FTP文件傳送協(xié)議(File Transfer Protocol,簡稱FTP)，是一個用于從一臺主機到另送文件的協(xié)議。該協(xié)議的歷史可追溯到1971年(當時因特網(wǎng)尚處于實驗之中)，不過至今仍然極為流行。

FTP在RFC 959中具體說明。HTTP和FTP都是文件傳送協(xié)議，它們有許多共同的特征，比如都運行在TCP之上等。不過這兩個應(yīng)用層協(xié)議之間存在重要的差別。最重要的差別是FTP使用兩個并行的TCP連接，一個是控制連接，一個是數(shù)據(jù)連接?？刂七B接用于在客戶主機和服務(wù)器主機之間發(fā)送控制信息，例如用戶名和口令、改變遠程目錄的命令、取來或放回文件的命令。數(shù)據(jù)連接用于真正發(fā)送文件。在整個會話期間，F(xiàn)TP服務(wù)器必須維護關(guān)于用戶的狀態(tài)。具體地說，服務(wù)器必須把控制連接與特定的用戶關(guān)聯(lián)起來，必須隨用戶在遠程目錄樹中的游動跟蹤其當前目錄。為每個活躍的用戶會話保持這些狀態(tài)信息極大地限制了FTP能夠同時維護的會話數(shù)。無狀態(tài)的HTTP卻不必維護任何用戶狀態(tài)信息。FTP服務(wù)可以工作在主動模式（active）和被動模式（passive）二種模式下：

主動模式（一般FTP服務(wù)器默認模式）：FTP客戶端開啟一個隨機選擇的TCP端口連接FTP服務(wù)器的21端口請求建立連接。當完成Three-Way Handshake后，連接就成功建立，但這僅是控制連接的建立。當兩端需要傳送數(shù)據(jù)的時候，客戶端通過命令通道用一個port command告訴服務(wù)器，客戶端可以用另一個TCP端口做數(shù)據(jù)通道。然后服務(wù)器用20端口和剛才客戶端所通知的TCP端口建立數(shù)據(jù)連接。注意：連接方向是從服務(wù)器到客戶端的，TCP分組中會有一個SYN flag。 然后客戶端會返回一個帶ACK flag的確認分組，并完成另一次的Three-Way Handshake 過程。這時候，數(shù)據(jù)連接才能成功建立。開始數(shù)據(jù)傳送。

被動模式：FTP客戶端開啟一個隨機選擇的TCP端口連接FTP服務(wù)器的21端口請求建立連接，完成控制連接的建立。當兩端需要傳送數(shù)據(jù)的時候，客戶端 通過命令通道發(fā)送一個PASV command給服務(wù)器，要求進入被動傳輸模式。然后 服務(wù)器像上述的主動模式第 2 步驟那樣，挑一個TCP端口，并用控制連接告訴 客戶端。 然后客戶端用另一個TCP端口連接剛才服務(wù)器告知的TCP端口來建立數(shù)據(jù)通道。此時分組中帶有SYN flag。服務(wù)器確認后回送一個ACK分組。并完成所有握手過程、成功建立數(shù)據(jù)通道，開始數(shù)據(jù)傳送。

目前可以實現(xiàn)FTP服務(wù)的軟件非常多，比如Windows平臺下的IIS、Serv-U，Linux平臺下的wuFTP、vsftp等。vsftp(Very Secure FTP)是一種在Unix/Linux中非常安全且快速穩(wěn)定的FTP服務(wù)器，目前已經(jīng)被許多大型站點所采用，vsftpd也是RHEL默認的ftp服務(wù)，本文主要講述vsftp相關(guān)配置方法。

一、安裝vsftp。

  rpm -ivh vsftpd-2.0.5-12.el5.rpm  

安裝完成后，vsftpd配置文件為/etc/vsftpd/vsftpd.conf，通過以下命令可啟動vsftpd并將其設(shè)置為自動啟動。

  service vsftpd restart
chkconfig vsftpd on 

二、第一個FTP站點。
vsftp在安裝完成并啟動后，即可使用。默認情況下可以使用匿名用戶，下圖中使用ftp命令進行。

1：使用ftp命令連接到ftp服務(wù)器。
2：因為目前使用匿名用戶連接到ftp服務(wù)器，所有輸入匿名用戶（一般ftp服務(wù)器匿名為anonymous，這里的ftp用戶是在安裝vsftp時自動創(chuàng)建的，該用戶也是vsftp的匿名用戶）。
在連接到vsftp后，其默認目錄為該用戶的家目錄，而ftp用戶的家目錄位于/var/ftp，所有。下圖是用系統(tǒng)其它用戶連接ftp服務(wù)器（如果在RHEL中開啟SELinux，需要運行以下命令set sebool -P ftp_home_dir=1）。

在上面所有參數(shù)中，只要涉及到上傳的參數(shù)在啟用后還需要對應(yīng)本地目錄有寫入權(quán)限。

四、身份認證。

在上面的參數(shù)中，可以通過將anonymous_enable設(shè)置為NO禁止匿名用戶訪問。在禁止匿名用戶后，可通過以下方式的授權(quán)用戶：

本地用戶：以/etc/passwd中的用戶名為認證方式

虛擬用戶：支持將用戶名和口令保存在數(shù)據(jù)庫文件或數(shù)據(jù)庫服務(wù)器中。相對于FTP的本地用戶形式來說，虛擬用戶只是FTP服務(wù)器的專有用戶，虛擬用戶只能訪問FTP服務(wù)器所提供的資源，這大大增強系統(tǒng)本身的安全性。相對于匿名用戶而言，虛擬用戶需要用戶名和密碼才能獲取FTP服務(wù)器中的文件，增加了對用戶和下載的可管理性。對于需要提供下載服務(wù)，但又不希望所有人都可以匿名下載；既需要對下載用戶進行管理，又考慮到主機安全和管理方便的FTP站點來說，虛擬用戶是一種極好的解決方案
本地用戶在這里就不多介紹了，主要介紹實現(xiàn)虛擬用戶的二種方法：

1、使用本地數(shù)據(jù)文件：

生成虛擬用戶文件，建立/etc/vsftpd/vuser.txt文件，內(nèi)容如下：

tonyzhang    #虛擬用戶1
111          #虛擬用戶1密碼 
tomqin       #虛擬用戶2
111        #虛擬用戶2密碼

安裝生成數(shù)據(jù)庫rpm包：db4-utils。

rpm -ivh db4-utils-4.3.29-9.fc6.i386.rpm

生成虛擬用戶數(shù)據(jù)庫。

db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.txt

創(chuàng)建本地映射用戶，修改本地映射用戶家目錄權(quán)限。

useradd -d /var/ftp/vuserdir  -s /sbin/nologin vuser
chmod o+rw /var/ftp/vuserdir

修改pam認證文件/etc/pam.d/vsftpd，將原有內(nèi)容注釋。

auth    required      /lib/security/pam_userdb.so db=/etc/vsftpd/vusers
account required      /lib/security/pam_userdb.so db=/etc/vsftpd/vusers

修改/etc/vsfptd/vsftp.conf，增加以下內(nèi)容。

guest_enable=YES
guest_username=vuser

最新評論