vsftpd服务配置
ftp简介
FTP(file Transfer Protocol)全称文本传输协议。旨在解决不同架构,不同设备之间的文件传输。FTP是一种基于客户端/服务器模式的互联网文件传输协议。FTP默认使用20、21号端口,其中20端口用于进行数据传输,21端口号用于接受客户端发出的相关FTP命令域参数。
特点:
- 支持文件多点下载
- 支持断点续传技术
FTP服务器: 使用FTP协议在互联网上提供文件存储和访问服务的主机
FTP客户端: 向客户端发送连接请求,建立数据传输链路的主机
工作模式:
- 主动模式: FTP服务器主动向客户端发起连接请求
- 被动模式(默认工作模式): FTP服务器等待客户端发起连接请求
vsftpd服务程序
vsftpd作为更加安全的文件传输服务程序。允许用户以三种认证模式登录到FTP服务器。
- 匿名开放模式: 一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到FTP服务器。
- 本地用户模式: 通过Linux系统本地账户密码信息进行认证的模式,比匿名开放模式更安全,配置更简单那。但如果黑客破解了账户信息,就就可以畅通无阻的登录FTP服务器,控制整个服务器。
- 虚拟用户模式: 最安全的认证模式,需要为FTP服务单独建立用户数据库文件,虚拟出用来进行口令认证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供FTP服务程序进行认证使用。因此,即使破解了账户信息也无法登录服务器,降低破坏范围和影响。
FTP配置实践
安装FTP服务程序
详细步骤请参考CentOS8 配置apache 搭建静态网站 踩坑向
[root@MyCentOS ~]# yum install vsftpd
[root@MyCentOS vsftpd]# yum install ftp
防火墙设置
在iptables防火墙中默认禁止了FTP传输协议的端口号。关闭iptables防火墙,使用firewalld防火墙
切换至internal区域,并开启ftp服务
firewall-cmd --set-default-zone=internal
firewall-cmd --permanent --zone=internal --add-service=ftp
保存原始ftp配置文件
vsftpd.conf配置文件保存在/etc/vsftpd路径下。
将原始vsftpd配置文件另存为vsftpd.conf.backup文件。
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
chown_username=whoever
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
nopriv_user=ftpsecure
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
| 参数 | 作用 |
|---|---|
| listen=[Yes|No] | 是否以独立运行的方式监听服务 |
| listen_address=IP | 设置要监听的IP地址 |
| listen_port=21 | 设置FTP服务要监听的端口 |
| download_enable=[Yes|No] | 是否允许下载文件 |
| userlist_enable=[Yes|No] userlist_deny=[Yes|No] | 设置用户列表为允许还是禁止操作 |
| max_clients=0 | 最大客户端连接数,0为不限制 |
| anonymous_enable=[Yes|No] | 是否允许匿名用户访问 |
| anon_upload_enable=[Yes|No] | 是否允许匿名晕乎上传文件 |
| anon_umask=022 | 匿名用户上传文件的umask值 |
| anon_root=/var/ftp | 匿名用户deFTP根目录 |
| anon_mkdir_write_enable=[Yes|No] | 是否允许匿名用户创建目录 |
| anon_other_write_enable=[Yes|No] | 是否开放匿名用户的其他写入权限(重命名、删除等) |
| anon_max_rate=0 | 匿名用户的最大传输速率(字节/秒),0为不限制 |
| local_enable=[Yes|No] | 是否允许本地用户登录FTP |
| local_umask=022 | 本地用户上传文件的umask值 |
| local_root=/var/ftp | 本地用户的ftp根目录 |
| chroot_local_user=[Yes|No] | 是否将用户权限禁锢在FTP目录,以确保安全 |
| local_max_rate=0 | 本地用户最大传输速率(字节/秒),0为不限制 |
匿名开放模式
匿名开放模式一般用来访问不重要的公开文件。vsftpd服务程序默认开启了匿名开放模式。
-----------------------------------------------------------匿名开放模式权限参数---------------------------------------------
| 参数 | 作用 |
|---|---|
| anonymous_enable=Yes | 允许匿名访问模式 |
| anon_umask-022 | 匿名用户上传文件的umask值 |
| anon_upload_enable=Yes | 允许匿名用户上传文件 |
| anon_mkdir_write_enable=Yes | 允许匿名用户创建目录 |
| anon_other_write_enable=Yes | 允许匿名用户修改目录名称或删除目录 |
坑一
在vsftpd配置文件配置为匿名开放模式,添加如下配置。
anonymous_enable=YES
anon_umask=0
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
重启vsftpd服务程序,并将vsftpd服务加入开机启动项。
systemctl restart vsftpd
systemctl enbale vsftpd
当使用root用户连接ftp服务器时出现如下错误。
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: vsftpd: cannot locate user specified in 'chown_username':whoever
原因: 只是因为当使用匿名用户登录ftp服务器时,匿名用户要以一个FTP服务器中已存在的账户来进行操作。也就是匿名用户都是假借这个FTP服务器中已存在的身份进行操作的,匿名用户的身份除了受anon_umask的值的影响,还受匿名用户假借的这个身份所拥有的权限的影响。
解决办法: 在vsftpd.conf配置文件中
chown_uploads=YES
chown_username=yan <<<<将此处的whoever修改为ftp服务器中存在的用户名
坑二
在解决上一问题之后,再此连接到FTP服务器,出现如下情况。
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: cannot read anon e-mail list file:/etc/vsftpd/banned_emails
提示信息说无法打开banned-emails 文件。
原因: 在当前文件路径下使用ll命令查看该路径下的所有文件。发现没有banned_emails文件。
解决办法: 使用touch创建banned_emails文件。
[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root 0 8月 12 10:31 banned_emails
-rw-------. 1 root root 126 8月 12 10:30 ftpusers
-rw-------. 1 root root 361 4月 24 11:01 user_list
-rw-------. 1 root root 730 8月 12 10:28 vsftpd.conf
-rw-------. 1 root root 5081 8月 11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root 348 4月 24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# systemctl restart vsftpd 《《《重启vsftpd服务
坑三
解决上一问题后再次连接FTP服务器,出现如下问题。
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
500 OOPS: cannot locate user entry:ftpsecure
原因: 提示信息显示缺少ftpsecure用户
解决办法: 创建ftpsecure用户
[root@MyCentOS vsftpd]# adduser ftpsecure
结果显示
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.
在排除上面的错误后,还不能在/var/ftp目录下进行创建、编辑操作。通过查看/var/ftp目录权限属性可知,当前目录属于root用户,其他用户是没有操作权限的。
drwxr-xr-x. 3 root root 33 8月 12 10:21 ftp
修改目录所属用户
[root@MyCentOS ~]# chown -Rf ftp /var/ftp
drwxr-xr-x. 3 ftp root 33 8月 12 10:21 ftp
此时连接ftp服务器再次进行编辑创建操作,还是无法成功,这是因为selinux拒绝了ftp的相关操作。
查看selinux中与ftp服务相关的规则。
getsebool -a | grep ftp <<<查看与ftp服务相关的selinux设置
setsebool -P ftpd_full_access=on <<<<开启ftp准入连接
vsftpd目录下文件状态如下所示
[root@MyCentOS ~]# cd /etc/vsftpd/
[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root 0 8月 12 16:19 banned_emails
-rw-------. 1 root root 144 8月 12 16:21 ftpusers
-rw-------. 1 root root 370 8月 12 15:17 user_list
-rw-r--r--. 1 root root 755 8月 12 16:37 vsftpd.conf
-rw-------. 1 root root 5081 8月 11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root 348 4月 24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# cat ftpusers
# Users that are not allowed to login via ftp
#root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
#ftpsecure
#yang
[root@MyCentOS vsftpd]# cat user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
yang
ftp
[root@MyCentOS vsftpd]# cat vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
#chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YES
allow_writeable_chroot=YES
pam_service_name=vsftpd
userlist_deny=NO
匿名模式总结
在匿名开放认证模式下,访问vsftpd服务程序的账户一律为:anonymous,密码为空。当遇到vsftpd: refusing to run with writable root inside chroot()的出错提示时,应该先把/var/ftp目录的权限设置为755。
本地用户模式
对比匿名开放模式,本地模式更安全,配置更简单。
--------------------------------------------------本地用户模式权限参数--------------------------------------------------------
| 参数 | 作用 |
|---|---|
| anonymous_enable=NO | 禁止匿名访问模式 |
| local_enable=YES | 允许本地用户模式 |
| write_enable=YES | 设置可写权限 |
| local_umask=022 | 本地用户模式创建文件的umask值 |
| userlist_enable=YES | 启用禁止用户名单,名单为ftpusers和user_list |
| userlist_deny=YES | 开启用户作用名单文件功能 |
配置vsftpd.conf文件
文件配置如下所示
#匿名开放模式
anonymous_enable=NO
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#本地用户模式
local_enable=YES
write_enable=YES
local_umask=022
userlist_enable=YES
userlist_deny=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YES
allow_writeable_chroot=YES
pam_service_name=vsftpd
在编辑好配置文件之后,可能会出现缺少chroot_list文件的提示而导致登录失败。此时使用touch chroot_list命令新建文件即可。
- 无论配置何种服务,修改之后即应当重启该服务
- 重启服务之后,将服务加入开启启动项
systemctl enable 服务 - 如果登录不成功需要查看
ftpusers和user_list两个文件,看所使用的用户是否与这两个文件相关。这两个文件的作用直接看注释信息即可 - 如果登录不成功同样需要查看selinux中与
ftp相关的规则是否开启
查看结果
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
登录ftp服务器账号与密码即为用户登录服务器的账号与密码。
虚拟用户模式
虚拟用户模式是三种模式中最安全的,但配置也相对复杂。
创建FTP认证的用户数据库文件
[root@MyCentOS ~]# cd /etc/vsftpd/
[root@MyCentOS vsftpd]# ll
总用量 24
-rw-r--r--. 1 root root 0 8月 12 16:19 banned_emails
-rw-r--r--. 1 root root 0 8月 12 19:13 chroot_list
-rw-------. 1 root root 144 8月 12 19:11 ftpusers
-rw-------. 1 root root 370 8月 12 19:11 user_list
-rw-r--r--. 1 root root 812 8月 12 19:13 vsftpd.conf
-rw-------. 1 root root 5081 8月 11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root 348 4月 24 11:01 vsftpd_conf_migrate.sh
[root@MyCentOS vsftpd]# vim vuser.list
liyunlong 《《《《虚拟用户1
zhaogang 《《《《虚拟用户1密码
eryingzhang 《《《《《虚拟用户2
yidalipao 《《《《《虚拟用户2密码
hash加密数据库文件
原因: 明文信息不安全,不符合vsftpd服务程序加载格式
步骤:
- 使用
db_load命令用hash算法将原始明文信息转换成数据库文件 - 降低数据库文件权限(避免他人看到数据库文件内容)
- 删除原始明文信息
[root@MyCentOS vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@MyCentOS vsftpd]# ll
总用量 40
-rw-r--r--. 1 root root 0 8月 12 16:19 banned_emails
-rw-r--r--. 1 root root 0 8月 12 19:13 chroot_list
-rw-------. 1 root root 144 8月 12 19:11 ftpusers
-rw-------. 1 root root 370 8月 12 19:11 user_list
-rw-r--r--. 1 root root 812 8月 12 19:13 vsftpd.conf
-rw-------. 1 root root 5081 8月 11 10:40 vsftpd.conf.backup
-rwxr--r--. 1 root root 348 4月 24 11:01 vsftpd_conf_migrate.sh
-rw-r--r--. 1 root root 12288 8月 12 19:42 vuser.db
-rw-r--r--. 1 root root 41 8月 12 19:35 vuser.list
[root@MyCentOS vsftpd]# chmod 600 vuser.db
[root@MyCentOS vsftpd]# rm -r vuser.list
rm:是否删除普通文件 'vuser.list'?y
虚拟用户映射
- 创建vsftpd服务程序用于存储文件的根目录(虚拟用户登录后所访问的位置)
- 将虚拟用户映射到系统本地用户
[root@MyCentOS ~]# useradd -d /var/virdir -s /sbin/nologin ftpuser 《《《新建一个专用于使用ftp服务的用户,同时创建一个ftp访问时的根目录其所有者和所有组都属于该用户
[root@MyCentOS ~]# cd /var
[root@MyCentOS var]# ll
drwx------. 3 ftpuser ftpuser 78 8月 12 20:07 virdir
[root@MyCentOS var]# chmod -Rf 755 virdir 《《《限制非管理员的操作权限
其中的目录名称可以自己取,用户名称可以自己取。
建立PAM文件
建立支持虚拟用户的PAM文件。PAM(可插拔认证模块)是一种认证机制,通过一些动态链接库和统一的API把系统提供的服务和认证方式分开,使得系统管理员可以根据需求灵活调整服务程序的不同认证方式。
步骤:
- 新建一个用于虚拟用户认证的PAM文件
vsftpd.vu - 文件内的
db=参数为使用db_load命令生成的账户密码数据库文件路径,不写数据库文件名后缀
[root@MyCentOS ~]# cd /etc/pam.d/
[root@MyCentOS pam.d]# vim vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
编辑vsftpd配置文件
---------------------------------------------------------利用pam认证时使用的参数------------------------------------------
| 参数 | 作用 |
|---|---|
| guest_enable=YES | 开启虚拟用户模式 |
| guest_username=用户名 | 指定虚拟用户账户 |
| pam_service_name=pam文件 | 指定pam文件 |
| allow_writeable_chroot=YES | 允许对禁锢的FTP根目录执行写入操作,而且不拒绝用户的登录请求 |
配置信息如下所示
#匿名开放模式
anonymous_enable=NO 《《《关闭匿名用户模式
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#本地用户模式
local_enable=NO 《《《《关闭本地用户模式
write_enable=YES
local_umask=022
userlist_enable=YES
userlist_deny=NO
##虚拟用户模式
guest_enable=YES
guest_username=ftpuser
pam_service_name=vsftpd.vu
allow_writeable_chroot=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=YES
#chown_username=root
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
data_connection_timeout=120
#nopriv_user=root
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service.
deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
ls_recurse_enable=YES
listen=NO
listen_ipv6=YES
为虚拟用户设置不同权限
针对不同用户设置不同的权限以区别对待。例如允许创建liyunlong用户上传、创建、修改、查看、删除文件,对于创建的eryingzhang用户只允许其查看文件。
步骤:
- 创建一个新目录夹
- 在目录夹中创建以用户名命名的文件
- 在文件中写入相关的参数(使用匿名用户的参数)
[root@MyCentOS vsftpd]# mkdir user_rights
[root@MyCentOS vsftpd]# cd user_rights
[root@MyCentOS user_rights]# vim liyunlong
anon_upload_enable=YES 《《《允许该用户上传
anon_mkdir_write_enable=YES 《《允许该用户修改
anon_other_write_enable=YES 《《《允许该用户其他写入操作
[root@MyCentOS user_rights]# touch eryingzhang 《《不写入权限,只允许查看
添加user_config_dir参数
修改vsftpd.conf文件,添加参数user_config_dir定义用户权限配置文件所在路径。
##虚拟用户模式
guest_enable=YES
guest_username=ftpuser
pam_service_name=vsftpd.vu
allow_writeable_chroot=YES
user_config_dir=/etc/vsftpd/user_rights
重启ftp服务,加入开启自启项
设置SElinux域允许策略
略,详情见前两种模式中的设置。
坑一
在完成以上设置后,还需将设置的虚拟用户添加至ftpusers和user_list中,才可以实现登录。在设置虚拟用户模式时,一定要把本地用户模式打开,否则无法登录。
结果显示
[root@MyCentOS vsftpd]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:root): liyunlong
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.
[root@MyCentOS vsftpd]# su yan
[yan@MyCentOS vsftpd]$ ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 Welcome to blah FTP service.
Name (192.168.10.10:yan): eryingzhang
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> exit
221 Goodbye.
544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
