FTP两种模式的区别:
所谓主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。
所谓被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。(注意此模式下的FTP服务器不需要开启tcp 20端口了)
两种模式的比较:
(1)PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。
(2)从网络安全的角度来看的话似乎ftp PORT模式更安全,而ftp PASV更不安全,那么为什么RFC要在ftp PORT基础再制定一个ftp PASV模式呢?其实RFC制定ftp PASV模式的主要目的是为了数据传输安全角度出发的,因为ftp port使用固定20端口进行传输数据,那么作为黑客很容使用sniffer等探嗅器抓取ftp数据,这样一来通过ftp PORT模式传输数据很容易被黑客窃取,因此使用PASV方式来架设ftp server是最安全绝佳方案。
因此:如果只是简单的为了文件共享,完全可以禁用PASV模式,解除开放大量端口的威胁,同时也为防火墙的设置带来便利。
不幸的是,FTP工具或者浏览器默认使用的都是PASV模式连接FTP服务器,因此,必须要使vsftpd在开启了防火墙的情况下,也能够支持PASV模式进行数据访问。
CentOS系统FTP搭建
1. CentOS6.8搭建vsftp server
1 2
| iptables -I INPUT 1 -m state --state NEW -p tcp --dport 8021 -m comment --comment "FTP" -j ACCEPT iptables -I INPUT 1 -m state --state NEW -p tcp --dport 10221:20221 -m comment --comment "FTP" -j ACCEPT
|
/etc/sysconfig/iptables-config添加以下两行:
1 2
| IPTABLES_MODULES="ip_conntrack_ftp" IPTABLES_MODULES="ip_nat_ftp"
|
执行modprobe ip_nat_ftp
也可以,但重启系统会失效
1 2 3 4 5 6
| anonymous_enable=NO # 不允许匿名登录 chroot_local_user=NO # 不允许chroot(浏览非主目录内容) chroot_list_enable=YES # 开启chroot_list列表(chroot_local_user为YES,则列表内容是不允许chroot;chroot_local_user为NO则列表内容是允许chroot) chroot_list_file=/etc/vsftpd/chroot_list # chroot白名单 local_umask=002 # 设置默认文件和目录的umask,即默认文件权限为664,目录为775(系统内root和其他用户的umask默认不相同,且最好放在~/.ssh/.bashrc里让其永久失效) local_root=/opt/ftp # 指定系统用户登录默认根目录
|
1 2 3
| setsebool -P ftp_home_dir on setsebool allow_ftpd_full_access on sestatus -b |grep ftp # 查看是否设置成功
|
1 2
| useradd -s /sbin/nologin -d /opt/ftp -g ftp ftpuser passwd ftpuser
|
将ftpuser添加到chroot_list中
- 设置被动模式并更改默认端口,vsftpd.conf配置如下
1 2 3 4 5 6 7 8
| connect_from_port_20=NO # PASV mode listen_port=8021 pasv_enable=YES pasv_min_port=10221 pasv_max_port=20221 pasv_promiscuous=YES ftpd_banner=Welcome to FTP service
|
修改/etc/service
1 2
| ftp 8021/tcp ftp 8021/udp fsp fspd
|
1 2
| service vsftpd start chkconfig vsftpd on
|
2. CentOS7配置vsftp server
注:vsftpd与CentOS6版本不同
1 2
| iptables -I INPUT 1 -m --state NEW -p tcp --dport 8021 -j ACCEPT iptables -I INPUT 1 -m --state NEW -p tcp --dport 10221:20221 -j ACCEPT
|
仅允许用户访问自己的家目录,不允许用户跳转根目录
1 2 3 4 5
| anonymous_enable=NO # 不允许匿名登录 chroot_local_user=YES # 开启本地用户chroot限制 chroot_list_enable=YES # 开启白名单 chroot_list_file=/etc/vsftpd/chroot_list # chroot白名单文件 allow_writeable_chroot=YES # 从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报错,需要配置此项
|
- 创建ftp用户,并设置登录密码,并设置ftp目录权限
1 2 3
| useradd -s /sbin/nologin -d /opt/ftp -g ftp ftpuser passwd ftpuser chown ftp.ftp /opt/ftp
|
将ftpuser添加到chroot_list中
- 被动模式并更改默认端口,vsftpd.conf配置如下
1 2 3 4 5 6 7 8
| connect_from_port_20=NO # PASV mode listen_port=8021 pasv_enable=YES pasv_min_port=10221 pasv_max_port=20221 pasv_promiscuous=YES ftpd_banner=Welcome to FTP service
|
修改/etc/service
1 2
| ftp 8021/tcp ftp 8021/udp fsp fspd
|
1 2
| systemctl start vsftpd systemctl enable vsftpd
|
3. 开启SSL
将证书和密钥生成到一个文件/etc/vsftpd/vsftpd.pem中
1
| openssl req -x509 -nodes -days 3650 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
|
/etc/vsftpd/vsftpd.conf
1 2 3 4 5 6 7 8 9 10 11 12 13 14
| # SSL config ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES force_anon_logins_ssl=YES force_anon_data_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO require_ssl_reuse=NO ssl_ciphers=HIGH rsa_cert_file=/etc/vsftpd/vsftpd.pem rsa_private_key_file=/etc/vsftpd/vsftpd.pem
|
测试SSL FTP
1 2
| yum install lftp lftp -e 'set ssl:verify-certificate false' -u username,password -p 1234 sslftp.example.com
|