书文件
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem

2.3.5、验证

In ftpSer:

tcpdump port 21 -nA

In client:

lftp
open 10.168.0.166
user ftp_user1 #输入用户名
ftppwd #输入密码
ls

In ftpSer:

注:监听的信息无法找到明文的用户名和密码。

参阅资料:

vsftp基础资料:

http://os.51cto.com/art/201008/222036.htm

http://zhidao.baidu.com/link?url=-b3RW2xPe_nMYv10tERFHIk1LAAgCWxfmpSV_n7OeHsE4av2oMCRVgXuPjgpMCQO0s8Ny6xqALcR0fjrIU6I-31zSgxBt99Ql6xwiZRZ-We

http://www.jb51.net/LINUXjishu/10964.html

启用SSL的资料:

http://my.oschina.net/HankCN/blog/116127

ftp端资料:

http://www.linuxidc.com/Linux/2012-10/73157.htm