总结一下自己是如何在CU里回答FTP相关问题的

我配置FTP服务器的次数屈指可数。常见的几种当中只配置过pureftpd和vsftpd,proftpd从来没弄过。
所以,论坛里碰到的各种各样问题对我来说也都是没遇到过的。我的招数是:

  1. Google
  2. 官方网站的文档、FAQ、论坛或讨论组
  3. 自己的常识

积累下来,攒了一些很有用的资源,下面分别列出来。

vsftpd

ProFTPD

PureFTPd

WuFTP

还有这个不能不看:Active FTP vs. Passive FTP, a Definitive Explanation (中译版在这里

还有其他的中文资源,就不列出来了。

我翻译的vsftpd官方faq

官方faq地址: ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-2.0.3/FAQ

这里也有,vsftpdrocks.org是一个很棒的关于vsftpd安装和配置的网站

Q1) 我能把用户限制在他的家(home)目录里吗?
A) 能,设置chroot_local_user=YES就行了。

Q2) 为什么设置了chroot_local_user=YES后,符号链接(symlink)就不起作用了呢?
A) 这是chroot()这种安全机制如何工作的结果。可选地,看一下硬连接(hard links),或者,你用的是"现代的"Linux,看一下强大的"mount --bind"命令。

Q3) vsftpd支持限制用户连接数吗?
A1) 是的,间接地。vsftpd是一个基于inetd的服务。如果你使用流行的xinetd,它会支持per-service per-IP的连接限制。"EXAMPLE"目录里有这样的一个例子。
A2) 如果你以"standalone"方式运行vsftpd(方法是设置listen=YES),你可以研究一下max_clients=10这样的设置。

Q4) 求助!我得到了"refusing to run with writable anonymous
root"错误信息。

A) vsftpd是不允许"危险(不安全)"的配置的。出现这个错误信息的原因通常是ftp的家(home)目录的属主权限不正确。 家(home)目录的属主不应该是ftp用户自己,而且ftp用户也不能有写的权限。解决的方法是:
chown root ~ftp; chmod -w ~ftp

Q5) 求助!我得到了"str_getpwnam"错误信息。
A) 最有可能的原因是在你的系统中不存在那个被配置成'nopriv_user'的用户(一般是 'nobody') 。vsftpd需要通过它以最低的权限运行。

Q6) 求助!本地用户无法登录。
A) 有几种可能的问题导致无法登录。
A1) 默认情况下,vsftpd只允许匿名用户(anonymous)登录。在你的/etc/vsftpd.conf配置文件中加入local_enable=YES就可以让本地用户登录了。
A2) vsftpd需要与PAM联系 (运行"ldd vsftpd"检查结果中有没有libpam可以确定这个). 如果vsftpd需要PAM支持, 你必须为vsftpd服务准备一个PAM文件. 在"RedHat"目录下有一个为RedHat系统准备的PAM文件的例子,把它放在/etc/pam.d目录下。
A3) 如果vsftpd不需要PAM, 那么会有多种原因导致这种情况. 用户的shell在 /etc/shells文件中吗? 如果你使用shadow passwd,那么include路径中有没有shadow.h文件?
A4) 如果你没有用PAM, vsftpd会用自己的方法检查用户的shell是否合法. 如果想用一个非法的shell(这样用户就只能用FTP登录),你可以在配置文件中加入check_shell=NO.

Q7) 求助!上传或其他"写"命令都报"500 Unknown command.".
A) 默认情况下"写"命令(上传和建新目录等)都是被禁止的. 这是一种安全的方法. 要允许写命令需要在配置文件/etc/vsftpd.conf中加入write_enable=YES.

Q8) 求助!chroot_local_user这个选项里有什么安全隐患?
A) 首先注意其他ftp服务器也有同样的隐患。这是个一般性的问题。这个问题不是很严重,但它是这样的:有些人使不被信任的ftp帐户具有了全部的shell访问权限。如果这些帐户可以上传文件,那就会有一点风险。一个坏用户就可以控制作为其家目录的文件系统的根目录。FTP进程也许会使一些配置文件被访问到,例如/etc/some_file。使用chroot(),这个文件就处于此用户的控制之下。vsftpd非常在意这些安全问题。但是,系统的libc也许想打开语言配置文件或其他的什么配置......

Q9) 求助!上传后的文件权限是-rw-------。
A1) 根据上传用户是本地用户还是匿名用户,修改local_umaskanon_umask选项。例如,设置anon_umask=022指定匿名上传的文件权限为-rw-r--r--。注意,22前面的0不能少。
A2) 也可以看看vsftpd.conf的man帮助中的新选项file_open_mode

Q10) 求助!我如何集成LDAP用户登录?
A) 使vsftpd结合PAM,配置PAM使用LDAP认证。

Q11) 求助!vsftpd可以配置成虚拟主机(virtual hosting)吗?
A1) 可以。如果你使用xinetd方式运行vsftpd,可以将xinetd绑定到几个不同的IP地址。针对每一个IP地址,xinetd使用不同的配置文件启动vsftpd。这样,你就能在每个IP上配置不同的vsftpd服务。
A2) 也可以用standalone方式运行多个vsftpd实例。使用选项listen_address=x.x.x.x设置虚拟IP。

Q12) 求助!vsftpd支持虚拟用户(virtual users)吗?
A) 支持,通过PAM集成。在/etc/vsftpd.conf中设置guest_enable=YES,这样的效果是所有非匿名用户的成功登录都映射成guest_username指定的本地用户。然后,使用PAM和(例如:)它的pam_userdb模块,就可以提高基于外部用户库(即不使用/etc/passwd)的认证。注意:当guest_enable生效后会有一个限制,就是本地用户也被映射到guest_username(译者:也就是说虚拟用户与本地用户不能同时使用)。EXAMPLE目录里有配置虚拟用户的例子。

Q13) 求助!vsftpd支持不同的用户使用不同的配置吗?
A) 支持,而且功能强大。看man帮助里的user_config_dir选项。

Q14) 求助!我可以把vsftpd的数据连接(data connections)限制到指定范围的端口吗?
A) 可以。看配置选项pasv_min_portpasv_max_port

Q15) 求助!我看到了"OOPS: chdir"这样的信息。
A) 如果这是匿名用户在登录,就检查系统用户ftp的家目录是否正确。如果你使用了anon_root这个选项,也要检查该选项是否正确。

Q16) 求助!vsftpd显示的是GMT时间,而不是本地时间!
A) 这个可以通过设置use_localtime=YES来解决。

Q17) 求助!我能禁用某些FTP命令吗?
A) 可以。有一些单独的选项(比如dirlist_enable),或者可以通过cmds_allowed选项指定允许的命令集。

Q18) 求助!我可以改变vsftpd的工作端口吗?
A1) 可以。如果以standalone方式运行vsftpd,可以用vsftpd.conf中的listen_port选项(指定端口)。
A2) 可以。如果以inetd或xinetd方式运行vsftpd,那么这个问题由inetd或xinetd负责。你就必须修改inetd或xinetd的配置文件(可能是/etc/inetd.conf或/etc/xinetd.d/vsftpd)。

Q19) 求助!vsftpd可以使用LDAP服务器进行验证吗?或者使用Mysql数据库?
A) 是的。vsftpd可以使用PAM进行验证,所以你需要配置PAM使用pam_ldap或pam_mysql模块。这包括安装PAM模块,然后编辑vsftpd的PAM配置文件(可能是/etc/pam.d/vsftpd)。

Q20) 求助!vsftpd支持每IP限制(per-IP limits)吗?
A1) 是的。如果以standalone方式运行vsftpd,可以使用max_per_ip选项。
A2) 是的。如果以xinetd方式运行vsftpd,可以用xinetd的配置参数per_source

Q21) 求助!vsftpd支持带宽限制吗?
A) 支持。看man帮助(vsftpd.conf.5)中的"anon_max_rate"和 "local_max_rate"选项。

Q22) 求助!vsftpd支持基于IP(IP-based)的访问控制吗?
A1) 可以结合tcp_wrappers实现(前提是编译是加了tcp_wrappers支持)。通过设置tcp_wrappers=YES启用它。
A2) 以xinetd方式运行vsftpd,xinetd可以结合tcp_wrappers。

Q23) 求助!vsftpd支持IPv6吗
A) 从版本1.2.0开始就支持了。看vsftpd.conf的man帮助

Q24) 求助!vsftpd编译失败,错误是不能找到-lcap(unable to find -lcap)。
A) 安装libcap package再试。好像Debian用户遇到这个问题多一些。

Q25) 求助!我的配置文件是/etc/vsftpd.conf,可是好像不起作用!
A) RedHat用户会遇到这个问题 - 一些RedHat版本中vsftpd的配置文件是/etc/vsftpd/vsftpd.conf.

Q26) 求助!vsftpd编译失败,报sysutil.c中有不完整的类型(types)。
A) 你的系统可能不支持IPv6。要么在一个现代一些(支持IPv6)的系统中使用老版本的vsftpd(例如 v1.1.3),要么等没有这个问题的版本出来。

Q27) 求助!下载(尤其是大量小文件)时看到很多这样的信息:"500 OOPS: vsf_sysutil_bind"。
A) vsftpd-1.2.1已经解决了这个问题。

Q28) 求助!vsftpd可以隐藏或拒绝访问某些文件吗?
A) 可以。看看vsftpd.conf的man帮助中的hide_filedeny_file选项。

Q29) 求助!vsftpd支持FXP吗?
A) 支持。FTP服务器不需要特别配置就可以支持FXP。但由于vsftpd在IP地址上的安全限制,你可能不会成功。想放宽这种限制,可以看看vsftpd.conf的man帮助(vsftpd.conf.5)中关于pasv_promiscuous(和不太推荐使用的port_promiscuous)选项。

Q30) ......
A) 想进一步了解vsftpd,请阅读vsftpd.conf的man帮助和配置示例。

Active FTP vs. Passive FTP, a Definitive Explanation 中文版

原文:http://slacksite.com/other/ftp.html

CU链接:http://bbs.chinaunix.net/forum/viewtopic.php?t=574966

感谢CU网友pidan和missing-cn翻译,整理由wolfg完成。

主动FTP与被动FTP-权威解释

目录

  • 开场白
  • 基础
  • 主动FTP
  • 主动FTP的例子
  • 被动FTP
  • 被动FTP的例子
  • 总结
  • 参考资料
  • 附录 1: 配置常见FTP服务器

开场白

处理防火墙和其他网络连接问题时最常见的一个难题是主动FTP与被动FTP的区别以及如何完美地支持它们。幸运地是,本文能够帮助你清除在防火墙环境中如何支持FTP这个问题上的一些混乱。

本文也许不像题目声称的那样是一个权威解释,但我已经听到了很多好的反馈意见,也看到了本文在许多地方被引用,知道了很多人都认为它很有用。虽然我一直在
找寻改进的方法,但如果你发现某个地方讲的不够清楚,需要更多的解释,请告诉我!最近的修改是增加了主动FTP和被动FTP会话中命令的例子。这些会话的
例子应该对更好地理解问题有所帮助。例子中还提供了非常棒的图例来解释FTP会话过程的步骤。现在,正题开始了...


基础

FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。


主动FTP

主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>1023)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端
口N+1,并发送FTP命令"port N+1"到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。

针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:

  • 任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
  • FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C)
  • FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C)
  • 大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C)

画出来的话,连接过程大概是下图的样子:

在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令"PORT
1027"。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端
先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。

主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器
再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。


主动FTP的例子

下面是一个主动FTP会话的实际例子。当然服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从
testbox1.slacksite.com
(192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com
(192.168.150.90),一个运行ProFTPd
1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是
debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。

仔细考虑这个对话过程我们会发现一些有趣的事情。我们可以看到当 PORT
命令被提交时,它指定了客户端(192.168.150.80)上的一个端口而不是服务器的。当我们用被动FTP时我们会看到相反的现象。我们再来关注
PORT命令的格式。就象你在下面的例子看到的一样,它是一个由六个被逗号隔开的数字组成的序列。前四个表示IP地址,后两个组成了用于数据连接的端口
号。用第五个数乘以256再加上第六个数就得到了实际的端口号。下面例子中端口号就是( (14*256) + 178) =
3762。我们可以用netstat来验证这个端口信息。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2

Connected to testbox2.slacksite.com.

220 testbox2.slacksite.com FTP server ready.

Name (testbox2:slacker): slacker

---> USER slacker

331 Password required for slacker.

Password: TmpPass

---> PASS XXXX

230 User slacker logged in.

---> SYST

215 UNIX Type: L8

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

ftp: setsockopt (ignored): Permission denied

---> PORT 192,168,150,80,14,178

200 PORT command successful.

---> LIST

150 Opening ASCII mode data connection for file list.

drwx------ 3 slacker
users 104 Jul 27 01:45
public_html

226 Transfer complete.

ftp> quit

---> QUIT

221 Goodbye.


被动FTP

为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。

在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个
FTP连接时,客户端打开两个任意的非特权本地端口(N >
1023和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交
PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1023),并发送PORT
P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:

  • 从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)
  • 服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C)
  • 从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)
  • 服务器的大于1024端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)

画出来的话,被动方式的FTP连接过程大概是下图的样子:

在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令"PASV"。然后在第2步中,服务器返回命令"PORT
2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务
器在第4 步中给客户端的数据端口返回一个"ACK"响应。

被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。幸运的是,许多FTP守护程序,包括流行的WU-FTPD允许管理员指定FTP服务器使用的端口范围。详细内容参看附录1。

第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris提供的FTP命令行工具就不支持被动模式,需要第三方的FTP客户端,比如ncftp。

随着WWW的广泛流行,许多人习惯用web浏览器作为FTP客户端。大多数浏览器只在访问ftp://这样的URL时才支持被动模式。这到底是好还是坏取决于服务器和防火墙的配置。


被动FTP的例子

下面是一个被动FTP会话的实际例子,只是服务器名、IP地址和用户名都做了改动。在这个例子中,FTP会话从
testbox1.slacksite.com
(192.168.150.80),一个运行标准的FTP命令行客户端的Linux工作站,发起到testbox2.slacksite.com
(192.168.150.90),一个运行ProFTPd
1.2.2RC2的Linux工作站。debugging(-d)选项用来在FTP客户端显示连接的详细过程。红色的文字是
debugging信息,显示的是发送到服务器的实际FTP命令和所产生的回应信息。服务器的输出信息用黑色字表示,用户的输入信息用粗体字表示。

注意此例中的PORT命令与主动FTP例子的不同。这里,我们看到是服务器(192.168.150.90)而不是客户端的一个端口被打开了。可以跟上面的主动FTP例子中的PORT命令格式对比一下。

testbox1: {/home/p-t/slacker/public_html} % ftp -d testbox2

Connected to testbox2.slacksite.com.

220 testbox2.slacksite.com FTP server ready.

Name (testbox2:slacker): slacker

---> USER slacker

331 Password required for slacker.

Password: TmpPass

---> PASS XXXX

230 User slacker logged in.

---> SYST

215 UNIX Type: L8

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> passive

Passive mode on.

ftp> ls

ftp: setsockopt (ignored): Permission denied

---> PASV

227 Entering Passive Mode (192,168,150,90,195,149).

---> LIST

150 Opening ASCII mode data connection for file list

drwx------ 3 slacker
users 104 Jul 27 01:45
public_html

226 Transfer complete.

ftp> quit

---> QUIT

221 Goodbye.


总结

下面的图表会帮助管理员们记住每种FTP方式是怎样工作的:

主动FTP:

命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 <- 服务器 20端口

被动FTP:

命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 -> 服务器 >1023端口

下面是主动与被动FTP优缺点的简要总结:

主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙
阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口
很有可能被服务器端的防火墙阻塞掉。

幸运的是,有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接,那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有
限的端口范围来减小服务器高位端口的暴露。这样,不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险,但它大大减少了危
险。详细信息参看附录1。


参考资料

O'Reilly出版的《组建Internet防火墙》(第二版,Brent Chapman,Elizabeth Zwicky著)是一本很不错的参考资料。里面讲述了各种Internet协议如何工作,以及有关防火墙的例子。

最权威的FTP参考资料是RFC 959,它是FTP协议的官方规范。RFC的资料可以从许多网站上下载,例如:ftp://nic.merit.edu/documents/rfc/rfc0959.txt


Active FTP vs. Passive FTP, Appendix 1