Vsftpd 文件传输服务

ftp是典型的C/S结构，由服务端跟客户端两个部分共同实现文件传输功能

一、Ftp工作原理

ftp采用TCP协议的20、21端口与客户端进行通信

• 20端口：用于建立数据连接并传输文件数据

• 21端口：用于建立控制连接，并传输ftp控制命令

二、ftp的传输模式

1、主动模式

首先由客户端向服务端的21端口建立ftp控制连接，当需要传送数据时，服务端从 20 端口主动向客户端发起连接。

在主动模式下, FTP客户端从任意端口5150（端口号>1023）发起一个FTP请求, 并携带自己监听的端口号5151（发送的端口号+1=监听端口号）；随后服务器返回确认, 然后从服务器本地的20端口主动发起连接请求到客户端的监听端口5151, 最后客户端返回确认。

2、被动模式

首先由客户端向服务端的21端口建立ftp控制连接，当需要传送数据时，客户端向服务端的非20端口发送请求并建立连接数据

在被动模式中，命令连接和数据连接都由客户端来发起，如上图所示，客户端用随机命令端口5150向服务器的21命令端口发送一个PASV请求，然后服务器返回数据端口3267，告诉客户端我在哪个端口监听数据连接。然后客户端向服务器的监听端口3268发起数据连接，最后服务器回复确认。

vsftpd默认是被动模式。所以客户端要设置被动模式连接，如果到现在还没连接成功的看客户端有没有设置被动传输模式。

三、FTP 常见的服务端及客户端

1、常见的服务端程序

• IIS、Serv-U
• wu-ftpd、Proftpd
• vsftpd（Very Secure FTP Daemon）

2、常见的 FTP 客户端程序

• ftp 命令
• CuteFTP、FlashFXP、LeapFTP、Filezilla
• gftp、kuftp

四、部署 FTP 服务

1、把光盘挂载到/mnt下

mount /dev/cdrom /mnt

2、添加本地yum源

cd /etc/yum.repos.d && mkdir repo.bak
mv * repo.bak
vim  vsftp.repo
[local]
name=local
baseurl=file:///mnt
enabled=1
gpgcheck=0

3、安装FTP 服务

yum -y install vsftpd

五、匿名用户访问

1、备份原 ftp 配置文件

cd /etc/vsftpd/
mv vsftpd.conf vsftpd.conf.bak
cat vsftpd.conf.bak |grep -v "^#"|grep -v "^$" > vsftpd.conf

2、修改配置文件

anonymous_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES
anon_mkdir_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

3、给予数据根目录写权限

cd /var/ftp
chmod o+w pub

4、启动服务

systemctl start vsftpd
systemctl enable vsftpd

5、ftp://IP可匿名登录访问

六、user_list文件限制用户登录

1、编辑/etc/vsdtpd/user_list文件，把允许登录服务的用户添加进文件

Ps 此 ftpusers 文件中的所有用户都将禁止登陆，不管 user_list 文件中是否出现。

2、添加用户赋予密码

3、编辑配置文件追加以下内容（记得把 anonymous_enable 配置改为 NO）

vim vsftpd.conf
userlist_enable=YES        # 启用 user_list 用户列表文件
userlist_deny=NO           # 不禁用 user_list 列表中用户登陆

4、重启vsftpd服务

systemctl restart vsftpd

5、测试 nlemon 用户不可以登陆访问

6、验证 ylemon 用户可以登陆访问

七、虚拟用户登录（常用）

vsftpd提供了三种认证方式，分别是：匿名用户认证、本地用户认证和虚拟用户认证。从安全的角度来说，虚拟用户最安全也是最常用的认证方式，下面开始配置虚拟用户。

1、创建vusers.list文件

vim /etc/vsftpd/vusers.list
tom
123123
jerry
456456

2、db_load 创建用户的数据库文件

cd /etc/vsftpd/
db_load -T -t hash -f vusers.list vusers.db
chmod 600 /etc/vsftpd/vusers.*

3、添加映射的本地用户

useradd -d /var/ftproot -s /sbin/nologin virtual
chmod 755 /var/ftproot/

4、添加编辑文件vsftpd.vu

vim /etc/pam.d/vsftpd.vu
#%PAM-1.0
# 此句用于检查用户密码，数据库文件不要写后缀.db
auth     required  /lib64/security/pam_userdb.so  db=/etc/vsftpd/vusers

# 此句用于检查用户是否在有效期内，数据库支持虚拟用户的PAM认证文件。
account  required  /lib64/security/pam_userdb.so  db=/etc/vsftpd/vusers

5、编辑配置文件

vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
allow_writeable_chroot=YES               # 必须，如果不加入此配置则无法登陆
local_enable=YES                         # 必须，本地系统用户访问
write_enable=YES                         # 必须，任何形式的写入方式
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
tcp_wrappers=YES
anon_umask=022                           # 必须，虚拟用户上传的默认权限掩码值
local_umask=022                          # 必须，本地用户上传的默认权限掩码值
guest_enable=YES                         # 必须，开启虚拟用户模式
guest_username=virtual                   # 必须，指定虚拟用户账号
pam_service_name=vsftpd.vu               # 必须，指定pam文件
user_config_dir=/etc/vsftpd/vusers_dir   # 必须，指定虚拟用户的权限配置目录

6、创建vusers_dir目录下的虚拟用户

mkdir /etc/vsftpd/vusers_dir
touch /etc/vsftpd/vusers_dir/tom
touch /etc/vsftpd/vusers_dir/jerry

7、为虚拟用户设置不同的权限

tom 权限设置

vim /etc/vsftpd/vusers_dir/tom
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

jerry 权限设置

# 如果不进行权限设置的话，默认该用户只有 登录、浏览、下载 的权限。

8、验证虚拟用户权限

• 使用Tom虚拟用户登录服务,Tom可以登录、浏览、下载、上传、创建、删除
• Jerry用户只能登录、浏览、下载、但无法上传

八、Vsftpd的常用配置项

1、修改 vsftpd 服务的监听地址、端口

2、允许使用 FTP 服务器的被动模式

3、限制 FTP 连接的并发数、传输速率