ftp是一个文件传输协议(File Transfer Protocal)。lftp相当于一个浏览器,用来向服务器发送请求的。
进行FTP服务的相关操作的时候,要先修改 vim /etc/sysconfig/selinux第七行为disabled。修改之后重启reboot,然后使用getenforce查看你的状态,为disabled代表环境时可以的。(修改环境为了更好第看到相关现象)
1.ftp的启用
yum install vsftpd ##安装vsftpd服务
systemctl start vsftpd ##开启服务
systemctl enable vsftpd ##设置开机自启动
firewall-cmd --permanent --add-service=ftp ##设置在防火墙中允许使用ftp服务
firewall-cmd --reload ##防火墙重新加载
ftp://172.25.254.97 ##浏览器中设置ftpd虚拟机的ip来测试
或者再另一台安装lftp的虚拟机中进行测试 :
lftp 172.25.254.97
访问数据端口:21
数据传输端口:>1024随即端口
默认发布目录为:/var/ftp
登陆方式分为:
lftp 172.25.254.97 ## 匿名用户登陆,进去默认目录为/var/ftp
lftp 172.25.254.97 -u student ##本机用户登陆,进去默认目录为/home/student
配置文件:/etc/vsftpd/vsftpd.conf
注意:可以使用man vsftpd 或者rpm -qc vsftpd进行该服务的配置文件的查询
3.ftp的安全部署(/etc/vsftpd/vsftpd.conf)
anonymous_enable=YES|NO ##匿名用户是否可以登陆
local_enable=YES|NO ##本地用户是否可以登陆
write_enable=YES|NO ##本地用户是否可写
注意:对配置文件操作后,要重启服务:systemctl restart vsftpd
4.匿名用户相关操作
【1】匿名用户的上传
chmod 775 /var/ftp/pub ##修改目录的权限为755
chgrp ftp /var/ftp/pub ##修改目录用户组为ftp,因为本机上传文件到远程主机后,所生成文件的用户组为ftp
vim /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES ##编辑匿名用户可写
systemctl restart vsftpd
示例:修改/var/ftp/put的权限和组 :
编辑匿名用户可写属性:
在77主机上进行测试:文件是可以上传的
【2】匿名用户的下载
anon_world_readable_only=NO ##匿名用户可以进行下载
【3】匿名用户建立目录
anon_mkdir_write_enable=YES
示例:默认情况下,匿名用户不可以新建目录,修改之后结果如下:
【4】匿名用户是否可以删除和重命名
anon_other_write_enable=YES
示例:默认匿名用户不可以进行删除重命名操作,修改属性之后,结果如下:
【5】匿名用户加目录的修改
anon_root=/direcotry
示例: 修改匿名用户加目录为/var/ftp/westos
[root@localhost westos]# ll
total 0
drwxrwxr-x 2 root ftp 19 Aug 5 05:54 xniu
在主机77中进行测试:
[root@localhost xniu]# ls
passwd
【6】匿名用户上传文件默认权限修改
anon_umask=xxx
【7】匿名用户上传使用的用户身份修改(默认是ftp)
chown_uploads=YES
chown_username=student
示例:使上传的用户属于student,修改内容如下;
total 4
-rw------- 1 student ftp 2411 Aug 5 06:12 passwd
【8】最大上传速率
anon_max_rate=102400
【9】上传文件的最大连接数
max_client=2
5.本地用户的设定
local_enable=YES|NO ##本地用户登陆限制
write_enable=YES|NO ##本地用户写权限限制
local_root=/direction ##本地用户加目录的修改
local_umask=xxx ##本地用户上传文件权限
chroot_local_user=YES ##限定本地用户浏览目录,所有用户被锁定到自己的加目录中(默认可以到根目录下)
chmod u-w /home/* ##设置后出现500权限过大,所以要去掉加目录的写权限
【1】切换根目录用户黑名单的建立
chroot_local_user=NO ##代表用户可以进入根目录
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list ##不存在的时候,建立文件;在名单里面的,只能切换在自己加目录下
【2】切换根目录用户白名单的建立
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
【3】限制本地用户的登陆
vim /etc/vsftpd/ftpusers ##用户黑名单
vim /etc/vsftpd/user_list ##用户临时黑名单
用户白名单设定
userlist_deny=NO
/etc/vsftpd/user_list ##设定之后,此文件变为白名单;文件里面的用户可以登,其余用户不可以
注意:当user_list为白名单时,与ftpusers文件相比,ftpusers等级高(永久的)
6.ftp虚拟用户的制作
【1】创建虚拟帐号,在/etc/vsftpd/目录中创建一个文件
vim /etc/vsftpd/user_file ##文件名称任意
ser1 ##把用户名和密码写进去
123
ser2
123
db_load -T -t hash -f user_file user_file.db ## -T代表转换 -t指定加密方式 -f指定转换文件和生成文件
【3】在/etc/pam.d/目录下创建文件usercheck,并进行用户名和密码的验证(认证策略)
vim /etc/pam.d/usercheck ##文件名任意
vim /etc/vsftpd/vsftpd.conf
pam_service_name=usercheck ##用户验证策略修改为自己写的usercheck
补充:
用?查看在ftp环境中可以使用的操作
get命令文件下载,下载在主机当前目录
put命令上传文件,从本地上传到远程主机,匿名或用户对应目录下
530报错说明认证失败(用户不可以登陆情况)
550表示服务本身不允许操作(mkdir等操作不可以执行)
500权限过大