vsftp简单应用

vsftp配置详解

前言

FTP(File Transfer Protocol)是文件传输协议的简称。它能让用户 连接上一个远程计算机(运行着 FTP 服务器程序)查看远程 计算机上有哪些文件,然后把文件从远程计算机上下载到 本地计算机,或把本地计算机文件上传到远程计算机。但是ftp是一种古老的文件传输协议,是明文传输,特别的不安全所以就有了vsftp。

一、vsftp相关概念梳理

1、vsftp用户

访问FTP服务器时都需要经过验证,只有经过FTP服务器的验证,用户才能进行访问和传输文件等操作,Vsftpd提供三种验证 登录方式,分别是匿名用户、本地用户、虚拟用户:

匿名用户(anonymous):在默认情况下,系统只提供匿名用户访问。

本地用户(local user):又称为真实账号,本身就是系统用户,它是以真实的用户名和口令进行登录,以/etc/passwd中的用户名进行验证,本地用户既可以登录FTP服务器,又可以登录系统使用其他系统资源,对系统安全有极大的威胁,所以应尽量避免用户使用本地账号访问FTP服务器。

虚拟用户(guest)形式:Vsftpd虚拟用户与系统账号(passwdshadow)是分离的,采用单独的用户名/口令方式进行保存,通过这样的处理来提高系统的安全。Vsftpd用户验证采用PAM方式,由于用户名/口令被单独保存,因此实际验证时Vsftpd需要用一个本地用户的身份读取数据库文件来完成验证,通常由guest_username选项指定本地用户,正如同匿名用户也需要有一个本地用户ftp来映射一样。

相对于本地用户来说,虚拟用户只能访问FTP服务器所提供的资源,这大大增强了系统安全性。相对于匿名用户而言,虚拟用 户需要验证用户名和密码,同时增加了对用户访问权限的可管理性。对于需要提供FTP服务,又要考虑主机安全和管理方便的系 统来说,采用虚拟用户方式是最适合的。

2、VSFTP 的主要功能

从此名称上可以看出,开发者的初衷是将系统的安全性放在 首要位置。除了这个与生俱来的安全特性以外,高速传 输与运行的稳定性也是 VSFTP 的 2 个显著特点。在速 度方面,使用 ASCII 代码模式下载数据时,VSFTP 的速 度是 Wu- FTP(另一种比较流行的类 Unix 平台的 FTP 软件)的 2 倍,如果 Linux 主机使用 2.4.* 的内核,在千 兆以太网上的下载速度可达 86 Mbit/s;在稳定性方面 更加出色,VSFTP 在单机模式下支持 4 000 个以上的并 发用户同时连接。

二、安装配置

1、vsftp安装

(1)查询是否安装vsftp: rpm -q vsftp

(2)没有安装则使用rpm包安装或其他安装方式安装,这里我直接rpm包安装:先挂载,然后找到vsftp包,再安装:

vsftp简单应用

(3)启动:systemctl start vsftpd.service

(4)查看状态:systemctl status vsftpd.service

vsftp简单应用

2、文件配置 :vsftp 配置文件为 /etc/vsftpd/vsftpd.conf,含义如下:

local_enable=YES 设定为NO的情况下(本地用户禁止访问)导致虚拟用户将无法访问。
guest_enable=YES 启用虚拟用户登录功能
guest_username= virtualuser 虚拟用户登录后,其宿主用户为virtualuser
pam_service_name=ftp 指定PAM认证文件/etc/pam.d/ftp
virtual_use_local_privs=NO
为了提高系统安全,我们应该首先设置FTP宿主目录/home/virtualuser属性与权限:
# chown virtualuser:virtualuser /home/virtualuser设置virtualuser目录的拥有者、组。
# chmod 700 /home/virtualuser将目录/home/virtualuser的权限设为拥有者可读写执行;
当virtual_use_local_privs= YES时,虚拟用户的权限与本地用户相同,此时只需设置write_enable=YES,虚拟用户就可以和本地
用户一样就拥有写权限。
默认情况下virtual_use_local_privs取值为NO,此时虚拟用户的权限与匿名用户权限相同,可参考匿名用户的配置对虚拟用户
的访问权限进行配置


举例如下:
1、控制虚拟用户不能浏览目录但仍可以对文件进行操作
anon_world_readable_only=YES
2、允许虚拟用户上传文件
write_enable=YES全局性设置,打开写权限
anon_upload_enable=YES
3、允许虚拟用户修改文件名和删除文件 (write_enable=YES)
anon_other_write_enable=YES
4、允许匿名用户创建目录 (write_enable=YES)
anon_mkdir_write_enable=YES
考虑到以上选项的设置对匿名用户也同样会生效。配置时一定要慎之又慎,如果不想匿名用户趁机拥有同样的权限,配置时
最好关闭匿名用户登录功能。

可以通过配置chroot相关参数,限定本地用户对其他目录的访问。将用户限制在自家目录的做法:
限制所有的本地用户在自家目录
chroot_local_user=YES 系统默认值为NO

三、具体实例:(配置虚拟用户vsftpd服务器)

1、创建虚拟用户口令库文件

(1)创建/root/virtual文件

wangwu   虚拟用户名
redhat   虚拟用户名wangwu的口令
zhaoliu  虚拟用户名
linux    虚拟用户名zhaoliu的口令

(2)生成虚拟用户口令文件

db_load -T -t hash -f /root/virtual /etc/vsftpd/virtual.db

(3)修改虚拟用户口令文件/etc/vsftpd/virtual.db的设置权限为600

chmod 600 /etc/vsftpd/virtual.db

(4)创建/etc/pam.d/vsftpd.vu文件,该文件是PAM配置文件,内容如下:

auth  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

account  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

(5)创建用户virtualuser,该用户主目录为编辑?/home/ftpuser,并为该主目录设置权限为700.

useradd -d /home/ftpuser virtualuser

chmod 700 /home/ftpuser

su - virtualuser -c "echo Hello Linux">/home/ftpuser/testfile  以用户virtualuser身份创建/home/ftpuser/testfile文件

(6)编辑/etc/vsftpd/vsftpd.conf文件

anonymous_enable=NO  是否允许匿名用户登录
local_enable=YES     是否允许本地用户登录
write_enable=NO      是否允许用户有写入权限
anon_upload_enable=NO 是否允许匿名用户上传文件
anon_mkdir_write_enable=NO  是否允许匿名用户创建目录权限
anon_other_write_enable=NO 是否允许匿名用户有更改权限

chroot_local_user=YES        是否将本地用户锁定在自己的主目录中
ftpd_banner=Welcome to FTP service.  开场白
guest_enable=YES              是否启用虚拟用户
guest_username=virtualuser    虚拟用户在系统中的真实用户名
local_umask=022               设置本地用户新建文件时的umask值

xferlog_enable=YES      是否启用传输日志文件系统记录下载和上传信息
connet_from_port_20=YES  连接20号端口
xfer_std_format=YES   设置传输日志文件是否写入标准xferlog格式
listen=NO          是否启用独立进程控制vsftpd,no表示启用xinetd进程

pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES

(7)重启vsftpd服务

systectl  restart  vsftpd.service

(8)测试:ftp 192.168.1.109

vsftp简单应用

如果启用chroot,必须保证ftp根目录不可写,这样对于ftp根直接为网站根目录的用户不方便,所以建议假如ftp根目录是/home/ftpuser/,则将访问权限改写如下:chmod a-w /home/ftpuser/

vsftp简单应用

如果出现如下情况,也是/home/ftpuser/权限问题,可以该成777后,a-w。

vsftp简单应用

都改好后,测试结果如下

vsftp简单应用

vsftp简单应用

原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/64009

(0)
N24_yeziN24_yezi
上一篇 2016-12-18
下一篇 2016-12-18

相关推荐

  • N25第5周作业(grep和find使用)

    显示当前系统上root, fedora 或user1的默认shell 找出/etc/rc.d/init.d/functions文件中某单词后面跟一组小括号的行,形如:hello(); 使用echo命令输出一个绝对路径,使用grep取出基名,扩展取出其路径名 找出IFCONIFG命令结果的1-255之间的数字 挑战题:写一个模式,能匹配出合理的IP地址 挑战题…

    Linux干货 2016-12-30
  • N26_第一周

    计算机组成     CPU:核心部件:                 运算器: 对数据进行算术运算和逻辑运算     …

    Linux干货 2017-01-11
  • httpd服务

             练习:        (1)基于主机名实现三个虚拟主机              …

    Linux干货 2016-11-11
  • 硬软链接的区别 节点 以及重定向和管道

    INODE全称叫index node 表中包含文件系统所有文件列表   一个节点是在一个表项 包含有关文件的信息 ( 元数据 ) 包括: 文件类型,权限,UID,GID 链接数(指向这个文件名路径名称个数) 该文件的大小和不同的时间戳 指向磁盘上文件的数据块指针 有关文件的其他数 1 文件引用一个是 inode号   2 我们是通过文件名…

    Linux干货 2016-08-12
  • Btrfs文件系统在CentOS中的应用

      Btrfs作为Linux下一代文件系统与zfs有着许多相似的功能。 扩展性 (scalability) 相关的特性,btrfs 最重要的设计目标是应对大型机器对文件系统的扩展性要求。 Extent,B-Tree 和动态 inode 创建等特性保证了 btrfs 在大型机器上仍有卓越的表现,其整体性能而不会随着系统容量的增加而降低。 其次是数据一…

    Linux干货 2016-01-20
  • 搜索引擎-网络爬虫

     通用搜索引擎的处理对象是互联网网页,目前网页数量以百亿计,搜索引擎的网络爬虫能够高效地将海量的网页数据传下载到本地,在本地 形成互联网网页的镜像备份。它是搜索引擎系统中很关键也很基础的构件。 1. 网络爬虫本质就是浏览器http请求。      浏览器和网络爬虫是两种不同的网络客户端,都以相同的方式来获取网…

    Linux干货 2015-11-18

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-23 12:15

    赞,过程写的比较详细,可以再扩展一下,比如如何限制用户的存储空间~继续加油~