vsftpd部署流程和常见问题详解

最新推荐文章于 2024-05-07 11:53:38 发布
最新推荐文章于 2024-05-07 11:53:38 发布
阅读量934 收藏 4
点赞数 2
文章标签: 服务器 ubuntu linux ftp vsftpd
©SylvanDing
本文链接:https://blog.csdn.net/IYXUAN/article/details/124762851
版权

vsftpd部署流程和常见问题详解

⭐️ 网上关于在云服务器里配置vsftpd的文章鱼龙混杂,没有一篇是可以彻底解决问题的,有些问题虽简单,但也让初学者感到困惑。本文详细说明vsftpd的部署流程和一些常见问题的解决方法,详述用户创建过程,并且可以在Windows平台下直接访问vsftpd服务器,实现文件传输。——©️ Sylvan Ding

vsftpd简介

vsftpd是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。比如:非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高等[1]。

vsftpd 利用 chroot() 这个函式进行改换根目录的动作,使得系统工具不会被 vsftpd 这支服务所误用。上层程序中,依然使用 chroot() 的功能来限制使用者的执行权限。

环境说明

  • 服务器:腾讯云服务器/轻量应用服务器
  • 操作系统:Ubuntu Server 18.04.1 LTS 64bit
  • vsftpd版本:version 3.0.3

安装vsftpd

ubuntu@VM-12-6-ubuntu:~$ sudo su # 切换到root
root@VM-12-6-ubuntu:/home/ubuntu apt-get install vsftpd # 安装vsftpd
root@VM-12-6-ubuntu:/home/ubuntu# vsftpd -version # 查看vsftpd版本,验证是否安装成功

⚠️ 注意:之后的操作环境都是在root权限下进行!

修改配置文件

root@VM-12-6-ubuntu:/home/ubuntu# whereis vsftpd # 查找配置文件 vsftpd.conf 路径
vsftpd: /usr/sbin/vsftpd /etc/vsftpd.chroot_list /etc/vsftpd.conf /usr/share/man/man8/vsftpd.8.gz
vim /etc/vsftpd.conf # 修改配置文件

重点关注如下参数(我们不设置匿名访问,所以和anonymous有关的参数我们都不修改,也不做解释):

  1. local_enable(默认YES, 允许本地用户登陆)
  2. write_enable(是否允许登陆用户有写权限,需要取消该行注释,即设置write_enable=YES
  3. local_umask(屏蔽用户创建的目录/文件的初始权限)
  4. chroot_local_user, chroot_list_enable(将用户限制在主目录下)

local_umask

在linux系统中,创建一个新的文件或者目录的时候,这些新的文件或目录都会有默认的访问权限,umask命令与文件和目录的默认访问权限有关。若用户创建一个文件,则文件的默认访问权限为-rw-rw-rw-,创建目录的默认权限 drwxrwxrwx,而umask值则表明了需要从默认权限中去掉哪些权限来成为最终的默认权限值[2]。

例如,用vsftpd创建一个文件夹,文件夹的权限是 777,此时设置local_umask=077,即使用其默认值,那么最终文件夹的权限是 700 = 777 - 077 (二进制相减),即由用户创建的文件夹仅对该用户有RWX的权利。

Linux权限管理—基本权限

chroot

很多情况下,希望限制ftp用户只能在其主目录下(root dir)下活动,不允许他们跳出主目录之外浏览服务器上的其他目录,这时候我就需要使用到chroot_local_user, chroot_list_enable, chroot_list_file这三个选项了[3]。

  • chroot_local_user 是否将所有用户限制在主目录,YES为启用 NO禁用. (该项默认值是NO,即在安装vsftpd后不做配置的话,ftp用户是可以向上切换到要目录之外的)
  • chroot_list_enable 是否启动限制用户的名单 YES为启用 NO禁用(包括注释掉也为禁用)
  • chroot_list_file=/etc/vsftpd.chroot_list 是否限制在主目录下的用户名单,至于是限制名单还是排除名单,这取决于chroot_local_user的值.

对于chroot_local_userchroot_list_enable的组合效果,可以参考下表:

chroot_local_user=YESchroot_local_user=NO
chroot_list_enable=YES1.所有用户都被限制在其主目录下 2.使用chroot_list_file指定的用户列表,这些用户作为“例外”,不受限制1.所有用户都不被限制其主目录下 2.使用chroot_list_file指定的用户列表,这些用户作为“例外”,受到限制
chroot_list_enable=NO1.所有用户都被限制在其主目录下 2.不使用chroot_list_file指定的用户列表,没有任何“例外”用户1.所有用户都不被限制其主目录下 2.不使用chroot_list_file指定的用户列表,没有任何“例外”用户

重启vsftpd让修改的配置文件生效:

/etc/init.d/vsftpd restart

设置防火墙

需要在腾讯云服务器中开放FTP服务端口(21),否则将无法连接这个端口。

在这里插入图片描述

创建用户

useradd -d <home_dir> <username> # 添加用户
passwd <username> # 修改密码
chown -R <username> <home_dir> # 修改家目录所有者
  • -d 设定使用者的家目录为 home_dir ,即登陆后的初始目录

检查监听端口

netstat -antup | grep ftp # 检查端口是否开放

正常情况下应该返回,表明正vsftpd正监听21端口:

tcp6       0      0 :::21                   :::*                    LISTEN      5747/vsftpd

问题解决:500 OOPS: vsftpd: refusing…

这时使用上述账户登陆ftp会报错:500 OOPS: vsftpd: refusing to run with writable root inside chroot() ,这是新版vsftpd加了安全认证导致的,即如果开启了chroot 来控制用户路径,则用户不能再具有该用户根目录的写的权限。 解决方法:在配置文件/etc/vsftpd.conf中末尾添加allow_writeable_chroot=YES,表明允许该用户对根目录的写的权限[6]。别忘了重启vsftpd:/etc/init.d/vsftpd restart.

禁止用户登陆

为确保创建的用户只能通过ftp访问对应的文件夹,而不能在命令行下操作系统,故需要禁止用户登陆。

usermod -s /sbin/nologin <username>
  • -s 修改用户登入后所使用的shell,系统账号的shell使用/sbin/nologin,此时无法登录系统,即时给了密码也不行. 所谓“无法登录”,指的是仅是这个用户无法使用bash或者其他shell来登录系统而已,并不是说这个账号就无法使用系统资源[4]。

设置禁止登陆后,客户端尝试登陆 ftp,但提示vsftpd 530 Login incorrect. 此时,需要更新/etc/shells. vsftpd 通过 pam 进行验证 shell,而 nologin 和 false 是不在 /etc/shells 中的,所以验证不能通过,自然不能登录了[5]。解决方法是在 /etc/shells 添加 nologin 即可。

问题解决:Windows访问FTP文件夹错误

在这里插入图片描述

使用Windows的文件系统访问FTP文件夹(MacOS在访达中连接ftp时却不会出现这样的问题):

ftp://<username>:<pwd>@<host>:21/

此时,报 FTP文件夹错误 提示。原因是Windows默认使用ftp被动模式(PASV)连接,而服务器端vsftpd使用主动模式(PORT). PORT(主动)模式模式只要开启服务器的21和20端口,而PASV(被动)模式需要开启服务器大于1024所有tcp端口和21端口。

主动模式,指的是FTP服务器“主动”去连接客户端的数据端口来传输数据,其过程具体是:客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口(即tcp 21端口),紧接着客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。然后服务器会从它自己的数据端口(20)“主动”连接到客户端指定的数据端口(N+1),这样客户端就可以和ftp服务器建立数据传输通道了。被动模式,指的是FTP服务器“被动”等待客户端来连接自己的数据端口,其过程具体是:当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >1024和N+1)。第一个端口连接服务器的21端口,向服务器提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P > 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据[7].(注意此模式下的FTP服务器不需要开启tcp 20端口了)

解决方法是通过修改配置文件,在配置文件/etc/vsftpd.conf末尾添加:(别忘了重启/etc/init.d/vsftpd restart

pasv_enable=YES # 允许pasv模式
pasv_max_port=11000 # pasv使用的最大端口
pasv_min_port=10100 # pasv使用的最小端口

接着,在防火墙中开放pasv使用的端口,例如:

在这里插入图片描述

其他云主机可能需要设置系统内的防火墙哦~

❤️ 原创文章,转载请注明出处!©️ Sylvan Ding

参考文献

  1. vsftpd(百度百科)
  2. linux命令–umask
  3. vsftpd 配置:chroot_local_user与chroot_list_enable详解
  4. Linux中Shell——sbin/nologin的理解
  5. vsftpd将shell设置成为nologin后不能登录解决办法
  6. 500 OOPS: vsftpd: refusing to run with writable root inside chroot() 错误的解决方式
  7. vsftpd的主动模式与被动模式
Sylvan Ding
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《Linux运维总结:云主机vsftpd一键部署工具》
09-07
原文链接:...1、vsftpd一键部署工具可以实现快速部署,支持ftp用户、密码、端口、家目录等自定义设置。 2、可以一键启动、停止、检查、移除等功能。 3、适用于腾讯云、华为云、阿里云等云平台。
FTP:vsftpd中的local_umask和anon_umask
大宇的博客,欢迎访问
09-18 3176
umask是在linux中常见的一个东西,它其实是一个掩码。当然,也有umask这样一个命令,它是对用户建立的文件的默认属性的定义。该 定义为: 假设umask为022,则对于一个文件夹的话,它的默认属性为 777-022=755,这也就是我们平时建立文件夹的权限。而对于一般的文件的话,则是用 666-022=644. umask是unix操作系统的概念,umask决定目录和文件被创建时得到的初始权限 umask = 022 时,新建的目录 权限是755,文件的权限是 644 umask = 077 时,
关于ftp权限配置(local_umask,anon_umask)
qq_48550824的博客
04-24 191
local_umask=022是什么意思?-CSDN博客 vsftpd 配置:chroot_local_user与chroot_list_enable详解 - 立志做一个好的程序员 - 博客园
VSFTP超详细安装教程
最新发布
m0_52165864的博客
05-07 1704
VSFTP(也称为 VSFTPD,代表 "Very Secure FTP Daemon")是一个用于实现 FTP 服务的开源服务器软件。FTP(文件传输协议)是一种允许在网络上进行文件上传和下载的协议。VSFTP 被设计为高度安全、高性能、且可靠的 FTP 服务器解决方案。安全性:它提供了多种安全特性,如支持 TLS/SSL 加密,以确保 FTP 传输的安全性。高性能:VSFTP 被设计为能够处理大量并发连接而不会降低性能。可配置性。
Vsftp安装配置(超详细版)
Mortalz7
10-15 1万+
VSFTP,全称为Very Secure FTP,是一种高度安全的FTP服务器软件。它是一款针对安全和性能进行优化的FTP服务器,拥有速度快、稳定、易用和安全性高的特点。VSFTP是在GPL许可证下发布的自由软件,可以在大多数类UNIX系统中使用。VSFTP支持IPv6、SSL/TLS加密传输,同时还提供了多种认证方式,包括本地用户、PAM、LDAP等等。同时,VSFTP也支持虚拟用户和虚拟目录,便于管理员进行用户管理。总之,VSFTP是一款功能强大且安全性高的FTP服务器软件,深受系统管理员和开发者的欢迎
Linux中vsftpd服务配置
11-06 1078
vsftpd概述 vsftpd 是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。 特点 非常高的安全性需求、带宽限制、良好...
vsftpd的安装和使用
热门推荐
Aaron_Run的博客
04-08 7万+
目录 1、vsftpd的简介... 2 2、特点... 2 3、安装... 2 4、创建虚拟用户... 2 5、vsftpd服务器的配置... 4 6、vsftpd配置文件说明... 7 7、防火墙的配置... 8 8、vsftpd的验证... 9 9、vsftpd的常用命令... 10 10、反复需要验证ftp身份问题解决... 10 1、vsftpd的简介 vsftpd...
VSFTPD搭建过程记录
lhyzws的专栏
04-05 1832
对在CentOS上部署VSFTPD服务器的过程进行记录。主要针对搭建过程中,因为①用户鉴权问题;②FTP主被动模式问题;③防火墙问题等所导致的搭建失败现象进行了记录与讨论。涉及500 OOPS,500 Illegal PORT,530 Permission Denied等错误现象。
vsftpd安装配置,Linux系统配置FTP服务器教程(CentOS 7)
驰网飞飞的博客
06-13 5407
vsftpd(verysecureFTPdaemon)是Linux下的一款小巧轻快、安全易用的FTP服务器软件。今天飞飞将和你分享Linux系统安装并配置vsftpd,搭建FTP环境。
Linux之vsftpd部署
01-07
FTP:file transfer protocol,文件传输协议 ...关闭selinux和firewalld 关闭selinux 查询selinux状态 命令:getenforce 编辑配置文件 配置文件位置:/etc/sysconfig/selinux 重启系统 命令:reboot 关闭f
vsftpd配置文件详解
09-30
vsftpd作为一个主打安全的FTP服务器,有很多的选项设置。下面介绍了vsftpd的配置文件列表,而所有的配置都是基于vsftpd.conf这个配置文件的
《Linux运维总结:vsftpd一键部署工具》
08-27
原文链接:https://blog.csdn.net/m0_37814112/article/details/119958349 说明:vsftpd一键部署工具
Ubuntu 用vsftpd 配置FTP服务器教程详解
01-10
sudo apt-get install vsftpd 配置vsftpd.conf sudo nano /etc/vsftpd.conf #禁止匿名访问 anonymous_enable=NO #接受本地用户 local_enable=YES #允许上传 write_enable=YES #用户只能访问限制的目录 chroot_local...
vsftpd 操作手册 - 完整版
萌兔兔MMQ!!
08-27 3779
ftpusers 不受任何配制项的影响,它总是有效,它是一个黑名单;ftpusers 列表中的用户不能访问FTP;ftpusers 是vsftpd服务在启动后已经决定的;ftpusers 文件只要存在, 则这个列表里面用户都不能访问FTP;在 vsftpd.conf 配置中没有参数配置可以控制该文件存放;ftpusers: 是一个禁止访问FTP的用户列表;ftpusers: 通过限制账号(root、高权限账户)登录FTP, 防止登录账号权限过大, 不受限制下载重要文件;...
linux知识点系列之 umask
叨叨软件测试
03-08 611
介绍 umask(user’s mask)用来设置文件权限掩码。权限掩码是由3个八进制的数字所组成,将现有的存取权限减掉权限掩码后,即可产生建立文件时预设的权限。 UNIX最初实现时不包含umask命令。1978年左右,在UNIX第七版中引入,用于解决权限掩码问题。 Shell 命令 在 Shell 中,使用 umask命令来设置权限掩码。 umask [-S] [maskExpression] ...
umask=022
weixin_34214500的博客
07-23 1580
umask=022中"022"是八进制的写法,如果换成二进制是000010010在unix中文件权限是三类用户,三种权限。三类用户分别是文件所有者user(u),文件所有者所在主群组group(g)、其它用户others(o),三种权限分别是起读read(r)、写write(w)、执行execute(x)。如果一个文件的权限如下:所有者有读写的权限,群组有读和执行权限、...
Linux vsFTPd服务详解——vsFTPd基础知识
永远是少年
11-18 4023
今天继续给大家介绍Linux运维相关内容,本文主要内容是Linux的vsFTPd服务。 一、vsFTPd服务简介与安装 FTP服务,即File Transfer Protocol、文件传输服务,用于在互联网上提供文件存储和访问服务。有关FTP的原理请参见以下文章:FTP协议详解。该文章写的很详细,在这里就不过多介绍乐。vsFTPd是基于GPL发布的类Unix系统上使用的FTP服务服务端软件,即very security FTP。vsFTPd也是基于FTP服务架构的软件,采用C/S模式,是一个安全高效稳定的服
VSFTP服务简介
Liang_GaRy的博客
11-10 3580
Linux服务之vsftpd服务
Windows上vsftpd的安装和使用
Aaron_Run的博客
04-08 7559
目录 1、vsftpd的简介... 2 2、特点... 2 3、在Windows上安装... 2 4、安装步骤... 2 5、查询本机IP进行测试访问... 3 6、访问测试... 3 1、vsftpd的简介 vsftpd是“very secure TTP daemon”的缩写,是一个完全免费的、开放源代码的ftp服务器软件 2、特点 vsftpd是一款在Linux发行版中最受...
vsftpd 部署ssl证书
11-17
vsftpd部署SSL证书的步骤如下: 1. 使用OpenSSL生成自签名证书: ```shell cd /etc/vsftpd openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3650 ``` 这将在`/etc/vsftpd`目录下生成一个名为`vsftpd.pem`的自签名证书。 2. 将证书文件移动到`.sslkey`目录下: ```shell mkdir .sslkey mv vsftpd.pem .sslkey/ ``` 3. 修改vsftpd配置文件`/etc/vsftpd/vsftpd.conf`,添加以下内容: ``` rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem ssl_enable=YES allow_anon_ssl=NO force_local_data_ssl=YES force_local_logins_ssl=YES ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO require_ssl_reuse=NO ssl_ciphers=HIGH ``` 这将启用SSL支持并指定证书和私钥文件的位置。 4. 重启vsftpd服务以使更改生效: ```shell systemctl restart vsftpd ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值