FTP 是文件传输协议,正是由于这种协议使得主机间可以共享文件,FTP 使用TCP 20端口生成一个虚拟连接用于控制信息,然后再生成一个单独的TCP 21端口连接用于数据传输;vsftpd是一款在Linux发行版中最主流的FTP服务器程序;特点是小巧轻快,安全易用。FTP主动模式:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的port 21命令端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。FTP被动模式:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的port 21命令端口。然后客户端开始监听端口N+1,同时客户端提交 PASV命令。服务器会开启一个任意的非特权端口(P >1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
实验环境:单台服务器部署,IP地址为:192.168.10.30
[root@server ~]# cat /etc/redhat-release
CentOS Linux release 7.3.1611 (Core)
[root@vsftp ~]# yum install ftp vsftpd* -y //ftp是客户端 vsftpd是服务端
[root@vsftp ~]# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
[root@vsftp ~]# vim /etc/vsftpd/vsftpd.conf
anonymousenable=NO //禁止匿名用户访问
chroot_list_enable=YES //限制访问自身目录
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
local_enable=YES //允许本地用户登录FTP
write_enable=YES //运行用户在FTP目录有写入的权限
local_umask=022 //设置本地用户的文件生成掩码为022,默认是077
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
xferlog_enable=YES //启用上传和下载日志功能
connect_from_port_20=YES //启用FTP数据端口的连接请求
xferlog_std_format=YES //是否使用标准的ftpd xferlog日志文件格式
listen=NO //使vsftpd处于独立启动监听端口模式
listen_ipv6=YES
allowwriteablechroot=YES //允许用户的根目录可写
pam_service_name=vsftpd //设置PAM认证服务配置文件名称,存放在/etc/pam.d/目录
userlist_enable=YES //用户列表中的用户是否允许登录FTP服务器,默认是不允许
tcp_wrappers=YES //使用tcp_wrqppers作为主机访问控制方式
[root@vsftp ~]# echo "ftpuser" >> /etc/vsftpd/chroot_list //将受限制的用户添加进去
[root@vsftp ~]# useradd ftpuser -g ftp -d /root/install -s /sbin/nologin //指定用户目录
[root@vsftp ~]# usermod -s /sbin/nologin ftpuser
[root@vsftp ~]# passwd ftpuser //修改ftpuser用户的密码
[root@vsftp ~]# cat /etc/passwd //查看用户主目录
[root@vsftp ~]# chown -R ftpuser:ftp /root/install //改变目录属主
[root@vsftp ~]# chmod -R 755 /root/install //改变目录权限(FTP目录之前的系统目录必须可读)
[root@vsftp ~]# systemctl enable vsftpd && systemctl start vsftpd
[root@vsftp ~]# systemctl list-unit-files | grep vsftpd //开机自启动
[root@client ~]# ftp 192.168.10.30 ftp>open 192.168.10.30 //登录测试