vsftp简单应用

vsftp配置详解

前言

FTP(File Transfer Protocol)是文件传输协议的简称。它能让用户 连接上一个远程计算机(运行着 FTP 服务器程序)查看远程 计算机上有哪些文件,然后把文件从远程计算机上下载到 本地计算机,或把本地计算机文件上传到远程计算机。但是ftp是一种古老的文件传输协议,是明文传输,特别的不安全所以就有了vsftp。

一、vsftp相关概念梳理

1、vsftp用户

访问FTP服务器时都需要经过验证,只有经过FTP服务器的验证,用户才能进行访问和传输文件等操作,Vsftpd提供三种验证 登录方式,分别是匿名用户、本地用户、虚拟用户:

匿名用户(anonymous):在默认情况下,系统只提供匿名用户访问。

本地用户(local user):又称为真实账号,本身就是系统用户,它是以真实的用户名和口令进行登录,以/etc/passwd中的用户名进行验证,本地用户既可以登录FTP服务器,又可以登录系统使用其他系统资源,对系统安全有极大的威胁,所以应尽量避免用户使用本地账号访问FTP服务器。

虚拟用户(guest)形式:Vsftpd虚拟用户与系统账号(passwdshadow)是分离的,采用单独的用户名/口令方式进行保存,通过这样的处理来提高系统的安全。Vsftpd用户验证采用PAM方式,由于用户名/口令被单独保存,因此实际验证时Vsftpd需要用一个本地用户的身份读取数据库文件来完成验证,通常由guest_username选项指定本地用户,正如同匿名用户也需要有一个本地用户ftp来映射一样。

相对于本地用户来说,虚拟用户只能访问FTP服务器所提供的资源,这大大增强了系统安全性。相对于匿名用户而言,虚拟用 户需要验证用户名和密码,同时增加了对用户访问权限的可管理性。对于需要提供FTP服务,又要考虑主机安全和管理方便的系 统来说,采用虚拟用户方式是最适合的。

2、VSFTP 的主要功能

从此名称上可以看出,开发者的初衷是将系统的安全性放在 首要位置。除了这个与生俱来的安全特性以外,高速传 输与运行的稳定性也是 VSFTP 的 2 个显著特点。在速 度方面,使用 ASCII 代码模式下载数据时,VSFTP 的速 度是 Wu- FTP(另一种比较流行的类 Unix 平台的 FTP 软件)的 2 倍,如果 Linux 主机使用 2.4.* 的内核,在千 兆以太网上的下载速度可达 86 Mbit/s;在稳定性方面 更加出色,VSFTP 在单机模式下支持 4 000 个以上的并 发用户同时连接。

二、安装配置

1、vsftp安装

(1)查询是否安装vsftp: rpm -q vsftp

(2)没有安装则使用rpm包安装或其他安装方式安装,这里我直接rpm包安装:先挂载,然后找到vsftp包,再安装:

vsftp简单应用

(3)启动:systemctl start vsftpd.service

(4)查看状态:systemctl status vsftpd.service

vsftp简单应用

2、文件配置 :vsftp 配置文件为 /etc/vsftpd/vsftpd.conf,含义如下:

local_enable=YES 设定为NO的情况下(本地用户禁止访问)导致虚拟用户将无法访问。
guest_enable=YES 启用虚拟用户登录功能
guest_username= virtualuser 虚拟用户登录后,其宿主用户为virtualuser
pam_service_name=ftp 指定PAM认证文件/etc/pam.d/ftp
virtual_use_local_privs=NO
为了提高系统安全,我们应该首先设置FTP宿主目录/home/virtualuser属性与权限:
# chown virtualuser:virtualuser /home/virtualuser设置virtualuser目录的拥有者、组。
# chmod 700 /home/virtualuser将目录/home/virtualuser的权限设为拥有者可读写执行;
当virtual_use_local_privs= YES时,虚拟用户的权限与本地用户相同,此时只需设置write_enable=YES,虚拟用户就可以和本地
用户一样就拥有写权限。
默认情况下virtual_use_local_privs取值为NO,此时虚拟用户的权限与匿名用户权限相同,可参考匿名用户的配置对虚拟用户
的访问权限进行配置


举例如下:
1、控制虚拟用户不能浏览目录但仍可以对文件进行操作
anon_world_readable_only=YES
2、允许虚拟用户上传文件
write_enable=YES全局性设置,打开写权限
anon_upload_enable=YES
3、允许虚拟用户修改文件名和删除文件 (write_enable=YES)
anon_other_write_enable=YES
4、允许匿名用户创建目录 (write_enable=YES)
anon_mkdir_write_enable=YES
考虑到以上选项的设置对匿名用户也同样会生效。配置时一定要慎之又慎,如果不想匿名用户趁机拥有同样的权限,配置时
最好关闭匿名用户登录功能。

可以通过配置chroot相关参数,限定本地用户对其他目录的访问。将用户限制在自家目录的做法:
限制所有的本地用户在自家目录
chroot_local_user=YES 系统默认值为NO

三、具体实例:(配置虚拟用户vsftpd服务器)

1、创建虚拟用户口令库文件

(1)创建/root/virtual文件

wangwu   虚拟用户名
redhat   虚拟用户名wangwu的口令
zhaoliu  虚拟用户名
linux    虚拟用户名zhaoliu的口令

(2)生成虚拟用户口令文件

db_load -T -t hash -f /root/virtual /etc/vsftpd/virtual.db

(3)修改虚拟用户口令文件/etc/vsftpd/virtual.db的设置权限为600

chmod 600 /etc/vsftpd/virtual.db

(4)创建/etc/pam.d/vsftpd.vu文件,该文件是PAM配置文件,内容如下:

auth  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

account  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

(5)创建用户virtualuser,该用户主目录为编辑?/home/ftpuser,并为该主目录设置权限为700.

useradd -d /home/ftpuser virtualuser

chmod 700 /home/ftpuser

su - virtualuser -c "echo Hello Linux">/home/ftpuser/testfile  以用户virtualuser身份创建/home/ftpuser/testfile文件

(6)编辑/etc/vsftpd/vsftpd.conf文件

anonymous_enable=NO  是否允许匿名用户登录
local_enable=YES     是否允许本地用户登录
write_enable=NO      是否允许用户有写入权限
anon_upload_enable=NO 是否允许匿名用户上传文件
anon_mkdir_write_enable=NO  是否允许匿名用户创建目录权限
anon_other_write_enable=NO 是否允许匿名用户有更改权限

chroot_local_user=YES        是否将本地用户锁定在自己的主目录中
ftpd_banner=Welcome to FTP service.  开场白
guest_enable=YES              是否启用虚拟用户
guest_username=virtualuser    虚拟用户在系统中的真实用户名
local_umask=022               设置本地用户新建文件时的umask值

xferlog_enable=YES      是否启用传输日志文件系统记录下载和上传信息
connet_from_port_20=YES  连接20号端口
xfer_std_format=YES   设置传输日志文件是否写入标准xferlog格式
listen=NO          是否启用独立进程控制vsftpd,no表示启用xinetd进程

pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES

(7)重启vsftpd服务

systectl  restart  vsftpd.service

(8)测试:ftp 192.168.1.109

vsftp简单应用

如果启用chroot,必须保证ftp根目录不可写,这样对于ftp根直接为网站根目录的用户不方便,所以建议假如ftp根目录是/home/ftpuser/,则将访问权限改写如下:chmod a-w /home/ftpuser/

vsftp简单应用

如果出现如下情况,也是/home/ftpuser/权限问题,可以该成777后,a-w。

vsftp简单应用

都改好后,测试结果如下

vsftp简单应用

vsftp简单应用

原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/64009

(0)
N24_yeziN24_yezi
上一篇 2016-12-18
下一篇 2016-12-18

相关推荐

  • Centos下实现多网卡绑定

    实现多网卡绑定在Centos6和Centos7可采用bonding方式,Centos7上team网络组也可实现,并且功能更强大。 Linux bonding 模块提供一种将多个网卡聚合成一块逻辑捆绑网卡的实现方法。 捆绑的网卡拥有多种模式,根据模式的特性,可实现网络负载均衡,网络冗余切换,提高网络吞吐量等功能。 大多流行Linux发行版都已装载bonding…

    Linux干货 2016-09-13
  • DNS 子域授权和高级应用

    DNS 基础主从部分 http://www.178linux.com/12395 实验环境:     系统环境:Centos 6.7     关闭SELINUX:setenforce 0 #立即生效   (实际是宽容模式)     配置防火墙:iptables…

    Linux干货 2016-11-15
  • 软件包管理2

    四、程序包编译     程序包编译安装:     Application-VERSION-release.src.rpm –> 安装后,使用rpmbuild命令制作成二进制格式的rpm包,而后再安装     源代码&#82…

    Linux干货 2016-08-27
  • lvm逻辑卷管理

    lvm逻辑卷管理: 允许对卷进行方便操作的抽象层,包括重新设定文件系统的大小 允许在多个物理设备间重新组织文件系统,将设备指定为物理卷 用一个或者多个物理卷来创建一个卷组 物理卷是用固定大小的物理区域(Physical Extent,PE)来定义的 在物理卷上创建的逻辑卷是由物理区域(PE)组成 可以在逻辑卷上创建文件系统 创建: 创建物理卷: pvcrea…

    Linux干货 2016-09-01
  • ​Bash2

    字串比较时变量最好使用"" 这样就不会报错了,只是退出码不为0 组合条件:     与:[ condition1 -a condition2 ]或condition1 && condition2     或:[ condition1 -o co…

    Linux干货 2016-09-25
  • # Linux运维入门初步—–第二周

    标签(空格分隔): Linux入门 linux 运维 — 写作:N27_李伟 2017-7-13一、 Linux上常用的文件管理命令都有哪些,使用方法1. 文件类型的分类文件类型:– 普通文件类型d:目录文件b:块设备c:字符设备l:符号链接文件p:管道文件,pipes:套接字文件,socket例如: [root@loong ~]# …

    Linux干货 2017-07-19

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-23 12:15

    赞,过程写的比较详细,可以再扩展一下,比如如何限制用户的存储空间~继续加油~