Linux下ftp协议一、ftp的详解与配置

一、FTP介绍：

FTP (File Transfer Protocol,文件传输协议）应用层的文件共享服务，主要用来文件传输，尤其适用于大文件传输，提供上传下载功能。
FTP服务器根据服务对象分为两种：一种Linux系统用户下控制的FTP服务器，另一种匿名FTP服务器。

二、FTP工作模式

FTP采用C/S架构的服务，分为客户端和服务器端。使用TCP做为底层传输协议，使用标准端口20，21： 20端口作为数据端口，21端口作为指令端口
2.1主动模式FTP

1. 主动模式下，FTP客户端从任意的非特殊的端口（N > 1023）连入到FTP服务器的命令端口–21端口。
2. 然后客户端在N+1（N+1 >= 1024）端口监听，并且通过N+1（N+1 >= 1024）端口发送命令给FTP服务器。
3. 服务器会反过来连接用户本地指定的数据端口，比如20端口。

以服务器端防火墙为立足点，要支持主动模式FTP需要打开如下交互中使用到的端口：
FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
FTP服务器数据（20）端口到客户端端口（>1023）（服务器初始化数据连接到客户端数据端口）
FTP服务器数据（20）端口接受客户端端口（>1023）（客户端发送ACK包到服务器的数据端口）

2.2被动模式FTP
为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。
被动模式下，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。

1. 当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N >; 1024和N+1）。
2. 第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。
3. 这样做的结果是服务器会开启一个任意的非特权端口（P >; 1024），并发送PORT 命令给客户端。
4. 然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:
FTP服务器命令（21）端口接受客户端任意端口（客户端初始连接）
FTP服务器命令（21）端口到客户端端口（>1023）（服务器响应客户端命令）
FTP服务器数据端口（>1023）接受客户端端口（>1023）（客户端初始化数据连接到服务器指定的任意端口）
FTP服务器数据端口（>1023）到客户端端口（>1023）（服务器发送ACK响应和数据到客户端的数据端口）

2.3优缺点
主动模式对ftp对服务器管理有利，是由FTP服务器主动与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞。
而被动模式对客户端管理有效，它是企图 与服务端的随机端口建立连接但是这个端口很可能又会被服务端的防火墙所拒绝。
一般做安全措施我们是在被动模式下做，由于主动模式是打开一个端口给客户端传送数据，我们做安全措施都是基于端口来做所以不太好做，一般也不建议去做。但是被动模式也是在不停地放端口，所以慢慢的ftp慢慢的在淘汰。

主配置文件

vim /etc/vsftpd/vsftpd.conf
从配置文件
vim /var/ftp/pub 
主配置文件详解
anonymous_enable=YES  是否启用匿名用户
local_enable=YES 
write_enable=YES 允许写入(无论是匿名用户还是本地用户要实现上传就需要快开启它)
local_umask=022  默认本地用户上传文件权限755
dirmessage_enable=YES  显示每个目录下的文件信息
xferlog_enable=YES  日志启用
connect_from_port_20=YES   主动请求的数据端口
chown_uploads=YES   所有虚拟用户上传的文件所属用户将会被改成chown_username
chown_username=whoever  虚拟用户上传的所属用户名是whoever
xferlog_file=/var/log/xferlog   启用的日志文件
xferlog_std_format=YES 
idle_session_timeout=600 空闲连接超时 
data_connection_timeout=120  数据连接超时
nopriv_user=ftpsecure   当服务器运行于最底层时使用的用户名
chroot_list_enable=YES    chroot_local_user=YES  所有文件列出用户， 可以切换到其他目录
chroot_list_file=/etc/vsftpd/chroot_list 
listen=NO   服务将自己监听处理listen_ipv6=YES
pam_service_name=vsftpd 设置PAM认证模块使用名称预设为vsftpd
userlist_enable=YES  
tcp_wrappers=YES   服务端和客户端访问控制策略（服务器级别的一种防火墙）