请选择 进入手机版 | 继续访问电脑版
查看: 1140|回复: 0

[技术交流] FTP服务器软件-vsftpd

[复制链接]

185

主题

204

帖子

596

积分

利尔达员工

Rank: 9Rank: 9Rank: 9

积分
596
发表于 2020-10-27 18:50:28 | 显示全部楼层 |阅读模式
        vsftpd(名字代表very secure FTP daemon),它的开发者Chris Evans考虑的首要问题就是数据传输的安全性,是一个UNIX类操作系统上运行的服务器,可以运行在LINUX,BSD,Solaris上面,就是一个FTP服务器程序。
        它的特点是安全性高,完全免费,使用端口为20/21。


关于vsftpd
ftp使用者的分类,根据服务器对象的不同将ftp使用者分为3类1:本地用户(real用户)2:虚拟用户(guest用户)3:匿名用户本地用户:如果用户在远程ftp服务器上拥有服务器的本地帐号,本地用户可以通过输入自己的帐号和口令来进行授权登陆。虚拟用户:如果用户在远程ftp服务器上拥有帐号,且此帐号只能用于文件的传输服务,则称此用户为虚拟用户或guest用户(实际多个虚拟用户只是本地一个用户的影射)。匿名用户:如果用户在远程ftp服务器上没有帐号,则称此用户为匿名用户。

ftp协议中定义的典型消息,用来判断问题125  :数据连接打开,传输开始200  :命令ok226  :数据传输完毕331  :用户名OK,需要输入密码425  :不能打开数据连接426  :数据连接被关闭,传输被中断452  :错误写文件500  :语法错误,不可识别的命令530  :未登入。

ftp的数据传输模式
可能很多人都感到pasv_enable这个参数很奇怪,只是默认是打开的,所以很多人不关心它。
FTP的连接模式有两种:PORT(主动模式)和PASV(被动模式)
(1)主动模式
所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。
(2)被动模式
所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了)
(被动模式通常用在处于防火墙之后的FTP客户端访问外界FTP服务器的情况,因为防火墙通常配置是不允许外界访问防火墙之后的机器,只允许由防火墙之后的主机发起的连接请求)
Tips:防火墙的说法不太能理解的话,就理解为非公网IP。
在被动模式下,FTP服务器的20端口就不会被使用了。
两种模式的比较
(1)PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。
(2)从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取,因此使用PASV方式来架设ftp server是最安全绝佳方案。
因此:如果只是简单的为了文件共享,完全可以禁用PASV模式,解除开放大量端口的威胁,同时也为防火墙的设置带来便利。
不幸的是,FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器,因此,必须要使vsftpd在开启了防火墙的情况下,也能够支持PASV模式进行数据访问。
如何开启vsftpd的PASV模式?
(1)修改/etc/vsftpd/vsftpd.conf文件配置
pasv_enable=yes (Default: YES) 设置是否允许pasv模式
#pasv_promiscuous=no (Default: NO) 是否屏蔽对pasv进行安全检查,(当有安全隧道时可禁用)
pasv_max_port=10240 (Default: 0 (use any port)) pasv使用的最大端口
pasv_min_port=20480 (Default: 0 (use any port)) pasv使用的最小端口
Tips:但是在我的阿里云ECS服务器上,不论开启关闭PASV模式,使用FileZilla工具都是可以访问的,差别仅在于若关闭PASV模式,在浏览器上将无法访问FTP。猜测如上面介绍的,大多数浏览器都是使用被动模式访问的,而这些FTP工具都是自动检测访问模式的。

vsftpd主配置文件常用参数说明
listen=<YES/NO> :设置为YES时vsftpd以独立运行方式启动,设置为NO时以xinetd方式启动(xinetd是管理守护进程的,将服务集中管理,可以减少大量服务的资源消耗)listen_port=<port> :设置控制连接的监听端口号,默认为21listen_address=<ip address> :将在绑定到指定IP地址运行,适合多网卡connect_from_port_20=<YES/NO> :若为YES,则强迫FTP-DATA的数据传送使用port 20,默认YESpasv_enable=<YES/NO> :是否使用被动模式的数据连接,如果客户机在防火墙后,请开启为YESpasv_min_port=<n>pasv_max_port=<m> :设置被动模式后的数据连接端口范围在n和m之间,建议为50000-60000端口message_file=<filename> :设置使用者进入某个目录时显示的文件内容,默认为 .messagedirmessage_enable=<YES/NO> :设置使用者进入某个目录时是否显示由message_file指定的文件内容ftpd_banner=<message> :设置用户连接服务器后的显示信息,就是欢迎信息banner_file=<filename> :设置用户连接服务器后的显示信息存放在指定的filename文件中connect_timeout=<n> :如果客户机连接服务器超过N秒,则强制断线,默认60accept_timeout=<n> :当使用者以被动模式进行数据传输时,服务器发出passive port指令等待客户机超过N秒,则强制断线,默认60accept_connection_timeout=<n> :设置空闲的数据连接在N秒后中断,默认120data_connection_timeout=<n> : 设置空闲的用户会话在N秒后中断,默认300max_client=<n> : 在独立启动时限制服务器的连接数,0表示无限制max_per_ip=<n> :在独立启动时限制客户机每IP的连接数,0表示无限制(不知道是否跟多线程下载有没干系)local_enable=<YES/NO> :设置是否支持本地用户帐号访问guest_enable=<YES/NO> :设置是否支持虚拟用户帐号访问write_enable=<YES/NO> :是否开放本地用户的写权限local_umask=<nnn> :设置本地用户长传的文件的生成掩码,默认为077local_max_rate<n> :设置本地用户最大的传输速率,单位为bytes/sec,值为0表示不限制local_root=<file> :设置本地用户登陆后的目录,默认为本地用户的主目录chroot_local_user=<YES/NO> :当为YES时,所有本地用户可以执行chrootchroot_list_enable=<YES/NO> chroot_list_file=<filename> :当chroot_local_user=NO 且 chroot_list_enable=YES时,只有filename文件指定的用户可以执行chrootanonymous_enable=<YES/NO> :设置是否支持匿名用户访问anon_max_rate=<n> :设置匿名用户的最大传输速率,单位为B/s,值为0表示不限制anon_world_readable_only=<YES/NO> 是否开放匿名用户的浏览权限anon_upload_enable=<YES/NO> 设置是否允许匿名用户上传anon_mkdir_write_enable=<YES/NO> :设置是否允许匿名用户创建目录anon_other_write_enable=<YES/NO> :设置是否允许匿名用户其他的写权限(注意,这个在安全上比较重要,一般不建议开,不过关闭会不支持续传)anon_umask=<nnn> :设置匿名用户上传的文件的生成掩码,默认为077anon_root=<file> :设置匿名用户登陆后的目录no_anon_password=<YES/NO> :设置匿名用户登陆是否询问密码 ascii_download_enable=<YES/NO>ascii_upload_enable=<YES/NO> :一般为NO,启动这个可能会导致DoS的攻击hide_ids=<YES/NO> :如果启动,所有档案拥有者与组群都为FTP,也是就ls -l之类指令看到的拥有者和组均为FTPls_recurse_enable=<YES/NO> :启动此功能,则允许登录者使用ls -R这个指令,默认为NOtcp_wrappers=<YES/NO> :设置服务器是否支持tcp_wrappers(就是支持/etc/hosts.allow和/etc/hosts.deny这两个文件)pam_service_name=vsftpd :设置PAM模块的名称xferlog_enable=<YES/NO> :是否启动FTP日志记录xferlog_file=/var/log/vsftpd.log :设置日志记录文件的名称xferlog_std_format=<YES/NO> :当设置为YES时,将使用与wu-ftpd相同的日志记录格式

ftp匿名服务器参考参数
#vsftpd#cat /etc/vsftpd.conf
#Standalone mode listen=YES max_clients=200 max_per_ip=4 tcp_wrappers=YES
#Access rights anonymous_enable=YES local_enable=NO write_enable=NO anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO
#Security anon_world_readable_only=YES connect_from_port_20=YES hide_ids=YES pasv_min_port=50000 pasv_max_port=60000
#Features xferlog_enable=YES is_recurse_enable=NO ascii_download_enable=NO async_abor_enable=YES
#Performance one_process_model=YES idle_session_timeout=120 data_connection_timeout=300 accept_timeout=60 connect_timeout=60 anon_max_rate=50000 ftpd_banner=This FTP server is anonymous only, and vsftpd in "standalone"

匿名用户问题
要使匿名用户可以上传,需要激活两个选项
1.anon_upload_enable=YES
2.anon_mkdir_wreite_enable=YES
然后打开写权限:write_enable=YES
可以设置匿名根目录:anon_root=/home/doc
Tips:如果想要开启一个文件夹给匿名用户以上传文件使用。
在配置文件中将匿名权限都开启:
anonymous_enable=YES//允许匿名登录
anonymous_upload_enable=YES//允许匿名上传
anon_mkdir_write_enable=YES//允许匿名创建目录
anon_world_readable_only=YES//允许匿名浏览
anon_other_write_enable=YES//允许匿名重命名、删除文件等权限
然后将匿名根目录下某文件夹的权限的其它用户权限设置为"rwx"即可,在这里,匿名用户就相当于其它用户,所以即使给vsftpd开放了匿名用户所有的读写权限,但是也只有当文件的其它用户权限被解锁了,匿名用户才可操作。相当于vsftpd赋予匿名用户权限了,但是也得看FTP服务器文件是否赋予其它用户的操作权限。

文件掩码的问题
local_umask,本地用户掩码
anon_umask,匿名用户掩码
该参数的意思是:建立的文件不能拥有的权限
Tips: sudo chmod 777 /xxx/xxx
第一个数字:所有者权限;
第二个数字:组的权限;
第三个数字:其它用户权限
rwx 对应 421
能看到文件,就需要有r权限如果要进入目录,就需要x权限要想写入目录,就需要w权限

把所有用户限制在主目录内活动
chroot_local_user=YES//所有本地用户可以执行chroot
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
那么, 凡是加在文件vsftpd.chroot_list中的用户都是不受限止的用户
即,可以浏览其主目录的上级目录.
Tips:尝试效果并不好,不光是上级目录受限,而是会造成用户无法登录

基于主机的访问控制的配置(IP)
tcp_wrappers参数,
可以限制特定的主机访问,又可以对不同主机或网络实施不同的配置(理解为不同的权限)
tcp_wrappers使用/etc/hosts.allow和/etc/hosts.deny两个配置文件实现访问控制,hosts.allow是一个许可表,hosts.deny是一个拒绝表在hosts.allow中也可以使用DENY,所以通常可以只使用hosts.allow来实现访问控制。
对vsftpd而言,书写hosts.allow有三种语法形式1: vsftpd:主机表 (设置允许访问的主机表)2: vsftpd:主机表ENY (设置拒绝访问的主机表)3: vsftpd:主机表:setenv VSFTPD_LOAD_CONF 配置文件名 (对指定的主机使用另外的配置)setenv VSFTPD_LOAD_CONF的值为指定的配置文件名,意图是让vsftpd守护进程读取新的配置项来覆盖主配置文件中的项,实现特定待遇这有一个小例子来说明tcp_wrappers
功能:》1.拒绝192.168.2.0/24访问》2.对192.168.1.0/24内的所有主机不作连接限制和最大传输速率限制》3.对其他主机的访问限制为:每ip连接数为1,最大传输速率为10kb/s (在主配置文件中设置就好了)
首先保证设定tcp_wrappers=YES然后编辑 sudo vi /etc/hosts.allow 输入
vsftpd:192.168.2.0/24: DENY (阻止192.168.2.0子网的访问)vsftpd:192.168.1.0/24 (允许192.168.1.0子网的访问)vsftpd:192.168.1.0/24: setenv VSFTPD_LOAD_CONF /etc/xxx.conf (对192.168.1.0/24指定专有配置文件xxx.conf,xxx可以自己指定文件名,需要建立)
然后建立xxx.conf文件,并编辑 (建立文件可以用sudo touch /etc/xxx.conf建立)
local_max_rate=0anon_max_rate=0max_per_ip=0
Tips:目前还不太能搞明白,尝试用虚拟机禁止主机的IP地址访问但是似乎并无效果。
允许root登录
打开/etc/ftpusers
该文件下的用户将被禁止登录ftp
把root注释掉即可。

本地账户访问控制
论坛的置顶贴中有一个简单的ftp,是一个本地用户的配置,实际中可能不只需要一个这里就说下本地用户的访问控制,基本有两种方法都是通过修改主配置文件:1:指定的本地用户不能访问,其他可以访问userlist_enable=YESuserlist_deny=YESuserlist_file=/etc/vsftpd.user_list (这个文件需要自己建立,并添加不能访问的用户名)2:指定的本地用户可以访问,其他不可以(这个比较常用)userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd.user_list(同上,添加可以访问的用户名)
碰到的问题
1.浏览器访问不了,同时开启了本地账号登录和匿名登录。
答:并非是访问不了,而是使用 ftp:// 的方式,若同时开启了本地账号和匿名登录,默认以匿名方式登录,然并未设置匿名登录根目录,故显示为无索引,以为浏览器访问不了。若在开启了本地用户登陆的的情况下,可以 ftp://username:password@192.168.0.1 该方式登录,但是在同时开启匿名和本地用户登陆时在Windows下的浏览器尝试都不可,即使输入正确的账号密码也会以匿名方式登录,只有在Ubuntu下的firefox浏览器测试可行,但是在关闭匿名访问时,在Windows下的浏览器以该方式进行账号登录都可行。
2.用浏览器登录FTP是非常慢的,点开一个目录花很长时间加载,最好使用FTP工具,如FileZilla。
答:后面发现并非是浏览器访问FTP很慢,而是使用账号登录点开FTP的目录加载时间很长,而以匿名用户登录时,这个时间根本不会引起不适,猜测账号登录可能每次操作都需要验证用户正确。
出于安全兼顾浏览器效率的考虑可以把匿名用户开启,将匿名用户根目录设置好,但是只给予下载和查看的权限,因为虽然浏览器一般不能对FTP文件做修改,但是使用FTP工具是可以的,所以不该赋予匿名修改的权限。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表