FTP两种模式的区别:

  • (1)PORT(主动)模式

所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。

  • (2)PASV(被动)模式

所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了)

两种模式的比较:

(1)PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。

(2)从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取,因此使用PASV方式来架设ftp server是最安全绝佳方案。

因此:如果只是简单的为了文件共享,完全可以禁用PASV模式,解除开放大量端口的威胁,同时也为防火墙的设置带来便利。

不幸的是,FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器,因此,必须要使vsftpd在开启了防火墙的情况下,也能够支持PASV模式进行数据访问。

CentOS系统FTP搭建

1. CentOS6.8搭建vsftp server

  • 安装
1
yum install -y vsftpd
  • 配置防火墙(端口自定义为8021)
1
2
iptables -I INPUT 1 -m state --state NEW -p tcp --dport 8021 -m comment --comment "FTP" -j ACCEPT
iptables -I INPUT 1 -m state --state NEW -p tcp --dport 10221:20221 -m comment --comment "FTP" -j ACCEPT

/etc/sysconfig/iptables-config添加以下两行:

1
2
IPTABLES_MODULES="ip_conntrack_ftp"
IPTABLES_MODULES="ip_nat_ftp"

执行modprobe ip_nat_ftp也可以,但重启系统会失效

  • 关闭selinux
1
setenforce 0
  • 配置vsftpd.conf,修改如下选项
1
2
3
4
5
6
anonymous_enable=NO    # 不允许匿名登录
chroot_local_user=NO # 不允许chroot(浏览非主目录内容)
chroot_list_enable=YES # 开启chroot_list列表(chroot_local_user为YES,则列表内容是不允许chroot;chroot_local_user为NO则列表内容是允许chroot)
chroot_list_file=/etc/vsftpd/chroot_list # chroot白名单
local_umask=002 # 设置默认文件和目录的umask,即默认文件权限为664,目录为775(系统内root和其他用户的umask默认不相同,且最好放在~/.ssh/.bashrc里让其永久失效)
local_root=/opt/ftp # 指定系统用户登录默认根目录
  • 配置selinux
1
2
3
setsebool -P ftp_home_dir on
setsebool allow_ftpd_full_access on
sestatus -b |grep ftp # 查看是否设置成功
  • 创建ftp用户,并设置登录密码
1
2
useradd -s /sbin/nologin -d /opt/ftp -g ftp ftpuser
passwd ftpuser

将ftpuser添加到chroot_list中

  • 设置被动模式并更改默认端口,vsftpd.conf配置如下
1
2
3
4
5
6
7
8
connect_from_port_20=NO
# PASV mode
listen_port=8021
pasv_enable=YES
pasv_min_port=10221
pasv_max_port=20221
pasv_promiscuous=YES
ftpd_banner=Welcome to FTP service

修改/etc/service

1
2
ftp             8021/tcp
ftp 8021/udp fsp fspd
  • 启动
1
2
service vsftpd start
chkconfig vsftpd on

2. CentOS7配置vsftp server

注:vsftpd与CentOS6版本不同

  • 安装
1
yum install -y vsftpd
  • 配置防火墙(端口自定义为8021)
1
2
iptables -I INPUT 1 -m --state NEW -p tcp --dport 8021 -j ACCEPT
iptables -I INPUT 1 -m --state NEW -p tcp --dport 10221:20221 -j ACCEPT
  • 关闭selinux
1
setenforce 0
  • 配置vsftpd.conf,修改如下选项

仅允许用户访问自己的家目录,不允许用户跳转根目录

1
2
3
4
5
anonymous_enable=NO     # 不允许匿名登录
chroot_local_user=YES # 开启本地用户chroot限制
chroot_list_enable=YES # 开启白名单
chroot_list_file=/etc/vsftpd/chroot_list # chroot白名单文件
allow_writeable_chroot=YES # 从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报错,需要配置此项
  • 创建ftp用户,并设置登录密码,并设置ftp目录权限
1
2
3
useradd -s /sbin/nologin -d /opt/ftp -g ftp ftpuser
passwd ftpuser
chown ftp.ftp /opt/ftp

将ftpuser添加到chroot_list中

  • 被动模式并更改默认端口,vsftpd.conf配置如下
1
2
3
4
5
6
7
8
connect_from_port_20=NO
# PASV mode
listen_port=8021
pasv_enable=YES
pasv_min_port=10221
pasv_max_port=20221
pasv_promiscuous=YES
ftpd_banner=Welcome to FTP service

修改/etc/service

1
2
ftp             8021/tcp
ftp 8021/udp fsp fspd
  • 启动
1
2
systemctl start vsftpd
systemctl enable vsftpd

3. 开启SSL

将证书和密钥生成到一个文件/etc/vsftpd/vsftpd.pem中

1
openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

/etc/vsftpd/vsftpd.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# SSL config
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
force_anon_logins_ssl=YES
force_anon_data_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem

测试SSL FTP

1
2
yum install lftp
lftp -e 'set ssl:verify-certificate false' -u username,password -p 1234 sslftp.example.com