FTP的原理和配置

一、文件服务器
文件服务器NFS------------ Unix-like系统上共享文件,不能跟windows交互
文件服务器-----跨平台,
      FTP----工作在应用层,跟平台无关;实现文件共享:下载和上传。在线编辑实现困难,实现跨越网络
      SAMBA----支持在线编辑的服务,跨平台,实现unc路径在Unix-like和windows之间方便快捷共享文件的机制,跨越网络困难
二、FTP---主动模式 被动模式 命令连接 数据连接
FTP:file transmission protocol文件传输协议
     两个链接:命令连接---时时在线,传输各种命令;监听在 tcp/21
               数据连接
数据连接的工作模式:
主动模式:服务器是主动的
C/S架构的服务,客户端服务器打开本地端口去访问服务器端;客户端使用>1023随机端口连接服务器tcp/21,服务器端打开20端口连接客户端的端口+1的端口;一次连接之后就断开的服务器端工作于20 端口 ;
客户端开启一个随机端口连接服务器的21端口请求建立连接,当连接成功,则是命令连接成功;当两端进行传送数据的时候,客户端通过命令连接用一个port command 告诉服务器,客户端可以使用另一个TCP 端口做数据通道,然后服务器使用20端口和刚才客户端所通知的TCP端口建立数据连接,这是链接方向是从服务器到客户端的,TCP分组中会有一个SYN flag,然后客户端会返回一个带ACK flag 的确认分组,并完成另一次的Three-Way-Handshake过程,这时候数据连接才能成功建立,开始数据传送。                                                                                                                                                       
          被动模式:服务器是被动的;命令连接是由客户端发起的,客户端使用端口连接客户端的21端口,服务器会告知客户端自己打开了某端口(>1023随机端口,33,21),客户端使用端口+1去连接服务器通知的端口(33*256+21)
    FTP客户端开启一个随机选择的TCP端口连接FTP服务器的21端口请求建立连接,完成命令连接的建立。当两端需要传送数据的时候,客户端通过命令通道发送一个PASV command给服务器要求进入被动传输模式,然后服务器随机选择一个TCP端口,并用命令连接告诉客户端,客户端用另一个TCP端口连接刚才服务器指定的TCP端口来建立数据通道,此时分组中带有SYN flag。服务器确认后回送一个ACK分组,并完成所有握手过程、成功建立数据通道,开始数据传送。
服务器端为什么工作在被动模式下?
1、 >1023端口提供服务,对于防火墙>1023端口是关闭的                  
2、RELATED:关联的状态----------ftp装载模块
开发某个命令连接,与命令连接相关联的请求至于RELATED状态;服务器端处于RELATED状态的端口都打开,这样就实现了数据连接的正常进行
三、数据传输格式:
 http | smtp的数据传输格式:
            MIME--转换格式
            ASCII:文本格式
 ftp的数据传输格式:服务器自己选择适合的格式,不要强行变换格式
        binary--二进制格式
         ASCII
四、 识别用户
NFS-----文件共享,识别用户同过UID映射
ftp----识别用户
        anonymous---被服务器端映射成本地系统账号,匿名用户的权限取决于ftp账号的权限
五、用户账号类别:
         匿名用户-----映射的用户的家目录----(ftp)HOME DIR
         系统用户-----每个用户自己的家目录HOME DIR
         虚拟用户-----有账号和密码,但账号不能用于登陆系统,可以访问ftp服务;
         用户账号验证的位置:file,kerberos,ldap,mysql
认证anthentication-------是否是合法用户(用户名/密码),基于生物识别技术
授权anthorization--------有权限使用资源
审计audition----------记录授权用户是否在规定范围内
六、PAM-------认证框架; ftp可以通过PAM来实现用户认
PAM---SUN研发,是一个认证框架,决定认证机制;framework;支持n种机制
PAM配置文件:/etc/pam.d/*---用于定义认证手段,认证机制
    PAM 认证模块位置:/lib/security/
ftp:访问的资源是服务器的家目录
七、ftp服务器:
软件:WU-ftpd-----设计模式单一,安全性欠佳
           proftpd------基于web的管理页面
           pure ftp
           vsftpd-----very secure ftp;功能单一,安全权限严格,支持ssl、虚拟用户,支持主动被动模式
专用的服务端:
Windows:
 Filezilla
IIS 
Serv-U
         Linux:
             Filezilla
             Vsftpd---very secure
             Wu-ftpd
             Proftpd
             Pureftp
专用的客户端:
               flashf xp
               cuteftp
               gftp----基于图形界面
               ftp
               lftp
软件包:vsftpd            
进程:vsftpd (.usr/sbin/vsftpd)
脚本:/etc/rc.d/init.d/vsftpd
端口: 21/tcp (ftp)  20/tcp (ftp-data)
配置文件:/etc/vsftpd/vsftpd.conf  600  root  root
          /etc/vsftpd/ftpusers   600  root  root
          /etc/pam.d/vsftpd   644  root  root
相关的模块:rcp_wrappers ip_conntrack_ftp  ip_nat_ftp


八、配置ftp服务:
1、 安装软件包:#yum install –y vsftpd
2、 查看安装软件包生成配置文件:#rpm –ql vsftpd
3、 启动服务:#service vsftpd start
4、登录的方式:ftp  ip 地址
               ftp  用户名:密码@ip地址
匿名用户的访问路径映射到ftp的家目录/var/ftp下:
#id ftp 
#finger ftp
注意:/var/ftp目录下的文件或目录不能随意改权限,改变后不能访问服务
九、介绍配置文件的格式:
#vim /etc/vsftpd/vsftpd.conf
注意:“=“前后不能有空格;指令前不能有空格
anonymous_enable-----是否允许匿名用户
local_enable ------是否允许本地用户登录  id>=500
write_enable----定义本地用户是否可以上传文件
local_umask------定义本地用户上传文件的反向掩码
anon_upload_enable---定义匿名用户是否上传; selinux影响匿名用户上传
anon_mkdir_write_enable----匿名用户是否创建目录的权限
anon_other_write_enable-----定义匿名用户是否可以删除和重名文件
anon_world_readable_only------定义匿名用户只能下载全局可读的权限,必须属于ftp用户的
dirmessage_enable-----显示欢迎信息 
xferlog_enable----传输日志是否打开
xferlog_file-----传输日志文件的位置
connect_from_port_20-----数据连接
chown_uploads----改为属主
chown——username
idle—_session_timeout ----空闲会话的超时时间
data_connetion_timeout
nopriv_user----非特权用户
ascii_upload_enable----使用ASCII下载
ftpd_banner----欢迎信息
chroot_list_enable----锁定用户登录的目录作为家目录
chroot_list_file=------------文件/et/vsftpd/chroot_list---锁定部分用户
chroot_local_user=YES/NO-----是否锁定所有本地用户
ls_recurse_enable---递归显示
listen----定义独立守护进程
pam_service _name----用于ftp介于pam 实现用户认证
userlist_enable---启动用户文件列表
userlist_deny=YES(黑名单)|NO(白名单)--------用户文件中的用户是否允许
十、tcpdump----抓包
tcpdump -X -i eth0 -nn -p host 172.16.100.1 and tcp port 21
用法:tcpdump [option] [expression捕获的过滤器]
选项:-i------指定接口网卡
 -n---以数字显示ip地址
 -nn---端口不反解
 -X----以ascii 十六进制 输出
 -v---- 详细信息   -vv  -vvvv
 -p-----设置网卡,工作在非混渣模式
expression:一个或多个关键字 
    类型  hostnetportportrange
    dir   src dstnet src or dst port ftp-data
    proto  tcp udp ether iparp rarp
十一、结合ssl结合加密功能:ftp是明文传输的
编辑/etc/vsftpd/vsftpd.conf添加以下内容:
ssl_enable=YES       ---是否启用ssl
ssl_tlsv1=YES    ---tls协议版本1是否启用
ssl_sslv2=YES       -----
ssl_sslv3=YES
allow_anon_ssl=NO   ----允许匿名用户使用ssl
force_local_data_ssl=YES  ----
force_local_logins_ss=YES
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt---定义公钥文件
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key---定义私钥文件

 

 

 


 

 


 

本文出自 “资料” 博客,谢绝转载!

你可能感兴趣的:(windows,服务器,protocol,在线编辑,应用层)