1.vsftpd(非常安全的ftp进程)是redhat公司的产品,安全 小巧 支持多种模式和多种用户配置 主动模式:所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了 被动模式: 所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了) 主动和被动的对比: (1)PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。 (2)从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取,因此使用PASV方式来架设ftp server是最安全绝佳方案。 因此:如果只是简单的为了文件共享,完全可以禁用PASV模式,解除开放大量端口的威胁,同时也为防火墙的设置带来便利。 不幸的是,FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器,因此,必须要使vsftpd在开启了防火墙的情况下,也能够支持PASV模式进行数据访问。 相关参数: pasv_enable=yes (Default: YES) 设置是否允许pasv模式 #pasv_promiscuous=no (Default: NO) 是否屏蔽对pasv进行安全检查,(当有安全隧道时可禁用) pasv_max_port=10240 (Default: 0 (use any port)) pasv使用的最大端口 pasv_min_port=20480 (Default: 0 (use any port)) pasv使用的最小端 其次(2)给防火墙添加FTP访问转换支持模块 #vi /etc/sysconfig/iptables-config // 添加以下两行: IPTABLES_MODULES="ip_conntrack_ftp" IPTABLES_MODULES="ip_nat_ftp" 请一定注意两行内容的位置关系不要搞反了。如果将"ip_nat_ftp"放到前面是加载不到的。如果你的ftp服务是过路由或者防火墙(即内网映射方式一定需要此模块)。以上等同于在加载iptables之前运行modprobe命令加载"ip_nat_ftp"和"ip_conntrack_ftp"模块。 (3)给防火墙添加访问规则允许 -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --sport 21 -j (4)重启防火墙服务 service iptables restart (5)检查模块是否加载成功 #lsmod |grep ftp ip_nat_ftp 7361 0 ip_nat 21229 1 ip_nat_ftp ip_conntrack_ftp 11569 1 ip_nat_ftp ip_conntrack 53665 4 ip_nat_ftp,ip_nat,ip_conntrack_ftp,xt_state 二: 三种用户模式(本地用户,匿名用户,虚拟用户) 前两种用户配置简单,度娘:https://www.jb51.net/article/137485.htm 参考虚拟用户配置命令及配置文件参数 1.生产需求: ![QQ截图20180627235731.png](http://www.xwblog.club/usr/uploads/2018/06/3073068729.png) 2.命令及配置文件: 关闭selinux,防火墙和同步服务器时间 yum -y install vsftpd db4 db4-utils #安装软件包和db加密包 mkdir /bakup mv /etc/vsftpd/vsftpd.conf /bakup/ #将原配置文件备份,根据生产环境自定义 cat /etc/vsftpd/vsftpd.conf listen_port=5899 #监听端口号 anonymous_enable=NO #匿名用户 local_enable=YES write_enable=YES local_umask=022 #文件掩码 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES ascii_upload_enable=YES ascii_download_enable=YES #ASCII传输方式 chroot_list_enable=YES #chroot 安全优化 allow_writeable_chroot=YES #此项参数在centos6中的版本需注释,不然启动vsftpd会报错,centos7需打开,不然用户登录会提示500错误 listen=YES #监听 pam_service_name=vsftpd #pam认证文件名 userlist_enable=YES tcp_wrappers=YES guest_enable=YES guest_username=ftp #虚拟用户配置参数 user_config_dir=/etc/vsftpd/vuser_conf chroot_list_file=/etc/vsftpd/vuser_passwd.txt chroot_local_user=YES sed -i 's/^[^#]/#&/' /etc/pam.d/vsftpd #注释认证文件原参数,在末尾行加入以下参数: auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd account required pam_userdb.so db=/etc/vsftpd/vuser_passwd mkdir -p /data {shangwu,pub} chmod 777 /data/* chown -R ftp.ftp /data/* #创建目录和更改权限 vim /etc/vsftpd/vuser_passwd.txt xw 123456 shangwu 123456 pub 123456 #奇数行为用户名偶数行为密码 chmod 600 /etc/vsftpd/vuser_passwd.txt db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db #创建和加密认证文件,保证安全权限为600 vim /etc/vsftpd/vuser_conf/xw vim /etc/vsftpd/vuser_conf/shangwu vim /etc/vsftpd/vuser_conf/pub #创建用户单独的权限配置文件 cat /etc/vsftpd/vuser_conf/xw local_root=/data/ #管理员的一级目录 write_enable=YES anon_umask=022 #掩码 anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES cat /etc/vsftpd/vuser_conf/shangwu local_root=/data/shangwu #商务的家目录 write_enable=YES anon_umask=022 #掩码 anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES cat /etc/vsftpd/vuser_conf/pub local_root=/data/pub #pub的家目录 write_enable=YES anon_umask=022 #掩码 anon_world_readable_only=NO anon_upload_enable=YES #上传 anon_mkdir_write_enable=NO #创建 anon_other_write_enable=NO #删除等 #修改/etc/services vim /etc/services 将ftp 21/tcp ftp 21/udp 改成 vsftpd.conf文件中 listen_port参数的端口 systemctl start vsftpd.service 启动服务 四 高可用vsftpd架构 ![QQ截图20180627234848.png](http://www.xwblog.club/usr/uploads/2018/06/413631552.png)