Linux配置vsftpd 服务
文章目录
- 一、文件传输协议
- 二、FTP传输模式
- 三、Vsftpd服务器简介
- 四、Vsftp安装与配置
- 配置文件
- 用户访问模式配置
- 匿名开放模式
- 本地用户模式
- 虚拟用户模式
- 五、配置文件详解
- 常用的匿名FTP配置项
- 常用的本地用户FTP配置项
- 常用的全局配置项
一、文件传输协议
文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载文件。 FTP 基于TCP协议生成一个虚拟的连接,主要用于控制FTP连接信息,同时再生成一个单独的TCP连接用于FTP数据传输。用户可以通过客户端向FTP服务器端上传、下载、删除文件,FTP服务器端可以同时提供给多人共享使用。
FTP服务是Client/Server(简称C/S)模式,基于FTP协议实现FTP文件对外共享及传输的软件称之为FTP服务器源端,客户端程序基于FTP协议,则称之为FTP客户端,FTP客户端可以向FTP服务器上传、下载文件
二、FTP传输模式
FTP基于C/S模式,FTP客户端与服务器端有两种传输模式,分别是FTP主动模式、FTP被动模式
- 主动模式:FTP 服务器主动向客户端发起连接请求。
- 被动模式:FTP 服务器等待客户端发起连接请求(FTP 的默认工作模式)。
- FTP主动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器,FTP服务器以数据端口(20)连接到客户端指定的数据端口(N+1)。
- FTP被动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,客户端提交 PASV命令,服务器会开启一个任意的端口(P >1024),并发送PORT P命令给客户端。客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
在企业实际环境中,如果FTP客户端与FTP服务端均开放防火墙,FTP需以主动模式工作,这样只需要在FTP服务器端防火墙规则中,开放20、21端口即可。
三、Vsftpd服务器简介
目前主流的FTP服务器端软件包括:Vsftpd、ProFTPD、PureFTPd、Wuftpd、Server-U FTP、FileZilla Server等软件,其中Unix/Linux使用较为广泛的FTP服务器端软件为Vsftpd 。
非常安全的FTP服务进程(Very Secure FTP daemon,Vsftpd),Vsftpd在Unix/Linux发行版中最主流的FTP服务器程序,优点小巧轻快,安全易用、稳定高效、满足企业跨部门、多用户的使用等。
四、Vsftp安装与配置
检查是否安装:
rpm -qa | grep vsftpd
卸载vsftpd
yum remove vsftpd
安装vsftpd
yum install vsftpd -y
启动
systemctl start vsftpd
重启
systemctl restart vsftpd
查看是否启动
pe -ef | grep vsftpd
安装ftp
yum install ftp -y
配置文件
/etc/vsftpd/vsftpd.conf这个文件是vsftpd服务的核心配置文件!我们在修改配置文件的时候,最好先备份一份!
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
vsftpd.conf默认配置文件详解如下:
参数 | 作用 |
---|---|
anonymous_enable=YES | 开启匿名用户访问 |
local_enable=YES | 启用本地系统用户访问 |
write_enable=YES | 本地系统用户写入权限 |
local_umask=022 | 本地用户创建文件及目录默认权限掩码 |
dirmessage_enable=YES | 打印目录显示信息,通常用于用户第一次访问目录时,信息提示 |
xferlog_enable=YES | 启用上传/下载日志记录 |
connect_from_port_20=YES | FTP使用20端口进行数据传输 |
xferlog_std_format=YES | 日志文件将根据xferlog的标准格式写入 |
listen=NO | Vsftpd不以独立的服务启动,通过Xinetd服务管理,建议改成YES |
listen_ipv6=YES | 启用IPV6监听 |
pam_service_name=vsftpd | 登录FTP服务器,依据/etc/pam.d/vsftpd中内容进行认证 |
userlist_enable=YES | Vsftpd.user_list和ftpusers配置文件里用户禁止访问FTP |
tcp_wrappers=YES | 设置vsftpd与tcp wrapper结合进行主机的访问控制,Vsftpd服务器检查/etc/hosts.allow 和/etc/hosts.deny中的设置,来决定请求连接的主机,是否允许访问该FTP服务器 |
用户访问模式配置
vsftpd 作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到 FTP 服务器上。
匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到 FTP 服务器。
本地用户模式:是通过 Linux 系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息,就可以畅通无阻地登录 FTP 服务器,从而完全控制整台服务器。
虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为 FTP 服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。
匿名开放模式
可以向匿名用户开放的权限参数以及作用
参数 | 作用 |
---|---|
anonymous_enable=YES | 允许匿名访问模式 |
anon_umask=022 | 匿名用户上传文件的 umask 值 |
anon_upload_enable=YES | 允许匿名用户上传文件 |
anon_mkdir_write_enable=YES | 允许匿名用户创建目录 |
anon_other_write_enable=YES | 允许匿名用户修改目录名称或删除目录 |
修改配置文件
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES #允许匿名访问模式
anon_umask=022 #匿名用户上传文件的 umask 值
anon_upload_enable=YES #允许匿名用户上传文件
anon_mkdir_write_enable=YES #允许匿名用户创建目录
anon_other_write_enable=YES #允许匿名用户修改目录名称或删除目录local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
由于默认Vsftpd匿名用户有两种:anonymous、ftp,所以匿名用户如果需要上传文件、删除及修改等权限,需要ftp用户对/var/ftp/pub目录有写入权限,使用如下chown和chmod任意一种即可,设置命令如下:
chown -Rf ftp /var/ftp/pubchmod o+w var/ftp/pub/
如果报错,一般是因为SELinux导致的,或者防火墙的问题
getsebool 命令查看与 FTP 相关的 SELinux 域策略都有哪些:
getsebool -a | grep ftp
修改该策略规则:
setsebool -P ftpd_full_access=on
本地用户模式
本地用户模式使用的权限参数以及作用
参数 | 作用 |
---|---|
anonymous_enable=NO | 禁止匿名访问模式 |
local_enable=YES | 允许本地用户模式 |
write_enable=YES | 设置可写权限 |
local_umask=022 | 启用“禁止用户名单”,名单文件为 ftpusers 和 user_list |
userlist_enable=YES | 允许匿名用户修改目录名称或删除目录 |
userlist_deny=YES | 开启用户作用名单文件功能 |
创建测试用户user1、user2 密码都为“123456”
useradd user1
useradd user2--stdin:从标准输入接收用户密码
echo 123456 | passwd --stdin user1
echo 123456 | passwd --stdin user2
修改配置文件
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO #禁止匿名访问模式
local_enable=YES #允许本地用户模式
write_enable=YES #设置可写权限
local_umask=022 #本地用户模式创建文件的 umask 值userlist_enable=YES
userlist_deny=NOdirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
/etc/vsftpd目录下有两个文件
- ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单!该文件存放的是一个禁止访问FTP的用户列表,**通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。
- user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单!
userlist_enable=YES时,userlist_deny项的配置才有效,user_list文件才会被使用;当其为NO时,无论userlist_deny项为何值都是无效的。
当userlist_enable=YES时,userlist_deny=YES时,user_list是一个黑名单,所有出现在名单中的用户都会被拒绝登入。
当userlist_enable=YES时,userlist_deny=NO时:user_list是一个白名单,只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);另外需要特别提醒的是:使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous
查看名单
cat /etc/vsftpd/user_list
添加用户到白名单
vim /etc/vsftpd/user_list
user1
user2
需要再次开启 SELinux 域中对 FTP 服务的允许策略
setsebool -P ftpd_full_access=on
虚拟用户模式
- 建立虚拟FTP用户的帐号
useradd -s /sbin/nologin vu
- 创建虚拟用户文件
基数行代表用户名,偶数行代表密码
cd /etc/vsftpd/
vim user
user1
123456
user2
123456
- 通过db_load工具创建出Berkeley DB格式的数据库文件
db_load -T -t hash -f user user.db-f 指定数据原文件
-T 允许非Berkeley DB的应用程序使用文本格式转换的DB数据文件
-t hash 读取文件的基本方法
- 建立支持虚拟用户的PAM认证文件
vim /etc/pam.d/vsftpd.vu加入以下两行auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/useraccount required /lib64/security/pam_userdb.so db=/etc/vsftpd/user对应刚才生成user.db的文件
- 修改配置文件
利用 PAM 文件进行认证时使用的参数以及作用
参数 | 作用 |
---|---|
anonymous_enable=NO | 禁止匿名访问模式 |
local_enable=YES | 允许本地用户模式 |
guest_enable=YES | 开启虚拟用户模式 |
guest_username=virtual | 指定虚拟用户账户 |
pam_service_name=vsftpd.vu | 指定 PAM 文件 |
allow_writeable_chroot=YES | 允许对禁锢的FTP 根目录执行写入操作,而且不拒绝用户的登录请求 |
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YESwrite_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/user_dir
- 为用户建立独立的配置目录及文件
mkdir /etc/vsftpd/user_dir
cd /etc/vsftpd/user_dir
vim userlocal_root=/etc/vsftpd/data
虚拟用户数据的存放路径
创建虚拟用户数据存放目录
cd /etc/vsftpd
mkdir data
chmod 777 data/
重启服务
systemctl restart vsftpd
五、配置文件详解
常用的匿名FTP配置项
anonymous_enable=YES # 是否允许匿名用户访问
anon_umask=022 # 匿名用户所上传文件的权限掩码
anon_root=/var/ftp # 设置匿名用户的FTP根目录
anon_upload_enable=YES # 是否允许匿名用户上传文件
anon_mkdir_write_enable=YES # 是否允许匿名用户允许创建目录
anon_other_write_enable=YES # 是否允许匿名用户有其他写入权(改名,删除,覆盖)
anon_max_rate=0 # 限制最大传输速率(字节/秒)0为无限制
常用的本地用户FTP配置项
local_enable=YES # 是否允许本地系统用户访问
local_umask=022 # 本地用户所上传文件的权限掩码
local_root=/var/ftp # 设置本地用户的FTP根目录
chroot_list_enable=YES # 表示是否开启chroot的环境,默认没有开启
chroot_list_file=/etc/vsftpd/chroot_list # 表示写在/etc/vsftpd/chroot_list文件里面的用户是不可以出chroot环境的。默认是可以的。
Chroot_local_user=YES # 表示所有写在/etc/vsftpd/chroot_list文件里面的用户是可以出chroot环境的,和上面的相反。
local_max_rate=0 # 限制最大传输速率(字节/秒)0为无限制
常用的全局配置项
listen=YES # 是否以独立运行的方式监听服务
listen_address=192.168.4.1 # 设置监听FTP服务的IP地址
listen_port=21 # 设置监听FTP服务的端口号
write_enable=YES # 是否启用写入权限(上传,删除文件)
download_enable=YES # 是否允许下载文件
dirmessage_enable=YES # 用户切换进入目录时显示.message文件
xferlog_enable=YES # 启用日志文件,记录到/var/log/xferlog
xferlog_std_format=YES # 启用标准的xferlog日志格式,禁用此项将使用vsftpd自己的格式
connect_from_port_20=YES # 允许服务器主动模式(从20端口建立数据连接)
pasv_enable=YES # 允许服务器被动模式
pasv_max_port=24600 # 设置被动模式服务器的最大端口号
pasv_min_port=24500 # 设置被动模式服务器的最小端口号
pam_service_name=vsftpd # 用户认证的PAM文件位置(/etc/pam.d/vsftpd.vu)
userlist_enable=YES # 是否启用user_list列表文件
userlist_deny=YES # 是否禁用user_list中的用户
max_clients=0 # 限制并发客户端连接数
max_per_ip=0 # 限制同一IP地址的并发连接数
tcp_wrappers=YES # 是否启用tcp_wrappers主机访问控制
chown_username=root # 表示匿名用户上传的文件的拥有人是root,默认关闭
ascii_upload_enable=YES # 表示是否允许用户可以上传一个二进制文件,默认是不允许的
ascii_download_enable=YES # 这个是代表是否允许用户可以下载一个二进制文件,默认是不允许的
nopriv_user=vsftpd # 设置支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户
async_abor_enable=YES # 设定支持异步传输功能
ftpd_banner=Welcome to FTP # 设定Vsftpd的登陆标语
guest_enable=YES # 设置启用虚拟用户功能
guest_username=ftpuser # 指定虚拟用户的宿主用户
virtual_use_local_privs=YES # 设定虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vconf # 设定虚拟用户个人Vsftp的配置文件存放路径
Linux配置vsftpd 服务相关推荐
- 关于Linux环境下安装配置vsftpd服务全攻略(踩坑)
2017年08月09日 19:42:19 木大白易 阅读数 17536更多 分类专栏: Linux OS 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接 ...
- Linux配置squid服务(代理实现解析DNC(国赛Linux服务器))
Linux配置squid服务 前言 安装squid squid原理 准备工作 安装squid 实验结果 配置手动代理 最终实验 前言 两台centos7.9,一台统信uos squid服务器,命名为R ...
- linux中匿名用户怎么登陆_南京课工场IT培训:Linux中vsftpd服务配置(匿名,用户,虚拟用户)...
vsftpd概述 vsftpd 是"very secure FTP daemon"的缩写,安全性是它的一个最大的特点.vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字 ...
- 【vsftpd】嵌入式linux简易配置vsftpd服务
背景 本教程主要涉及/etc(或者/etc/vsftpd下)路径下vsftpd.conf.vsftpd.ftpusers.vsftpd.user_list文件,简易配置ftp,让使用者可以快速使用ro ...
- linux配置ftp服务
一.FTP连接及传输 控制连接:TCP 21,用于发送FTP命令信息 数据连接:TCP 20,用于上传.下载数据 数据连接的建立类型: 主动模式:服务端从20端口主动向客户端发起连接 被动模式:服务端 ...
- ubuntu 12.04 配置vsftpd 服务,添加虚拟用户,ssl加密
1.对于12.04的vsftpd 有一些bug,推荐安装版本vsftpd_2.3.5-1ubuntu2ppa1_amd64.deb apt-get install python-software-pr ...
- linux开通vsftpd服务过程
查看系统是否安装vsftpd服务 # rpm -qa vsftpd 若没安装,可用yum进行安装 #yum -y install vsftpd 修改配置文件 手动输入 chroot_local_use ...
- linux ssh服务,Linux配置SSH服务以便实现远程连接
Linux用户们一定想要知道该怎么开启SSH服务吧,SSH服务是Linux系统远程连接的重要方式,所以如何配置SHH服务也让很多用户感到纠结.现在小编就帮大家解决这个问题. 配置方法: 查询\安装SS ...
- Linux配置网络服务
1.配置网络服务 Linux主机要与网络中其他主机进行通信,首先要进行正确的网络配置.网络配置通常包括主机名.IP地址.子网掩码.默认网关.DNS服务器等. 1.1检查并设置有线网络处于连接状态 单击 ...
最新文章
- 使用Newtonsoft.Json
- (操作系统)实验二 作业调度
- 性能测试工具curl-loader二---测试分析
- MySQL总结(二)——入门
- unity 中文_Unity无情大爆料时间Unity3D的脚本语言
- JQuery文件上传插件ajaxFileUpload在Asp.net MVC中的使用[转载]
- 【干货】2021顾客体验十二大趋势:从“千人一面”到“千人千面”.pdf(附下载链接)...
- c语言程序输入n个数字排序,请问,C语言能人请进,用写一个程序,要求输入N个整数,按从小到大的顺序输出,就说说...
- 如何重设<input type = “file”>
- ov5640帧率配置_OV5640摄像头开窗大小,输出窗口大小,帧率等设置
- 论文阅读笔记(16):Doubly Stochastic Subspace Clustering,双重随机子空间聚类
- amoeba mysql_mysql中间件-amoeba
- [NOI2010] 航空管制 (构反图+拓扑)
- 苹果开发者账号(三)
- windows远程控制mac的步骤
- 【收集】巴厘岛自助游攻略
- 正则判断只能输入大于0的正整数
- 如何用计算机直接做工资表,在电脑上excel做工资表怎么划线
- 华三无线控制器基础调试步骤
- Air780E连接点灯科技-LuatOS
热门文章
- 聚类(Clustering)定义、聚类思想及形式、距离的度量
- ACID+CAP+BASE+Transaction(事务)
- 黎明觉醒火种测试服务器维护,黎明觉醒火种测试什么时候上线 黎明觉醒火种测试资格获取方式(图文)...
- c语言求婚代码大全,这是我见过最浪漫的程序员求婚方式
- 创建Student Course SC表
- 三代测序纠错软件汇总篇
- STM32使用另外两种方法使LED灯闪烁
- android 自动打开第三方应用程序,Android如何做到应用程序图标隐藏,由第三方程序显示启动...
- android程序贴吧,【Android 教程总结贴】归纳所有android贴
- javascript 之 push