部署安全的FTP服务环境
网络环境配置
服务端节点:youxi1,IP地址 192.168.1.6
客户端节点:youxi2,IP地址 192.168.1.7
VSFTP采用客户端/服务器架构,默认使用端口21处理控制指令,端口20负责数据传输。
通信机制解析
FTP协议通过双通道进行通信:控制信道和数据信道。其运行方式分为两种模式——主动(PORT)模式和被动(PASV)模式,判断依据是以FTP服务器视角为准。当服务器主动向客户端发起连接时称为主动模式,服务器等待客户端连接则为被动模式。
主动模式流程:
控制信道建立:客户端发起请求,携带认证信息、临时高端口(大于1024)及PORT指令。服务器接受后,其21端口与客户端指定端口构建控制链路。
数据信道建立:服务器从20端口发出连接请求,客户端开启另一临时高端口响应,两者形成数据传输通道。
被动模式流程:
控制信道建立:客户端提交请求,包括认证凭证、临时端口及PASV指令。服务器确认后,21端口与客户端端口构成控制通路。
数据信道建立:服务器分配新的临时高端口通知客户端,客户端另开临时端口与其对接,完成数据通道搭建。
实践操作步骤
1. 组件安装
服务端执行:
[root@youxi1 ~]# yum -y install vsftpd
客户端执行:
[root@youxi2 ~]# yum -y install lftp
2. 关键配置文件说明
- /etc/vsftpd/vsftpd.conf —— 主要配置文档
- /etc/vsftpd/ftpusers —— 禁止访问FTP的用户清单(黑名单)
- /etc/vsftpd/user_list —— 条件性黑白名单,取决于userlist_deny设定
- /etc/vsftpd/vsftpd_conf_migrate.sh —— 配置迁移辅助脚本
- /var/ftp/ —— 匿名用户默认访问路径
3. 匿名访问设置
vsftpd.conf中的关键参数:
anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
调整目录权限确保匿名用户可操作:
[root@youxi1 pub]# chown ftp:ftp /var/ftp/pub
启动并设为开机启动:
[root@youxi1 pub]# systemctl start vsftpd
[root@youxi1 pub]# systemctl enable vsftpd
4. 特定用户限定目录访问
创建受限账户:
[root@youxi1 ~]# useradd -s /sbin/nologin ftp1
[root@youxi1 ~]# useradd -s /sbin/nologin ftp2
[root@youxi1 ~]# echo "ftp1:123456" | chpasswd
[root@youxi1 ~]# echo "ftp2:123456" | chpasswd
相关配置参数:
local_enable=YES
local_root=/www/html
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
allow_writeable_chroot=YES
准备受限用户目录及清单:
[root@youxi1 ~]# mkdir -p /www/html
[root@youxi1 ~]# vim /etc/vsftpd/chroot_list
ftp1
ftp2
设置目录写入权限:
[root@youxi1 ~]# chmod o+w /www/html/
重启服务使配置生效:
[root@youxi1 ~]# systemctl restart vsftpd
解决登录异常问题需修改PAM配置:
#注释掉 /etc/pam.d/vsftpd 中的以下行:
#auth required pam_shells.so
启用SSL/TLS加密传输
生成自签名证书:
[root@youxi1 ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650
移动并保护证书文件:
[root@youxi1 ~]# mkdir /etc/vsftpd/.sslkey/
[root@youxi1 ~]# mv vsftpd.pem /etc/vsftpd/.sslkey/
[root@youxi1 ~]# chmod 400 /etc/vsftpd/.sslkey/vsftpd.pem
在vsftpd.conf中增加SSL支持:
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem
处理客户端SSL验证错误,在/etc/lftp.conf末尾加入:
set ssl:verify-certificate no
重新启动服务完成配置:
[root@youxi1 ~]# systemctl restart vsftpd
