vsftpd配置

VSFTPD软件的安装和配置

系统默认安装的几个文件位置：     /etc/init.d/vsftpd     启动脚本     /etc/pam.d/vsftpd      验证文件     /etc/vsftpd.conf       主配置文件     /home/ftp              默认ftp家目录 VSFTPD服务器配置 这是我这个菜鸟学习LINUX所写的第一篇服务器配置文章，是比较基础的FTP架设的应用，大部分是参考其他资料来的，如果有疏漏或者错误，请多多指教， 谢谢。我所用的是Debian 4.0 + vsftpd (2.0.5-2)的系统架构，在这里说明的是如果对配置文件不是很熟悉，请最好做个备份，以免误操作。 一、匿名用户访问服务器（独立运行） 在默认安装情况下，/etc/vsftpd.conf配置文件中有如下几项：   listen=yes               （独立的VSFTPD服务器）*   anonymous_enable=yes      (允许匿名登陆)   dirmessage_enable=yes    （切换目录时，显示目录下.message的内容）   xferlog_enable=yes       （激活上传和下载的日志）*   connect_form_port_20=yes （启用FTP数据端口的数据连接） 以下为debian系统的个性化配置：   secure_chroot_dir=/var/run/vsftpd     （此选项用于指定一个空目录. 并且ftp 用户不应对此目录有写权限. 当vsftpd不需要访问文件系统时, 此目录做为一个限制目录, 将用户限制在此目录中）   pam_service_name=vsftpd          （指定vsftpd的验证文件，可自己更改）   rsa_cert_file=/etc/ssl/certs/vsftpd.pem （vsftpd用的rsa证书的位置） 功能：默认安装配置是使用匿名用户访问。可下载，不可上传。默认目录为/home/ftp 注：其中所有和日志欢迎信息相关连的都是可选项,打了星号的是属于FTP的基本选项，建议添加到配置文件中。 开启匿名FTP服务器上传权限 在配置文件中添加以下的信息即可：   Anon_upload_enable=yes      （开放上传权限）   Anon_mkdir_write_enable=yes （可创建目录的同时可以在此目录中上传文件）   Write_enable=yes            （开放本地用户写的权限）   Anon_other_write_enable=yes （匿名帐号可以有删除的权限） 二、本地用户访问服务器（独立服务器） 在配置文件中添加如下信息即可：   Local_enble=yes             （本地帐户能够登陆）   Write_enable=no             （本地帐户登陆后无权删除和修改文件） 功能：可以用本地帐户登陆vsftpd服务器，有下载上传的权限 用户登陆限制进其它的目录，只能进它的主目录，设置所有的本地用户都执行chroot   Chroot_local_user=yes       （本地所有帐户都只能在自家目录） 设置指定用户执行chroot   Chroot_list_enable=yes      （文件中的名单可以调用）   Chroot_list_file=/etc/vsftpd.chroot_list 注意：vsftpd.chroot_list 是没有创建的需要自己添加，要想控制帐号就直接在文件中加帐号即可 限制本地用户访问FTP   Userlist_enable=yes         （用userlist来限制用户访问）   Userlist_deny=yes           （名单中的人不允许访问,设置为no时允许访问）   Userlist_file=/etc/vsftpd.chroot_list （默认文件） 注：后面2个设置需要在第一个设置为yes时有效。 其他选项   Idle_session_timeout=600（秒）   （用户会话超时时间）   Data_connection_timeout=120（秒）（数据连接超时时间）   Accept_timeout=60（秒）     （pasv模式数据连接的超时时间）   Connect_timeout=60（秒）    （port模式数据连接的超时时间）   Local_max_rate=50000（bite）（本地用户最大传输率）   Anon_max_rate=30000（bite） （匿名用户最大传输率）   Pasv_min_port=50000         （Pasv模式数据连接端口最小值）   Pasv_max_port=60000         （Pasv模式数据连接端口最大值）   Max_clients=200             （FTP用户的最大连接数）   Max_per_ip=5                （每IP的最大连接数）   Listen_port=10021           （ftp服务器监听端口） 三、虚拟用户访问服务器（独立运行） 配置独立FTP的服务器的非端口标准模式进行数据连接 修改vsftpd.conf     Listen_port=10021 配置单独的虚拟FTP，使用虚拟FTP用户，并使建立的四个帐户中有不同的权限（两个有读目录的权限，一个有浏览、上传、下载的权限，一个有浏览、下载、删除和改文件名的权限） 1、进入/etc所在的文件夹     #mv vsftpd.conf vsftpd-ftp.conf  （备份配置） 2、建立logins.txt     #mkdir /etc/vsftpd     #cp /usr/share/doc/vsftpd/EXAMPLE/VIRTUAL_USERS/*  /etc/vsftpd     #cd ./vsftpd     #编辑logins.txt添加以下信息：         test1------------用户名         test1------------密码         test2------------用户名         test2------------密码         ……     格式要按照一行用户名，一行密码 3、建立访问者的口令库文件,然后修改其权限    #db_load –T –t hash -f /etc/vsftpd/logins.txt /etc/vsftpd_login.db     注：也可能用db3_load，需要安装 libdb3-util 4、复制vsftpd目录下的vsftpd.pam     #cp /etc/vsftpd/vsftpd.pam /etc/pam.d/    查看此文件中是否有如下信息     auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login     account required /lib/security/pam_userdb.so db=/etc/vsftpd_login 5、在/home下创建目录并改变其属性和它的属主     #mkdir /home/ftpvirtual     #useradd -d /home/ftpvirtual -s /sbin/nologin virtual     #chmod 700 /home/ftpvirtual     #chown virtual:virtual /home/ftpvirtual    在ftpvirtual目录中添加test_file测试文件 6、配置vsftpd.conf中的信息     修改vsftpd.conf文件     anonymous_enable=NO         （禁用匿名帐户）     local_enable=YES            （启用本地用户）     write_enable=NO             （禁止写操作）     anon_upload_enable=NO       （禁止上传）     anon_mkdir_write_enable=NO  （禁止建立目录）     anon_other_write_enable=NO  （禁止其他写操作）     anon_world_readable_only=NO （启用其他用户浏览功能）*     chroot_local_user=YES       （限制在用户自己目录内）     guest_enable=YES            （启用虚拟帐户）     guest_username=virtual      （指定虚拟帐户名称）     listen=YES                  （独立运行ftp）     listen_port=21              （监听21端口，默认21可更改）     pasv_enable=YES             （启用被动数据传输模式）     pasv_min_port=30000         （pasv模式数据连接端口最小值）     pasv_max_port=30999         （pasv模式数据连接端口最大值）     以下为可选项     dirmessage_enable=YES       （目录欢迎信息）     xferlog_enable=YES          （启用日志）     connect_from_port_20=YES    （主动模式数据传输端口）     Idle_session_timeout=600（秒）   （用户会话超时时间）     Data_connection_timeout=120（秒）（数据连接超时时间）     Accept_timeout=60（秒）     （pasv模式数据连接的超时时间）     Local_max_rate=50000（bite）（本地用户最大传输率）     Pasv_min_port=50000         （Pasv模式数据连接端口最小值）     Pasv_max_port=60000         （Pasv模式数据连接端口最大值）     Max_clients=200             （FTP用户的最大连接数）     Max_per_ip=5                （每IP的最大连接数）     pam_service_name=vsftpd.pam     secure_chroot_dir=/var/run/vsftpd 注：如果客户端在防火墙内部，建议使用被动数据传输模式。 ***虚拟用户ftp服务器就算建好了，可以做一下测试…… 7、创建不同虚拟用户不同的权限 在vsftpd.conf所在的目录中创建virtaul文件目录并在文件目录中创建以你用户名命名的配置文件： test1        test2        test3        test4 在test1中添加：  Anon_world_readable_only=no 在test2中添加：  Anon_world_readable_only=no     #这样此两个用户就有了浏览目录的权限了 在test3中添加：  Anon_world_readable_only=no                  Write_enable=yes                  Anon_upload_enable=yes     #此用户就有了上传、下载和浏览的权限 在test4中添加：  Anon_world_readable_only=no                  Write_enable=yes                  Anon_upload_enable=yes                  Anon_other_write_enable=yes     #此用户就有了上传、下载、删除文件目录、修改文件名和浏览的权限 8、修改vsftpd.conf     加入user_config_dir=/etc/virtual ***重起服务器就可以实现我们的目的了 ----------------------------------------------------------------------------------------- vsftp配置大全 一、前言 Vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用，如ftp.redhat.com,ftp.kde.org,ftp.gnome.org.等。Vsftpd的实现有三种方式 1、匿名用户形式：在默认安装的情况下，系统只提供匿名用户访问 2、本地用户形式：以/etc/passwd中的用户名为认证方式 3、虚拟用户形式：支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用 户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了 对用户和下载的可管理性。对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来 说，虚拟用户是一种极好的解决方案。     二、获取最新版的Vsftp程序 Vsftp官方下载：ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz，目前已经到 2.0.3版本。假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录 # cd /home/xuchen # tar xzvf vsftpd-2.0.3.tar.gz //解压缩程序 # cd vsftpd-2.0.3 三、三种方式的实现 1、匿名用户形式实现 # vi builddefs.h  //编辑builddefs.h 文件，文件内容如下： #ifndef VSF_BUILDDEFS_H #define VSF_BUILDDEFS_H #undef VSF_BUILD_TCPWRAPPERS #define VSF_BUILD_PAM #undef VSF_BUILD_SSL #endif /* VSF_BUILDDEFS_H */ 将以上undef的都改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL # make  //直接在vsftpd-2.0.3里用make编译 # ls -l vsftpd -rwxr-xr-x  1 root root 86088 Jun  6 12:29 vsftpd  //可执行程序已被编译成功 创建必要的帐号，目录： # useradd nobody  //可能你的系统已经存在此帐号，那就不用建立 # mkdir /usr/share/empty  //可能你的系统已经存在此目录，那就不用建立 # mkdir /var/ftp  //可能你的系统已经存在此目录，那就不用建立 # useradd -d /var/ftp ftp  //可能你的系统已经存在此帐号，那就不用建立 # chown root:root /var/ftp # chmod og-w /var/ftp 请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin 安装vsftp配置文件，可执行程序，man等: # install -m 755 vsftpd /usr/local/sbin/vsftpd-ano # install -m 644 vsftpd.8 /usr/share/man/man8 # install -m 644 vsftpd.conf.5 /usr/share/man/man5 # install -m 644 vsftpd.conf /etc/vsftpd-ano.conf 这样就安装完成了，那么我们开始进行简单的配置 # vi /etc/vsftpd-ano.conf ,将如下三行加入文件 listen=YES listen_port=21 tcp_wrappers=YES anon_root=/var/ftp //设置匿名用户本地目录，和ftp用户目录必须相同 listen=YES的意思是使用standalone启动vsftpd，而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式) # /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf &  //以后台方式启动vsftpd 注意：每行的值都不要有空格，否则启动时会出现错误，举个例子，假如我在listen=YES后多了个空格，那我启动时就出现如下错误： 500 OOPS: bad bool value in config file for: listen 测试搭建好的匿名用户方式 # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): ftp 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>; pwd 257 "/" ftp>; quit 221 Goodbye. # 高级配置 细心的朋友可能已经看出来我们只在默认配置文件增加了四行，就实现了FTP连接（也证明了vsftpd的易用性），那么让我们传个文件吧，呀！！传输失败了 为什么呢？因为 vsftpd 是为了安全需要，/var/ftp目录不能把所有的权限打开，所以我们这时要建一个目录pub，当然也还是需要继续修改配置文件的。 # mkdir /var/ftp/pub # chmod -R 777 /var/ftp/pub 为了测试方便，我们先建立一个名为kill-ano的脚本，是为了杀掉FTP程序的 #!/bin/bash a=`/bin/ps -A | grep vsftpd-ano | awk '{print $1}'` kill -9 $a 那么现在大家看看我的匿名服务器配置文件吧 anonymous_enable=YES  //允许匿名访问，这是匿名服务器必须的 write_enable=YES  //全局配置可写 anon_umask=077  //匿名用户上传的文件权限是-rw---- anon_upload_enable=YES  //允许匿名用户上传文件 anon_mkdir_write_enable=YES  //允许匿名用户建立目录 anon_other_write_enable=YES  //允许匿名用户具有建立目录，上传之外的权限，如重命名，删除 dirmessage_enable=YES  //当使用者转换目录,则会显示该目录下的.message信息 xferlog_enable=YES   //记录使用者所有上传下载信息 xferlog_file=/var/log/vsftpd.log  //将上传下载信息记录到/var/log/vsftpd.log中 xferlog_std_format=YES   //日志使用标准xferlog格式 idle_session_timeout=600  //客户端超过600S没有动作就自动被服务器踢出 data_connection_timeout=120  //数据传输时超过120S没有动作被服务器踢出 ftpd_banner=Welcome to d-1701.com FTP service.  //FTP欢迎信息 anon_max_rate=80000  //这是匿名用户的下载速度为80KBytes/s check_shell=NO  //不检测SHELL 现在再测试，先kill掉再启动FTP程序 # ./kill-ano # /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf & 上传一个文件测试一下，怎么样？OK了吧，下载刚上传的那个文件，恩？不行，提示 550 Failed to open file. 传输已失败！ 传输队列已完成 1 个文件传输失败 没有关系，你记得咱们设置了anon_umask=077了吗？所以你下载不了，如果你到服务器上touch 一个文件（644），测试一下，是可以被下载下来的，好了，匿名服务器就说到这里了。