VSFTP服务.doc

VSFTP 服务 ? ? ?VSFTP有2种模式,分别是主动模式PORT FTP和被动模式PASV FTP。 ? ? ?PORT FTP和PASV FTP，PORT FTP是一般形式的FTP。这两种FTP在建立控制连接时操作是一样的，都是由客户端首先和FTP服务器的控制端口(默认值为21)建立控制链接，并通过 此链接进行传输操作指令。它们的区别在于使用数据传输端口(ftp- data)的方式。 ? ? ?PORT FTP由FTP服务器指定数据传输所使用的端口,默认值为20。当客户端向服务端连接后,那么客户端会发送一条命令告诉服务端(客户端在本地打开了一个端口N在等着你进行数据连接),当服务端收到这个Port命令后 就会向客户端打开的那个端口N进行连接，这种数据连接就生成了。 ? ? ? PASV FTP由FTP客户端决定数据传输的端口.当客户端向服务端连接后，服务端会发信息给客户端,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端收到这个信息后，就可以向服务端的M端口进行连接,连接成功后，数据连接也建立了.PASV FTP这种做法，主要是考虑到存在防火墙的环境下，由客户端与服务器进行沟通(客户端向服务器发出数据传输请求中包含了数据传输端口)，决定两者之间的数据传输端口更为方便一些。 ? ? ? ? ? ? 在配置vsftp过程中，默认使用系统用户登陆ftp，但为不让其登陆服务器，发现当修改用户shell为/usr/sbin/nologin时，该用户不能正常访问ftp页面。也就是shell为nologin的系统用户不能登录vsftpd。 ? ? ? 这是因为默认使用PAM方式验证,VSFTPD会检查/etc/shells文件以寻找一个有效的用户shell，而系统里/etc/shell没有/usr/sbin/nologin,所以加入即可。 root@00:shell# vim /etc/shells # /etc/shells: valid login shells /bin/csh /bin/sh /usr/bin/es /usr/bin/ksh /bin/ksh /usr/bin/rc /usr/bin/tcsh /bin/tcsh /usr/bin/esh /bin/bash /bin/rbash /usr/sbin/nologin ? ? ? ? ??还有一种方法是在主配置文件里vsftpd.conf 加入check_shell=NO,当此选项关闭后，当本地用户登录时，VSFTPD不会检查/etc/shells文件以寻找一个有效的用户shell。但经测试，修改重启服务后，仍然访问不了。 ? ? ? ? ? ? ? ? ?由于ftp传输是明文，这样通过抓包就可以得到密码和账号,非常不安全. root@00:shell# tcpdump -X -i eth0 port 21 15:14:20.735616 IP (tos 0x0, ttl 49, id 1718, offset 0, flags [DF], proto TCP (6), length 53) 0.3451 TM00008.local.ftp: P, cksum 0x40f7 (correct), 1:14(13) ack 21 win 65515 0x0000: 4500 0035 06b6 4000 3106 56ca 74e4 3a3c E..5..@.1.V.t.: 0x0010: d397 698b 0d7b 0015 353a 6a07 d7e1 f3f6 ..i..{..5:j..... 0x0020: 5018 ffeb 40f7 0000 5553 4552 2070 7562 P...@...USER.tes 0x0030: 6c69 630d 0a t.. 15:14:20.735628 IP (tos 0x0, ttl 64, id 23649, offset 0, flags [DF], proto TCP (6), length 40) TM00008.local.ftp 0.3451: ., cksum 0x4aac (correct), 21:21(0) ack 14 win 46 0x0000: 4500 0028 5c61 4000 4006 f22b d397 698b E..(\a@.@..+..i. 0x0010: 74e4 3a3c 0015 0d7b d7e1 f3f6 353a 6a14 t.:...{....5:j. 0x0020: 5010 002e 4aac 0000