Linux就该这么学 学习笔记13

本次课主要学习文件传输协议服务的配置

 

文件传输协议

 

FTP是一种在互联网中进行文件传输的协议，基于客户端/服务器模式，默认使用20、21号端口，其中端口20（数据端口）用于进行数据传输，端口21（命令端口）用于接受客户端发出的相关FTP命令与参数。

 

FTP协议有下面两种工作模式。

    主动模式：FTP服务器主动向客户端发起连接请求。

    被动模式：FTP服务器等待客户端发起连接请求（FTP的默认工作模式）。

 

vsftpd（very secure ftp daemon，非常安全的FTP守护进程）是一款运行在Linux操作系统上的FTP服务程序，不仅完全开源而且免费，此外，还具有很高的安全性、传输速度，以及支持虚拟用户验证等其他FTP服务程序不具备的特点。

vsftpd服务程序的主配置文件（/etc/vsftpd/vsftpd.conf）内容总长度达到123行，但其中大多数参数在开头都添加了井号（#），从而成为注释信息，大家没有必要在注释信息上花费太多的时间。我们可以在grep命令后面添加-v参数，过滤并反选出没有包含井号（#）的参数行（即过滤掉所有的注释信息），然后将过滤后的参数行通过输出重定向符写回原始的主配置文件

 

[[email protected] ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak

[[email protected] ~]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf

[[email protected] ~]# cat /etc/vsftpd/vsftpd.conf

 

 

vsftpd允许用户以三种认证模式登录到FTP服务器上。

 

匿名开放模式：是一种最不安全的认证模式，任何人都可以无需密码验证而直接登录到FTP服务器。

本地用户模式：是通过Linux系统本地的账户密码信息进行认证的模式，相较于匿名开放模式更安全，而且配置起来也很简单。但是如果被黑客**了账户的信息，就可以畅通无阻地登录FTP服务器，从而完全控制整台服务器。

虚拟用户模式：是这三种模式中最安全的一种认证模式，它需要为FTP服务单独建立用户数据库文件，虚拟出用来进行口令验证的账户信息，而这些账户信息在服务器系统中实际上是不存在的，仅供FTP服务程序进行认证使用。这样，即使黑客**了账户信息也无法登录服务器，从而有效降低了破坏范围和影响。

 

 

ftp是Linux系统中以命令行界面的方式来管理FTP传输服务的客户端工具。这个工具也需要安装。

 

匿名开放模式

vsftpd服务程序默认开启了匿名开放模式，我们需要做的就是开放匿名用户的上传、下载文件的权限，以及让匿名用户创建、删除、更名文件的权限

 

在vsftpd服务程序的主配置文件中正确填写参数，然后保存并退出。还需要重启vsftpd服务程序，让新的配置参数生效

[[email protected] ~]# systemctl restart vsftpd

[[email protected] ~]# systemctl enable vsftpd

 

在vsftpd服务程序的匿名开放认证模式下，其账户统一为anonymous，密码为空。而且在连接到FTP服务器后，默认访问的是/var/ftp目录。

注意需要修改对应目录属于ftp用户，且关注Selinux

[[email protected] ~]# ls -ld /var/ftp/pub

drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub

[[email protected] ~]# chown -Rf ftp /var/ftp/pub

[[email protected] ~]# ls -ld /var/ftp/pub

drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub

 

setsebool -P ftpd_full_access=on

 

本地用户模式

 

vsftpd服务程序所在的目录中默认存放着两个名为“用户名单”的文件（ftpusers和user_list）

vsftpd服务程序为了保证服务器的安全性而默认禁止了root管理员和大多数系统用户的登录行为，这样可以有效地避免黑客通过FTP服务对root管理员密码进行暴力**。如果您确认在生产环境中使用root管理员不会对系统安全产生影响，只需按照上面的提示删除掉root用户名即可。我们也可以选择ftpusers和user_list文件中没有的一个普通用户尝试登录FTP服务器

 

虚拟用户模式

该模式较为复杂，但也更安全

 

 

TFTP

 

简单文件传输协议（Trivial File Transfer Protocol，TFTP）是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议。顾名思义，它提供不复杂、开销不大的文件传输服务（可将其当作FTP协议的简化版本）。

 

TFTP的命令功能不如FTP服务强大，甚至不能遍历目录，在安全性方面也弱于FTP服务。而且，由于TFTP在传输文件时采用的是UDP协议，占用的端口号为69，因此文件的传输过程也不像FTP协议那样可靠。但是，因为TFTP不需要客户端的权限认证，也就减少了无谓的系统和网络带宽消耗，因此在传输琐碎（trivial）不大的文件时，效率更高。

 

安装TFTP软件

[[email protected] ~]# yum install tftp-server tftp

 

在RHEL 7系统中，TFTP服务是使用xinetd服务程序来管理的。xinetd服务可以用来管理多种轻量级的网络服务，而且具有强大的日志功能。简单来说，在安装TFTP软件包后，还需要在xinetd服务程序中将其开启，把默认的禁用（disable）参数修改为no

 

然后，重启xinetd服务并将它添加到系统的开机启动项中，以确保TFTP服务在系统重启后依然处于运行状态。考虑到有些系统的防火墙默认没有允许UDP协议的69端口，因此需要手动将该端口号加入到防火墙的允许策略中

[[email protected] ~]# systemctl restart xinetd

[[email protected] ~]# systemctl enable xinetd

[[email protected] ~]# firewall-cmd --permanent --add-port=69/udp

[[email protected] ~]# firewall-cmd --reload

 

TFTP的根目录为/var/lib/tftpboot。