Linux之FTP文件共享服务

• FTP文件共享服务概述
• • FTP服务介绍
  • FTP服务的服务端工具
  • FTP服务的客户端工具
  • • Linux下ftp客户端管理工具使用方法
    • Linux下lftp客户端管理工具使用方法
  • FTP的两种运行模式
  • • 主动模式
    • 被动模式
• 搭建FTP服务
• • 服务器端搭建FTP服务
  • FTP服务的配置文件详解
  • FTP访问对象控制（黑名单）
  • FTP网络访问控制（限IP+限速）
  • • 限制FTP流量
    • 限制IP地址
• 任务解决方案
• • 任务背景
  • 解决方案
  • • 禁锢目录补充
  • FTP服务错误提示
• FTP协议引用第三方平台视频

FTP文件共享服务概述

FTP服务介绍

FTP（File Transfer Protocol）是一种应用非常广泛并且古老的一个互联网文件传输协议。

主要功能：

• 文件传输=>文件上传与文件下载
• 主要用于互联网中文件的双向传输（上传/下载）、文件共享
• 跨平台 Linux、Windows
• FTP是C/S架构，拥有一个客户端和服务端，使用TCP协议作为底层传输协议，提供可靠的数据传输
• FTP的默认端口 21号（命令端口） 20号（数据端口，主动模式下） 默认被动模式下
• FTP程序（软件）vsftpd

FTP服务的服务端工具

FTP软件名称 => vsftpd => vs（very secure ftp daemon）

FTP服务的客户端工具

• Linux：ftp、lftp（客户端程序）
• Windows：FlashFXP(虚拟主机)、FileZilla、IE、Chrome、Firefox

lftp和ftp工具区别：

• lftp：默认是以匿名用户访问
• ftp：默认是以用户名/密码方式访问
• lftp可以批量并且下载目录

Linux下ftp客户端管理工具使用方法

• 常用于用户名密码的管理
  ftp命令：

# yum install ftp -y => 下载工具
# ftp 远程服务器IP => 登录方式，输入用户名和密码

#l 常用命令
ftp> ?或help	=>	求帮助命令
ftp>ls			=>	查看当前连接的FTP目录下有哪些文件。
ftp> quit		=>	退出

Ctrl  + Shift + L	=>	代表清屏快捷键

help+命令:ftp> help put		=>	针对某个文件求帮助
			put          send one file	=>	上传文件

#l 单文件上传下载
	put命令：ftp>ftp> put 本地文件路径+名称	 上传（send命令速度更快）
	get命令：ftp> get 远程文件路径+名称		 下载

#l 批量文件上传下载
	mput命令：ftp> mput 文件名称1 文件名称2 文件名称3 ...	批量上传
	mget命令：ftp> mget 文件名称1 文件名称2 文件名称3 ...	批量下载

#l prompt屏蔽批量输出信息
	ftp> prompt
	Interactive mode on.	=> 开启提示
	ftp> prompt
	Interactive mode off.	=> 关闭提示

Linux下lftp客户端管理工具使用方法

• 常用于匿名账号的管理
• 主要针对整站下载和文件夹下载
  lftp命令：

# yum install lftp -y => 下载工具
# lftp 用户名称@远程IP地址 => 登录方式，输入密码登录

#l 常用命令
ftp> ?或help	=>	求帮助命令

help+命令:ftp> help mirror		=>	针对某个文件求帮助


#l 批量上传下载命令
	lftp> mirror -R 本地文件夹名称	=>	批量上传（把shop文件夹上传到FTP服务器端
	lftp> mirror 远程FTP路径			=>	批量下载（把整个FTP下载到本地）

FTP的两种运行模式

在FTP服务中，其一共拥有两种模式（主动模式 + 被动模式）

• 参考点，FTP的服务器端。如果是FTP服务器端主动连接客户端=>主动模式，如果是客户端主动连接FTP服务器端=>被动模式。
• FTP默认使用的就是被动模式！

主动模式

• cmd：命令端口（发送FTP请求）
• data：数据端口（后期用于传输数据）

主动模式工作原理：

1. 客户端打开大于1023的随机命令端口和大于1023的随机数据端口向服务端的21号端口发起请求
2. 服务端的21号命令端口响应客户端的随机命令端口
3. 服务端的20号端口主动请求连接客户端的随机数据端口
4. 客户端的随机数据端口进行确认

主动模式容易被客户端的防火墙拦截
客户端发起连接请求，发送打开的随机数据端口信息

被动模式

被动模式工作原理：

1. 客户端打开大于1023的随机命令端口和大于1023的随机数据端口向服务的的21号端口发起请求
2. 服务端的21号命令端口响应客户端的随机命令端口
3. 客户端主动连接服务端打开的大于1023的随机数据端口
4. 服务端进行确认

客户端不会拦截自身往外发送的请求
客户端发起连接请求，发送PASY命令

搭建FTP服务

服务搭建流程：

1. 关闭防火墙和selinux
2. 配置yum源(mount /dev/sr0 /mnt)
3. 软件三部曲
4. 了解配置文件
5. 根据需求修改配置文件来完成服务的搭建
6. 启动服务，开机自启动
7. 测试验证

服务器端搭建FTP服务

第一步：关闭防火墙与SELinux

# systemctl stop firewalld
# systemctl disable firewalld

# setenforce 0
# vim /etc/selinux/config
	SELINUX=disabled

第二步：配置YUM源

https://jinyi.blog.csdn.net/article/details/116139354

第三步：安装vsftpd软件（FTP => vsftpd）

# yum install vsftpd -y

第四步：启动ftp服务并添加到开机启动项中

# systemctl start vsftpd
# systemctl enable vsftpd

第五步：测试FTP是否安装成功

# ifconfig ens33 => 查看FTP IP 
	[root@localhost ~]#  ifconfig ens33
	ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    	    inet 10.1.1.10  netmask 255.255.255.0  broadcast 10.1.1.255

查看默认登录目录存储位置：

# find / -name "pub" -type d
	[root@localhost ~]# find / -name "pub" -type d
	find: ‘/run/user/1000/gvfs’: Permission denied
	/var/ftp/pub	=>	默认登录目录存放位置

• 基于浏览器访问
  浏览器访问时访问不到，需要将IE 浏览器 => internet选项 => 高级 => 使用被动FTP选项关掉
  

• 基于FlashFxp、FileZilla软件（Windows客户端）
  

• 基于ftp以及lftp命令进行连接（Linux与Linux之间的FTP文件传输）

# yum install ftp lftp -y => 安装lftp和ftp Linux客户端，相当于两个小命令
# ftp 10.1.1.10 => 使用ftp软件匿名连接ftp服务器
或
# lftp 10.1.1.10 => 使用lftp软件匿名连接ftp服务器

FTP服务的配置文件详解

vsftpd 服务端软件生成了哪些文件：

# yum install vsftpd -y => 安装ftp服务
# rpm -ql vsftpd
	/usr/lib/systemd/system/vsftpd.service	=>	启动脚本
	
	/etc/vsftpd					=>	配置文件的目录
	/etc/vsftpd/vsftpd.conf		=>	配置文件(主配置文件)
	
	/etc/vsftpd/ftpusers		=>	用户列表文件，黑名单
	/etc/vsftpd/user_list		=>	用户列表文件，可黑可白（默认是黑名单）
	
	/usr/sbin/vsftpd		=>	程序本身（二进制的命令）
	
	/var/ftp			=>	匿名用户的默认数据根目录
	/var/ftp/pub		=>	匿名用户的扩展数据目录

vsftpd配置文件详解：/etc/vsftpd/vsftpd.conf

# man 5 vsftpd.conf => 当不清楚配置文件编写方式时候，用次命令查看配置文件编写方式

# grep -v ^# /etc/vsftpd/vsftpd.conf
	anonymous_enable=YES		=>	支持匿名用户访问	
	local_enable=YES			=>	支持非匿名用户,普通账号登录，默认进入到自己家目录
	write_enable=YES			=>	写总开关(主要针对非匿名用户，代表普通用户登录拥有上传下载权限)
	local_umask=022				=>	反掩码  file:644  rw- r-- r-- dir:755
	dirmessage_enable=YES		=>	启用消息功能
	xferlog_enable=YES			=>	开启或启用xferlog日志
	connect_from_port_20=YES	=>	支持主动模式（默认被动模式）
	xferlog_std_format=YES		=>	xferlog日志格式
	listen=YES					=>    ftp服务独立模式下的监听，默认监听21端口

	pam_service_name=vsftpd		=>	指定认证文件
	userlist_enable=YES			=>	启用用户列表（黑名单），当开启这个功能，往/etc/vsftpd/user_list文件写入黑名单账号
	tcp_wrappers=YES			=>	支持tcp_wrappers功能(FTP上传下载限速操作)

FTP访问对象控制（黑名单）

• ftpusers 黑名单

• user_list 默认是黑名单（可以成为白名单）

• 默认情况下，root账号是不允许登录FTP服务器（ 原因：root用户在黑名单/etc/vsftpd/ftpusers和黑名单/etc/vsftpd/user_list中）

# cat /etc/vsftpd/ftpusers => 查看黑名单，默认不被允许登录FTP服务器的账号；需要删除两个黑名单中root账号才可以登录
[root@code ~]# cat /etc/vsftpd/ftpusers 
...
root
...

# ftpusers 与 user_list黑名单效果不同点
	ftpusers：
		[root@localhost ftp]# ftp 10.1.1.10
		Connected to 10.1.1.10 (10.1.1.10).
		220 (vsFTPd 3.0.2)
		Name (10.1.1.10:root): kefu
		331 Please specify the password.
		Password:
		530 Login incorrect.			=>       ftpusers被禁用，可以输入密码，返回530
		Login failed.


	user_list：
		[root@localhost ftp]# ftp 10.1.1.10
		Connected to 10.1.1.10 (10.1.1.10).
		220 (vsFTPd 3.0.2)
		Name (10.1.1.10:root): kefu
		530 Permission denied.
		Login failed.
		原因：默认情况下user_list文件也是黑名单，如果在该文件里直接拒绝，不给输入密码的机会。


# user_list可以从黑名单变成白名单（允许某个用户登录FTP系统服务器）
	user_list要成为白名单，需要再配置文件里增加：
	# vim /etc/vsftpd/vsftpd.conf
		userlist_deny=NO	=>	增加一行，让user_list可以从黑名单变成白名单
	注意：如果user_list是白名单，那么必须在该文件里的用户才可以访问ftp服务。
		#l 当黑白名单文件有同一账号，以黑名单文件ftpusers 为准

总结：

1. 用户在ftpusers文件中，那么用户不能访问ftp服务器
2. 用户在user_list文件中，如果该文件是白名单，那么只在该文件中的用户可以访问ftp服务
3. 如果user_list文件是白名单，用户即在ftpusers中又在user_list中，那么ftpusers拒绝优先

FTP网络访问控制（限IP+限速）

• FTP必须支持tcp_wrappers

• /etc/hosts.allow 允许某些IP访问

• /etc/hosts.deny 拒绝某些IP访问

如何判断某个服务是否支持tcp_wrappers：

• ./configure –enable-libwrap 表示支持tcp_wrappers访问控制（源码安装看配置项）

• rpm安装(也包括yum安装)

#l 源码包安装时增加--enable-libwrap选项
	# ./configure --enable-libwrap	=>	查看配置


#l rpm软件包安装和yum安装
	# ldd命令 +二进制程序，查询某个软件包含哪些模块 =>基本语法

	# ldd /usr/sbin/vsftpd |grep libwrap* => 查询vsftpd是否支持tcp_wrappers，有libwrap.so.0 代表支持
		libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2956480000)

	# ldd /usr/sbin/sshd |grep libwrap* => 查询vsftpd是否支持tcp_wrappers，有libwrap.so.0 代表支持
		libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f015ff29000)

限制FTP流量

# vim /etc/vsftpd/vsftpd.conf => 打开ftp配置文件，增加一行
	local_max_rate=0	=>	0代表不限速，默认单位为字节如：local_max_rate=1024
	写法：local_max_rate=数值 + 字节

限制IP地址

服务程序:主机	=>	基本语法

# vim /etc/hosts.deny => 编辑IP黑名单文件
	vsftpd:all              =>   全部拒绝
	vsftpd:192.168.0.254	=> 	 拒绝单个IP地址

	vsftpd:all EXCEPT 192.168.0.2   =>  拒绝所有除了192.168.0.2  
	vsftpd:192.168.0.254:allow		=>	允许192.168.0.254访问，类似/etc/hosts.allow里增加vsftpd:192.168.0.254

	vsftpd:192.168.0.0/255.255.255.0   拒绝某个网段
	vsftpd:192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254   拒绝某个网段，但是除了某个ip地址
	注意：子网掩码不支持192.168.0.0/24这种写法


#l 多个服务限制IP
# vim /etc/hosts.deny
	vsftpd,sshd:10.1.1.1

任务解决方案

任务背景

简单来说：根据我们所学的内容（FTP）搭建一个客户服务系统（主要涉及客服资料上传与下载）

1. 客服人员必须使用用户名密码(kefu/123)的方式登录服务器来下载相应文档
2. 不允许匿名用户访问
3. 客服部门的相关文档保存在指定的目录里/data/kefu local_root=/data/kefu
4. 客服用户使用用户kefu/123登录后就只能在默认的/data/kefu目录里活动

解决方案

# useradd kefu => 创建客服账号(Server)
# echo 123 |passwd --stdin kefu => 给账号编写密码
# mkdir /data/kefu -p => 创建用户ftp登录时的目录


# vim /etc/vsftpd/vsftpd.conf => 修改配置文件
	12行 anonymous_enable=NO		=>	YES改为NO，不允许匿名用户访问
	17行 local_root=/data/kefu		=>	增加一行，默认ftp登录目录为用户家目录，指定本地用户登录时访问的目录
	18行 chroot_local_user=YES		=>	限定 kefu/123 账号等本地用户只能在/data/kefu目录下活动

# systemctl restart vsftpd => 重启服务让配置文件生效

禁锢目录补充

禁锢所有用户

# vim /etc/vsftpd/vsftpd.conf
	18行 chroot_local_user=YES  禁锢所有用户,即所用用户登录FTP时只能处于禁锢目录内

给一小部分用户开通非禁锢权限

# vim /etc/vsftpd/vsftpd.conf
	103 chroot_local_user=YES		=>	禁锢所有用户
	105行 chroot_list_enable=YES	=>	开启用户列表文件
	107行 chroot_list_file=/etc/vsftpd/chroot_list	指定用户列表文件,在此文件中的用户不会被禁锢在禁锢目录中，可以访问其他目录

# echo kefu >> /etc/vsftpd/chroot_list 代表客服这个账号不会被禁锢在指定目录


# systemctl restart vsftpd

FTP服务错误提示

响应: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

• 当限定本地用户登录目录 /data/kefu 后，对FTP服务器上传下载会出现以上报错
• 这个问题主要出现在FTP2.3.5以后的版本中，当然你可以使用 rpm -qi vsftpd 查看版本信息
• 高版本为了服务器安全性考虑，当禁锢目录 /data/kefu 具有写的权限就拒绝连接

# chmod a-w /home/dhj => 去除写权限（治标不治本，只能下载不能上传）
或
# vim /etc/vsftpd/vsftpd.conf => 核心解决方案，添加一个选项
	19行 allow_writeable_chroot=YES		=>	允许禁锢目录/data/kefu 具有写的权限

响应: 553 Could not create file.

• 用户具有下载权限，但是没有上传权限。响应533错误信息
• 之所以无法上传，主要原因在于kefu这个账号对于/data/kefu文件夹没有w写权限

[root@code ~]# ll -d /data/kefu/
drwxr-xr-x. 2 root root 82 May  1 14:00 /data/kefu/

# setfacl -R -m u:kefu:rwx /data/kefu => 利用acl命令对用户增加写权限
# systemctl restart vsftpd => 重启服务

FTP协议引用第三方平台视频

第一步：在Linux电脑中安装httpd（阿帕奇）

# yum install httpd -y => 第一步：在Linux电脑中安装httpd（阿帕奇）
# systemctl start httpd => 第二步：启动httpd
# vim /var/www/html/demo.html => 第三步：在/var/www/html项目目录中创建一个demo.html文件
	<iframe height=498 width=815 src='https://player.youku.com/embed/XNDU4OTM3NzM0NA==' frameborder=0 'allowfullscreen'></iframe>
	#l 备注：引用视频网站的代码

#l 访问：ftp://10.1.1.10/demo.html