vsftp简单应用

vsftp配置详解

前言

FTP(File Transfer Protocol)是文件传输协议的简称。它能让用户 连接上一个远程计算机(运行着 FTP 服务器程序)查看远程 计算机上有哪些文件,然后把文件从远程计算机上下载到 本地计算机,或把本地计算机文件上传到远程计算机。但是ftp是一种古老的文件传输协议,是明文传输,特别的不安全所以就有了vsftp。

一、vsftp相关概念梳理

1、vsftp用户

访问FTP服务器时都需要经过验证,只有经过FTP服务器的验证,用户才能进行访问和传输文件等操作,Vsftpd提供三种验证 登录方式,分别是匿名用户、本地用户、虚拟用户:

匿名用户(anonymous):在默认情况下,系统只提供匿名用户访问。

本地用户(local user):又称为真实账号,本身就是系统用户,它是以真实的用户名和口令进行登录,以/etc/passwd中的用户名进行验证,本地用户既可以登录FTP服务器,又可以登录系统使用其他系统资源,对系统安全有极大的威胁,所以应尽量避免用户使用本地账号访问FTP服务器。

虚拟用户(guest)形式:Vsftpd虚拟用户与系统账号(passwdshadow)是分离的,采用单独的用户名/口令方式进行保存,通过这样的处理来提高系统的安全。Vsftpd用户验证采用PAM方式,由于用户名/口令被单独保存,因此实际验证时Vsftpd需要用一个本地用户的身份读取数据库文件来完成验证,通常由guest_username选项指定本地用户,正如同匿名用户也需要有一个本地用户ftp来映射一样。

相对于本地用户来说,虚拟用户只能访问FTP服务器所提供的资源,这大大增强了系统安全性。相对于匿名用户而言,虚拟用 户需要验证用户名和密码,同时增加了对用户访问权限的可管理性。对于需要提供FTP服务,又要考虑主机安全和管理方便的系 统来说,采用虚拟用户方式是最适合的。

2、VSFTP 的主要功能

从此名称上可以看出,开发者的初衷是将系统的安全性放在 首要位置。除了这个与生俱来的安全特性以外,高速传 输与运行的稳定性也是 VSFTP 的 2 个显著特点。在速 度方面,使用 ASCII 代码模式下载数据时,VSFTP 的速 度是 Wu- FTP(另一种比较流行的类 Unix 平台的 FTP 软件)的 2 倍,如果 Linux 主机使用 2.4.* 的内核,在千 兆以太网上的下载速度可达 86 Mbit/s;在稳定性方面 更加出色,VSFTP 在单机模式下支持 4 000 个以上的并 发用户同时连接。

二、安装配置

1、vsftp安装

(1)查询是否安装vsftp: rpm -q vsftp

(2)没有安装则使用rpm包安装或其他安装方式安装,这里我直接rpm包安装:先挂载,然后找到vsftp包,再安装:

vsftp简单应用

(3)启动:systemctl start vsftpd.service

(4)查看状态:systemctl status vsftpd.service

vsftp简单应用

2、文件配置 :vsftp 配置文件为 /etc/vsftpd/vsftpd.conf,含义如下:

local_enable=YES 设定为NO的情况下(本地用户禁止访问)导致虚拟用户将无法访问。
guest_enable=YES 启用虚拟用户登录功能
guest_username= virtualuser 虚拟用户登录后,其宿主用户为virtualuser
pam_service_name=ftp 指定PAM认证文件/etc/pam.d/ftp
virtual_use_local_privs=NO
为了提高系统安全,我们应该首先设置FTP宿主目录/home/virtualuser属性与权限:
# chown virtualuser:virtualuser /home/virtualuser设置virtualuser目录的拥有者、组。
# chmod 700 /home/virtualuser将目录/home/virtualuser的权限设为拥有者可读写执行;
当virtual_use_local_privs= YES时,虚拟用户的权限与本地用户相同,此时只需设置write_enable=YES,虚拟用户就可以和本地
用户一样就拥有写权限。
默认情况下virtual_use_local_privs取值为NO,此时虚拟用户的权限与匿名用户权限相同,可参考匿名用户的配置对虚拟用户
的访问权限进行配置


举例如下:
1、控制虚拟用户不能浏览目录但仍可以对文件进行操作
anon_world_readable_only=YES
2、允许虚拟用户上传文件
write_enable=YES全局性设置,打开写权限
anon_upload_enable=YES
3、允许虚拟用户修改文件名和删除文件 (write_enable=YES)
anon_other_write_enable=YES
4、允许匿名用户创建目录 (write_enable=YES)
anon_mkdir_write_enable=YES
考虑到以上选项的设置对匿名用户也同样会生效。配置时一定要慎之又慎,如果不想匿名用户趁机拥有同样的权限,配置时
最好关闭匿名用户登录功能。

可以通过配置chroot相关参数,限定本地用户对其他目录的访问。将用户限制在自家目录的做法:
限制所有的本地用户在自家目录
chroot_local_user=YES 系统默认值为NO

三、具体实例:(配置虚拟用户vsftpd服务器)

1、创建虚拟用户口令库文件

(1)创建/root/virtual文件

wangwu   虚拟用户名
redhat   虚拟用户名wangwu的口令
zhaoliu  虚拟用户名
linux    虚拟用户名zhaoliu的口令

(2)生成虚拟用户口令文件

db_load -T -t hash -f /root/virtual /etc/vsftpd/virtual.db

(3)修改虚拟用户口令文件/etc/vsftpd/virtual.db的设置权限为600

chmod 600 /etc/vsftpd/virtual.db

(4)创建/etc/pam.d/vsftpd.vu文件,该文件是PAM配置文件,内容如下:

auth  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

account  required  /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual

(5)创建用户virtualuser,该用户主目录为编辑?/home/ftpuser,并为该主目录设置权限为700.

useradd -d /home/ftpuser virtualuser

chmod 700 /home/ftpuser

su - virtualuser -c "echo Hello Linux">/home/ftpuser/testfile  以用户virtualuser身份创建/home/ftpuser/testfile文件

(6)编辑/etc/vsftpd/vsftpd.conf文件

anonymous_enable=NO  是否允许匿名用户登录
local_enable=YES     是否允许本地用户登录
write_enable=NO      是否允许用户有写入权限
anon_upload_enable=NO 是否允许匿名用户上传文件
anon_mkdir_write_enable=NO  是否允许匿名用户创建目录权限
anon_other_write_enable=NO 是否允许匿名用户有更改权限

chroot_local_user=YES        是否将本地用户锁定在自己的主目录中
ftpd_banner=Welcome to FTP service.  开场白
guest_enable=YES              是否启用虚拟用户
guest_username=virtualuser    虚拟用户在系统中的真实用户名
local_umask=022               设置本地用户新建文件时的umask值

xferlog_enable=YES      是否启用传输日志文件系统记录下载和上传信息
connet_from_port_20=YES  连接20号端口
xfer_std_format=YES   设置传输日志文件是否写入标准xferlog格式
listen=NO          是否启用独立进程控制vsftpd,no表示启用xinetd进程

pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES

(7)重启vsftpd服务

systectl  restart  vsftpd.service

(8)测试:ftp 192.168.1.109

vsftp简单应用

如果启用chroot,必须保证ftp根目录不可写,这样对于ftp根直接为网站根目录的用户不方便,所以建议假如ftp根目录是/home/ftpuser/,则将访问权限改写如下:chmod a-w /home/ftpuser/

vsftp简单应用

如果出现如下情况,也是/home/ftpuser/权限问题,可以该成777后,a-w。

vsftp简单应用

都改好后,测试结果如下

vsftp简单应用

vsftp简单应用

原创文章,作者:N24_yezi,如若转载,请注明出处:http://www.178linux.com/64009

(0)
上一篇 2016-12-18 01:48
下一篇 2016-12-18 13:34

相关推荐

  • 运维必备的”武器库”

    作者总结的干货,拿来分享给大家,满满的全是干货 Blog:http://www.simlinux.comWeibo:http://weibo.com/geekwolf Bootstrapping: Kickstart、Cobbler、rpmbuild/xen、kvm、lxc、Openstack、 Cloudstack、Opennebula、Eucalyplu…

    Linux干货 2015-03-13
  • OSI参考模型与TCP/IP参考模型的比较

    OSI参考模型与TCP/IP参考模型的比较 OSI参考模型 OSI参考模型是ISO的建议,它是为了使各层上的协议国际标准化而发展起来的。OSI参考模型全称是开放系统互连参考模型(Open System Interconnection Reference Model)。这一参考模型共分为七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。 物理层…

    Linux干货 2017-05-07
  • shell-变量

    bash中变量的种类 根据变量的生效范围等标准:     本地变量:生效范围为当前shell进程;对当前shell之外的其它shell进程,包括当前shell的子shell进程均无效     环境变量:生效范围为当前shell进程及其子进程    …

    Linux干货 2016-08-21
  • Nginx 负载均衡多个nmmp主机

    设计拓扑图 一、Memcache简介 cache(缓存系统) 高性能分布式缓存服务器,缓存所有的“可流式化”数据:livejournal旗下Danga Interacive公司 程序=指令+数据 指令:程序 数据:IO操作 文件系统: 特征:协议简单  基于libevent的事件处理  内置内存存储方式  memcached 不…

    2016-06-14
  • corosync v2 + pacemaker + crmsh 实现mariadb高可用

    高可用mariadb拓扑图 一、设计前提     1、时间同步 # ntpdate 172.16.0.1 或者 # chronyc sources     2、所有的主机对应的IP地址解析可以正常工作, 主机名要与命令#uname -n 所得的结果一致   &…

    Linux干货 2014-08-13
  • zabbix表分区(适用于zabbix2.0.x,zabbix2.2.x和zabbix2.4.x)

    本文主要介绍了zabbix进行数据库表分区的方法:         在系统监控中,zabbix已经代替了nagios+cacti,zabbix以其良好的图形展示和高度自定义赢得了很多运维人员的喜爱。但是由于在工作中,zabbix跑的时间过长(我们公司跑了将近3年),web页面经常卡顿,监控…

    Linux干货 2015-10-27

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-23 12:15

    赞,过程写的比较详细,可以再扩展一下,比如如何限制用户的存储空间~继续加油~