linux 下搭建FTP服务实战
1、安装vsftp
yum install -y vsftpd
2、新建虚拟用户
useradd -d /var/ftp -s /sbin/nologin virtual
/var/ftp 如果不存在就 建一个 mkdir /var/ftp, 另外保证安全,不要让virtual 这个用户使用ssh登录
virtual是一个虚拟用户,不是用来ftp登录使用的。ftp登录用户需要另外建立
3、修改/var/ftp的权限
chmod 755 /var/ftp
chown virtual:virtual /var/ftp
4、ftp登录用户设置
cd /etc/vsftpd/
vi login.txt
输入用户密码,用户一行密码一行,单数行为用户名,双数行为密码比如:
user1
password11111
user2
password122333
保存好之后,运行下面命令生成db文件
db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db
修改文件权限:
chmod 600 /etc/vsftpd/login.db
新建登录用户目录权限
mkdir /etc/vsftpd/user_conf
cd /etc/vsftpd/user_conf
vi user1
输入一下配置,给予用户相应的权限,以下是用户可以上传,下载,删除,相应配置改动YES/NO即可
local_root=/var/ftp
anon_world_readable_only=NO
write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES
allow_writeable_chroot=YES
修改登录pam认证
vi /etc/pam.d/vsftpd
添加两行,原文件所有行都删除或者注释:
auth required pam_userdb.so db=/etc/vsftpd/login
account required pam_userdb.so db=/etc/vsftpd/login
5、修改vsftpd.conf 配置文件
anonymous_enable=NO
local_enable=YES
write_enable=NO
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=NO
userlist_deny=NO
tcp_wrappers=YES
write_enable=YES
listen_port=27001
local_enable=YES
guest_enable=YES
guest_username=virtual
user_config_dir=/etc/vsftpd/user_conf
ftpd_banner=Welcome to FTP service
allow_writeable_chroot=YES
max_clients=300
max_per_ip=10
use_localtime=YES
pasv_enable=YES
pasv_address=xxx.xxx.xxx.xx
pasv_addr_resolve=YES
pasv_min_port=30010
pasv_max_port=30015
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
6、生成ssl 证书, 具体提示内容随便填写即可:
cd /etc/vsftpd/
openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
7、启动vsftpd
systemctl start vsftpd
重启是 systemctl restart vsftpd
8、我遇到的问题是:没有配置pasv_address ,pasv_addr_resolve,pasv_min_port,pasv_max_port 这这几个参数,导致登录成功,但是无法获取目录列表,配上上面的几个参数即可解决
提示:错误: 连接超时 错误: 读取目录列表失败
9、最后,还要主要自己的机器是否有防火墙,是否开了SeLinux,如果开了需要关闭。云服务器需要开相关的端口权限,端口的指定可以在配置文件里面增加listen_port参数指定
10、自己查看配置的文档:
cd /etc/vsftd
man 5 vsftpd.conf
11、看到网上很多人配置系统用户进行登录,这种方式不太安全也不灵活,不建议使用。
12、具体配置说明
与主机较相关的设定值
connect_from_port_20=YES (NO)
ftp-data 的端口;
listen_port=21
vsftpd 使用的命令通道之端口号,如果您想要使用非正规的端口,在这个设定项目修改吧! 不过你必须要知道,这个设定值仅适合以 stand alone 的方式来启动(对于 super daemon 无效)
dirmessage_enable=YES (NO)
当用户进入某个目录时,会显示该目录需要注意的内容,显示的文件默认是 .message ,你可以使用底下的设定项目来修改!
message_file=.message
当 dirmessage_enable=YES 时,可以设定这个项目来让 vsftpd 寻找该文件来显示信息!
listen=YES (NO)
若设定为 YES 表示 vsftpd 是以 standalone 的方式来启动的
pasv_enable=YES (NO)
启动被动式联机模式(passive mode),一定要设定为 YES 的
use_localtime=YES (NO)
是否使用本地时间?vsftpd 预设使用 GMT 时间(格林威治)
write_enable=YES (NO)
如果你允许用户上传数据时,就要启动这个设定值;
connect_timeout=60
单位是秒,在数据连接的主动式联机模式下,我们发出的连接讯号在 60 秒内得不到客户端的响应,则不等待并强制断线。
accept_timeout=60
当用户以被动式 PASV 来进行数据传输时,如果主机启用 passive port 并等待 client 超过 60 秒而无回应, 那么就给他强制断线!这个设定值与 connect_timeout 类似,不过一个是管理主动联机,一个管理被动联机。
data_connection_timeout=300
如果服务器与客户端的数据联机已经成功建立 (不论主动还是被动联机),但是可能由于线路问题导致 300 秒内还是无法顺利的完成数据的传送,那客户端的联机就会被我们的 vsftpd 强制剔除!
idle_session_timeout=300
如果使用者在 300 秒内都没有命令动作,强制脱机
max_clients=0
如果 vsftpd 是以 stand alone 方式启动的,那么这个设定项目可以设定同一时间,最多有多少 client 可以同时连上 vsftpd
max_per_ip=0
与上面 max_clients 类似,这里是同一个 IP 同一时间可允许多少联机?
pasv_min_port=0, pasv_max_port=0
上面两个是与 passive mode 使用的 port number 有关,如果您想要使用 65400 到 65410 这 11 个 port 来进行被动式联机模式的连接,可以这样设定 pasv_max_port=65410 以及 pasv_min_port=65400。 如果是 0 的话,表示随机取用而不限制。
ftpd_banner=一些文字说明
当使用者联机进入到 vsftpd 时,在 FTP 客户端软件上头会显示的说明文字。不过,这个设定值数据比较少啦! 建议你可以使用底下的设定值来取代这个项目;
banner_file=/path/file
这个项目可以指定某个纯文本档作为使用者登入 vsftpd 服务器时所显示的欢迎字眼。
与实体用户较相关的设定值
guest_enable=YES (NO)
若这个值设定为 YES 时,那么任何非 anonymous 登入的账号,均会被假设成为 guest (访客)至于访客在 vsftpd 当中,预设会取得 ftp 这个使用者的相关权限。但可以透过 guest_username 来修改。
guest_username=ftp
在 guest_enable=YES 时才会生效,指定访客的身份而已。
local_enable=YES (NO)
这个设定值必须要为 YES 时,在 /etc/passwd 内的账号才能以实体用户的方式登入我们的 vsftpd 主机
local_max_rate=0
实体用户的传输速度限制,单位为 bytes/second, 0 为不限制。
chroot_local_user=YES (NO)
将用户限制在自己的家目录之内(chroot)!这个设定在 vsftpd 当中预设是 NO,因为有底下两个设定项目的辅助喔! 所以不需要启动他!
chroot_list_enable=YES (NO)
是否启用将某些实体用户限制在他们的家目录内?预设是 NO ,不过,如果您想要让某些使用者无法离开他们的家目录时, 可以考虑将这个设定为 YES ,并且规划下个设定值
chroot_list_file=/etc/vsftpd.chroot_list
如果 chroot_list_enable=YES 那么就可以设定这个项目了! 他里面可以规定那一个实体用户会被限制在自己的家目录内而无法离开!(chroot) 一行一个账号即可!
userlist_enable=YES (NO)
是否藉助 vsftpd 的抵挡机制来处理某些不受欢迎的账号,与底下的设定有关;
userlist_deny=YES (NO)
当 userlist_enable=YES 时才会生效的设定,若此设定值为 YES 时,则当使用者账号被列入到某个文件时, 在该文件内的使用者将无法登入 vsftpd 服务器!该文件名与下列设定项目有关。
userlist_file=/etc/vsftpd.user_list
若上面 userlist_deny=YES 时,则这个文件就有用处了!在这个文件内的账号都无法使用 vsftpd
匿名者登入的设定值
anonymous_enable=YES (NO)
设定为允许 anonymous 登入我们的 vsftpd 主机!预设是 YES ,底下的所有相关设定都需要将这个设定为 anonymous_enable=YES 之后才会生效!
anon_world_readable_only=YES (NO)
仅允许 anonymous 具有下载可读文件的权限,预设是 YES。
anon_other_write_enable=YES (NO)
是否允许 anonymous 具有写入的权限?预设是 NO!如果要设定为 YES, 那么开放给 anonymous 写入的目录亦需要调整权限,让 vsftpd 的 PID 拥有者可以写入才行!
anon_mkdir_write_enable=YES (NO)
是否让 anonymous 具有建立目录的权限?默认值是 NO!如果要设定为 YES, 那么 anony_other_write_enable 必须设定为 YES !
anon_upload_enable=YES (NO)
是否让 anonymous 具有上传数据的功能,默认是 NO,如果要设定为 YES , 则 anon_other_write_enable=YES 必须设定。
deny_email_enable=YES (NO)
将某些特殊的 email address 抵挡住,不让那些 anonymous 登入! 如果以 anonymous 登入主机时,不是会要求输入密码吗?密码不是要您 输入您的 email address 吗?如果你很讨厌某些 email address , 就可以使用这个设定来将他取消登入的权限!需与下个设定项目配合:
banned_email_file=/etc/vsftpd.banned_emails
如果 deny_email_enable=YES 时,可以利用这个设定项目来规定哪个 email address 不可登入我们的 vsftpd 喔!在上面设定的文件内,一行输入一个 email address 即可!
no_anon_password=YES (NO)
当设定为 YES 时,表示 anonymous 将会略过密码检验步骤,而直接进入 vsftpd 服务器内喔!所以一般预设都是 NO
anon_max_rate=0
这个设定值后面接的数值单位为 bytes/秒 ,限制 anonymous 的传输速度,如果是 0 则不限制(由最大带宽所限制),如果您想让 anonymous 仅有 30 KB/s 的速度,可以设定『anon_max_rate=30000』
anon_umask=077
限制 anonymous 的权限!如果是 077 则 anonymous 传送过来的文件 权限会是 -rw-------
关于系统安全方面的一些设定值
ascii_download_enable=YES (NO)
如果设定为 YES ,那么 client 就可以使用 ASCII 格式下载文件。
ascii_upload_enable=YES (NO)
与上一个设定类似的,只是这个设定针对上传而言!预设是 NO
one_process_model=YES (NO)
这个设定项目比较危险一点~当设定为 YES 时,表示每个建立的联机 都会拥有一支 process 在负责,可以增加 vsftpd 的效能。不过, 除非您的系统比较安全,而且硬件配备比较高,否则容易耗尽系统资源一般建议设定为 NO
tcp_wrappers=YES (NO)
当然我们都习惯支持 TCP Wrappers 的所以设定为 YES
xferlog_enable=YES (NO)
当设定为 YES 时,使用者上传与下载文件都会被纪录起来。记录的文件与下一个设定项目有关:
xferlog_file=/var/log/vsftpd.log
如果上一个 xferlog_enable=YES 的话,这里就可以设定了!这个是登文件的名称
xferlog_std_format=YES (NO)
是否设定为 wu ftp 相同的登录档格式?!预设为 NO ,因为登录档会比较容易读! 不过,如果您有使用 wu ftp 登录文件的分析软件,这里才需要设定为 YES
nopriv_user=nobody
我们的 vsftpd 预设以 nobody 作为此一服务执行者的权限。因为 nobody 的权限 相当的低,因此即使被入侵,入侵者仅能取得 nobody 的权限
pam_service_name=vsftpd
这个是 pam 模块的名称,我们放置在 /etc/pam.d/vsftpd 即是这个