FTP 服务搭建
最近一直偷懒,没有上传博客,最近工作中正好要搭建FTP,来写个博客吧。
同志还需努力啊,天天犯懒以后只能去吃土了。
首先介绍一下我的实验环境:CentOS6.7,内核2.6
[root@CentOS-6 ~]# cat /etc/redhat-release
CentOS release 6.7 (Final)
[root@CentOS-6 ~]# uname -a
Linux CentOS-6 2.6.32-573.el6.x86_64 #1 SMP Thu Jul 23 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
实验中我是关闭了selinux和iptables
[root@CentOS-6 ~]# getenforce
Disabled
[root@CentOS-6 ~]# chkconfig --list iptables
iptables 0:off 1:off 2:off 3:off 4:off 5:off 6:off
如何关闭selinux,iptables
- selinux
编辑 /etc/selinux/config 文件,调整参数 SELINUX=disabled - iptables
执行 chkonfig iptables off,查看命令 chkconfig --list iptables
安装 ftp 服务
安装是很简单的,直接执行 yum 命令,轻松又愉快。
养成好习惯,安装完成后检查一下,是否安装成功。
yum -y install vsftpd
rpm -qa | grep vsftpd
vsftpd-2.2.2-24.el6.x86_64
用户在登录 ftp 服务器时用户名和密码都是使用明文传送,尤为的不安全,所以下面实验的要求是
1.禁止匿名用户登录(anonymous)
2.禁止系统用户登录
3.启用虚拟用户登录,并指定虚拟用户登录后的家目录(管理员指定的家目录)
配置 ftp 服务
/etc/vsftpd/vsftpd.conf 是 ftp 的主配置文件
上面已经安装了 ftp 服务,启动 ftp 并查看其 21 端口是否正常工作
[root@CentOS-6 ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]
[root@CentOS-6 ~]# netstat -tlunp | grep vsf
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 1890/vsftpd
修改主配置文件,禁止匿名用户登录
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
创建虚拟用户口令文件
可以随便自己起个名字,我这里就叫 vuser.txt
这个文件中就是需要登录的虚拟用户名和密码
格式:
用户1
密码
用户2
密码
后面会对这个文件进行加密处理,所以不用担心安全问题
cat /etc/vsftpd/vuser.txt
test1
1234
test2
1234
安装口令认证
yum -y install db4-utils
生成登录验证的二进制文件
db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db
开始啰嗦:咳咳
下面要实现的是不允许系统用户登录 ftp 服务,为什么禁止上面已经说了,因为 ftp 的用户名密码都是明文传送,很容易就被截获,很是不安全。
要禁止系统用户登录需要将 /etc/pam.d/vsftpd 文件中的内容全部注释,为啥?
其实具体我说不明白,只是系统用户登录 ftp 服务器都要经过这个文件,现在内容都被注释了,自然无法登陆了
注意:在主配置文件中(/etc/vsftpd/vsftpd.conf)文件中有一条选项,local_enable=YES(默认就是YES),大不可将其改为NO,因为即使是通过虚拟用户登录,我们下面的操作也是要创建一个 nologin 的系统用户,在将写入 vuser.txt 文件中的用户映射到这个系统用户上,从而实现虚拟用户登录
啰嗦完毕
编辑 /etc/pam.d/vsftpd 文件,注释所有内容,可以使用末行模式,开心还简单
末行模式的命令哈
:2,8s/^/#/g
光是注释还不够,还需要在 /etc/pam.d/vsftpd 文件中追加两行内容
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
建立本地映射用户并设置宿主目录权限(所有虚拟用户映射成为 vuser 用户)
要指定用户的bash shell为 /sbin/nologin
宿主目录的权限定义为 755
useradd -d /home/vftproot -s /sbin/nologin vuser
chmod 755 /home/vftproot/
在 /etc/vsftpd/vsftpd.conf 文件中添加内容
# 开启虚拟用户
guest_enable=YES
# FTP虚拟用户对应的系统用户
guest_username=vuser
# PAM认证文件(默认存在)
pam_service_name=vsftpd
到此为止 ftp 服务器就算是搭建完成了,在宿主上测试一下
介绍一下我的宿主机:win10
ftp 服务器地址:10.1.41.168
cmd 下 ftp 10.1.41.168
test1,test2用户可以登录,下载文件和目录(目录的下载在cmd命令行中无法实现,可以使用filezilla软件)
但是只能下载不能上传
上传报错
ftp> put ftp.txt
200 PORT command successful. Consider using PASV.
550 Permission denied.
下载成功
ftp> get zhao.txt
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for zhao.txt (0 bytes).
226 Transfer complete.
可以通过修改主配置文件 /etc/vsftpd/vsftpd.conf 文件,允许虚拟用户进行上传下载
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
上面在命令是在宿主机上操作,如果执行命令时 cmd 的路径在 C:\Users\Administrator> 那么默认就下载到了这个目录
当要增加虚拟用户时,需要重新修改 /etc/vsftpd/vuser.txt 文件,并重新生成登录的二进制文件。
---------------------------------------------------------华丽的分割线----------------------------------------------------------
下面来个更帅的配置,指定用户登录后的家目录,并且不需要修改主配置文件
编辑 /etc/vsftpd/vsftpd.conf 文件,配置和上面一样,但是需要多加一条
user_config_dir=/etc/vsftpd/vusers_dir
创建上面的 vusers_dir 目录,这个目录存放的就是每个虚拟用户的登录文件了
mkdir /etc/vsftpd/vusers_dir
为虚拟用户建立配置文件
vim /etc/vsftpd/vusers_dir/test2
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_root=/tmp/vtest2
创建用户登录后的上传下载文件的路径
mkdir /tmp/vtest2
更改 vcanglaoshi 这个目录的属主,vtest2 这个目录要满足 ftp 的上传权限和目录本身的读写执行权限
系统中所有虚拟用户都是 vuser,并不是 test2
chown vuser /tmp/vtest2/
最后一个小总:
上面环境中有两个用户,分别是 test1 和 test2 用户,
test1 登录后的目录是默认的 /home/vftproot/ 目录
test2 登录后是分割线下面我们配置的 /tmp/vtest2 目录
环境完成,OK。