自学Linux:15.VSFTP服务部署

最新推荐文章于 2024-06-09 10:28:13 发布
最新推荐文章于 2024-06-09 10:28:13 发布
阅读量205 收藏
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyzmx/article/details/110728454
版权

VSFTP服务部署

一. 安装软件

服务器端:vsftpd
客户端:ftp
服务名:vsftpd
端口:20、21、指定范围内随机端口
配置文件:/etc/vsftpd/vsftpd.conf

二. 登陆验证方式

1. 匿名用户验证

用户账号名称:ftp或anonymous
用户账号密码:无密码
工作目录:/var/ftp
默认权限:默认可下载不可上传,上传权限由两部分组成(主配置文件和文件系统,配置文件中配置上传权限,对该目录具有写权限。)

服务器端:

# 修改配置文件
vim /etc/vsftpd/vsftpd.conf


```bash
# 运行匿名用户模式
anonymous_enable=YES
local_enable=YES

# 基础设定
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 上传
anon_upload_enable=YES
# 权限掩码,匿名上传的文件权限为755、644
anon_umask=022
# 建立文件夹
anon_mkdir_write_enable=YES
# 删除
anon_other_write_enable=YES
# 用户目录
anon_root=/var/ftp/

# 被动
pasv_enable=YES
pasv_min_port=12000
pasv_max_port=12199

登陆

非常重要的点:

默认目录的权限不能上传下载,想要获得上传下载权限,需要在根下面新建子目录并赋权。
根目录,默认anon_root=/var/ftp,所属必需为root,读写权限755
如果需要自定义根目录,必需符合条件2,通常情况下,使用root直接创建目录就OK

# 新建子目录
mkdir -p /var/ftp/upload

# 修改权限
chown -R ftp /var/ftp/upload/
chmod -R 755 /var/ftp/upload/

# 重启服务
systemctl restart vsftpd

# 查询服务器IP
ip addr

# 登陆
ftp://192.168.201.101/
2. 本地用户验证

用户账号名称:本地用户(/etc/passwd)
用户账号密码:用户密码(/etc/shadow)
工作目录:登录用户的宿主目录
权限:最大权限(drwx------)

2.1. 配置文件

重难点:

  • 锁定主目录和设定主目录最好配套使用。
  • 推荐使用被动访问模式。
  • 本地用户掩码为local_umask,虚拟用户掩码为anon_umsak,一定注意区分。
  • vsftpd从2.3.5版本开始,增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报500 OOPS: vsftpd: refusing to run with writable root inside chroot()错误。解决方式不止一种,其中通过配置allow_writeable_chroot=YES的方式最省事、也最正规。
# 修改配置文件
vim /etc/vsftpd/vsftpd.conf

# 运行匿名用户模式
anonymous_enable=NO
local_enable=YES

# 基础设定
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 锁定主目录
chroot_local_user=YES
# 设定登陆主目录
local_root=/home
# 允许用户对于主目录具有读写权限
allow_writeable_chroot=YES

# 被动
pasv_enable=YES
pasv_min_port=12000
pasv_max_port=12199
2.2. 目录管理(可选)

重难点

自定义根目录,所属必须为root,权限为755,一般情况下,root用户创建的目录就符合要求。
子目录,所属必须为对应建立的用户,权限为700,这样保证自身对于文件夹有所有权限,但是其他用户无法进入。
如果在新建用户的时候指定其用户主目录为子目录,则可以跳过子目录创建阶段。

mkdir /home/FTP
chown -R root:root /home/FTP
chmod -R 755 /home/FTP

# 新增子目录(可选)
mkdir -p /home/FTP/admin_files
chown -R admin:admin /home/FTP/admin_files
chmod -R 700 /home/FTP/admin_files
2.3. 用户管理

重难点

如果新建用户不指定用户主目录,则需要返回3.2. 目录管理创建对应主目录和权限。
用户推荐nologin模式,这样可以放置用户登陆系统。
使用nologin模式后,还需允许nologin用户登陆FTP

# 新建用户
useradd -s /sbin/nologin -d /home/FTP/admin admin
passwd admin

# 禁止用户登陆(可跳过)
usermod -s /sbin/nologin admin

# 更改用户配置(可跳过)
usermod -s /bin/bash admin
usermod -d /home/FTP/admin admin

# 允许 nologin 用户登陆FTP
sed -i '$a /sbin/nologin' /etc/shells 

cat /etc/shells
[root@ftp home]# cat /etc/shells
/bin/sh
/bin/bash
/usr/bin/sh
/usr/bin/bash
/bin/tcsh
/bin/csh
/sbin/nologin
2.4. 权限配置

使用ll命令可以方便的查看系统文件目录的权限

[root@centos_7 home]# ll
总用量 0

drwx------. 3 nandi nandi 78 7月  16 09:10 nandi
-rwxrw-r--. 1 root  root   0 7月  16 09:45 readme
drwx------. 3 test  test  78 7月  16 09:09 test

上面的信息解读:

以readme为例,可以看到其所属用户为root(第一个表示用户),所属用户组为root(第二个表示组)
-rw-r–r--,一共10个字符,可以分为四段来解读:字符长度为1-3-3-3
第一段:d 表示nandi和test是目录,- 表示 readme 是文件
第二段:rwx,对于二进制码111,十进制为7,表示所属用户对于该文件(夹)具有读r写w执行x的权限。
第三段:rw-,对于二进制码110,十进制为6,表示所属用户对于该文件(夹)具有读r写w的权限。
第四段:r–,对于二进制码100,十进制为4,表示所属用户对于该文件(夹)具有读r的权限。 掌握规则以后,我们要改变权限也简单了

试验: 目的:将readme权限更改为:700
分析:700对应二进制111000000,对应权限为rwx------,由于他本身是文件,所以第一个符号是-,完整的权限为-rwx------

代码:

[root@centos_7 home]# chmod -R 700 readme 
[root@centos_7 home]# ll
总用量 0
drwx------. 3 nandi nandi 78 7月  16 09:10 nandi
-rwx------. 1 root  root   0 7月  16 09:45 readme
drwx------. 3 test  test  78 7月  16 09:09 test
2.5. 登陆
# 重启服务
systemctl restart vsftpd

# 查询服务器IP
ip addr

# 登陆
ftp://192.168.201.101/
2.6. 用户配置文件(可选)

上一步完成以后,就已经成功完成FTP服务器的搭建,但是由于所有本地用户共用一个配置文件,导致很多配置不能根据不同用户的需求来灵活配置。比如,我们想针对不同用户建立不同的根目录,这时用户配置文件就能起到作用:

启用用户配置目录
/etc/vsftpd/vsftpd.conf里面添加语句

# 启用用户配置目录
user_config_dir=/etc/vsftpd/user_conf

# 建立用户配置目录
mkdir -p /etc/vsftpd/user_conf

# 建立用户配置文件
vim /etc/vsftpd/user_conf/test

# 设定登陆主目录
local_root=/home/test

如此反复,注意用户配置文件名和用户名要一样,重启服务以后,不同用户登陆就会进入到各自的根目录当中。

3. 虚拟用户验证

创建虚拟用户用来代替本地用户,减少本地用户曝光率
使用本地用户作为虚拟用户的映射用户,为虚拟用户提供工作目录和权限控制
能够设置严格的权限

3.1. 建立用户

系统映射用户(可选)

虚拟用户为映射到这个用户,以该用户的身份登陆服务器

一般情况下,可以直接使用系统默认的ftp用户,当然也可以自己定义映射用户,映射用户不用修改密码

useradd -s /sbin/nologin vftpuser

#虚拟用户
vim /etc/vsftpd/vusers

test
123
test1
123
test2
123
test3
123

#对应的主目录
#这里一定要把文件所有权改为映射用户。
mkdir /home/test1
mkdir /home/test2
mkdir /home/test3
chown -R ftp:ftp /home/test*
3.2. 加密

安装数据库(必备)yum install db4 db4_utils
加密db_load -T -t hash -f /etc/vsftpd/vusers /etc/vsftpd/vusers.db

3.3. 添加pam.d文件

重点:

1.修改pam.d文件以后,本地用户就无法登陆FTP服务器了,因为本地用户使用的验证文件发生了改变。
2.想要保证本地用户和虚拟用户可以同时登陆FTP,请查看5. 本地用户和虚拟用户共存

vim /etc/pam.d/vusers.db

auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
3.4. 配置文件
# 修改配置文件
vim /etc/vsftpd/vsftpd.conf

# 启用虚拟用户
anonymous_enable=NO
local_enable=YES
guest_enable=YES

# 映射账户
guest_username=ftp
pam_service_name=vusers.db
anon_umask=022

# 基础设定
write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
userlist_enable=YES
tcp_wrappers=YES

# 锁定主目录、允许主目录拥有写权限
chroot_local_user=YES
allow_writeable_chroot=YES

# 上传权限
anon_upload_enable=YES
# 建立文件夹权限
anon_mkdir_write_enable=YES
# 删除权限
anon_other_write_enable=YES

# 添加账户配置目录
user_config_dir=/etc/vsftpd/user_conf

# 被动
pasv_enable=YES
pasv_min_port=12000
pasv_max_port=12199
3.5. 个性化配置

配置文件夹(可跳过)

mkdir /etc/vsftpd/user_conf

配置个性化用户

vim /etc/vsftpd/user_conf/test

# 个性化根目录
local_root=/home/ftpfile/000002000000002
# 不可创建目录
anon_mkdir_write_enable=NO
# 不可编辑文件
anon_other_write_enable=NO
# 不可上传文件
anon_upload_enable=NO
3.6. 登陆
# 重启服务
systemctl restart vsftpd

# 查询服务器IP
ip addr

# 登陆
ftp://192.168.201.101/
4. 本地用户和虚拟用户共存
4.1. 原因分析

Required: 堆栈中的所有 Required 模块必须看作一个成功的结果。如果一个或多个 Required
模块失败,则实现堆栈中的所有 Required
模块,但是将返回第一个错误。也就意味着,required需要所有内容都满足才行,当我们前两条配置虚拟用户登录验证通过后,继续向下面的配置条目进行验证,验证是否是本地用户时结果发现不是,又因为,验证本地用户的control_flag(见上网址中解释)也为required,所以这时候,就会返回错误,也即验证不成功。所以我们不能同时设置虚拟用户和本地用户的control_flag为required。

Sufficient: 如果标记为 sufficient 的模块成功并且先前没有 Required 或 sufficient
模块失败,则忽略堆栈中的所有其余模块并返回成功。我们可以把虚拟用户的验证配置放在最前面,且把control_flag设为sufficient。这样的话,如果遇到是虚拟用户,那么可以通过验证,如果是本地用户,忽略掉sufficient的两条配置规则,只要满足required就行,所以也能通过验证。

4.2. 配置
vim /etc/pam.d/vusers.db

#%PAM-1.0
auth       sufficient   pam_userdb.so   db=/etc/vsftpd/vusers
account    sufficient   pam_userdb.so   db=/etc/vsftpd/vusers
session    optional     pam_keyinit.so  force revoke
auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required     pam_shells.so
auth       include      password-auth
account    include      password-auth
session    required     pam_loginuid.so
session    include      password-auth
liyzmx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux使用笔记:配置FTP服务器(vsftp
founderznd
03-06 7842
0 前言 本文记录自己安装配置ftp服务器的全过程 ftp提供3种登录方式, 1 安装基本环境 1.1 安装vsftp yum install vsftpd -y 1.2 备份配置文件 cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak [root@ftp-server ~]# cp /etc/vsftpd/vsftpd.conf /...
1.vsftp服务部署
weixin_60551759的博客
11-05 497
ftp:file transfer proto 互联网最古老的文件传输协议 默认情况下FTP协议使用TCP端口中的 20和21这两个端口,其中20用于传输数据,21用于传输控制信息。但是,是否使用20作为传输数据的端口与FTP使用的传输模式有关,如果采用主动模式,那么数据传输端口就是20;如果采用被动模式,则具体最终使用哪个端口要服务器端和客户端协商决定。 1.实验环境 selinux关闭,网络仓库建好 2.vsftpd下载 查找启动安装脚本 开启vsftpd,查看端口 匿...
linux搭建并使用FTP服务器(vsftp)&
小小白的博客
09-07 3904
linux如何配置ftp服务器,一文详解
Linux服务器上安装vsftp
dahaidoushishuia的博客
08-17 3069
firewall-cmd --permanent --zone=public --add-service=ftp 或者直接放开ftp服务。firewall-cmd --zone=public --add-port=21/tcp --permanent 开放端口20 21 22。anon_other_write_enable=[YES|NO] 是否开放匿名用户的其他写入权限(包括重命名、删除等操作权限)...
VSFTP安装部署
最新发布
beck_li的博客
06-09 623
1、检查vsftpdL软件是否安装 1 2、挂载安装盘rpm安装包 1 3、安装vsftpd 1 4、防火墙设置 1 5、SELinux在enforcing模式下配置vsftp 1 6、vsftp服务管理 1 7、vsftp卸载 1 8、ftp使用命令行 2
vsftpd服务部署
sinat_42796857的博客
06-23 466
(小插曲,我通过客户端访问的时候一直报错,不知道哪的原因查了半天告诉我是有空格,在配置文件一顿删,弄完了还报错,一直排查,发现是zhangsan下边的配置文件里的空格,这个和主配置文件不一样是单独给zhangsan设置的在/etc/vsftpd/vusers_dir目录下,真服了):是这三种模式中最安全的一种认证模式,它需要为 FTP 服务单独 建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在 服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。
Linux_VSFTP服务器.doc
01-03
Linux VSFTP 服务器详解 Linux VSFTP 服务器是 Linux 操作系统中的一种安全 FTP 服务器,它提供了强大的安全机制来保护文件传输。下面是关于 Linux VSFTP 服务器的详细知识点: 一、Linux FTP 服务器分类 Linux ...
RedHat Linux 8 中 vsftp服务部署
01-20
在Red Hat Linux 8中部署vsftpd服务是一项常见的任务,因为FTP作为一种历史悠久且功能强大的文件传输协议,常用于在不同系统间交换文件。FTP基于TCP协议,采用客户端/服务器模型,允许用户从FTP服务器上下载文件或者...
Linux配置VSFTP服务器的方法
09-15
Linux系统中的VSFTP服务器是一种非常流行的FTP(File Transfer Protocol)服务软件,因其高安全性而备受推崇。本篇文章将详细介绍如何在Linux上配置VSFTP服务器,包括服务器的分类、访问方式以及具体的配置步骤。 ...
LinuxVSFTP服务搭建过程
09-15
主要介绍了LinuxVSFTP服务搭建,需要的朋友可以参考下
Vsftp For Linux.zip
07-11
Linux环境中,Vsftp部署FTP服务的常见选择,尤其适合那些寻求稳定性和安全性的用户。 Vsftp的主要特点包括: 1. **多用户支持**:Vsftp允许每个用户拥有自己的FTP目录,并且可以设定不同的权限,确保用户只能...
Vsftpd服务部署及优化详解(图文)
好久没说梦想的博客
01-12 1159
vsftpd是“very secure TTP daemon”的缩写,是一个完全免费的、开放源代码的ftp服务器软件,主打安全的FTP服务器,有很多的选项设置。也一款在Linux发行版中最受推崇的ftp服务器程序,小巧轻快,安全易用,支持虚拟用户,支持带宽限制等功能。
vsftpd安装配置,Linux系统配置FTP服务器教程(CentOS 7)
驰网飞飞的博客
06-13 5487
vsftpd(verysecureFTPdaemon)是Linux下的一款小巧轻快、安全易用的FTP服务器软件。今天飞飞将和你分享Linux系统安装并配置vsftpd,搭建FTP环境。
VSFTP安装部署及配置
u012830695的博客
08-16 1607
VSFTP安装配置
Vsftp安装配置(超详细版)
热门推荐
Mortalz7
10-15 2万+
VSFTP,全称为Very Secure FTP,是一种高度安全的FTP服务器软件。它是一款针对安全和性能进行优化的FTP服务器,拥有速度快、稳定、易用和安全性高的特点。VSFTP是在GPL许可证下发布的自由软件,可以在大多数类UNIX系统中使用。VSFTP支持IPv6、SSL/TLS加密传输,同时还提供了多种认证方式,包括本地用户、PAM、LDAP等等。同时,VSFTP也支持虚拟用户和虚拟目录,便于管理员进行用户管理。总之,VSFTP是一款功能强大且安全性高的FTP服务器软件,深受系统管理员和开发者的欢迎
Linux安装vsftpd(FTP 服务器)(工作中学到的)
weixin_45222548的博客
10-13 1100
vsftpd 是“ very secure FTP daemon ”的缩写,安全性是它的一个最大的特点。vsftpd是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux 、 BSD 、 Solaris 、HP UNIX 等系统上面,是一个完全免费的、开放源代码的 ftp 服务器软件,支持很多其他的FTP 服务器所不支持的特征。
Linux中的ftp服务-----vsftpd
qq_47800859的博客
03-27 1244
Linux中的ftp服务-----vsftpd
linuxvsftpd服务(基础小白必学)
qq_45871601的博客
01-20 2430
FTP (File transfer protocol) 是TCP/IP 协议组中的协议之一。他最主要的功能是在服务器与客户端之间进行文件的传输。FTP就是实现两台计算机之间的拷贝,从远程计算机拷贝文件至自己的计算机上,称之为“下载 (download)”文件。将文件从自己计算机中拷贝至远程计算机上,则称之为“上传(upload)”文件。这个古老的协议使用的是明码传输方式,且过去有相当多的安全危机历史。
Linux文件服务vsftpd用法详解(自签名SSL证书配置)
一个认真学习的女孩子的博客
09-05 1856
文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载、删除文件。FTP服务器端可以同时提供给多人共享使用。FTP服务是Client/Server(简称C/S)模式,基于FTP协议实现FTP文件对外共享及传输的软件称之为FTP服务器源端,客户端程序基于FTP协议,则称之为FTP客户端,FTP客户端可以向FTP服务器上传、下载文件。FTP Server提供文件共享服务,实现上传下载端口:21号。
Failed to start vsftp.service: Unit vsftp.service not found.
01-12
根据引用[1]中的错误信息,"Failed to start vsftp.service: Unit vsftp.service not found."表示无法找到vsftp服务单元。这可能是由于服务单元被屏蔽(masked)导致的。你可以尝试以下代码来解决这个问题: ```shell sudo systemctl unmask vsftpd.service sudo systemctl start vsftpd.service ``` 第一行代码将解除对vsftpd服务单元的屏蔽,第二行代码将启动vsftpd服务。如果这些命令执行成功,应该能够成功启动vsftpd服务。 另外,根据引用中的解决方法,如果你在使用Filezilla时遇到了服务器发回了不可路由的地址的错误,你可以尝试更改Filezilla的设置。具体步骤如下: 1. 打开Filezilla软件。2. 点击菜单栏中的"编辑",然后选择"设置"。 3. 在设置窗口中,选择"连接",然后选择"FTP"。 4. 在右侧的选项中,找到"被动模式",将其从"使用服务器的外部IP地址来代替"改为"回到主动模式"。 5. 点击"确定"保存设置。 这样,你应该能够解决服务器发回不可路由地址的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值