FTP

 

1. FTP 정의

FTP

FTP(File Transfer Protocol)란 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜로 원격지의 서버(컴퓨터)에 파일을 올리거나 클라이언트로 파일을 가져올 때 사용한다.

 

FTP 서버의 동작구조

 

2. FTP 서버 설치

#yum install vsftpd

 

설치 완료 후 생성되는 파일 목록

vsftpd.conf // vfsftpd의 메인 설정 파일

user_list // ftp접속을 제한할 사용자 리스트

ftpusers // PAM에서 사용하는 ftp접속제한자 리스트

 

3. FTP 서버 설정

#vi /etc/vsftpd/vsftpd.conf

# Example config file /etc/vsftpd/vsftpd.conf # # The default compiled in settings are fairly paranoid. This sample file # loosens things up a bit, to make the ftp daemon more usable. # Please see vsftpd.conf.5 for all compiled in defaults. # # READ THIS: This example file is NOT an exhaustive list of vsftpd options. # Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's # capabilities. # # Allow anonymous FTP? (Beware - allowed by default if you comment this out). anonymous_enable=YES // 익명 사용자 접속 허용 여부 # # Uncomment this to allow local users to log in. # When SELinux is enforcing check for SE bool ftp_home_dir local_enable=YES // 로컬 계정 사용자들의 접속 허용 여부, NO로 설정되어 있을 때 로컬 계정으로 접속을 시도하면 "530 This FTP server is anonymous only."라는 메시지를 출력하고 접속이 거부된다. # # Uncomment this to enable any form of FTP write command. write_enable=YES // 쓰기 권한 허용 여부 # # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that (022 is used by most other ftpd's) local_umask=022 // 로컬 계정 사용자들의 umask값을 설정하는 지시자이다. 대부분의 ftp 서버에서 기본 umask값은 022인데 vsftpd에서는 umask 기본값은 077이다. umask값이 077로 설정되어 있을 경우 새로 생성되는 파일의 퍼미션은 600, 새로 생성되는 디렉터리의 퍼미션은 700이 된다. # # Uncomment this to allow the anonymous FTP user to upload files. This only # has an effect if the above global write enable is activated. Also, you will # obviously need to create a directory writable by the FTP user. # When SELinux is enforcing check for SE bool allow_ftpd_anon_write, allow_ftpd_full_access #anon_upload_enable=YES // 익명의 사용자에게 파일 업로드를 허용할 것인지, 거부할 것인지를 설정 # # Uncomment this if you want the anonymous FTP user to be able to create # new directories. #anon_mkdir_write_enable=YES // 익명의 사용자에게 디렉토리 생성 권한을 허용할 것인지, 거부할 것인지를 설정 # # Activate directory messages - messages given to remote users when they # go into a certain directory. dirmessage_enable=YES // ftp 서버에 접속한 사용자가 특정 디렉터리로 이동했을 때 개별 디렉터리의 메시지를 보여주도록 허용할 것인지, 거부할 것인지를 설정 # # Activate logging of uploads/downloads. xferlog_enable=YES // ftp접속 후에 파일 업로드와 다른 로드에 대한 로그를 남길 것인지, 남기지 않을 것인지를 설정 설정 시 디스크의 용량을 고려해야 하며 파일 업로드/다운로드 로그는 굉장히 많은 용량을 차지한다. # # Make sure PORT transfer connections originate from port 20 (ftp-data). connect_from_port_20=YES # # If you want, you can arrange for uploaded anonymous files to be owned by # a different user. Note! Using "root" for uploaded files is not # recommended! #chown_uploads=YES // 익명의 사용자가 FTP로 접속해서 업로드한 파일의 소유권을 자동으로 변경할 수 있는 기능 #chown_username=whoever # # You may override where the log file goes if you like. The default is shown # below. #xferlog_file=/var/log/xferlog // ftp로그 파일 위치를 설정 # # If you want, you can have your log file in standard ftpd xferlog format. # Note that the default log file location is /var/log/xferlog in this case. xferlog_std_format=YES // 로그파일에 남길 포맷을 기본으로 남길 것인지, 기본으로 남기지 않을 것인지를 설정 # # You may change the default value for timing out an idle session. #idle_session_timeout=600 // ftp연결에서 idle타임에 대한 타임아웃 값을 설정, 만약 600으로 설정되어 있다면 ftp 접속 후에 아무런 작업이 없으면 강제 로그아웃을 진행한다. # # You may change the default value for timing out a data connection. #data_connection_timeout=120 // 데이터 전송 시 적용되는 타임아웃 값을 설정 # # It is recommended that you define on your system a unique user which the # ftp server can use as a totally isolated and unprivileged user. #nopriv_user=ftpsecure // 익명의 사용자가 접속하는데 사용할 사용자 설정 # # Enable this and the server will recognise asynchronous ABOR requests. Not # recommended for security (the code is non-trivial). Not enabling it, # however, may confuse older FTP clients. #async_abor_enable=YES // async ABOR명령 가능 여부 설정 # # By default the server will pretend to allow ASCII mode but in fact ignore # the request. Turn on the below options to have the server actually do ASCII # mangling on files when in ASCII mode. The vsftpd.conf(5) man page explains # the behaviour when these options are disabled. # Beware that on some FTP servers, ASCII support allows a denial of service # attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd # predicted this attack and has always been safe, reporting the size of the # raw file. # ASCII mangling is a horrible feature of the protocol. #ascii_upload_enable=YES // ASCII 모드로 업로드 가능 여부 설정(기본값 NO) #ascii_download_enable=YES // ASCII 모드로 다운로드 가능 여부 설정(기본값 NO) # # You may fully customise the login banner string: #ftpd_banner=Welcome to blah FTP service. // FTP 접속시 사용자에게 보여질 환영 메시지 설정 # # You may specify a file of disallowed anonymous e-mail addresses. Apparently # useful for combatting certain DoS attacks. #deny_email_enable=YES # (default follows) #banned_email_file=/etc/vsftpd/banned_emails // 익명으로 접속 시에 사용하는 계정은 anonymous이고 패스워드는 email 형식으로 입력하게 되는데 email형식으로 입력하는 패스워드에서 email 주소를 /etc/vsftpd.banned_emails파일에 등록해서 패스워드를 제한하는 기능으로 서비스 거부 공격(DOS)을 방어하는 용도로도 사용한다. # # You may specify an explicit list of local users to chroot() to their home # directory. If chroot_local_user is YES, then this list becomes a list of # users to NOT chroot(). # (Warning! chroot'ing can be very dangerous. If using chroot, make sure that # the user does not have write access to the top level directory within the # chroot) #chroot_local_user=YES // 특정 사용자가 아닌 전체 사용자를 대상으로 사용자의 홈 디렉터리의 상위 디렉터리로 벗어나지 못하도록 설정하는 기능으로 "chroot_list_enable=YES", "chroot_local_user=YES"로 설정되어 있을 경우 chroot_list파일에 등록된 사용자들만 이 기능에서 적용받지 않게 된다. #chroot_list_enable=YES // 전체 사용자가 아닌 특정 사용자들에 대하여 자신의 홈디렉터리를 루트디렉토리로 인식하도록 하는 기능으로 이 기능은 사용자의 홈디렉토리의 상위 디렉토리로 벗어나지 못하도록 하는 설정이다.  "chroot_list_enable=YES"로 설정한다음 /etc/vsftpd/chroot_list파일에 이 기능을 적용할 사용자계정명을 등록해놓으면 된다. chroot_list파일에 등록된 사용자들에 한하여 자기 자신의 홈 디렉토리의 상위 디렉토리 이동이 제한된다. 이 파일에 사용자 계정을 등록할 때에는 한 행에 한 사용자 계정씩 등록해야 한다. # (default follows) #chroot_list_file=/etc/vsftpd/chroot_list // chroot_list의 파일 위치 설정 # # You may activate the "-R" option to the builtin ls. This is disabled by # default to avoid remote users being able to cause excessive I/O on large # sites. However, some broken FTP clients such as "ncftp" and "mirror" assume # the presence of the "-R" option, so there is a strong case for enabling it. #ls_recurse_enable=YES // ftp접속 시에는 기본적으로 ls -R옵션을 허용하지 않으며 ls_recurse_enable 기능을 YES로 설정하면 -R옵션이 허용되어 ftp접속 후에 디렉터리 목록을 확인할 때 서브 디렉터리들의 목록까지 확인할 수 있다. # # When "listen" directive is enabled, vsftpd runs in standalone mode and # listens on IPv4 sockets. This directive cannot be used in conjunction # with the listen_ipv6 directive. listen=NO // vsftpd를 xinetd이 아닌 standalone으로 서비스할 경우 listen=NO를 YES로 변경하고 listen_port에 서비스할 포트번호(기본 21번)를 지정해주면 된다. listen_port=21 # # This directive enables listening on IPv6 sockets. By default, listening # on the IPv6 "any" address (::) will accept connections from both IPv6 # and IPv4 clients. It is not necessary to listen on *both* IPv4 and IPv6 # sockets. If you want that (perhaps because you want to listen on specific # addresses) then you must run two copies of vsftpd with two configuration # files. # Make sure, that one of the listen options is commented!! listen_ipv6=YES pam_service_name=vsftpd // PAM설정 파일명 지정 userlist_enable=YES // /etc/vsftpd/user_list파일 활성화 여부 tcp_wrappers=YES // vsftpd로 서비스 동작 시 tcp_wrapper의 접근제어 허용 여부 force_dot_files=YES // "."으로 시작하는 숨김 파일을 볼 수 있게 설정 hide_ids=YES // 특수한 목적으로 파일 및 디렉터리의 소유자를 숨길 경우 사용 use_localtime=YES // max_clients=30 // ftp에 접속하는 클라이언트 수를 제한하는 기능으로 max_clients=30으로 설정하면 ftp접속을 최대 30명까지 허용한다. max_per_ip=3 // ftp동시 접속자 수를 제한하는 기능으로 max_per_ip=3으로 설정하면 한IP에서 동시에 3번까지만 접속이 가능하다.  anon_max_rate=100000 // 익명 사용자 전송속도 제한, 기본단위 bps local_max_rate=500000 // 유저 전송속도 제한, 기본단위 bps deny_file={*.mp3,*.wmv} // mp3, wmv 등의 확장자를 가진 파일의 업로드를 제한하는 기능 hide_file={*.mp3,.hidden,hide*,h?} // 특정 파일의 패턴을 숨길 때 사용하는 기능으로 hide_file={*.mp3,.hidden,hide*,h?} 으로 설정하면 mp3파일, hide로 시작하는 파일, h?(h로 시작하는 두 글자 이름) 파일을 숨길수 있다.

4. FTP 용 사용자 계정 생성

#useradd ftpuser

#passwd ftpuser

 

5. 방화벽 설정

FTP 서버 시작 후 포트 확인

#service vsftpd start

방화벽 설정 및 iptables 시작

#vi /etc/sysconfig/iptables

#service iptables restart

#iptables --list

 

추가된 정책 확인

6. 클라이언트에서 FTP 공유 디렉터리 접속

Windows 환경

- 파일탐색기 창을 열어서 FTP 접속

ftp:://[ftp서버주소IP]

- FTP 계정으로 로그인

- FTP 접속 확인

Linux 환경

- FTP 접속 도구 설치

#yum install ftp

 

- FTP 접속

#ftp [FTP 서버 주소 IP]

- FTP 계정으로 로그인

- FTP 접속 확인