Chapter 9 FTP.pptVIP

Chapter 9 FTP 介绍 最古老的传输协议之一 比较快速 明码传输，不安全 vsftpd安全性高 不同的用户身份 实体用户(real user) 访客（guest） 匿名用户（anonymous） chroot 将用户锁定在默认目录 保护系统安全 ftp的运作流程 主动式（三次握手） 被动式（四次握手） 客户端和服务器之间有防火墙 解决方式 防火墙所在的主机加载ip_conntrack_ftp模块和ip_nat_ftp模块； 选择被动连接方式。 主要配置文件 /etc/vsftpd/vsftpd.conf：主配置文件； /etc/pam.d/vsftpd：身份认证； /etc/vsftpd/ftpusers：阻止登录的用户（PAM）； /etc/vsftpd/user_list：阻止登录的用户(vsftpd)； /etc/vsftpd/chroot_list：设定用户的默认目录。 主要参数 pasv_enable=YES/NO 是否启动被动模式 connect_timeout=60 单位秒，数据连接的主动式，连接信号60秒内得不到客户端响应就断开连接； accept-timeout=60 单位秒。数据连接的被动式，当服务器端开启端口，60秒内客户端无响应，断开连接； data_connection_timeout=300 数据连接已经建立，无论主动还是被动，300秒内还是无法顺利完成数据传送，则断开连接； idle_session_timeout=300 300秒内客户端没有任何命令操作，就断开连接。 max_client=30 同一时间，最大连接数； max_per_ip=2 同一ip，同一时间最大连接数； pasv_min_port=65400 pasv_max_port=65410 指定被动连接的端口范围； 若为0，则随机取用不限制。 banner_file=/path/file 用户登录时的欢迎文字。 与实体用户相关的参数 guest_enable=YES/NO 若设置为yes，则任何以非匿名用户登录的用户均会被假设成guset身份，guest用户在服务器中默认取得FTP这个用户的权限，可以通过guest_username参数修改。 local_enable=YES/NO 控制能否以实体用户身份登录。只能以匿名身份登录。 local_mask=022 实体用户上传文件的权限控制。 local_max_rate 实体用户的传输速率，单位bytes/second； 若设置为0则不限制。 chroot_local_user=YES/NO 将所有的实体用户限制在自己的默认目录中。无论你切换哪个用户都在该目录下面。 chroot_list_enable=YES/NO chroot_list_file=/etc/vsftpd/chroot_list 控制一部分实体用户限制在自己的默认目录内。 需要自己手动创建chroot_list，记录限制的账号（一行一个账号）。我限制的是test1用户 userlist_enable=YES/NO 是否开启限制用户登录的限制。 userlist_file=/etc/vsftpd/user_list uselist_deny=YES/NO user_list的用户不能登录服务器 与匿名用户相关的参数 anonymous_enable=YES/NO 开启匿名登录 write_enable=YES。也要开启 anon_write_readable_only=YES/NO 只能读仅能下载 anon_other_write_enable=YES 匿名用户具有写入权限 anon_mkdir_write_enable=YES 匿名用户可以创建文件夹 anon_upload_enable=YES 匿名用户具有上传功能 no_anon_password=YES 匿名用户登陆跳过密码检验 上传文件put 下载文件get anon_max_rate=0 匿名用户的传输速率。 单位为字节每秒 anon_umask =077 匿名用户的权限 与系统安全相关的参数 tcp_wrappers=YES 支持tcp wrappers ps -ef | grep vsftpd 查看进程 nopriv_user=nobody 默认是以nobody 用户作为此服务执行者的权限。 指定用户不被chroot chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list 所有用户都被默认chroot； 只有列在chroot_list中的用户不被chroot。 只有指定用户能登录FTP