【第十二课】FTP服务

目录

• FTP服务
  • 1、Linux下部署pure-ftpd
  • 2、FTP的主动和被动模式
    • 2.1、什么是主动FTP
    • 2.2、什么是被动FTP
    • 2.3、主动模式ftp与被动模式FTP优点和缺点：

FTP服务

FTP：文件传输协议，可以上传和下载文件。比如，我们可以把Windows上的文件上传到Linux上。也可以把Linux上的文件
下载到windows上。当然，反过来也可以，因为FTP也可以安装在Windows上。Centos系统默认有一个vsftpd，使用相对来说复杂一点，这里学一个简单的pure-ftpd

1、Linux下部署pure-ftpd

[root@localhost ~]# yum install -y epel-release
[root@localhost ~]# yum install -y pure-ftpd
[root@localhost ~]# egrep -v "^$|#" /etc/pure-ftpd/pure-ftpd.conf
ChrootEveryone              yes
BrokenClientsCompatibility  no
MaxClientsNumber            50
Daemonize                   yes
MaxClientsPerIP             8
VerboseLog                  no
DisplayDotFiles             yes
AnonymousOnly               no
NoAnonymous                 no
SyslogFacility              ftp
DontResolve                 yes
MaxIdleTime                 15
PAMAuthentication             yes
LimitRecursion              10000 8
AnonymousCanCreateDirs      no
MaxLoad                     4
AntiWarez                   yes
Umask                       133:022
MinUID                      1000        #最小的用户ID号设置为至少是1000
UseFtpUsers no
AllowUserFXP                no
AllowAnonymousFXP           no
ProhibitDotFilesWrite       no
ProhibitDotFilesRead        no
AutoRename                  no
AnonymousCantUpload         yes
AltLog                     clf:/var/log/pureftpd.log
MaxDiskUsage               99
CustomerProof              yes
PureDB                        /etc/pure-ftpd/pureftpd.pdb    #定义密码的存放方式，以文件方式存放

[root@localhost ~]# useradd ftpuser    #增加系统用户，id号必须大于1000
[root@localhost ~]# id ftpuser
uid=1003(ftpuser) gid=1003(ftpuser) groups=1003(ftpuser)
[root@localhost ~]# chown ftpuser.ftpuser /ftp    #更改ftp目录的所属
[root@localhost ~]# pure-pw useradd user1 -u ftpuser -d /ftp    #增加一个ftp登录用户，必须要和系统用户进行对应映射
Password: 123456
Enter it again: 123456
[root@localhost ~]# pure-pw mkdb    #创建密码文件
[root@localhost ~]# ll /etc/pure-ftpd/pureftpd.pdb
-rw------- 1 root root 2210 Feb 20 09:42 /etc/pure-ftpd/pureftpd.pdb
[root@localhost ~]# systemctl start pure-ftpd
[root@localhost ~]# netstat -tulnp |grep 21
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      34373/pure-ftpd (SE
tcp6       0      0 :::21                   :::*                    LISTEN      34373/pure-ftpd (SE 

#如果防火墙未关闭，需要对服务的21端口进行开放
[root@localhost ~]# firewall-cmd --add-port=21/tcp --permanent
[root@localhost ~]# firewall-cmd --reload

[root@localhost ~]# yum install -y lftp    #安装测试登录工具
[root@localhost ~]# lftp user1@127.0.0.1    #本地登录测试，并查看
Password:
lftp user1@127.0.0.1:~> ls
drwxr-xr-x    2 1003       ftpuser             6 Feb 20 09:38 .
drwxr-xr-x    2 1003       ftpuser             6 Feb 20 09:38 ..
[root@localhost webapps]# cd /ftp/
[root@localhost ftp]#
[root@localhost ftp]# ll
total 0
[root@localhost ftp]# echo hello world > 1.txt    #创建文件，并重新登录进行查看文件
[root@localhost ftp]# ll
total 4
-rw-r--r-- 1 root root 12 Feb 20 09:49 1.txt
[root@localhost ftp]# chown ftpuser.ftpuser 1.txt
[root@localhost ftp]# ll
total 4
-rw-r--r-- 1 ftpuser ftpuser 12 Feb 20 09:49 1.txt
[root@localhost ~]# lftp user1@127.0.0.1
Password:
lftp user1@127.0.0.1:~> ls
drwxr-xr-x    2 1003       ftpuser            18 Feb 20 09:49 .
drwxr-xr-x    2 1003       ftpuser            18 Feb 20 09:49 ..
-rw-r--r--    1 1003       ftpuser            12 Feb 20 09:49 1.txt

Windows使用xftp进行远程登录，下载Xftp，新建链接，如图：

点击链接，可以直接登录到pure-ftpd服务展示的目录，如图：

这里的传输模式有2种：主动模式和被动模式。

2、FTP的主动和被动模式

FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动模式和被动模式

2.1、什么是主动FTP

主动模式的FTP工作原理：客户端从一个任意的非特权端口N连接到FTP服务器的命令端口，也就是21端口。然后客户端开始监听端口N+1，并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。
针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP：

1、 任何大于1024的端口到FTP服务器的21端口。（客户端初始化的连接）  

2、 FTP服务器的21端口到大于1024的端口。 （服务器响应客户端的控制端口）

3、 FTP服务器的20端口到大于1024的端口。（服务器端初始化数据连接到客户端的数据端口）

4、 大于1024端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口）

2.2、什么是被动FTP

为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。

在被动方式FTP中，命令连接和数据连接都由客户端发起，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。

当开启一个 FTP连接时，客户端打开两个任意的非特权本地端口（N > 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P > 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

   对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP:     

1、 从任何大于1024的端口到服务器的21端口（客户端初始化的连接）  

2、 服务器的21端口到任何大于1024的端口（服务器响应到客户端的控制端口的连接）

3、 从任何大于1024端口到服务器的大于1024端口（客户端初始化数据连接到服务器指定的任意端口）

4、 服务器的大于1024端口到远程的大于1024的端口（服务器发送ACK响应和数据到客户端的数据端口）

从上面可以看出，两种方式的命令链路连接方法是一样的，而数据链路的建立方法就完全不同，如下图：
FTP服务器的主动工作模式

FTP服务器的被动工作模式

以上关于主动和被动FTP的解释，可以简单概括为以下两点：

1、主动FTP：  

        命令连接：客户端 >1024端口 -> 服务器 21端口  

        数据连接：客户端 >1024端口 <- 服务器 20端口

2、被动FTP：

        命令连接：客户端 >1024端口 -> 服务器 21端口

        数据连接：客户端 >1024端口 -> 服务器 >1024端口

2.3、主动模式ftp与被动模式FTP优点和缺点：

主动FTP对FTP服务器的管理和安全很有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。