一、ftp简介
1.文件传输协议
ftp://
可用浏览器访问
2.默认发布目录
/var/ftp
3.接口协议
21/tcp
4.服务配置文件
/etc/vsftpd/vsftpd.conf
5.连接时部分报错id的解析
id |
解释 |
500 |
文件系统权限过大 |
530 |
用户认证失败 |
550 |
服务本身功能未开放 |
553 |
本地文件系统权限过小 |
6.ftp协议提供的软件
在rhel7中:
vsftpd
二、部署ftp服务
vim /etc/sysconfig/selinux ##关闭selinux
7 SELINUX=disabled ##更改第七行为disable
更改完后须重启
getenforce ##查看selinux状态
yum install vsftpd lftp -y
systemctl start vsftpd ##打开vsftp服务
systemctl start firewalld ##打开防火墙
firewall-cmd --permanent --add-service=ftp ##允许ftp通过防火墙
systemctl restart firewalld
firewall-config ##用图形更改防火墙设置
firewall-cmd --list-all ##查看防火墙状态
lftp 172.25.254.210 ##连接ftp服务器
在其中能使用命令则说明部署ftp服务成功
三、ftp配置文件
vim /etc/vsftpd/vsftpd.conf ##编辑ftp配置文件
Ⅰ.匿名用户的设定
1.匿名用户和本地用户的登陆限制
参数 |
解释 |
anonymous_enable=YES/NO |
匿名用户是否可以登陆 |
2.匿名用户上传
参数 |
解释 |
write_enable=YES/NO |
ftp是否对登陆用户可写,即上传、下载、创建等功能的总开关 |
anon_upload_enable=YES/NO |
允许匿名用户是否可以上传 |
systemctl restart vsftpd ##重启vsftpd服务
chgrp ftp /var/ftp/pub ##更改该文件组为ftp
chmod 775 /var/ftp/pub ##允许该文件被ftp组可读可写
注:上传命令是put
3.匿名用户家目录修改
参数 |
解释 |
anon_root=/directory |
该目录即是匿名用户登陆时进入的目录 |
systemctl restart vsftpd ##重启vsftpd服务
4.匿名用户上传文件默认权限修改
参数 |
解释 |
anon_umask=022 |
匿名用户新增文件时系统保留的权限为022 |
由于系统对文件保留执行权限,所以文件最后的权限为644
5.匿名用户建立目录
参数 |
解释 |
anon_mkdir_write_enable=YES/NO |
默认在33行,匿名用户是否可以创建目录 |
6.匿名用户下载
参数 |
解释 |
anon_world_readable_only=YES/NO |
设定参数值为NO表示匿名用户可以下载 |
注:下载命令是get,下载的文件会保存在进入lftp时所在的路径下
7.匿名用户删除
参数 |
解释 |
anon_other_write_enable=YES/NO |
匿名用户是否可以删除文件 |
8.匿名用户使用的用户身份修改及最大上传速率和最大链接数
参数 |
解释 |
chown_uploads=YES |
默认在48行,所有匿名上传的文件的所属用户将会被更改成chown_username |
chown_username=redhat |
默认在49行,匿名用户身份指定,必须是服务端已有的用户 |
anon_max_rate=102400 |
最大上传速率,单位为bit |
max_clients=2 |
允许同时有2个用户登陆该ftp服务器 |
上传的文件用户uid已变成1001,即redhat
上传速率保持在100K左右
最大链接数为2,最右边的主机无法连接
Ⅱ.本地用户设定
1.本地用户登陆
参数 |
解释 |
local_enable=YES/NO |
本地用户是否可以登陆 |
2.本地用户家目录修改
参数 |
解释 |
local_root=/directory |
家目录的用户权限应没有w |
chmod u-w /mnt/dc
3.本地用户上传文件权限
参数 |
解释 |
local_umask=022 |
本地用户新增文件时系统保留的权限为022 |
上传得到的passwd文件权限为777-022-111=644,与结果rw-r–r--相符
4.限制本地用户浏览根目录
参数 |
解释 |
chroot_local_user=YES |
默认在101行,将所有本地用户被锁定到自己的家目录中 |
5.本地用户黑名单建立
作用:其他用户用黑名单上的本地用户登陆ftp时,会被锁定到该本地用户的家目录中。
touch /etc/vsftpd/chroot_list ##建立黑名单
vim /etc/vsftpd/chroot_list ##在里面添加的用户不能进入根目录
参数 |
解释 |
chroot_local_user=NO |
默认在101行,NO表示下面的路径是黑名单 |
chroot_list_enable=YES |
默认在102行,YES表示开启黑白名单功能 |
chroot_list_file=/etc/vsftpd/chroot_list |
默认在104行,黑名单路径 |
6.本地用户白名单建立
作用:其他用户用白名单上的本地用户登陆ftp时,可以访问根目录
touch /etc/vsftpd/chroot_listb ##建立白名单
vim /etc/vsftpd/chroot_listb ##在里面添加的用户可以进入根目录
参数 |
解释 |
chroot_local_user=YES |
默认在101行,YES表示下面的路径是白名单 |
chroot_list_enable=YES |
默认在102行,YES表示开启黑白名单功能 |
chroot_list_file=/etc/vsftpd/chroot_listb |
默认在104行,白名单路径 |
7.限制本地用户登陆
vim /etc/vsftpd/ftpusers ##用户永久黑名单,只要在该名单上出现的用户不能登陆ftp服务器
vim /etc/vsftpd/user_list ##用户临时黑名单,当userlist_deny=NO出现时该名单变为白名单
参数 |
解释 |
userlist_deny=YES/NO |
YES时/etc/vsftpd/user_list时黑名单,NO时/etc/vsftpd/user_list是白名单 |
Ⅲ.虚拟用户的设定
1.创建虚拟用户身份
vim /etc/vsftpd/virtfile ##新建账户名单文件,文件名任意,奇数行时帐号,偶数行是密码
db_load -T -t hash -f /etc/vsftpd/virtuser /etc/vsftpd/virtuser.db ##hash加密,账户名单文件
vim /etc/pam.d/virt ##指定文件名任意
用户或密码 |
判定方式 |
指向插件 |
帐号文件 |
account |
required |
pam_userdb.so |
db=/etc/vsftpd/virtuser |
auth |
required |
pam_userdb.so |
db=/etc/vsftpd/virtuser |
vim /etc/vsftpd/vsftpd.conf ##更改配置文件
参数 |
解释 |
pam_service_name=virt |
关联/etc/pam.d目录下的virt文件 |
guest_enable=YES |
打开虚拟用户登陆 |
guest_username=ftp |
虚拟用户登陆时用的身份 |
2.虚拟帐号独立家目录设置
mkdir -p /var/ftpuserdir/redhat{1..3} ##家目录名须和虚拟账户名相同
vim /etc/vsftpd/vsftpd.conf ##更改配置文件
参数 |
解释 |
local_root=/var/ftpuserdir/$USER |
设置用户进入时的家目录为/var/ftpuserdir/$USER, $USER表示当前用户的名字 |
user_sub_token=$USER |
设置该配置文件识别$USER符号时使用shell里的 $USER |
3.虚拟帐号独立配置
mkdir -p /etc/vsftpd/user_conf ##创建独立配置路径
vim /etc/vsftpd/vsftpd.conf ##更改配置文件
参数 |
配置 |
user_config_dir=/etc/vsftpd/user_conf |
设置虚拟用户独立配置路径 |