文件服务:
vsftpd: 应用层,文件共享;
nfs: 网络文件系统;
samba :cifs协议在Linux主机上的实现,跨平台实现文件系统共享;
网络存储:
NAS: Network Attached Storage,文件服务器,nfs或cifs,文件级别共享接口;
SAN: Storage Area NEtwork,存储区域网络,通过其它网络介质来传输SCSI协议,iSCSI(IP SAN), FC SAN, ...,块级别的共享接口;
ftp:file transfer protocol, 21/tcp
C/S架构
Client <--ftp-->Server
Server:Listen
Client: Connect
连接:
命令连接:传输命令;
数据连接:传输数据;
数据连接工作模式:
主动模式:服务器端通过20/tcp主动连接客户端的命令连接的端口+1的端口;PORT;
被动模式:客户端发出数据请求后,服务端会响应一个打开的临时随机端口给客户端;PASV;
数据传输模式:
文本格式
二进制格式
协议安全:
明文:认证时传输账号和密码的传输亦是明文 ;
安全增强:
ftp over ssl/tls:ftps
ftp over ssh:sftp
C/S:
S:Serv-U, IIS, ...
开源解决方案:
wuftpd:Washington University ftp daemon
vsftpd:very secure ftp daemon
proftpd, pureftpd, ...
C:
GUI:flashfxp, cuteftp, filezilla, gftp, ...
CLI:ftp, lftp, ...
vsftpd
程序环境:
配置文件:/etc/vsftpd/vsftpd.conf
主程序:/usr/sbin/vsftpd
Unit File:/usr/lib/systemd/system/vsftpd.service
文件路径映射:/var/ftp
ftp://ftp.xixi.com/pub/a.txt --> /var/ftp/pub/a.txt用户的家目录的映射:访问ftp必须以某个系统用户的身份,此用户的家目录即文档目录;
匿名用户:anonymous,要映射为一个系统用户,默认ftp;
用户种类:
匿名用户、系统用户、虚拟用户
配置vsftpd:
配置文件:vsftpd.conf
directive value
注意:directive之前不能有任何字符;
匿名用户:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES系统用户:
local_enable=YES
write_enable=YES辅助认证配置文件/etc/vsftpd/ftpusers:
pam认证的配置文件:/etc/pam.d/vsftpd
chroot_local_users=YES禁锢所有的本地用户于自己的家目录中;但需要事先移除用户对家目录的写权限;
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list 禁锢指定的文件中的用户于自己的家目录中;但需要事先移除用户对家目录的写权限;
数据传输日志:
xferlog_std_format=YES
xferlog_enable=YES
xferlog_file=/var/log/xferlog控制可登录vsftpd服务的用户列表:
userlist_enable=YES是否启用/etc/vsftpd/user_list文件来可登录的用户;
userlist_deny={YES|NO}
YES:黑名单
NO:白名单虚拟用户:
用户账号存储于何处?
文件,MySQL,Redis, ...
vsftpd的认证功能托管给pam:
Pluggable Authencate Module,认证框架,认证库;
通过模块完成认证功能:/usr/lib64/security/
pam_mysql模块:
./configure --with-pam=/usr --with-mysql=/usr --with-pam-mods-dir=/usr/lib64/security
make
make install 准备数据库:
mysql> CREATE DATABASE vsftpd;
mysql> CREATE TABLE vsftpd.users (id INT NOT NULL AUTO_INCREMENT PRIMARY KEY, name CHAR(30) NOT NULL UNIQUE KEY,password CHAR(42));
mysql> INSERT INTO vsftpd.users (name,password) VALUES ('tom',PASSWORD('tom')),('jerry',PASSWORD('tom'));
mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'vspasswd';
mysql> GRANT ALL ON vsftpd.* TO 'vsftpd'@'127.0.0.1' IDENTIFIED BY 'vspasswd';
mysql> FLUSH PRIVILEGES;vsftpd通过pam_mysql进行认证的配置文件:/etc/pam.d/vsftpd.mysql
auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=vspasswd host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=vspasswd host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2user:连接mysql服务器的用户名,此用户要有权限访问认证vsftpd服务的数据库;
passwd:上面的用户的密码;
host:mysql服务器主机地址;
db:认证vsftpd服务的数据库名称;
table:存放了用户和密码的表;
usercolumn:用户名对应的字段;
passwdcolumn:密码对应的字段;
crypt:密码加密方法;准备匿名用户映射的系统用户账号:
mkdir /ftproot
useradd -d /ftproot vuser
mkdir /ftproot/{pub,upload}
setfacl -m u:vuser:rwx /ftproot/upload配置vsftpd:vsftpd.conf
pam_service_name=vsftpd.mysql
guest_enable=YES
guest_username=vuser配置每匿名用户有单独的权限设定
vsftpd.conf,添加:
user_config_dir=/etc/vsftpd/vusers_conf创建目录:
mkdir /etc/vsftpd/vusers_conf为每用户提供配置文件:
/etc/vsftpd/vusers_conf/{tom,jerry}配置权限的指令:
anon_upload_enable
anon_mkdir_write_enable
anon_other_write_enable实验如下:
脚本内容
