Linux FTP服务(只允许白名单用户访问FTP)

原创 已于 2023-11-22 14:11:22 修改 · 3.4k 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #centos

于 2023-05-30 21:55:46 首次发布
文章介绍了FTP服务器的作用、特点和传输协议,包括FTP的主动和被动模式。接着讲解了Vsftpd服务程序,特别是其三种认证模式,并提供了在Linux系统中安装和配置Vsftpd的步骤,包括创建黑白名单和禁用防火墙。最后,文章通过实验展示了如何通过FTP进行文件上传和用户登录验证。

目录

 一、FTP服务器

 二、FTP文化传输协议

 三、Vsftpd服务程序

四 、实验步骤

 一、FTP服务器

    FTP服务器(File Transfer Protocol Server)是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务,常被用作文件共享和传输,并可根据用户实际需求设置访问权限,同时还具备跨平台的特性,是互联网中应用十分广泛的服务之一。

FTP服务是internet最早应用于主机之间进行数据传输的基本服务之一。它的特点:

(1)ftp简化了文件传输的复杂性,弄够独立于平台,不受计算机和操作系统类型的限制。无论是PC、服务器,还是Windows、linux、unix操作系统,都可以作为ftp客户端和服务器。

(2)ftp实现了可靠的数据传输。ftp是运行在TCP上的,这就保证了数据传输的正确性,并在发生错误的情况下修正。

(3)支持端点续传功能,极大方便用户并减少CPU和网络开销。

       FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机,FTP客户端则是向服务器发送连接请求,以建立数据传输链路的主机。

       目前在局域网下建立的FTP服务器由于ADSL拨号后获得的IP不同,外网无法根据确定的IP地址访问到FTP服务器,而购买公网IP对于普通企业及个人用户来说,费用过于昂贵。目前常见的解决方法是通过路由器端口映射并将动态IP绑定至域名上,通过该域名访问内网FTP服务,这也就是大家熟知的DDNS动态域名解析。

 二、FTP文化传输协议

       FTP是一种在互联网中进行文件传输的协议,基于客户端/服务器模式,默认使用20、21号端口,其中端口20(数据端口)用于进行数据传输,端口21(命令端口)用于接受客户端发出的相关FTP命令与参数。FTP服务器普遍部署于内网中,具有容易搭建、方便管理的特点。而且有些FTP客户端工具还可以支持文件的多点下载以及断点续传技术,因此FTP服务得到了广大用户的青睐。文件传输协议(File Transfer Protocol)定义了一个在远程计算机系统和本地计算机系统之间传输文件的标准。ftp运行在OSI参考模型的 应用层,利用传输控制协议TCP在不同的主机之间提供可靠的数据传输。

FTP的传输模式有两种:

主动模式:FTP服务器主动向客户端发起连接请求。
被动模式:FTP服务器等待客户端发起连接请求(FTP的默认工作模式)。

(防火墙一般是用于过滤从外网进入内网的流量,因此有些时候需要将FTP的工作模式设置为主动模式,才可以传输数据。)

 三、Vsftpd服务程序

vsftpd作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到FTP服务器上。

匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。

本地用户模式:是通过Linux系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息,就可以畅通无阻地登录FTP服务器,从而完全控制整台服务器。

虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用。这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。

ftp是Linux系统中以命令行界面的方式来管理FTP传输服务的客户端工具。我们首先手动安装这个ftp客户端工具,以便在后续实验中查看结果。

四 、实验步骤

1.安装vsftpd软件包:

首先搭建实验环境,需要安装 vsftpd ,vsftpd :“very secure FTP daemon”,简单说 vsftpd 是一款 ftp 服务器,支持 ftp 协议,最大特点:安全性;搭建 ftp 服务器的目的:从 windows 系统传程序文件到 linux 系统服务器。安装vsftpd软件包:

[root@localhost ~]# yum -y install vsftpd

2.备份主配置文件:

[root@localhost ~]# cp  /etc/vsftpd/vsftpd.conf  /etc/vsftpd/vsftpd.conf.bak

[root@localhost ~]# ls  /etc/vsftpdftpusers  user_list  vsftpd.conf  vsftpd.conf.bak  vsftpd_conf_migrate.sh

3.去掉#号开头的行:

[root@localhost ~]# grep -v "^#" /etc/vsftpd/vsftpd.conf.bak > /etc/vsftpd/vsftpd.conf

4.创建黑、白名单的目的:约束、允许某些特定用户登录系统,例如,一般禁止 root 登录 FTP,权限过高可能导致核心文件受到破坏。编辑主配置文件,启用白名单:

[root@localhost ~]# vi /etc/vsftpd/vsftpd.conf

 

 5.编辑名单文件user_list ,添加zhangsan、lisi:

[root@localhost ~]# vi /etc/vsftpd/user_list

 6.在系统中添加本地账号zhangsan和lisi:

[root@localhost ~]# useradd lisi

[root@localhost ~]# passwd lisi

更改用户 lisi 的密码 。

新的 密码:

无效的密码: 密码未通过字典检查 - 过于简单化/系统化重新输入

新的 密码:passwd:

所有的身份验证令牌已经成功更新。

[root@localhost ~]# useradd zhangsan

[root@localhost ~]# passwd zhangsan

更改用户 zhangsan 的密码 。

新的 密码:

无效的密码: 密码未通过字典检查 - 过于简单化/系统化

重新输入新的 密码:

passwd:所有的身份验证令牌已经成功更新。

 7.查看已有的系统本地普通账号:

[root@localhost ~]# tail -3 /etc/passwd

 8.关闭防火墙,否则原程不能访问:

[root@localhost ~]# systemctl stop firewalld

[root@localhost ~]# setenforce 0

 9.启动ftp服务:

[root@localhost ~]# systemctl start vsftpd

 10.在物理机资源管理器地址栏输入ftp协议及服务器IP地址:

11.在弹出的登录窗口输入白名单中账号及密码: 

 【如果不出现登录窗口,而是提示出错(如下图)则点击“确定”,然后在空白处点右键,选择“登录”就会出现登录窗口了。】

登录成功界面:

12.尝试上传文件,成功:

13.改用白名单以外的账号登录:

登陆失败:

 

Linux允许白名单用户访问FTP操作配置
2303_76983620的博客
06-26 1269
Linux FTP实验的学习,可以加深对FTP协议和其在文件传输方面的应用的理解,学会了在Linux系统上安装、配置和使用FTP客户端和服务端软件的基本技能,掌握FTP文件传输的常用命令和步骤,了解数据传输模式和FTP客户端与服务端之间的数据交互过程。同时,通过实验,我们还能了解如何保障FTP传输过程中数据的机密性和完整性:加密传输、用户认证等,这对于实际应用是非常有价值的。
Liunx ftp服务器配置
2301_78613964的博客
06-12 466
Linux FTP服务器配置实验的目的是让学生掌握在Linux系统上配置FTP服务器的基本技能和方法。通过本实验,学生将学习如何安装并设置基本的FTP服务器,了解FTP服务器的工作原理以及如何进行用户管理、目录权限设置和数据传输等操作。此外,本实验还涵盖了FTP配置文件的基本知识,以及如何使用FTP客户端连接和上传/下载文件。这些技能都是进行服务器管理和维护所必不可少的,也是理解网络基础和Linux技术的关键。
Linux下的VSFTP服务黑名单白名单的策略配置.pdf
09-06
Linux下的VSFTP服务黑名单白名单的策略配置.pdf
linux ftp服务器 黑、白名单创建.html
02-01
了解 ftp 服务器,构建 ftp 的目的,如何设置黑白名单,理解黑白名单作用,并且通过几个简单实例更加清楚、深入理解黑白名单的原理,
linuxftp服务介绍、部署、登录、黑白名单配置
qq_17576885的博客
01-10 4988
FTP服务介绍 FTP服务即文件传输协议( file transfer protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载文件。FTP基于TCP协议生成一个虚拟的连接,主要用于控制FTP连接信息,同时再生成一个单独的TCP连接用于FTP数据传输。用户可以通过客户端向FTP服务器端上传、下载、删除文件,FTP服务器端可以同时提供给多人共享使用。 它可根据实际需要设置各用户的使用权限,同时还具有跨平台的特性,即在UNIX、Linux和Windows等操作系统中都可实现FT
linux ftp服务器 黑、白名单创建
weixin_44801526的博客
02-01 2788
linux ftp服务器 黑、白名单创建 这是个有趣的实验! 1.要想完成实验,首先搭建实验环境,需要安装 vsftpd ,vsftpd :“very secure FTP daemon”,简单说 vsftpd 是一款 ftp 服务器,支持 ftp 协议,最大特点:安全性;搭建 ftp 服务器的目的:从 windows 系统传程序文件到 linux 系统服务器。 检查系统是否安装 vsftpd ...
linux十二章-虚拟用户访问ftp.mp4
07-07
5.结合user_list文件限制用户,仅允许zhangsan lisi 用户访问(设置白名单或黑名单) 5.1修改user_list vim user_list, 添加zhangsan、lisi。 5.2修改主配置文件:userlist_enable=NO (不禁用user_list列表中的...
Linux系统的FTP服务
扮瘦人的博客
06-04 1495
FTP服务
Linux服务器---ftp白名单
weixin_34418883的博客
12-09 1583
用户白名单一个Linux主机中会多个用户,而我们希望有些用户不能去访问ftpftp服务器可以通过配置文件“/etc/vsftpd/user_list”来设置一个用户列表,这个列表可以是黑名单,也可以是白名单,具体要根据配置文件的参数“userlist_deny”来确定1、黑名单1)修改配置文件“/etc/vsftpd/vsft...
Linux下DHCP,FTP,黑白名单
qq_51545656的博客
10-20 466
只要在这个名单,不论是否在白名单,都不可登录。
第八十八课:基于白名单Ftp.exe执行payload第十九季.pdf
05-09
第八十八课:基于白名单Ftp.exe执行payload第十九季.pdf
vsftp:白名单与黑名单设置
weixin_50121233的博客
10-28 2409
白名单 1)修改配置文件“/etc/vsftpd/vsftpd.conf”中的参数“userlist_enable”,确保这个参数是yes [root@localhost wj]# gedit /etc/vsftpd/vsftpd.conf //匿名登录 userlist_enable=YES 2)打开配置文件“/etc/vsftpd/vsftpd.conf“,在末尾追加一句话”userlist_deny=NO“。这个参数是NO,表示要设置一个...
ftp的黑白名单
weixin_50196615的博客
12-26 1913
黑名单(/etc/vsftpd/ftpusers) 与上一个档案有关系,也就是 PAM 模块 (/etc/pam.d/vsftpd) 所指定的那个无 法登入的用户配置文件啊! 这个档案的设定很简单,你只要将 不想让用户登入 FTP 的账号 写入这个档案即可。一行一个账号。大部分的系统帐号都在这。 禁止使用vsftpd的用户列表文件。记录不允许访问FTP服务器用户名单,管理员可以把一些对系统安全有威胁的用户账号记录在此文件中,以免用户FTP登录后获得大于上传下载操作的权利,而对系统造成损坏
Linux 自带SFTP 配置
han447227659的博客
07-04 6363
    开始的时候在Linux上装了一个vsftp,以此来搭建FTP服务器,然后配置了白名单、黑名单,限定了各个用户访问目录,最后发现没有生效。然后使用命令查看,发现ftp的进程不是vsftp,而是sshd的ftp。ps aux | grep ftp这个进程的配置,是在/etc/ssh/sshd_configcd /etc/ssh/ ll打开该文件,编辑,找到sftp相关配置,作如下修改vi s...
Vsftpd ftp配置中关于黑白名单探讨
weixin_43952224的博客
10-09 567
参考:https://www.cnblogs.com/hello-kelly/p/4693448.html 基本认识 客户端—服务端 主动 (默认) 模式: 1. 客户端 ---------------->21port()服务端 2. 客户端 -大于1024----->20port()服务端 被动模式: 1. client连接--------------> server的21号端口,发送用户名密码及pasv命令给server,表明采用被动模式。 2. client连接(20po
Liunx中的FTP服务器的搭建(黑白名单,锁定本地主目录,匿名登录)
RongChun的博客
03-27 1536
前提:我的服务器的IP为192.168.2.10,域名配置为ftp.huiying.cn,(因为我是使用域名访问ftp服务器。所以我配置了DNS服务,如果你用IP地址访问FTP不用配置DNS也行),客户机的IP为192.168.2.200 一:服务器端安装vsFTP服务 查看系统是否安装vsFTPd软件包 显示如此,还没有进行安装,可以安装以下步骤进行安装 把光盘文件连接上 然后按照以下进行安...
Linux ssh,sftp,scp使用方法,以及怎样设置黑白名单
angongfeng6743的博客
03-10 1507
远程登录操作步骤 要求,两个客户端必须联网 ssh+空格+要连接的用户名+@+用户IP地址 如果对方端口不是默认值(22) ssh+空格+要连接的用户名+@+用户IP地址 + -p + 端口号 (注意p是小写) 更改ssh链接端口方法 vi /etc/ssh/sshd_config 进入端口更改界面更改端口号Port 22 (22是系统默认值,更改的值必须大于10...
整理一些关于SSH、FTP白名单设定的操作
热门推荐
南极光的专栏
12-29 1万+
SSH 访问白名单 http://www.zhixing123.cn/ubuntu/25502.html 这篇文章中讲了如何通过iptables进行ssh白名单的设定 FTP或者MySQL同理可得。 /var/log/nginx    查看nginx日志 /var/log/auth.log 查看系统日志 sshd会给每个连接fork一个进程,所以当被大量攻击的时候,ss
阿里云ECS添加白名单
Fanky_1220的博客
09-02 1002
1. 首先进去管理控制台,找到安全组并进入。 2. 找到安全组实例,点击配置规则。 3. 选择公网入方向,点击添加规则。 4. 百度一下我的ip,然后把自己的ip放到配置项中,这里比如我们要提供sftp服务,所以选择22/22端口。 5. 配置好之后,点击确定,然后白名单添加成功了,现在应该就能够传输文件了。 来自微信公众号:编程社 程序员日常进阶宝典,欢迎关注!...
允许使用普通用户访问linux ftp服务
最新发布
10-12
<think>我们正在讨论如何允许普通用户访问LinuxFTP服务。根据用户的问题,他参考了站内引用,其中引用[1]提到了配置vsftpd的基本步骤,包括允许匿名登录和本地用户登录,以及一些安全设置。引用[2]则提到了如何通过挂载(mount --bind)让普通用户除了家目录外还能访问其他目录。 但是用户明确表示:“我想查找允许普通用户访问Linux系统中FTP服务的方法”,所以我们的重点应该是如何配置vsftpd以允许普通用户登录。 根据之前的回答(用户不可见,但我们可以参考)和引用[1]的内容,我们已经知道在vsftpd.conf中设置`local_enable=YES`即可允许本地用户(也就是普通用户)登录。 然而,用户可能还关心如何设置这些普通用户的权限,比如是否限制在家目录(chroot)以及如何访问其他目录(如引用[2]所提到的绑定挂载)。 因此,我们需要在回答中包括: 1. 基本配置:修改vsftpd.conf以允许本地用户登录(设置`local_enable=YES`)。 2. 安全设置:是否将用户限制在其家目录(chroot),以及如何设置(`chroot_local_user`和`allow_writeable_chroot`)。 3. 如何让普通用户访问其他目录(通过绑定挂载,如引用[2]所示)。 此外,还要注意: - 防火墙设置:开放21端口(或自定义端口)和被动模式端口范围(如果需要)。 - SELinux设置:如果系统启用了SELinux,可能需要调整布尔值以允许FTP访问。 步骤分解: 1. 安装vsftpd(如果尚未安装)。 2. 配置文件(/etc/vsftpd/vsftpd.conf)的关键设置: - `local_enable=YES`:允许本地用户登录。 - 其他相关设置:如是否允许上传(`write_enable=YES`),是否限制用户在家目录(`chroot_local_user=YES`)等。 3. 创建普通用户(如果用户不存在)。 4. 配置用户访问其他目录(可选):使用绑定挂载(mount --bind)将其他目录挂载到用户家目录下的某个子目录。 5. 处理SELinux(如果启用):设置`ftpd_full_access`或调整其他布尔值。 6. 防火墙设置。 7. 重启服务并测试。 注意:引用[2]给出的命令是: /bin/mount --bind /data/share /home/liuhuihuang/share /bin/mount --bind /data/share /home/wangchenyan/share 这表示将/data/share目录分别挂载到两个用户家目录下的share目录。这样,用户登录FTP后就可以通过家目录下的share访问到/data/share。 但是,这种挂载是临时的,重启后消失。如果要永久挂载,需要将挂载命令写入/etc/fstab或者创建systemd mount单元(更复杂的做法是使用autofs)。不过,简单起见,我们可以将挂载命令写入/etc/rc.local(如果系统支持)或者创建一个systemd服务来在启动时挂载。 考虑到用户可能只需要基本访问,我们可以在回答中提供两种方式:临时挂载和永久挂载(通过/etc/fstab)。 另外,我们之前回答中提到了SELinux的问题,所以这里也要注意:如果用户需要上传文件到挂载的目录,那么目标目录(/data/share)的SELinux上下文必须正确(通常是public_content_rw_t)。 因此,回答结构如下: 1. 安装vsftpd 2. 配置vsftpd.conf(重点开启本地用户登录和必要的写权限) 3. 创建普通用户(如果需要) 4. 配置用户访问其他目录(可选,使用绑定挂载) 5. 设置SELinux(如果需要) 6. 防火墙设置 7. 重启服务并测试 最后,生成相关问题。 注意:引用标记。在回答中,如果我们引用了站内引用[1]和[2]的内容,需要在相应位置标注[^1]和[^2]。 </think>### 允许普通用户访问Linux系统FTP服务的配置方法 #### 1. **基础配置:允许本地用户登录** 在`vsftpd.conf`配置文件中启用本地用户访问: ```bash sudo vim /etc/vsftpd/vsftpd.conf ``` 关键配置项: ```ini anonymous_enable=NO # 禁用匿名访问 local_enable=YES # 允许本地用户登录[^1] write_enable=YES # 允许文件写入 chroot_local_user=YES # 将用户限制在家目录 allow_writeable_chroot=YES # 允许在限制目录写入[^1] ``` #### 2. **创建普通用户** ```bash sudo adduser ftpuser # 创建用户 sudo passwd ftpuser # 设置密码 ``` #### 3. **特殊场景:访问其他目录** 通过绑定挂载实现: ```bash # 创建共享目录 sudo mkdir -p /data/share # 挂载到用户家目录 sudo mount --bind /data/share /home/ftpuser/share sudo chown ftpuser:ftpuser /home/ftpuser/share ``` 永久挂载(重启生效): ```bash # 编辑/etc/fstab echo "/data/share /home/ftpuser/share none bind 0 0" | sudo tee -a /etc/fstab ``` 这样用户通过FTP登录后可在`share`目录访问`/data/share`内容[^2]。 #### 4. **关键安全配置** ```ini # 禁止用户列表(默认包含root) /etc/vsftpd/user_list # 移除ftpuser /etc/vsftpd/ftpusers # 移除ftpuser # 启用用户白名单(可选) userlist_enable=YES userlist_file=/etc/vsftpd/user_list userlist_deny=NO ``` #### 5. **SELinux与防火墙** ```bash # SELinux设置 sudo setsebool -P ftpd_full_access on sudo restorecon -Rv /home/ftpuser # 防火墙 sudo firewall-cmd --permanent --add-service=ftp sudo firewall-cmd --reload ``` #### 6. **重启服务并测试** ```bash sudo systemctl restart vsftpd ftp localhost # 使用ftpuser登录测试 ``` ### 验证要点: 1. 用户登录后是否被限制在家目录 2. `share`目录是否可见并可读写 3. 检查日志:`tail -f /var/log/vsftpd.log` > ⚠️ **安全提示** > - 避免使用root账户登录FTP > - 定期审计`/etc/vsftpd/user_list` > - 敏感目录权限设置为`750`
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-覃玲秀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值