1. Vsftpd文件共享
1.1简介
Vsftpd是“very secure FTP daemon”的缩写,是一款非常安全的FTP软件。支持IPv6以及SSL加密。Vsftpd的安全性主要体现三个方面:进程分离,处理不同任务的进程彼此是独立运行的;进程运行均以最小权限运行;多数进程都使用chroot进行了禁锢,防止客户访问非法共享目录。端口号为21端口
1.2特点
1.它是一个安全、高速、稳定的FTP服务器;可以做基于多个IP的虚拟FTP主机服务器
2.vsftpd是以一般身份启动服务,并且用chroot进行改换根目录;匿名服务设置方便,根目录不需要特殊的目录结构、系统程序或系统文件
3.任何需要具有个较高权限的vsftpd指令均以一支特殊的上层程序(parent process)所控制,并且该上层程序享有的较高执行权限功能已经被限制的相当低。
3.所有的客户端,想要使用这只上层程序所提供的较高执行权限之vsftpd指令的需求,均被视为不可信任的要求来处理,必须要经过相当程度的身份确认后方可利用该上层程序的功能。例如chown、login的要求等等
4.上层程序中依然使用chroot的功能来限制使用者的权限
5.不执行任何外部程序,从而减少了安全隐患;
6.支持虚拟用户,并且每个虚拟用户可以具有独立的属性配置;
7.可以设置从inetd中启动,或者独立的FTP服务器两种运行方式;
8.支持两种认证方式:PAP或tcp_wrappers;
9.支持带宽限制
1.3 性能
安全性方面:vsftpd服务只需一般用户身份启动,相对 Linux 系统的使用权限较低。且任何来自想使用vsftpd较高执行权限的指令请求, 均被视为不可信任的请求,需经过一定身份认证后方可使用。同时,vsftpd 整合了大部分ftp会使用到的额外指令,因此减少了对系统功能的依赖。且应用 chroot限定了使用者根目录,限制使用者的执行权限。
速度方面: 使用ASCII代码的模式下载数据时,VSFTP的速度是Wu-FTP的两倍。如果Linux主机使用2.4的内核,在千兆以太网上的下载速度可达86MB/S。
稳定方面:VSFTP在单机(非集群)上支持4000个以上的并发用户同时连接,根据Red Hat的Ftp服务器(ftp.redhat.com)的数据,VSFTP服务器可以支持15000个并发用户。
1.4 缺点
vsftp 没有处理文件编码转换,从windows客户端访问时有乱码现象。可以转换服务器目录文件编码或者使用FTP客户端工具来访问服务器解决乱码现象。
2. FTP工作方式
2.1主动FTP工作模式
主动FTP模式的工作步骤如下:
a. 客户端随机开启大于1024的X端口与服务器21端口建立连接通道,通道建立后,客户端随时可以通过该通道发送上传或者下载命令。
b. 当客户端需要与服务器进行数据传输时,客户端回再开启一个大于1024的随机端口Y,并将Y端口号通过之前的命令通道传送给服务器的21端口
c. 服务器获取到客户端的第二个端口后会主动连接客户端的该端口,通过三次握手后,完成服务器与客户端数据通道的建立,所有的数据均通过该数据通道进行传输。
2.2被动FTP工作模式
被动FTP模式的工作过程如下:
a. 客户端你随意开启大于1024的X端口与服务器的21端口建立连接通道
b. 当客户端需要与服务器进行数据传输时,客户端从命令通道发送数据请求要求上传或下载数据
c. 服务器收到数据请求后会随机开启一个端口Y,并通过命令通道将该端口信息传送给客户端
d. 客户端在收到服务器发送过来的数据端口Y的信息后,将在客户端本地开启一个随机端口Z,此时客户端再主动通过本机的Z端口与服务器的 Y端口进行连接,通过三次握手连接完成后,即可进行数据传输。
3. 配置文件解析
账户类型 |
设置参数 |
功能 |
全局设置 | lsten=YES |
是否监听端口 |
lsten_port=21 |
监听端口号 |
|
write_enable=YES |
是否允许写操作 |
|
download_enable=YES |
是否允许用户下载 |
|
dirmessage_enable |
进入目录是否显示消息 |
|
xferlog_enable=YES |
是否开启xferlog日志功能 |
|
xerlog_std_format=YES |
xferlog日志文件格式 |
|
connect_from_port_20=YES | 使用主动模式连接,端口20 |
|
pasv_enable=YES |
是否启用被动模式连接,默认为被动模式 |
|
pasv_max_port=24600 |
被动模式连接的最大端口号 |
|
pasv_min_port=24500 |
被动模式连接的最小端口号 |
|
userlist_enable=YES |
是否启用userlist用户列表 |
|
userlist_deny=YES |
是否禁用userlist文件中额账户访问FTP |
|
max_clents=2000 |
最大允许同事2000客户端连接,0代表无限制 |
|
max_per_ip=0 |
每个客户端的最大连接限制,0代表无限制 |
|
tcp_wrappers=YES |
是否启用tcp_wrappers |
|
guest_enable=YES |
所有的非匿名登录都映射为guest_username指定的账户 |
|
guest_username=ftp anonymous_enable=YES 是否开启匿名访问功能,默认开启 |
设定来宾用户 |
|
user_config_dir=/etc/vsftpd/conf |
指定用户设置独立配置文件与选项的目录 |
|
dual_log_enable=NO |
是否启用双日志功能,生成两个日志文件 |
|
anonymous_enable=YES |
是否开启匿名访问功能,默认开启 |
|
匿名账户 |
anon_max_rate=0 |
匿名数据传输率(B/s) |
anon_root=/var/ftp |
匿名访问FTP根目录 |
|
anon_upload_enbale=YES |
是否允许匿名账户上传,默认禁止 |
|
anon_mkdir_write_enable=YES |
是否允许匿名账户创建目录,默认禁止 |
|
anon_other_write_enable=YES |
是否允许匿名账户进行其他的所有写操作 |
|
anon_umask=077 |
匿名上传权限掩码 |
|
本地账户 |
local_enable=YES |
是否启用本机账户FTP功能 |
local_max_rate=0 |
本地账户数据传输率(B/s) |
|
local_umask=077 |
本地账户权限掩码 |
|
chroot_local_user=YES |
是否禁锢本地账户根目录,默认为NO |
|
local_root=/ftp/common |
本地账户访问FTP根路径 |
1. Vsftpd案例
4.1本地账户FTP
案例背景:一公司搭建本地FTP服务器为公司员工使用,初定3位员工:Tom、Jack、Mary
(1) 安装vsftpd
[root@vsftpd /]# yum -y install vsftpd
[root@vsftpd /]# service vsftpd start
[root@vsftpd /]# chkconfig vsftpd on
(2) 修改配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错)
[root@vsftpdetc]# vim vsftpd/vsftpd.conf
anonymous_enable=NO #是否允许匿名访问
local_enable=YES #是否启用本机账户FTP功能
write_enable=YES #是否允许写操作
local_umask=022 #本地账户权限umask
dirmessage_enable=YES#用户进入目录是否显示信息
xferlog_enable=YES #是否开启xferlog日志功能
xferlog_std_format=YES #xferlog日志格式
listen=YES #是否开启监听
pam_service_name=vsftpd # 指定pam的配置文件为vsftpd
userlist_enable=YES #启用userlist用户文件列表
tcp_wrappers=YES #是否启用tcp_wrappers
(3) 创建系统账户与测试文件
[root@vsftpd /]# useradd -s/sbin/nologin Tom
[root@vsftpd /]# useradd -s/sbin/nologin Jack
[root@vsftpd /]# useradd -s/sbin/nologin Mary
[root@vsftpd /]# touch/home/{Tom,Jack,Mary}/test.txt
(4) 关闭防火墙SELINUX和设置自启动
[root@vsftpd /]# setenforce 0
[root@vsftpd /]# service iptables stop
[root@vsftpd /]# service vsftpd start
[root@vsftpd /]# chkconfig vsftpd on
(5) 访问ftp客户端
在访问客户端之前需要修改下用户的密码(这是必须滴,养成习惯)
[root@vsftpd /]# passwd Tom
[root@vsftpd /]# passwd Jack
[root@vsftpd /]# passwd Mary
在浏览器中输入 ftp://ip就成功了。。。
4.2虚拟账户FTP
案例背景:满足大量的账户访问需求
(1) 创建虚拟用户数据库
创建明文密码文件:明文文件奇数行为用户名,偶数行为密码。
使用db_load工具将其转换为数据库文件
db_load是通过安装db4-utils获得
[root@vsftpd ~]# yum -yinstall db4-utils
[root@vsftpd ~]# vim /etc/vsftpd/vlogin
tomcat
123456
jerry
654321
[root@vsftpd~]# db_load �CT �Ct hash �Cf /etc/vsftpd/vlogin /etc/vsftpd/vlogin.db
[root@vsftpd~]# chmod 600 /etc/vsftpd/{vlogin,vlogin.db}
(2) 创建PAM文件,这是虚拟账户验证
Linux一般通过PAM文件设置账户验证机制,通过创建新的PAM文件,使用新的数据文件进行登录验证
PAM文件中的db选项于指定并验证账户和密码的数据库文件,数据库文件无需.db的名称后缀
authrequired /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin
account required /lib64/security/pam_userdb.sodb=/etc/vsftpd/vlogin
(3) 设置虚拟账户共享目录
[root@vsftpd~]# useradd -s /sbin/nologin -d /home/ftp virtual
[root@vsftpd ~]# cp /etc/redhat-release/home/ftp
(4) 修改主配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错)
[root@vsftpd /]# vim/etc/vsftpd/vsftpd.conf
anonymous_enable=NO #是否开启开启匿名访问功能
local_enable=YES #是否开启本机账户FTP功能
write_enable=YES #是否允许写操作
anon_upload_enable=YES #是否允许默认上传功能
anon_mkdir_write_enable=NO #是否允许匿名账户创建目录功能
anon_other_write_enable=NO #是否允许匿名账户其他写入功能
chroot_local_user=YES #是否禁锢本地账户根目录
guest_enable=YES #启用则所有非匿名登录都映射为guest_username指定的账户
guest_username=virtual #指定来宾用户
listen=YES #是否监听端口
listen_port=21 #监听端口为21端口
pasv_enable=YES #是否启用被动连接模式
pasv_min_port=30000 #被动连接最小端口号
pasv_max_port=30999 #被动连接最大端口号
pam_service_name=vsftpd.pam #指定PAN验证机制的配置文件
user_config_dir=/etc/vsftpd_user_conf #用户配置文件和选项所在目录
user_sub_token=$USER #为每个虚拟用户创建家目录
(5) 为每个用户设置独立的共享路径
[root@vsftpd/]# mkdir /etc/vsftpd_user_conf
[root@vsftpd/]# mkdir -p /home/ftp/tomcat
[root@vsftpd /]# service vsftpd restart
(6) 客户端访问
在浏览器中输入 ftp://ip就成功了。。。
2. 常见问题分析
1. 提示错误代码: 530 Login incorrect
以上错误说明登录验证账户失败。可能是使用64位系统,而pam文件中库文件使用的是/lib/ 而不是/lib64/ 还有可能是用户名和密码输入错误
也可能是vsftpd主配置文件中设置的pam_servcie_name设置的pam文件名称和/etc/pam.d中创建的pam文件名称不一致导致无法验证成功。
2. 提示错误代码: 500 OOPS: cannot changedirectory: /home/ftp/$USER
该提示代表目录不存在或无权限导致无法切换至目录,也可能是由于SELinux导致无法共享账户家目录,默认SELinux不允许共享家目录
3. 登录后无法上传数据
匿名账户和虚拟账户检查以anon_开头的权限设置,本地账户检查以local_开头的权限设置,并且要确保全局write_enable设置为YES
另外,文件系统目录的权限也需要修改,确保客户端账户有权限访问该目录。
4. 启动服务时报错: 500 OPPS: bad bool valueconfig file
Vsftpd配置文件设置错误,检查配置文件。配置文件要求每个设置项占用独立的一行,并且不可以有多余的空格
这篇博文主要是参考丁明一前辈的《运维之道》。。。。有问题的话希望大家能够指出