一、基本了解

什么是ftp?

• ftp也是网络文件共享系统，全称为File Transfer Protocol（文件传输协议），用于internet上的控制文件的双向传明文传输，上传和下载。
  • 下载：从远程主机拷贝文件至自己的计算机上。
  • 上传：将文件从自己的计算机上拷贝至远程主机上。

1.windows系统都有自带的ftp功能，直接在控制面板打开即可。当然也可以安全软件来实现ftp功能，比如filezilla。

1.1 C/S型架构

• FTP工作于应用层，监听于tcp的21号端口，是一种C/S架构的应用程序。
• 其有多种客户端和服务端的应用程序。

客户端工具	服务端软件
ftp lftp,lftpget wget,curl filezilla gftp（Linux GUI） 商业软件（flashfxp,cuteftp）	wu-ftpd proftpd（提供web接口的一种,ftp服务端程序） pureftp vsftpd（Very Secure） ServU（windows平台的一种强大ftp服务端程序）

1.2 数据连接模式

2种数据连接模式：

• 命令连接：指文件管理类命令，始终在线的持久性连接，直到用户退出登录为止。
• 数据连接：指数据传输，按需创建及关闭的连接。

2种数据传输格式：

• 文件传输
• 二进制传输

2种数据传输模式：

• 主动模式：由服务器端创建数据连接。
• 被动模式：由客户端创建数据连接。

注意事项：

• 主动模式有个弊端，因为客户端的端口是随机的，客户端若开了防火墙，则服务器端去连客户端创建数据连接时可能会被拒绝。
• 常常使用被动模式。

传输模式	建立过程
主动 模式	命令连接：Client（1025）–> Server（21） 客户端以一个随机端口（大于1023）来连服务器端的21号端口 数据连接：Server（20/tcp） --> Client（1025+1） 服务器端以自己的20号端口去连客户端创建命令连接时使用的随机端口+1的端口号
被动 模式	命令连接：Client（1110） --> Server（21） 客户端以一个随机端口来连成服务器端的21号端口，服务端告诉一个随机端口给客户端。 数据连接：Client（1110+1） --> Server（随机端口） 客户端以创建命令连接的端口+1的端口号去连服务器端告知自己的一个随机端口来创建数据连接

1.3 用户认证

3种用户类型：

• 虚拟用户：仅用于访问某特定服务中的资源，类似与samba的虚拟用户，把系统用户与一个假用户绑定，使用假用户登录。虚拟用户通过ftp访问的资源位置为与虚拟用户绑定的系统用户家目录。
• 系统用户：可以登录系统的真实用户。系统用户通过ftp访问的资源位置为用户的家目录。
• 匿名用户，常用。会映射为ftp用户的共享资源，位置是/var/ftp。

二、安装服务端

• 这里采用安装vsftpd服务来提供服务端。

2.1 安装vsftpd

1.安装。

 yum -y install vsftpd

2.启动服务。

systemctl start vsftpd
systemctl enable vsftpd

3.关闭防火墙和selinux。

systemctl  stop firewalld
systemctl  disable firewalld

setenforce 0

2.2 配置文件

1.vsftpd用户认证配置文件，该文件不需要修改，保持默认，不能动。

2.配置文件目录/etc/vsftpd/ ， /etc/vsftpd/vsftpd.conf 为主配置文件。

2.3 主配置文件参数

参数	作用
anonymous_enable=YES	启用匿名用户登录
anon_upload_enable=YES	允许匿名用户上传
anon_mkdir_write_enable=YES	允许匿名用户创建目录，但是不能删除
anon_other_write_enable=YES	允许匿名用户创建和删除目录
local_enable=YES	启用本地用户登录
write_enable=YES	允许本地用户有写权限
local_umask=022	通过ftp上传文件的默认遮罩码
chroot_local_user=YES	禁锢所有的ftp本地用户于其家目录中
chroot_list_enable=YES	开启禁锢文件列表 需要与chroot_list_file参数一起使用
chroot_list_file=/etc/vsftpd/chroot_list	指定禁锢列表文件路径 在此文件里面的用户将被禁锢在其家目录中
allow_writeable_chroot=YES	允许被禁锢的用户家目录有写权限
xferlog_enable=YES	是否启用传输日志，记录ftp传输过程
xferlog_std_format=YES	传输日志是否使用标准格式
xferlog_file=/var/log/xferlog	指定传输日志存储的位置
chown_uploads=YES	是否启用改变上传文件属主的功能
chown_username=whoever	指定要将上传的文件的属主改为哪个用户 此用户必须在系统中存
pam_service_name=vsftpd	指定vsftpd使用/etc/pam.d下的 哪个pam配置文件进行用户认证
userlist_enable=YES	是否启用控制用户登录的列表文件： 默认为/etc/vsftpd/user_list文件
userlist_deny=YES	是否拒绝userlist指定的列表文件中存在的用户登录ftp
max_clients=#	最大并发连接数
max_per_ip=#	每个IP可同时发起的并发请求数
anon_max_rate	匿名用户的最大传输速率，单位是“字节/秒”
local_max_rate	本地用户的最大传输速率，单位是“字节/秒”
dirmessage_enable=YES	启用某目录下的.message描述信息 假定有一个目录为/upload，在其下创建一个文件名为.message， 在文件内写入一些描述信息，则当用户切换至/upload目录下时会自动显示.message文件中的内容
message_file	设置访问一个目录时获得的目录信息文件的文件名,默认是.message
idle_session_timeout=600	设置默认的断开不活跃session的时间
data_connection_timeout=120	设置数据传输超时时间
ftpd_banner=“Welcome to chenlf FTP service.”	定制欢迎信息，登录ftp时自动显示

2.4 windows访问服务端

2.4.1 系统用户访问

• 现版本已默认开启匿名用户功能，使用系统用户访问需要关闭匿名用户设置。

1.服务端创建一个系统用户，并设置登录密码。

useradd qingjun
echo 'citms' |passwd --stdin qingjun

2.修改配置文件，关闭匿名用户功能，此时就是使用系统用户功能，重启服务。

vim /etc/vsftpd/vsftpd.conf 
anonymous_enable=NO

######################################
systemctl  restart vsftpd

3.windows客户端登录，需要输入系统用户。

4.客户端创建文件，此时存在服务端的系统用户的家目录下。

2.4.2 匿名用户访问

1.现版本已默认开启，对应/etc/vsftp/vsftpd.conf配置文件中的anonymous_enable参数。

2.win11直接访问，此时不需要输入密码直接进入共享目录。

3.此时服务端创建文件目录，客户端拥有查看、下载权限。

2.4.2 开启客户端上传权限

• 开启客户端其他权限需要给共享目录/var/ftp/pub开启ftp用户的读写权限。
• 开启配置文件参数anon_upload_enable=YES。

1.设置共享目录权限。

setfacl -m u:ftp:rwx /var/ftp/pub/

2.修改主配置文件，并重启服务。

vim /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES
############################
systemctl  restart vsftpd

3.windows客户端上传文件到服务端，此时只能上传，没有更改、删除等其他权限。

2.4.3 开启客户端其他权限

• 开启配置文件参数anon_mkdir_write_enable=YES

1.修改配置文件参数，重启服务。

vim /etc/vsftpd/vsftpd.conf
anon_mkdir_write_enable=YES
############################
systemctl  restart vsftpd

2.客户端新建文件，但只有新建文件权限，没有修改、删除权限。

2.4.4 开启客户端删除、修改权限

• 开启配置文件参数anon_other_write_enable=YES

1.修改配置文件，重启服务。

vim /etc/vsftpd/vsftpd.conf
anon_other_write_enable=YES
############################
systemctl  restart vsftpd

2.客户端修改文件名称，服务端查看。同时客户端也可以删除文件。

2.4.5 修改客户端上传文件权限

• 开启配置文件参数anon_umask，权限遮罩码。
• 目录777-遮罩码=服务端查看到的目录权限
• 文件666-遮罩码=服务端查看到的文件权限

1.修改配置文件，自定义遮罩码，重启服务。

vim /etc/vsftpd/vsftpd.conf
anon_umask=022
############################
systemctl  restart vsftpd

2.客户端创建文件，服务端查看文件权限。

2.4.3 虚拟用户

虚拟用户配置：

• 所有的虚拟用户会被统一映射为一个指定的系统帐号，访问的共享位置即为此系统帐号的家目录。
• 可以有多个虚拟用户同时映射一个系统用户，每个虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定。
• 需要把主配置文件所有参数还原，只开启匿名用户功能。

虚拟用户帐号存储方式：

1. 保存到文件中，该文件需要被编码为hash格式。奇数行为用户名；偶数行为密码，推荐使用此方式。
2. 保存到关系型数据库中。

1.还原主配置文件配置，只打开匿名用户登录功能，确保有 db_load命令，若没有可以使用163的源。

2.创建虚拟用户账号保存文件，文件名自定义，以list结尾。

3. 给保存文件加密，并修改权限。

db_load -T -t hash -f user.list user.db
chmod 600 user*

4.创建系统用户，不需要登录。-d指定用户家目录，也是共享目录。

useradd -d /opt/mm -s /sbin/nologin mm

5.为虚拟用户建立PAM认证。先给vsftpd备份，防止后面出错，再编辑一个新文件指定虚拟用户的保存文件地址。

cd /etc/pam.d/
mv vsftpd{,-bak}

#############################
[root@localhost pam.d]# cat vsftpd
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/user
account required pam_userdb.so db=/etc/vsftpd/user

6.修改主配置文件，添加2个配置参数。

vim /etc/vsftpd/vsftpd.conf

guest_enable=YES    ## 匿名用户的功能打开
guest_username=mm          ##匿名账户映射mm系统账户

7.创建虚拟用户配置文件目录，并在主配置文件中指定该路径。

vim /etc/vsftpd/vsftpd.conf

user_config_dir=/etc/vsftpd/config
allow_writeable_chroot=YES    ##限制客户端只能在共享目录中活动，避免拥有进入其他目录的权限。

8.进入虚拟用户参数配置目录，定义策略。

9.重启服务，开始验证。

systemctl  restart vsftpd

• 客户端使用beijing用户登录，可删除、修改等权限。

三、安装客户端

• 客户端有很多种，命令方式可以安装ftp、lftp，图形化方式可以安装filezilla工具。

3.1 命令行方式

1.安装lftp。

yum -y install lftp

2.命令方式访问ftp服务器。

3.get下载文件。将共享目录下的文件下载到客户端本地。

4.put上传文件。

5.删除ftp上的文件。

6.删除本地文件。

7.下载目录到本地。

8.上传目录到ftp。

3.2 图形化方式

• 需提前安装filezilla工具。

1.使用系统用户连接ftp服务器，左右拖动文件即可上传、下载。

2.使用匿名用户登录。

3.禁锢家目录，限制用户只能连接访问到自己的家目录，其他目录不能进去。

##配置文件开启禁锢功能。
vim  /etc/vsftpd/vsftpd.conf
......
chroot_local_user=YES
allow_writeable_chroot=YES

##重启服务。
systemctl  restart vsftpd