vsftp配置详解
前言
FTP(File Transfer Protocol)是文件传输协议的简称。它能让用户 连接上一个远程计算机(运行着 FTP 服务器程序)查看远程 计算机上有哪些文件,然后把文件从远程计算机上下载到 本地计算机,或把本地计算机文件上传到远程计算机。但是ftp是一种古老的文件传输协议,是明文传输,特别的不安全所以就有了vsftp。
一、vsftp相关概念梳理
1、vsftp用户
访问FTP服务器时都需要经过验证,只有经过FTP服务器的验证,用户才能进行访问和传输文件等操作,Vsftpd提供三种验证 登录方式,分别是匿名用户、本地用户、虚拟用户:
匿名用户(anonymous):在默认情况下,系统只提供匿名用户访问。 本地用户(local user):又称为真实账号,本身就是系统用户,它是以真实的用户名和口令进行登录,以/etc/passwd中的用户名进行验证,本地用户既可以登录FTP服务器,又可以登录系统使用其他系统资源,对系统安全有极大的威胁,所以应尽量避免用户使用本地账号访问FTP服务器。 虚拟用户(guest)形式:Vsftpd虚拟用户与系统账号(passwdshadow)是分离的,采用单独的用户名/口令方式进行保存,通过这样的处理来提高系统的安全。Vsftpd用户验证采用PAM方式,由于用户名/口令被单独保存,因此实际验证时Vsftpd需要用一个本地用户的身份读取数据库文件来完成验证,通常由guest_username选项指定本地用户,正如同匿名用户也需要有一个本地用户ftp来映射一样。
相对于本地用户来说,虚拟用户只能访问FTP服务器所提供的资源,这大大增强了系统安全性。相对于匿名用户而言,虚拟用 户需要验证用户名和密码,同时增加了对用户访问权限的可管理性。对于需要提供FTP服务,又要考虑主机安全和管理方便的系 统来说,采用虚拟用户方式是最适合的。
2、VSFTP 的主要功能
从此名称上可以看出,开发者的初衷是将系统的安全性放在 首要位置。除了这个与生俱来的安全特性以外,高速传 输与运行的稳定性也是 VSFTP 的 2 个显著特点。在速 度方面,使用 ASCII 代码模式下载数据时,VSFTP 的速 度是 Wu- FTP(另一种比较流行的类 Unix 平台的 FTP 软件)的 2 倍,如果 Linux 主机使用 2.4.* 的内核,在千 兆以太网上的下载速度可达 86 Mbit/s;在稳定性方面 更加出色,VSFTP 在单机模式下支持 4 000 个以上的并 发用户同时连接。
二、安装配置
1、vsftp安装
(1)查询是否安装vsftp: rpm -q vsftp
(2)没有安装则使用rpm包安装或其他安装方式安装,这里我直接rpm包安装:先挂载,然后找到vsftp包,再安装:
(3)启动:systemctl start vsftpd.service
(4)查看状态:systemctl status vsftpd.service
2、文件配置 :vsftp 配置文件为 /etc/vsftpd/vsftpd.conf,含义如下:
local_enable=YES 设定为NO的情况下(本地用户禁止访问)导致虚拟用户将无法访问。 guest_enable=YES 启用虚拟用户登录功能 guest_username= virtualuser 虚拟用户登录后,其宿主用户为virtualuser pam_service_name=ftp 指定PAM认证文件/etc/pam.d/ftp virtual_use_local_privs=NO 为了提高系统安全,我们应该首先设置FTP宿主目录/home/virtualuser属性与权限: # chown virtualuser:virtualuser /home/virtualuser设置virtualuser目录的拥有者、组。 # chmod 700 /home/virtualuser将目录/home/virtualuser的权限设为拥有者可读写执行; 当virtual_use_local_privs= YES时,虚拟用户的权限与本地用户相同,此时只需设置write_enable=YES,虚拟用户就可以和本地 用户一样就拥有写权限。 默认情况下virtual_use_local_privs取值为NO,此时虚拟用户的权限与匿名用户权限相同,可参考匿名用户的配置对虚拟用户 的访问权限进行配置 举例如下: 1、控制虚拟用户不能浏览目录但仍可以对文件进行操作 anon_world_readable_only=YES 2、允许虚拟用户上传文件 write_enable=YES全局性设置,打开写权限 anon_upload_enable=YES 3、允许虚拟用户修改文件名和删除文件 (write_enable=YES) anon_other_write_enable=YES 4、允许匿名用户创建目录 (write_enable=YES) anon_mkdir_write_enable=YES 考虑到以上选项的设置对匿名用户也同样会生效。配置时一定要慎之又慎,如果不想匿名用户趁机拥有同样的权限,配置时 最好关闭匿名用户登录功能。 可以通过配置chroot相关参数,限定本地用户对其他目录的访问。将用户限制在自家目录的做法: 限制所有的本地用户在自家目录 chroot_local_user=YES 系统默认值为NO
三、具体实例:(配置虚拟用户vsftpd服务器)
1、创建虚拟用户口令库文件
(1)创建/root/virtual文件
wangwu 虚拟用户名 redhat 虚拟用户名wangwu的口令 zhaoliu 虚拟用户名 linux 虚拟用户名zhaoliu的口令
(2)生成虚拟用户口令文件
db_load -T -t hash -f /root/virtual /etc/vsftpd/virtual.db
(3)修改虚拟用户口令文件/etc/vsftpd/virtual.db的设置权限为600
chmod 600 /etc/vsftpd/virtual.db
(4)创建/etc/pam.d/vsftpd.vu文件,该文件是PAM配置文件,内容如下:
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual account required /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual
(5)创建用户virtualuser,该用户主目录为编辑?/home/ftpuser,并为该主目录设置权限为700.
useradd -d /home/ftpuser virtualuser chmod 700 /home/ftpuser su - virtualuser -c "echo Hello Linux">/home/ftpuser/testfile 以用户virtualuser身份创建/home/ftpuser/testfile文件
(6)编辑/etc/vsftpd/vsftpd.conf文件
anonymous_enable=NO 是否允许匿名用户登录 local_enable=YES 是否允许本地用户登录 write_enable=NO 是否允许用户有写入权限 anon_upload_enable=NO 是否允许匿名用户上传文件 anon_mkdir_write_enable=NO 是否允许匿名用户创建目录权限 anon_other_write_enable=NO 是否允许匿名用户有更改权限 chroot_local_user=YES 是否将本地用户锁定在自己的主目录中 ftpd_banner=Welcome to FTP service. 开场白 guest_enable=YES 是否启用虚拟用户 guest_username=virtualuser 虚拟用户在系统中的真实用户名 local_umask=022 设置本地用户新建文件时的umask值 xferlog_enable=YES 是否启用传输日志文件系统记录下载和上传信息 connet_from_port_20=YES 连接20号端口 xfer_std_format=YES 设置传输日志文件是否写入标准xferlog格式 listen=NO 是否启用独立进程控制vsftpd,no表示启用xinetd进程 pam_service_name=vsftpd.vu userlist_enable=YES tcp_wrappers=YES
(7)重启vsftpd服务
systectl restart vsftpd.service
(8)测试:ftp 192.168.1.109
如果启用chroot,必须保证ftp根目录不可写,这样对于ftp根直接为网站根目录的用户不方便,所以建议假如ftp根目录是/home/ftpuser/,则将访问权限改写如下:chmod a-w /home/ftpuser/
如果出现如下情况,也是/home/ftpuser/权限问题,可以该成777后,a-w。
都改好后,测试结果如下
原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/64009
评论列表(1条)
赞,过程写的比较详细,可以再扩展一下,比如如何限制用户的存储空间~继续加油~