asp网站介绍,天津网约车驾驶员申请系统,电子商务网站建设规划书的内容,定南网站建设FTP#xff1a;是一个用于在计算机网络上在客户端和服务器之间进行文件传输的应用层协议。默认21端口。 FTPS#xff1a;是一种对常用的文件传输协议#xff08;FTP#xff09;添加传输层安全#xff08;TLS#xff09;和安全套接层#xff08;SSL#xff09;加密协议支…FTP是一个用于在计算机网络上在客户端和服务器之间进行文件传输的应用层协议。默认21端口。FTPS是一种对常用的文件传输协议FTP添加传输层安全TLS和安全套接层SSL加密协议支持的扩展协议。默认21端口。SFTP是一种数据流英语Data stream连线提供文件访问、传输和管理功能的网络传输协议即SSH文件传输协议。默认22端口。vsftpd是一个类Unix系统以及Linux上的FTP服务器软件。背景基于安全考虑该服务器只允许基于ftp服务的tcp 20、21端口数据流通过。不允许开放端口段。所以我这里只能选择主动模式(PORT)。原因被动模式(PASV)下数据流在服务器端是一个随机端口虽然是可以设置端口段但是我这里防火墙申请不了开放端口段。主动模式与被动模式区别ftp-主动模式PORT和被动模式PASV_u014644574的博客-CSDN博客主动模式下服务端开放21/tcp客户端开放1025-65535/tcp被动模式下服务端开放21/tcp 6000-7000/tcp客户端开放不需要开放补充被动模式下被扫描出FTP PASV 端口可预测漏洞CVE-1999-0351ftp的被动模式有安全隐患所以建议服务端配置为仅支持主动模式(PORT)。1、创建FTP用户#删除用户若提示not owned by警告可以手动删除警告的目录 userdel -r bossftps #创建用户指定home目录并且不允许ssh登陆 useradd -s /sbin/nologin -d /home/bossftps bossftps #设置密码 passwd bossftps #修改home目录权限主目录不能再具有写权限 chmod a-w /home/bossftps #创建数据目录 mkdir /home/bossftps/data #修改数据目录权限 chmod 777 /home/bossftps/data从2.3.5之后vsftpd增强了安全检查如果用户被限定在了其主目录下则该用户的主目录不能再具有写权限了如果检查发现还有写权限就会报该错误。要修复这个错误可以用命令chmod a-w /home/bossftps去除用户主目录的写权限注意把目录替换成你自己的。或者你可以在下面第6步骤的/etc/vsftpd/vsftpd.conf的配置文件中增加下列项allow_writeable_chrootYES2、查看自己服务器有没有安装vsftpdrpm -qa |grep vsftpd若没有安装则什么都不显示。3、下载vsftpd的RPM包并安装下载地址http://mirror.centos.org/centos/7/os/x86_64/Packages/vsftpd-3.0.2-28.el7.x86_64.rpm依赖包http://mirror.centos.org/centos/7/os/x86_64/Packages/openssl-libs-1.0.2k-19.el7.x86_64.rpm4、上传安装包到服务器5、安装执行rpm -ivh vsftpd-3.0.2-28.el7.x86_64.rpm如果报错libcrypto.so.10()(64bit)需要安装下面依赖否则不需要安装。rpm -ivh openssl-libs-1.0.2k-19.el7.x86_64.rpm如果能联外网可以在线安装yum install -y vsftpd6、修改配置文件备份配置文件cp -a /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak创建配置文件#在chroot_list文件中列出的用户可以切换到根路径的上级路径未在文件中列出的用户则不能切换。 touch /etc/vsftpd/chroot_list清空配置文件 echo /etc/vsftpd/vsftpd.conf修改配置文件 vi /etc/vsftpd/vsftpd.conf#是否允许使用匿名帐户 anonymous_enableNO #是否允许本地用户登录 local_enableYES #是否允许写入 write_enableYES #创建文件时的权限掩码若没有文件掩码文件的默认权限为666,文件夹的默认权限为777。比如umask是022,你创建一个文件本来是666 就要 -022 644 local_umask022 #进入每个目录是否显示欢迎信息可在每个目录下建立.message文件在里面写欢迎信息 dirmessage_enableYES #上传/下载文件时记录日志 xferlog_enableYES #主动模式(PORT)有效是否使用20端口传输数据 connect_from_port_20YES #主动模式(PORT)有效设置connect_from_port_20YES自定义主动模式下传输数据的端口,默认20 #ftp_data_port2020 #被动模式(PASV)有效数据连接可以使用的端口范围的最小端口0 表示任意端口。默认值为0 #pasv_min_port6000 #被动模式(PASV)有效数据连接可以使用的端口范围的最大端口0 表示任意端口。默认值为0 #pasv_max_port7000 #是否被动模式若设置为YES则使用PASV被动模式若设置为NO则使用PORT主动模式。默认值为YES pasv_enableNO #日志文件 xferlog_file/var/log/xferlog #使用标准文件日志 xferlog_std_formatYES #是否允许上传二进制文件 ascii_upload_enableYES #是否允许下载二进制文件 ascii_download_enableYES #是否允许切换到上级目录 chroot_local_userYES #设置是否启用下面chroot_list_file配置文件 chroot_list_enableYES #在/etc/vsftpd/chroot_list文件中列出的用户可以切换到根路径的上级路径未在文件中列出的用户则不能切换。 chroot_list_file/etc/vsftpd/chroot_list #自定义home目录 #local_root/home/bossftps/ #用户被限定在了其主目录下需要配置该项 #allow_writeable_chrootYES #指定监听端口默认21 listen_port21 #开启ipv4监听与listen_ipv6不能同时开启 listenNO #同时监听IPv4和IPv6的FTP请求 listen_ipv6YES #使用pam模块控制文件位置/etc/pam.d/vsftpd pam_service_namevsftpd #控制用户访问/etc/vsftpd/user_list是一个黑名单所有出现在名单中的用户都会被拒绝登入 userlist_enableYES #控制主机访问检查/etc/hosts.allow 和/etc/hosts.deny 中的设置来决定请求连接的主机是否允许访问该FTP服务器。 tcp_wrappersYES #是否启用SSL默认NO ssl_enableYES #是否激活sslv2加密默认NO ssl_sslv2YES #是否激活sslv3加密默认NO ssl_sslv3YES #是否激活tls v1加密默认NO ssl_tlsv1YES #非匿名用户登陆时是否加密 force_local_logins_sslYES #非匿名用户传输数据时是否加密 force_local_data_sslYES # 强制匿名登录必须使用SSL (即使匿名登录已禁用用于修复漏洞扫描误报及防止明文交互) force_anon_logins_sslYES # 强制匿名数据传输必须使用SSL force_anon_data_sslYES #ssl证书位置 rsa_cert_file/etc/vsftpd/.sslkey/vsftpd.pem #是否启用隐式ssl功能不建议开启 #implicit_sslYES #隐式ftp端口设置如果不设置默认还是21但是当客户端以隐式ssl连接时默认会使用990端口导致连接失败 #listen_port990PORT主动模式pasv_enableNOPASV被动模式pasv_enableYES①当chroot_list_enableYESchroot_local_userYES时在/etc/vsftpd/chroot_list文件中列出的用户可以切换到根路径的上级路径未在文件中列出的用户则不能切换。②当chroot_list_enableYESchroot_local_userNO时在/etc/vsftpd/chroot_list文件中列出的用户不能切换到根路径的上级路径未在文件中列出的用户则可以切换。③当chroot_list_enableNOchroot_local_userYES时所有的用户均不能切换到用户根路径的上级路径④当chroot_list_enableNOchroot_local_userNO时所有的用户均可以切换到用户根路径的上级路径如果需要访问根路径的上级路径将用户加入/etc/vsftpd/chroot_list文件中vi /etc/vsftpd/chroot_listbossftps7、生成ssl证书mkdir /etc/vsftpd/.sslkey cd /etc/vsftpd/.sslkey #生成密钥证书 openssl req -new -x509 -nodes -days 3650 -out vsftpd.pem -keyout vsftpd.pem生成证书参数参考Country Name (2 letter code) [XX]:CNState or Province Name (full name) []:省份拼音Locality Name (eg, city) [Default City]:地市拼音Organization Name (eg, company) [Default Company Ltd]:公司名称拼音Organizational Unit Name (eg, section) []:你所在公司的部门拼音Common Name (eg, your name or your servers hostname) []:域名或者ipEmail Address []:邮箱地址8、开启防火墙#开启端口 firewall-cmd --zonepublic --add-port21/tcp --permanent firewall-cmd --zonepublic --add-port990/tcp --permanent #重新加载 firewall-cmd --reload #查询有哪些端口是开启的 firewall-cmd --list-port被动模式需要开启端口段也可直接开放ftp服务#开放ftp服务 firewall-cmd --add-serviceftp --permanent #重新加载 firewall-cmd --reload9、常见错误解决425 Failed to establish connection.关闭SELinuxsetenforce 0530 Login incorrect.注释 vi /etc/pam.d/vsftpd 文件里的这一行#auth required pam_shells.so这个语句的意思是只有包含shell的用户才能登录但是我们创建的用户是nologin不允许登陆的530 Non-anonymous sessions must use encryption.服务器的强制非匿名用户必须使用证书连接登陆10、启动启动service vsftpd start 或 /bin/systemctl start vsftpd.service停止service vsftpd stop 或 /bin/systemctl stop vsftpd.service重启service vsftpd restart 或 /bin/systemctl restart vsftpd.service11、测试工具flashfxp配置主动模式显示SSL连接隐式SSL连接登陆成功12、测试工具MobaXterm12、Linux 客户端测试使用 lftp客户端连接测试LFTP连接FTPSLFTP连接FTPS_u014644574的博客-CSDN博客13、Java FTPSClient 实现上传下载注意环境变量System.setProperty(jdk.tls.useExtendedMasterSecret, false);//设置环境变量java FTPSClient 上传下载带证书的ftps服务器_u014644574的博客-CSDN博客