---

FTP、NFS、SAMBA系統服務

一、FTP服務概述

1、FTP服務介紹

FTP（File Transfer Protocol）是一種應用非常廣泛并且古老的一個互聯網文件傳輸協議。

文件傳輸：文件上傳與文件下載

• 主要用于互聯網中文件的雙向傳輸（上傳/下載）、文件共享
• 跨平臺 Linux、Windows
• FTP是C/S架構，擁有一個客戶端和服務端，使用TCP協議作為底層傳輸協議，提供可靠的數據傳輸
• FTP的默認端口 21號（命令端口） 20號（數據端口，主動模式下） 默認被動模式下
• FTP程序（軟件）vsftpd

FTP軟件名稱 => vsftpd => vs（very secure ftp daemon）

2、FTP服務的客戶端工具

• Linux：ftp、lftp（客戶端程序）
• Windows：FlashFXP(虛擬主機)、FileZilla、IE、Chrome、Firefox
• lftp和ftp工具區別：
  • lftp：默認是以匿名用戶訪問
  • ftp：默認是以用戶名/密碼方式訪問
  • lftp可以批量并且下載目錄

3、FTP的兩種運行模式（了解）

在FTP服務中，其一共擁有兩種模式（主動模式 + 被動模式）

參考點，FTP的服務器端。如果是FTP服務器端主動連接客戶端=>主動模式，如果是客戶端主動連接FTP服務器端=>被動模式。

☆ 主動模式

cmd：命令端口（發送FTP請求）

data：數據端口（后期用于傳輸數據）

1. 客戶端打開大于1023的隨機命令端口和大于1023的隨機數據端口向服務的的21號端口發起請求
2. 服務端的21號命令端口響應客戶端的隨機命令端口
3. 服務端的20號端口主動請求連接客戶端的隨機數據端口
4. 客戶端的隨機數據端口進行確認

☆ 被動模式

1. 客戶端打開大于1023的隨機命令端口和大于1023的隨機數據端口向服務的的21號端口發起請求
2. 服務端的21號命令端口響應客戶端的隨機命令端口
3. 客戶端主動連接服務端打開的大于1023的隨機數據端口
4. 服務端進行確認

FTP默認使用的就是被動模式！

4、搭建FTP服務（重要）

1. 關閉防火墻和selinux
2. 配置yum源(mount /dev/sr0 /mnt)
3. 軟件三部曲
4. 了解配置文件
5. 根據需求修改配置文件來完成服務的搭建
6. 啟動服務，開機自啟動
7. 測試驗證

第一步：關閉防火墻與SELinux

# systemctl stop firewalld
# systemctl disable firewalld# setenforce 0
# vim /etc/selinux/config
SELINUX=disabled

第二步：配置YUM源

有網配置公網YUM源（阿里、清華、華為），沒網就配置本地YUM源
這里用公網阿里云
# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
# yum clean all
# yum makecache

第三步：安裝vsftpd軟件（FTP => vsftpd）

# yum install vsftpd -y
這里需要一些環境，如果報錯的話
# yum -y install gcc make zlib-devel pcre pcre-devel openssl-devel

第四步：啟動ftp服務并添加到開機啟動項中

# systemctl start vsftpd
# systemctl enable vsftpd

第五步：測試FTP是否安裝成功

☆ 基于Windows資源管理器的訪問

在我的電腦上，輸入欄里：ftp://192.168.1.12

☆ 基于FlashFxp、FileZilla軟件

☆ 基于ftp以及lftp命令進行連接（Linux與Linux之間的FTP文件傳輸）

 yum install ftp lftp -y
# ftp 192.168.1.12單個文件：
上傳: put 文件名
下載: get 文件名多個文件：
上傳多個文件(支持通配符)：mput 文件名1 文件名2
下載多個文件(支持通配符)：mget 文件名1 文件名2整個目錄：
上傳文件夾：mirror -R 文件夾名
下載文件夾：mirror 下載文件夾存放到本地目錄的位置lftp是一個功能強大的下載工具，它支持訪問文件的協議：ftp，sftp, ftps, http, hftp, fish.(其中ftps和https需要在編譯的時候包含openss庫)。lftp的界面和shell很像：有命令補全功能，歷史記錄，允許多個后臺任務執行等功能，使用起來比較瘋便。而且它還具有書簽，排隊，鏡像，斷點續傳，多進程下載等功能。1、登錄ftp
//命令格式：
lftp用戶名:密碼@ftp地址：傳送端口(默認為21)用法
(1)lftp username:password@127.0.0.0 回車
(2)lftp username@127.0.0.0 回車 #默認端口為21 ，回車后輸入密碼
(3)lftp 127.0.0.0 回車  ##回車后 login [] 登錄
(4)lftp 回車 -->open 127.0.0.0-->login 登錄
//如果在命令行中輸入站點的名稱，lftp將直接登錄站點
如：ivy@ivy-OptiPlex-380:~$ lftp ftp://androidftp:androidftp@192.168.12.76/
cd 成功, 當前目錄=/
lftp androidftp@192.168.12.76:/>
//如果不在命令行輸入站點名稱，則必須在進入到ftp界面后用open命令打開2、下載文件
下載文件前首先要設置還本地的目錄，用來存放下載的文件
lcd /home/ivy/doc   ##設置本地存放目錄get  filename (如1.txt，ppt， pdf) //下載單個文件mget *.txt                   //下載一組文件,也即是批量下載所有的txt文件
get -c 1.txt                    //斷點續傳下載
mget -c *.txt                   //斷點續傳
pget -c n 10 file.dat  //最多10個線程以允許斷點續傳的方式下載file.dat
mget -d dirname/(通配符*)    //下載目錄
mirror dirname         //將目錄的整個下載下來，子目錄也會自動復制到，本地自動建立目錄3、 上傳文件put  1.txt
mput *.txt
mirror -R miao //上傳整個目錄
mput -d dirname/*   #上傳目錄
!ls瀏覽本體目錄
cd切換到遠端目錄(lcd 切換到本地目錄)
基本使用方法：
1)、下載服務器端文件：
# mirror –vn RCD LCD   //RCD為遠程路徑，LCD為本地路徑
2)、上傳文件：
# mirror –R LCD RCD4.從遠程主機上下載目錄文件通過sftp下載目錄：
lftp sftp://user@host -p port         lftp :> mirror my_path

5、FTP的配置文件詳解（重要）

在Server服務器端，使用rpm -ql vsftpd

# rpm -ql vsftpd
/usr/lib/systemd/system/vsftpd.service	啟動腳本
/etc/vsftpd								配置文件的目錄
/etc/vsftpd/ftpusers				    用戶列表文件，黑名單
/etc/vsftpd/user_list				    用戶列表文件，可黑可白（默認是黑名單）
/etc/vsftpd/vsftpd.conf					配置文件(主配置文件)
/usr/sbin/vsftpd						程序本身（二進制的命令）
/var/ftp								匿名用戶的默認數據根目錄
/var/ftp/pub							匿名用戶的擴展數據目錄

vsftpd配置文件詳解：

# grep -v ^# /etc/vsftpd/vsftpd.conf
anonymous_enable=YES			支持匿名用戶訪問	
local_enable=YES				支持非匿名用戶,普通賬號登錄，默認進入到自己家目錄
write_enable=YES				寫總開關
local_umask=022					反掩碼  file:644  rw- r-- r-- dir:755
dirmessage_enable=YES			啟用消息功能
xferlog_enable=YES				開啟或啟用xferlog日志
connect_from_port_20=YES		支持主動模式（默認被動模式）
xferlog_std_format=YES			xferlog日志格式
listen=YES					    ftp服務獨立模式下的監聽pam_service_name=vsftpd			指定認證文件
userlist_enable=YES				啟用用戶列表
tcp_wrappers=YES				支持tcp_wrappers功能(FTP限速操作)

# man 5 vsftpd.conf

二、FTP任務解決方案

1、任務背景

簡單來說：根據我們所學的內容（FTP）搭建一個客戶服務系統（主要涉及客服資料上傳與下載）

1. 客服人員必須使用用戶名密碼(kefu/123)的方式登錄服務器來下載相應文檔
2. 不允許匿名用戶訪問
3. 客服部門的相關文檔保存在指定的目錄里/data/kefu    local_root=/data/kefu
4. 客服用戶使用用戶kefu/123登錄后就只能在默認的/data/kefu目錄里活動

2、創建賬號(Server)–用于其他人登錄ftp服務

# useradd wu
# echo 123 |passwd --stdin wu

3、不允許匿名用戶訪問

# vim /etc/vsftpd/vsftpd.conf
12行 anonymous_enable=NOlisten=YES	 改成yes    115
listen_ipv6=YES   刪掉   124

配置修改完畢后，一定要重啟vsftpd服務

# systemctl restart vsftpd

4、指定賬號訪問的目錄

# mkdir /data/wu -p
# vim /etc/vsftpd/vsftpd.conf
17行 local_root=/data/kefu

5、限定kefu/123只能在/data/kefu目錄下活動

禁錮kefu用戶只能在/data/kefu目錄下

# vim /etc/vsftp/vsftpd.conf
18行 chroot_local_user=YES

配置修改完畢后，一定要重啟vsftpd服務

# systemctl restart vsftpd

完整配置	
anonymous_enable=NO    #禁止匿名用戶訪問	
local_enable=YES
write_enable=YES
local_root=/data/wu    #指定賬號訪問的目錄
chroot_local_user=YES   #限定wu/123只能在/data/wu目錄下活動
allow_writeable_chroot=YES  #版本問題，不添加會報錯
local_umask=022
dirmessage_enable=YES    #啟用消息功能
xferlog_enable=YES       #開啟或啟用xferlog日志
connect_from_port_20=YES   #支持主動模式（默認被動模式）
xferlog_std_format=YES
listen=YES                #ftp服務獨立模式下的監聽pam_service_name=vsftpd
userlist_enable=YES
userlist_deny=NO       #開啟白名單，黑名單
tcp_wrappers=YES

四、經驗值

1、500 OOPS

以上問題主要出現在FTP2.3.5以后的版本中，當然你可以使用

# rpm -qi vsftpd 查看版本信息

解決方案：

① 去除寫權限（治標不治本）

# chmod a-w /home/dhj

② 核心解決方案，添加一個選項

# vim /etc/vsftpd/vsftpd.conf
19行 allow_writeable_chroot=YES

② 核心解決方案，禁用一個選項

#listen_ipv6=YES

2、無法上傳

之所以無法上傳，主要原因在于kefu這個賬號對于/data/kefu文件夾沒有w寫權限

# setfacl -R -m u:kefu:rwx /data/kefu
# systemctl restart vsftpd

3、禁錮目錄補充

18行 chroot_local_user=YES  禁錮所有用戶

需求：我們能不能給一小部分用戶開通非禁錮權限。

# vim /etc/vsftpd/vsftpd.conf
105行 chroot_list_enable=YES					    開啟用戶列表文件
107行 chroot_list_file=/etc/vsftpd/chroot_list	指定用戶列表文件echo wu >> /etc/vsftpd/chroot_list        代表客服這個賬號不會被禁錮在指定目錄# systemctl restart vsftpd

FTP、NFS以及SAMBA服務

三、FTP服務工具

1、Linux下ftp客戶端管理工具

ftp、lftp都是Linux下ftp的客戶端管理工具，但是需要獨立安裝

# yum install ftp lftp -y

☆ ftp工具

# ftp 192.168.1.12
Connected to 192.168.1.12 (192.168.1.12).
220 (vsFTPd 3.0.2)
Name (192.168.1.12:root): 輸入FTP的賬號331 Please specify the password.
Password: 輸入FTP賬號對應的密碼230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

求幫助：

ftp> ?或help
Commands may be abbreviated.  Commands are:!               debug           mdir            sendport        site
$               dir             mget            put             size
account         disconnect      mkdir           pwd             status
append          exit            mls             quit            struct
ascii           form            mode            quote           system
bell            get             modtime         recv            sunique
binary          glob            mput            reget           tenex
bye             hash            newer           rstatus         tick
case            help            nmap            rhelp           trace
cd              idle            nlist           rename          type
cdup            image           ntrans          reset           user
chmod           lcd             open            restart         umask
close           ls              prompt          rmdir           verbose
cr              macdef          passive         runique         ?
delete          mdelete         proxy           send

第一個命令：ls命令

ftp> ls

查看當前連接的FTP目錄下有哪些文件。

第三個命令：help命令

ftp> help put
put             send one file

第四個命令：put與get命令

ftp> put 本地文件路徑+名稱	 上傳
ftp> get 遠程文件路徑+名稱	 下載

第五個命令：批量上傳或下載多個文件

ftp> mput 文件名稱1 文件名稱2 文件名稱3 ...
ftp> mget 文件名稱1 文件名稱2 文件名稱3 ...

第六個命令：quit命令

ftp> quit

☆ lftp工具：批量操作

# lftp 用戶名稱@遠程IP地址
Password:用戶名稱對應的密碼

求幫助：help

lftp> help

針對某個命令求幫助：help + 命令

lftp> help mirror

案例：批量上傳（把shop文件夾上傳到FTP服務器端）

lftp> mirror -R 本地文件夾名稱

案例：批量下載（把整個FTP下載到本地）

lftp> mirror 遠程FTP路徑

2、FTP知識點補充

☆ FTP訪問對象控制（黑名單）

ftpusers 黑名單

user_list 默認是黑名單（可以成為白名單）

案例：默認情況下，root賬號是否允許登錄FTP服務器

[root@localhost ftp]# ftp 192.168.1.12
220 (vsFTPd 3.0.2)
Name (192.168.1.12:root): root
530 Permission denied.
Login failed.
ftp>
原因：root用戶在黑名單里/etc/vsftpd/ftpusers黑名單中

案例：user_list可以從黑名單變成白名單（允許某個用戶登錄FTP系統服務器）

user_list要成為白名單，需要再配置文件里增加：
userlist_deny=NO
注意：如果user_list是白名單，那么必須在該文件里的用戶才可以訪問ftp服務。

總結：

1. 用戶在ftpusers文件中，那么用戶不能訪問ftp服務器
2. 用戶在user_list文件中，如果該文件是白名單，那么==只==在該文件中的用戶可以訪問ftp服務
3. 如果user_list文件是白名單，用戶即在ftpusers中又在user_list中，那么ftpusers拒絕優先

☆ FTP網絡訪問控制（限IP+限速）

FTP必須支持tcp_wrappers

/etc/hosts.allow 允許

/etc/hosts.deny 拒絕

☆ 限制IP地址

案例：如何禁止某個IP或IP網段

# vim /etc/hosts.deny
服務程序:主機
vsftpd:all                        全部拒絕
vsftpd:all EXCEPT 192.168.0.2    拒絕所有除了192.168.0.2  
vsftpd:192.168.0.254			  拒絕單個IP地址vsftpd:192.168.0.254:allow  
//以上是允許192.168.0.254訪問，類似/etc/hosts.allow里增加vsftpd:192.168.0.254vsftpd:192.168.0.0/255.255.255.0   拒絕某個網段
vsftpd:192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254   拒絕某個網段，但是除了某個ip地址
注意：子網掩碼不支持192.168.0.0/24這種寫法vim /etc/hosts.deny
vsftpd,sshd:10.1.1.1

案例：如何判斷某個服務是否支持tcp_wrappers

1）./configure –enable-libwrap 表示支持tcp_wrappers訪問控制（源碼安裝看配置項）

2）rpm安裝(也包括yum安裝)

# ldd命令 +二進制程序，查詢某個軟件包含哪些模塊

案例：查詢vsftpd與sshd是否支持tcp_wrappers

# ldd /usr/sbin/vsftpd |grep libwrap*libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f2956480000)# ldd /usr/sbin/sshd |grep libwrap*libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f015ff29000)

☆ 限制FTP流量

# vim /etc/vsftpd/vsftpd.conf
local_max_rate=0
0代表不限速local_max_rate=數值 + 字節
local_max_rate=1024K

四、完整的ftp服務配置步驟–非腳本

登錄用戶 wu,zs,lisi,密碼123

一、搭建ftp服務--創建指定用戶在指定目錄
1.關閉防火墻
# systemctl stop firewalld
# systemctl disable firewalld
# setenforce 0
# vim /etc/selinux/config
SELINUX=disabled2.配置yum源
# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
# wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
# yum clean all
# yum makecache3.服務器安裝vsftpd軟件
# yum -y install gcc make zlib-devel pcre pcre-devel openssl-devel
# yum install vsftpd -y
# systemctl start vsftpd
# systemctl enable vsftpd4.配置
# grep -v ^# /etc/vsftpd/vsftpd.conf>vsftpd.conf.1 
# vim vsftpd.conf.1
修改內容
anonymous_enable=NO    #禁止匿名用戶訪問	
local_enable=YES
write_enable=YES
local_root=/data/wu    #指定賬號訪問的目錄
chroot_local_user=YES   #限定wu/123只能在/data/wu目錄下活動
allow_writeable_chroot=YES  #版本問題，不添加會報錯
local_umask=022
dirmessage_enable=YES    #啟用消息功能
xferlog_enable=YES       #開啟或啟用xferlog日志
connect_from_port_20=YES   #支持主動模式（默認被動模式）
xferlog_std_format=YES
listen=YES                #ftp服務獨立模式下的監聽pam_service_name=vsftpd
userlist_enable=YES
userlist_deny=NO       #開啟白名單，黑名單
tcp_wrappers=YES排錯指南
重啟vsftpd服務時，報錯
#systemctl status vsftpd 下面是failed ,
這里檢查兩個，一個是配置文件vsftpd.conf 一個是進程21
losf -i:21  直接kill   
配置文件檢查里面是否有寫錯的地方，如果沒有明顯錯誤，就檢查有沒有空格，每行的后面也要檢查#cat vsftpd.conf.1 >/etc/vsftpd/vsftpd.conf  
5.創建可登錄用戶和創建家目錄--測試
# useradd wu
# useradd zs 
# useradd lisi
# echo 123 |passwd --stdin wu
# echo 123 |passwd --stdin zs
# echo 123 |passwd --stdin lisi 
# mkdir /data/wu -p
如果無法上傳：# setfacl -R -m u:wu:rwx /data/wu	6.重啟服務
# systemctl restart vsftpd
7.特殊權限用戶
# vim /etc/vsftpd/vsftpd.conf
105行 chroot_list_enable=YES					    開啟用戶列表文件
107行 chroot_list_file=/etc/vsftpd/chroot_list	指定用戶列表文件
echo wu >> /etc/vsftpd/chroot_list        代表wu這個賬號不會被禁錮在指定目錄
# systemctl restart vsftpd
二、windows鏈接和linux鏈接，上傳下載文件
windows
瀏覽器、文件管理器
ftp://192.168.8.137   
要可以上網的地址
linux
1.下載ftp以及lftp
yum install ftp lftp -y
ftp 192.168.8.137
三、ftp客戶端管理工具
1.ftp
單個文件：
上傳: put 文件名
下載: get 文件名
多個文件：
上傳多個文件(支持通配符)：mput 文件名1 文件名2
下載多個文件(支持通配符)：mget 文件名1 文件名2
整個目錄：
上傳文件夾：mirror -R 文件夾名
下載文件夾：mirror 下載文件夾存放到本地目錄的位置
2.lftp工具：批量操作
針對某個命令求幫助：help + 命令
1、登錄ftp
lftp用戶名:密碼@ftp地址：傳送端口(默認為21)
lftp wu:123@192.168.8.137回車
2、下載文件
下載文件前首先要設置還本地的目錄，用來存放下載的文件
lcd /home/ivy/doc   ##設置本地存放目錄get  filename (如1.txt，ppt， pdf) 
//下載單個文件mget *.txt                   
//下載一組文件,也即是批量下載所有的txt文件
get -c 1.txt                    //斷點續傳下載
mget -c *.txt                   //斷點續傳
pget -c n 10 file.dat  //最多10個線程以允許斷點續傳的方式下載file.dat
mget -d dirname/(通配符*)    //下載目錄
mirror dirname         //將目錄的整個下載下來，子目錄也會自動復制到，本地自動建立目錄3、 上傳文件put  1.txt
mput *.txt
mirror -R miao //上傳整個目錄
mput -d dirname/*   #上傳目錄
基本使用方法：
1)、下載服務器端文件：
# mirror –vn RCD LCD   //RCD為遠程路徑，LCD為本地路徑
2)、上傳文件：
# mirror –R LCD RCD4.從遠程主機上下載目錄文件通過sftp下載目錄：
lftp sftp://user@host -p port         lftp :> mirror my_path四、黑名單白名單，網絡限速，禁止ip，網段
1.ip
# vim /etc/hosts.deny
服務程序:主機
vsftpd:all                        全部拒絕
vsftpd:all EXCEPT 192.168.0.2    拒絕所有除了192.168.0.2  
vsftpd:192.168.0.254			  拒絕單個IP地址
vsftpd:192.168.0.254:allow  
//以上是允許192.168.0.254訪問，類似/etc/hosts.allow里增加vsftpd:192.168.0.254
vsftpd:192.168.0.0/255.255.255.0   拒絕某個網段
vsftpd:192.168.0.0/255.255.255.0 EXCEPT 192.168.0.254   拒絕某個網段，但是除了某個ip地址
注意：子網掩碼不支持192.168.0.0/24這種寫法
vim /etc/hosts.deny
vsftpd,sshd:10.1.1.1
2.黑名單，白名單
ftpusers		黑名單	
user_list		默認是黑名單（可以成為白名單）
user_list要成為白名單，需要再配置文件里增加：
userlist_deny=NO
注意：如果user_list是白名單，那么必須在該文件里的用戶才可以訪問ftp服務。
3.限制流量
# vim /etc/vsftpd/vsftpd.conf
local_max_rate=0
0代表不限速local_max_rate=數值 + 字節
local_max_rate=1024K

五、練習

1. 安裝vsftpd 
# yum -y install gcc make zlib-devel pcre pcre-devel openssl-devel 
# yum install vsftpd -y
# systemctl start vsftpd
# systemctl enable vsftpd2. 創建賬號zs和lisi 
# useradd zs
# useradd lisi
# echo 123 |passwd --stdin zs
# echo 123 |passwd --stdin lisi 
3. zs可以登陸ftp，lisi不可以 
這里在/etc/vsftpd/vsftpd.conf中添加
userlist_deny=NO
配置中添加
allow_writeable_chroot=YES --版本超過FTP2.3.5，會報錯，所以添加這段	
將zs添加到白名單 user_list文件中
# echo zs >> user_list
# systemctl restart vsftpd
4. zs可以下載和上傳文件 
給zs用戶寫的權限
# setfacl -R -m u:zs:rwx /data/kefu
# systemctl restart vsftpd
5. lisi可以下載但不能上傳
將lisi添加到白名單即可
# echo lisi >> user_list
# systemctl restart vsftpd
6. 給所有用戶限速 為1M 
在配置中添加
# vim /etc/vsftpd/vsftpd.conf
# systemctl restart vsftpd
local_max_rate=1024K
7. 不允許從192.168.1.11上進行登陸，其他ip都可以
# vim /etc/hosts.deny
在配置下面添加
vsftpd:192.168.1.11
# systemctl restart vsftpd
8. 設置root可以登陸ftp 
將root從黑名單中刪除
# vim /etc/vsftpd/ftpusers 
刪除root
# systemctl restart vsftpd
9.禁錮所有用戶在/data/kefu目錄之下
在配置中添加
local_root=/data/kefu
chroot_local_user=YES
# systemctl restart vsftpd