前面的系列文章基本讲完了linux管理相关的基础知识,从本篇开始讲解centos7中服务程序的部署和配置,以便为外部提供各种服务。
日常工作和娱乐中,我们所需的各种资源都离不开网络以及各种服务,我们通过网络获取部署在其他服务器上的各种服务资源,这些服务包括文件服务、邮件服务、媒体服务等等。
一般情况下,我们使用计算机上网的一个重要目的就是为了获取资料,而文件传输则是获取资料的方式。因此,我们首先来了解下linux中文件传输相关的知识。
一、文件传输协议FTP
1.1 FTP产生背景
“无规矩不成方圆”,这说明了规则的重要性。同样,当今的互联网由成千上万台机器组成,这些机器包括个人计算机、工作站、服务器、巨型机等各种形形色色的设备,并且这些设备中使用的操作系统还不一样,有的可能是用的windows,而有的则是Linux或其他系统。
要在这么纷繁复杂的设备之间传输文件,那就必须要有一定的规则,大家都按规则办事,传输的文件才能相互识别,达到正确传递信息的目的。在这种背景下,为了解决文件传输的问题,文件传输协议应运而生。
1.2 FTP相关概念
文件传输协议(File Transfer Protocol,FTP),是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用 20、21 号端口,其中20端口是数据端口用于进行数据传输,21端口为命令端口,用于接收客户端发出的相关FTP命令和参数。
本系列文章第三篇提到的所有工具都可以实现在Windows中远程到Linux主机并上传下载文件,并且在Linux主机之间也可以通过scp命令上传文件,那为什么还需要FTP呢?个人认为应该是因为FTP一般搭建与内网之中,有具有容易搭建、方便管理的特点,并且一些FTP客户端工具还具有文件多点下载以及断点续传等功能,这些是scp做不到的。
FTP是C/S架构,也就是基于客户端/服务器的模式,FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机,FTP客户端则是向服务器发送连接请求,以建立数据传输链路的主机。
FTP协议的传输拓扑结构如下:
FTP协议工作模式有两种:主动模式和被动模式,其中被动模式是默认的工作模式。
主动模式:FTP 服务器主动向客户端发起连接请求。
被动模式:FTP 服务器等待客户端发起连接请求。
由于FTP一般部署在企业内网,如果开启并配置了防火墙,有时候需要将FTP的工作模式设置为主动模式,才可以传输数据。
二、Linux下基于FTP协议工具
2.1 vsftpd服务安装
vsftpd(very secure ftp daemon)非常安全的FTP守护进程,是一款运行在Linux系统上的免费开源的FTP服务端程序。其主要特点是:安全性高、传输速度快、支持虚拟用户验证。
默认情况Centos7中是没有安装vsftpd的,因此需要手动通过yum仓库安装,根据前文的讲解可以用光盘资源自带的yum源,也可以直接配置外网源。本例采用默认的外网yum源进行安装。
[root@origin ~]# rpm -q vsftpd
package vsftpd is not installed
[root@origin ~]# yum install vsftpd
Loaded plugins: fastestmirror, langpacks
...省略部分内容
Installed size: 353 k
Is this ok [y/d/N]: y
Downloading packages:
vsftpd-3.0.2-25.el7.x86_64.rpm | 171 kB 00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : vsftpd-3.0.2-25.el7.x86_64 1/1
Verifying : vsftpd-3.0.2-25.el7.x86_64 1/1
Installed:
vsftpd.x86_64 0:3.0.2-25.el7
Complete!
[root@origin ~]# rpm -q vsftpd
vsftpd-3.0.2-25.el7.x86_64
[root@origin ~]#
通过rpm命令查看是否已经安装过vsftpd,如果没有安装则通过yum install命令安装即可,安装过程中需要按提示输入y继续下载并安装。
注意:从现在开始,凡是涉及到服务的配置,就要考虑防火墙和SELinux的因素,很多教程和书籍上都是直接关闭防火墙和selinux,虽然这样在学习阶段可以避免干扰,但是这样非常不安全。另外凡是配置了服务,都要加入开机启动中,让其每次重启自动生效。
安装vsftpd服务后,会在/etc下自动生成配置文件
[root@ftpserver ~]# ll /etc/vsftpd/
total 20
-rw-------. 1 root root 125 Oct 31 2018 ftpusers
-rw-------. 1 root root 361 Oct 31 2018 user_list
-rw-------. 1 root root 5116 Oct 31 2018 vsftpd.conf
-rwxr--r--. 1 root root 338 Oct 31 2018 vsftpd_conf_migrate.sh
各个文件的解释
文件名 | 作用 |
---|---|
vsftpd.conf | 主配置文件 |
ftpusers | 黑名单 |
vsftpd_conf_migrate.sh | 迁移脚本 |
user_list | 用户列表,与userlist_enbale和userlist_deny选项密切相关 |
查看主配置文件vsftpd.conf内容可以看到各项配置信息,需要根据实际情况来进行配置,其中主要的参数和作用如下:
参数 | 作用 |
---|---|
listen=[YES|NO] | 是否以独立运行的方式监听服务 |
listen_address=IP地址 | 设置要监听的IP地址 |
listen_port=21 | 设置FTP服务的监听端口 |
download_enable=[YES|NO] | 是否允许下载文件 |
userlist_enable=[YES|NO] | 设置用户列表为“允许”操作 |
userlist_deny=[YES|NO] | 设置用户列表为“禁止”操作 |
max_clients=0 | 最大客户端连接数,0为不限制 |
max_per_ip=0 | 同一IP地址的最大连接数,0为不限制 |
anonymous_enable=[YES|NO] | 是否允许匿名用户访问 |
anon_upload_enable=[YES|NO] | 是否允许匿名用户上传文件 |
anon_umask=022 | 匿名用户上传文件的umask值 |
anon_root=/var/ftp | 匿名用户的 FTP 根目录 |
anon_mkdir_write_enable=[YES|NO] | 是否允许匿名用户创建目录 |
anon_other_write_enable=[YES|NO] | 是否开放匿名用户的其他写入权限(包括重命名、删 除等操作权限) |
anon_max_rate=0 | 匿名用户的最大传输速率(字节/秒),0 为不限制 |
local_enable=[YES|NO] | 是否允许本地用户登录FTP |
local_umask=022 | 本地用户上传文件的umask值 |
local_root=/var/ftp | 本地用户的 FTP 根目录 |
chroot_local_user=[YES|NO] | 是否将用户权限禁锢在FTP目录,以确保安全 |
local_max_rate=0 | 本地用户最大传输速率(字节/秒),0为不限制 |
不用完全记住这些参数,需要时再来查看即可。
2.2 ftp客户端安装
ftp是Linux系统中以命令行界面的方式来管理FTP传输服务的客户端工具。默认也是没有安装的,需要手动安装。
[root@origin ~]# rpm -q ftp
package ftp is not installed
[root@origin ~]# yum install ftp
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
...省略部分内容
Total download size: 61 k
Installed size: 96 k
Is this ok [y/d/N]: y
Downloading packages:
ftp-0.17-67.el7.x86_64.rpm | 61 kB 00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : ftp-0.17-67.el7.x86_64 1/1
Verifying : ftp-0.17-67.el7.x86_64 1/1
Installed:
ftp.x86_64 0:0.17-67.el7
Complete!
[root@origin ~]# rpm -q ftp
ftp-0.17-67.el7.x86_64
[root@origin ~]#
通过yum install命令即可安装成功,ftp客户端工具安装成功后,接下来就是及操作下文件传输的功能。
2.3 vsftpd三种认证模式
vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上:匿名开放模式、本地用户模式、虚拟用户模式。实际生产环境中虚拟用户模式用的较多。
匿名开放模式:任何人都可以无需密码验证而直接登录到FTP服务器,是一种最不安全的认证模式。
本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式。如果被黑客破解了账户信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。
虚拟用户模式:需要为FTP服务单独 建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在 服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。这样,即使 黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。是三种模式中最安全的一种认证模式。
2.4 匿名开放模式
匿名开放模式是最不安全的一种认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。针对匿名用户放开这些权限会带来潜在危险,生产环境不建议这样做,因此一般不会用匿名模式,尽管如此,但本节还是实际演示一下。
按之前的方法克隆准备2台虚拟机:一台主机名为:ftpserver ,用于安装vsftpd服务;另外一台主机名为:ftp,用于安装ftp客户端。
vsftpd 服务程序默认开启了匿名开放模式,我们需要做的就是开放匿名用户的上传、下 载文件的权限,以及让匿名用户创建、删除、更名文件的权限。
针对匿名模式的配置主要有如下几个参数:
参数 | 作用 |
---|---|
anonymous_enable=YES | 允许匿名访问模式 |
anon_umask=022 | 匿名用户上传文件的umask值 |
anon_upload_enable=YES | 允许匿名用户上传文件 |
anon_mkdir_write_enable=YES | 允许匿名用户创建目录 |
anon_other_write_enable=YES | 允许匿名用户修改目录名称或删除目录 |
配置匿名模式主要步骤如下:
2.4.1 服务器配置vsftp服务,开启匿名模式
只需要按照上表查找主配置文件中对应的参数,如果是注射掉的就把注射去掉,如果是没有的就新加即可。
但是考虑到该配置文件里边的注释信息是在是太多了,影响配置,干脆我们把与配置无关的注射直接去掉。
[root@ftpserver ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
[root@origin ~]# grep -v "#" /etc/vsftpd/vsftpd.conf.bak >/etc/vsftpd/vsftpd.conf
[root@ftpserver ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@ftpserver ~]#
上边示例中,我们先把主配置文件备份,然后通过grep命令匹配出非注释的参数,然后再重定向将其写入到主配置文件。这样配置文件看起来内容就简洁多了。
然后我们将上表的参数配置到主配置文件即可:
[root@origin ~]# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
实际上第一行已经默认开启了,等于是添加第二到第五行即可。保存并退出,这样就完成了vsftpd服务的配置。
配置完成后重启服务,并添加到开机启动。配置并开启vsftp服务后,就可以在客户端执行ftp命令连接到远程的FTP服务器了。
[root@ftpserver ~]# systemctl restart vsftpd
[root@ftpserver ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service'
[root@ftpserver ~]#
[root@ftpserver ~]# ll /var/ftp/pub/
total 0
[root@ftpserver ~]# echo "ftp server content">/var/ftp/pub/ftpserver.txt
[root@ftpserver ~]# ll /var/ftp/pub/
total 4
-rw-r--r--. 1 root root 19 Jan 13 23:09 ftpserver.txt
[root@ftpserver ~]#
在/var/ftp/pub目录下准备文件,供ftp客户端下载。因为客户端连接到FTP服务器后,默认访问的是服务器的/var/ftp目录(该目录下还有一个pub目录)。
2.4.2 客户机使用ftp服务下载文件
在vsftpd服务程序的匿名开放认证模式下,其账户统一为 anonymous,密码为空
[root@ftp ~]# ftp 192.168.78.101
ftp: connect: No route to host
ftp>
发现报错了,此时我们首先应该想到的就是ftpserver服务器的防火墙,因此我们关闭防火墙来验证一下
[root@ftpserver ~]# firewall-cmd --state
running
[root@ftpserver ~]# systemctl stop firewalld.service
[root@ftpserver ~]# firewall-cmd --state
not running
[root@ftpserver ~]#
在ftpserver服务器关闭防火墙后,在尝试连接就可以正常连接并下载服务器上的ftpserver.txt文件了。
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (192,168,78,101,132,61).
150 Here comes the directory listing.
-rw-r--r-- 1 0 0 19 Jan 13 15:09 ftpserver.txt
226 Directory send OK.
ftp> get ftpserver.txt
local: ftpserver.txt remote: ftpserver.txt
227 Entering Passive Mode (192,168,78,101,115,121).
150 Opening BINARY mode data connection for ftpserver.txt (19 bytes).
226 Transfer complete.
19 bytes received in 7e-05 secs (271.43 Kbytes/sec)
ftp>
这样就把ftpserver服务器上的ftpserver.txt文件下载到了当前用户的家目录下
[root@ftp ~]# ll
-rw-r--r--. 1 root root 19 Jan 13 23:20 ftpserver.txt
...省略部分无关的文件
[root@ftp ~]# cat ftpserver.txt
ftp server content
[root@ftp ~]#
到此我们就可以使用ftp下载服务器上的文件了。但是有个问题必须的说明一下,前边遇到ftp连接问题时,我们直接关闭了服务器上的防火墙。但这是非常不安全的,生产环境中一般都是要求开启防火墙。
那么防火墙是如何阻止了ftp客户端连接呢?其实就是因为firewall防火墙默认禁止了ftp传输的端口号,因此可以清除防火墙的默认策略
[root@ftpserver ~]# systemctl start firewalld.service
[root@ftpserver ~]# firewall-cmd --state
running
[root@ftpserver ~]# iptables -F
[root@ftpserver ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[root@ftpserver ~]#
清除防火墙默认策略并保存,这样即使服务器不关闭防火墙也可以正常使用功能ftp功能下载文件了。
2.4.3 通过ftp客户端在服务器上创建目录
接下来我们切换到pub目录,并尝试创建一个目录test
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir test
550 Create directory operation failed.
ftp>
好神奇,居然报错了。大家不用担心,学习阶段要的就是这种效果,遇到的错误越多,越能快速积累经验,并建立一套分析问题和解决问题的逻辑思维套路。
分析一下,我们第一步时已经在主配置文件中添加了运行匿名用户创建目录和写入文件的权限,但为何还是会报错呢?既然排除了是用户权限的问题,那么是不是/var/ftp这个目录的权限问题呢?
[root@ftpserver ~]# ll -d /var/ftp/pub
drwxr-xr-x. 2 root root 26 Jan 13 23:09 /var/ftp/pub
[root@ftpserver ~]# chown -Rf ftp /var/ftp/pub
[root@ftpserver ~]# ll -d /var/ftp/pub
drwxr-xr-x. 2 ftp root 26 Jan 13 23:09 /var/ftp/pub
[root@ftpserver ~]# ll -d /var/ftp/
drwxr-xr-x. 3 root root 16 Jan 13 22:59 /var/ftp/
通过查看,果然发现/var/ftp目录只有root用户才有写入的权限,因此我们直接把pub目录所有者改为ftp用户,让ftp用户拥有写入的权限,我们再次来试下看能否创建文件夹
ftp> mkdir test
550 Create directory operation failed.
ftp>
奇怪,依然报错。前面排除了用户权限、目录权限之外,我们应该想到很有可能是SELinux造成的,因此我们关闭SELinux再来验证一下
[root@ftpserver ~]# setenforce 0
[root@ftpserver ~]#
关闭SeLinux后后,再去创建目录,发现创建成功
ftp> mkdir test
257 "/pub/test" created
ftp>
因此,说明不仅要让pub目录的属主拥有写入权限,并且同时还要关闭SELinux才能创建目录。
但是实际生产环境中不建议关闭SELinux,所以我们要弄清楚究竟SELinux哪个配置影响了
[root@ftpserver ~]# setenforce 1
[root@origin ~]# getenforce
Enforcing
[root@origin ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
tftp_anon_write --> off
tftp_home_dir --> off
[root@origin ~]#
我们查看下SELinux状态为开启,查看与ftp域相关的策略,其中有一条ftpd_full_access --> off其实就是这条规则导致了操作失败。
修改该策略,并使用-P参数使其永久生效。
[root@origin ~]# setsebool -P ftpd_full_access=on
再次登录创建目录,发现成功了
ftp> mkdir test2
257 "/pub/test2" created
ftp>
因此遇到问题,从用户权限、目录权限、网络防火墙、SELinux服务几个方面去逐个排查。
2.5 本地用户模式
本地模式比匿名模式更加安全,现在继续在前面的虚拟机中做实验,开始之前先关闭上一实验中开启的匿名模式。
[root@ftpserver ~]# vim /etc/vsftpd/vsftpd.conf
[root@ftpserver ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#anon_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@ftpserver ~]#
将anonymous_enable=YES改为NO,即关闭了本地模式,此时就不能在使用匿名模式登陆了。
另外前面新加的与匿名配置参数可以保留,也可以直接删除,只要总开关anonymous_enable关闭了就禁用了匿名登录。
现在开始演示本地用户模式操作ftp。
其实从前面的配置文件可以看出,vsfftpd服务默认既开启了匿名模式也开启了本地用户模式(local_enable=YES)。以下几个参数是本地用户模式相关的配置
参数 | 作用 |
---|---|
local_enable=YES | 允许本地用户模式 |
write_enable=YES | 设置可写权限 |
local_umask=022 | 本地用户模式创建文件的 umask 值 |
userlist_enable=YES | 启用“禁止用户名单”,名单文件为 ftpusers 和 user_list |
userlist_deny=YES | 开启用户作用名单文件功能 |
2.5.1 配置本地用户模式
其实vsftpd默认已经开启了本地用户模式,因此没什么可以配置的,查看下配置文件:
[root@ftpserver ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#anon_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
[root@ftpserver ~]#
参考上表,与本地用户配置相关的主要参数为:local_enable=YES,write_enable=YES,local_umask=022。如果你的配置文件默认没配置这几个项则手动配置一下即可。
注意,如果修改了配置需要从新启动下vsftpd服务
[root@ftpserver ~]# systemctl restart vsftpd
[root@ftpserver ~]# systemctl enable vsftpd
[root@ftpserver ~]#
另外再创建一个普通用户ftptest并设置密码,用于客户端登录
[root@ftpserver home]# useradd ftptest
[root@ftpserver home]# passwd ftptest
Changing password for user ftptest.
New password:
BAD PASSWORD: The password is shorter than 8 characters
Retype new password:
passwd: all authentication tokens updated successfully.
[root@ftpserver home]#
这样ftp服务器就准备好了。
特别说明:根据前文的经验,需要按前文方法设置防火墙和SELinux策略客户端才能使用,由于我们是沿用之前的配置,之前已经配置好了,所以这里不用配置。默认情况下防火墙将限制登录、SELinux则限制创建目录等操作。
2.5.2 ftp客户端操作服务器
现在就可以直接采用ftpserver服务器上的普通账户ftptest进行文件操作了。
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): ftptest
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir test
257 "/home/ftptest/test" created
ftp> rename test test1
350 Ready for RNTO.
250 Rename successful.
ftp> ls
227 Entering Passive Mode (192,168,78,101,106,178).
150 Here comes the directory listing.
drwxr-xr-x 2 1001 1001 6 Jan 14 09:01 test1
226 Directory send OK.
ftp> rmdir test1
250 Remove directory operation successful.
ftp> exit
221 Goodbye.
[root@ftp ~]#
案例中成功通过ftp服务器中的ftptest用户对目录进行创建、重命名、删除等操作。并且ftp客户端创建的目录,在ftpserver服务器对应的用户目录下也可以查到新建的目录。
因此可以看到,本地用户模式相对匿名模式,配置更简单一些。但是大家想过为啥ftptest用户登录后就可以对目录进行创建、删除等操作吗?那是因为本地用户模式登录FTP服务器后,默认访问的是该用户的家目录,即/home/ftptest目录,它的默认所有者、所属组都是该用户自己,因此不存在写入权限不足的情况。
2.5.3 本地用户登录模式之填坑
如果你是按照我的文章步骤操作,一定会很顺畅,但是如果一开始并不是新建ftptest用户来登录,而是直接使用root用户来进行远程登录,那就有个坑需要注意一下。
在客户端用root登录试试看
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): root
530 Permission denied.
Login failed.
ftp>
哦豁,目前的系统root是拥有最高权限的,居然被拒了,而前边创建的普通用户ftptest用户居然可以正常使用ftp功能!我就遇到过,哈哈哈哈,百思不得解。
如果是初次接触真可能怀疑是自己哪个步骤操作错了,其实这里有一个规则:
vsftpd服务程序配置目录存放着两个“用户名单”的文件:ftpusers、user_list。原因就在这2个文件,只要这2个文件中存在的用户,就不允许登录FTP服务器上。
来看看这2个文件内容:
[root@ftpserver ~]# cat /etc/vsftpd/user_list
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@ftpserver ~]# cat /etc/vsftpd/ftpusers
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@ftpserver ~]#
果然里边存在root用户,这正是vsftpd服务为了保证服务器安全默认就禁止了root和大部分系统用户登录ftp。这样做的好处是避免黑客通过FTP服务器对root密码进行暴力破解。
而为啥之前创建的ftptest用户可以登录ftp呢,那是因为创建的用户并没有被默认写入这2个文件。如果确保在生产环境中直接使用root用户对安全性没有影响,则直接在这2个文件中把root删除即可,否则请使用这2个文件中不存在的普通用户来登录ftp服务器。
删除这2个文件中的root用户,然后重启vsftpd服务,再次使用root登录ftp即可成功操作。
2.6 虚拟用户模式
再来看一种更加安全的认证模式即虚拟用户模式,因为更加安全所以配置起来稍微要麻烦一些。
我们仍然在之前的机器上继续操作,步骤步骤如下:
2.6.1 创建用户数据库文件
在ftpserver服务器中的vsftpd配置目录下创建包含用户信息的文件vuser.list(文件名字任意取)
[root@ftpserver ~]# cd /etc/vsftpd/
[root@ftpserver vsftpd]# ls
ftpusers user_list vsftpd.conf vsftpd.conf.bak vsftpd_conf_migrate.sh
[root@ftpserver vsftpd]# vim vuser.list
vuser1
123456
vuser2
123456
vuser.list文件中包含vuser1和vuser2两个用户,密码均为123456。文件中奇数行表示账号名,偶数行表示密码。
接下来要将vuser.list文件转换为vsftpd服务程序能直接加载的格式,转换格式使用db_load命令,该命令用哈希算法将原始的明文信息文件转换为数据库文件。
在使用db_load命令前,查看该命令是否安装
[root@ftpserver vsftpd]# db_load
usage: db_load [-nTV] [-c name=value] [-f file]
[-h home] [-P password] [-t btree | hash | recno | queue] db_file
usage: db_load -r lsn | fileid [-h home] [-P password] db_file
[root@ftpserver vsftpd]#
出现该命令的用法,说明默认已经安装了。
如果未安装需要手动安装,该命令包含在db4包中,使用命令yum -y install db4安装即可。
既然安装了db_load命令,那就使用它来转换用户文件格式
[root@ftpserver vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@ftpserver vsftpd]# file vuser.db
vuser.db: Berkeley DB (Hash, version 9, native byte-order)
[root@ftpserver vsftpd]# ll vuser.db
-rw-r--r--. 1 root root 12288 Jan 14 21:16 vuser.db
[root@ftpserver vsftpd]# chmod 600 vuser.db
-rw-------. 1 root root 12288 Jan 14 21:16 vuser.db
[root@ftpserver vsftpd]# rm -rf vuser.list
[root@ftpserver vsftpd]#
通过db_load命令就把明文的vuser.list文件转换为了vuser.db格式的文件,并通过chmod命令降低该文件的权限,从而避免其他人查看到该数据库文件的内容,最后直接把明文的vuser.list文件删除。
2.6.2 创建PAM文件
PAM(Pluggable Authentication Module)是一种认证机制,它将服务与认证方式分开,使得系统管理员可以轻易的调整服务程序的认证方式,而不必对应用程序进行任何修改。它涉及的内容挺多的,此处仅仅先了解概念即可。
在ftpserver服务器上新建一个PAM文件vsftpd.vu(文件名可以任意)用于虚拟用户认证,文件内的db参数为上一步使用功能db_load命令生成的数据库文件的路径,但不用写后缀名
[root@ftpserver vsftpd]# vim /etc/pam.d/vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
2.6.3 创建本地用户
既然是虚拟用户认证,为啥还需要建立本地用户呢?可以简单理解为虚拟指定一个ftp文件存储的根目录,当虚拟用户登录ftp服务器后默认访问的就是这个目录。
由于Linux中一切文件都有所有者和所属组,假设前文创建的虚拟用户vuser1创建了一个文件,但是系统中却没有vuser1这个用户,就会导致文件的权限出现错误。因此需要创建一个本地用户来映射虚拟用户,让虚拟用户默认登录到与之有映射关系的这个系统本地用户的家目录中,虚拟用户创建的文件的属性也都归属于这个系统本地用户,从而避免 Linux 系统无法处理虚拟用户所创建文件的属性权限。
由于ftp目录中的文件可能经常变化,因此我们新建一个本地用户virtual并指定其家目录为/var/ftpdir目录。同时我们禁用此本地用户登录FTP服务器,从而避免黑客利用该本地用户登录系统。禁止与虚拟用户关联的本地用户并不会影响虚拟用户的登录。
[root@ftpserver vsftpd]# useradd -d /var/ftpdir -s /sbin/nologin virtual
[root@ftpserver vsftpd]# ll -d /var/ftpdir/
drwx------. 3 virtual virtual 74 Jan 14 21:46 /var/ftpdir/
[root@ftpserver vsftpd]# chmod -Rf 755 /var/ftpdir/
[root@ftpserver vsftpd]# ll -d /var/ftpdir/
drwxr-xr-x. 3 virtual virtual 74 Jan 14 21:46 /var/ftpdir/
[root@ftpserver vsftpd]#
修改目录权限,让其他人可读。
2.6.4 vsftpd主配置文件配置
配置vsftpd主配置文件,指定之前创建的PAM认证文件以及与虚拟用户关联的本地用户。
[root@ftpserver vsftpd]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#anon_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_other_write_enable=YES
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
实际就是在原有基础上添加:guest_enable=YES、guest_username=virtual、allow_writeable_chroot=YES,并修改pam_service_name=vsftpd.vu为之前创建的pam认证文件。另外注意,必须开启本地模式(local_enable=YES)。
虚拟用户认证相关参数及作用如下:
参数 | 作用 |
---|---|
anonymous_enable=NO | 禁止匿名开放模式 |
local_enable=YES | 允许本地用户模式 |
guest_enable=YES | 开启虚拟用户模式 |
guest_username=virtual | 指定虚拟用户账户 |
pam_service_name=vsftpd.vu | 指定PAM文件,存放于/etc/pam.d/目录下,默认是vsftpd文件 |
allow_writeable_chroot=YES | 允许对禁锢的FTP根目录执行写入操作,而且不拒绝用户的登录请求 |
2.6.5 虚拟用户权限设置
假设我们要区别对待vuser1和vuser2,只允许vuser1查看文件,而允许vuser2上传、创建、修改、查看、删除文件。这种需求在企业真实环境中是常见的,我们可以通过vsftpd服务器程序来实现。
[root@ftpserver vsftpd]# mkdir /etc/vsftpd/vusers_dir
[root@ftpserver vsftpd]# cd vusers_dir/
[root@ftpserver vusers_dir]# touch vuser1
[root@ftpserver vusers_dir]# vim vuser2
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
只需要在vsftpd配置目录下新建vusers_dir目录(名字可以任意取),在目录中分别对应这2个用户创建文件并写入权限即可。
同时修改vsftpd主配置文件,过添加 user_config_dir参数来定义这两个虚拟用户不同权限的配置文件所存放的路径。
[root@ftpserver vsftpd]# vim /etc/vsftpd/vsftpd.conf
...省略原有内容
user_config_dir=/etc/vsftpd/vusers_dir
配置完成之后重启vsftpd服务。
2.6.6 验证不同虚拟用户设置的权限是否生效
此时我们就可以使用虚拟用户vuser1和vuser2登录ftp进行测试了
由于我们按照之前的基础上进行演示,之前已经配置好了防火墙和SELinux相关策略,因此这里无需配置(实际操作时要根据实际情况进行,防火墙和SELinux会对ftp客户端的操作造成影响)。
使用vuser1登录测试验证是否有创建目录权限
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): vuser1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir test
550 Permission denied.
ftp> exit
221 Goodbye.
[root@ftp ~]#
正如之前设置一样,vuser1只有查看权限,没有创建目录的权限。
再来看看vuser2
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): vuser2
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir vuser2
257 "/vuser2" created
ftp> rmdir vuser2
250 Remove directory operation successful.
ftp> exit
221 Goodbye.
[root@ftp ~]#
正如需求一致,vuser2具备创建和删除目录的权限。这样就可以根据实际需要灵活配置不同用户的权限。
2.6.7 其他注意事项及常见错误
(1)配置了虚拟用户登录后,本地用户登录就会失效
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): root
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
ftp> exit
221 Goodbye.
[root@ftp ~]#
(2)2.6.4节中的vsftpd主配置文件中必须要开启本地登录模式
如果不开,将报错,提示本地模式和匿名模式必须开启一个,显然虚拟用户模式就是为了提高安全,因此我们不开匿名模式而开启本地模式。
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
500 OOPS: vsftpd: both local and anonymous access disabled!
ftp> exit
[root@ftp ~]#
(3)2.6.4节中的主配置文件参数allow_writeable_chroot=YES必须开启
如果不开将报错
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): vuser1
331 Please specify the password.
Password:
500 OOPS: vsftpd: refusing to run with writable root inside chroot()
Login failed.
421 Service not available, remote server has closed connection
ftp> exit
[root@ftp ~]#
(3)防火墙影响ftp登录不了
默认情况防火墙策略阻止了ftp端口,ftp客户端登录将得到如下错误
[root@ftp ~]# ftp 192.168.78.101
ftp: connect: No route to host
ftp> exit
此时需要在ftp服务器上执行:iptables -F
(4)SELinux阻止文件创建
本来vuser2是有创建文件权限的,但是由于受到默认SELinux策略影响,将不能创建文件
[root@ftp ~]# ftp 192.168.78.101
Connected to 192.168.78.101 (192.168.78.101).
220 (vsFTPd 3.0.2)
Name (192.168.78.101:root): vuser2
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir vuser2
550 Create directory operation failed.
ftp> exit
221 Goodbye.
[root@ftp ~]#
此时需要在ftp服务器执行:setsebool -P ftpd_full_access=off命令即可。
三、简单文件传输协议TFTP
3.1 TFTP概述
TFTP(Trivial File Transfer Protocol)简单文件传输协议,是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议。可以认为它是FTP协议的简化版本。
3.2.1 TFTP缺点
TFTP的命令功能不如FTP服务强大,不能遍历目录,在安全性方比FTP差。传输文件采用 UDP 协议,端口号为 69,文件传输过程不如FTP协议可靠。
3.2.2 TFTP优点
TFTP不需要客户端的权限认证, 减少了无谓的系统和网络带宽消耗,因此在传输琐碎(trivial)不大的文件时,效率更高。
3.2 TFTP操作案例
3.2.1 TFTP安装并启动
我们还是继续使用之前的两台虚拟机,在主机ftpserver上安装tftpsever服务,在主机ftp上安装tftp服务。
(1)tftp服务器安装
[root@ftpserver ~]# rpm -q tftp-server
package tftp-server is not installed
[root@ftpserver ~]# yum install tftp-server
...省略中间内容
Installed:
tftp-server.x86_64 0:5.2-22.el7
Complete!
[root@ftpserver ~]
在RHEL7系统中,TFTP服务是使用 xinetd 服务程序来管理的,在安装TFTP软件包后,还需要在 xinetd服务程序中将其开启。
配置之前先看tftp服务器是否安装xinetd服务
[root@ftpserver ~]# systemctl restart xinetd
Failed to issue method call: Unit xinetd.service failed to load: No such file or directory.
出现这个结果表示为安装xinetd,需要手动进行安装。
[root@ftpserver ~]# yum install xinetd
在tftp服务器中,修改/etc/xinetd.d/tftp配置文件,将disable=yes改为no
[root@ftpserver ~]# vim /etc/xinetd.d/tftp
service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /var/lib/tftpboot
disable = no
per_source = 11
cps = 100 2
flags = IPv4
}
[root@ftpserver ~]#
修改后重启xinetd服务并添加到开机启动。
[root@ftpserver ~]# systemctl restart xinetd
[root@ftpserver ~]# systemctl enable xinetd
考虑到有些系统的防火墙默认没有允许 UDP 协议的 69 端口,因此 需要手动将该端口号加入到防火墙的允许策略中。
[root@ftpserver ~]# firewall-cmd --permanent --add-port=69/udp
success
[root@ftpserver ~]# firewall-cmd --reload
success
[root@ftpserver ~]#
TFTP 的根目录为/var/lib/tftpboot。
在tftp服务器上,创建文件tftptest.txt以供tftp下载
[root@ftpserver ~]# echo "test tftp">/var/lib/tftpboot/tftptest.txt
[root@ftpserver ~]# ll /var/lib/tftpboot/
total 4
-rw-r--r--. 1 root root 10 Jan 14 23:05 tftptest.txt
[root@ftpserver ~]#
(2)fttp客户端安装
[root@ftp ~]# rpm -q tftp
package tftp is not installed
[root@ftp ~]# yum install tftp
...省略中间内容
Installed:
tftp.x86_64 0:5.2-22.el7
Complete!
[root@ftp ~]#
3.2.2 使用TFTP
在tftp客户端连接到tftpserver并下载文件
[root@ftp ~]# tftp 192.168.78.101
tftp> get tftptest.txt
tftp> quit
[root@ftp ~]# ll tftptest.txt
-rw-r--r--. 1 root root 10 Jan 14 23:09 tftptest.txt
[root@ftp ~]# cat tftptest.txt
test tftp
[root@ftp ~]#
可以看到已经成功把文件下载到本地了。
3.2.3 TFTP相关的命令
列举几个tftp相关的命令和参数
命令 | 作用 |
---|---|
? | 帮助信息 |
put | 上传文件 |
get | 下载文件 |
verbose | 显示详细的处理信息 |
status | 显示当前的状态信息 |
binary | 使用二进制进行传输 |
ascii | 使用 ASCII 码进行传输 |
timeout | 设置重传的超时时间 |
quit | 退出 |
当然TFTP还有很多其他用户,以后有机会在深入讨论。
下一篇文章将讲解Linux下文件共享的方法。