用户类型
本地用户(local):用户在FTP服务器拥有账号,且该账号为本地用户的账号,可以通过自己的账号和口令进行授权登录,登录目录为自己的home目录$HOME
虚拟用户(guest):用户在FTP服务器上拥有账号,但该账号只能用于文件传输服务。登录目录为某一特定的目录,通常可以上传和下载
匿名用户(anonymous):用户在FTP服务器上没有账号,登录目录为/var/ftp注:vsftpd默认配置是开启了本地用户和匿名用户,可以直接登录的。
连接模式
FTP的连接一般是有两个连接的,一个是客户程和服务器传输命令的,另一个是数据传送的连接。
FTP服务程序一般会支持两种不同的模式,一种是主动(Port)模式,一种是被动(Passive)模式(又称Pasv Mode)。
主动(Port)模式:
当客户端C向服务端S连接后,使用的是Port模式,那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接),当服务端S收到这个Port命令后 就会向客户端打开的那个端口N进行连接,这种数据连接就生成了。被动(Pasv)模式:
当客户端C向服务端S连接后,服务端S会发信息给客户端C,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端C收到这个信息后,就可以向服务端S的M端口进行连接,连接成功后,数据连接也建立了。
安装vsftpd
yum install vsftpd -y
查看vsftpd版本
vsftpd -version
启动vsftpd服务
service vsftpd start
查看vsftpd进程
ps aux | grep vsftpd
备份配置文件vsftpd.conf
cp /etc/vsftpd/vsftpd.conf{,.bak}
修改配置文件vsftpd.conf
# 开启匿名登录
anonymous_enable=NO
# 允许使用本地帐户进行FTP用户登录验证
local_enable=YES
# 允许写
write_enable=YES
# 设置本地用户默认文件掩码022
local_umask=022
# 允许匿名上传
anon_upload_enable=YES
# 允许匿名创建新目录
anon_mkdir_write_enable=YES
# 同时开放其它权限
anon_other_write_enable=YES
# 可以发送消息当访问某个目录时
dirmessage_enable=YES
# 开启上传下载记录
xferlog_enable=YES
# 数据链通过20端口建立
connect_from_port_20=YES
# 允许其它用户上传匿名文件
#chown_uploads=YES
# 所有用户
#chown_username=whoever
# 日志保存到
#xferlog_file=/var/log/xferlog
# 日志标准输出
xferlog_std_format=YES
# 空闲会话时间
#idle_session_timeout=600
# 数据连接超时时间
#data_connection_timeout=120
# 隔离的安全用户
#nopriv_user=ftpsecure
# 开启异步数据线程
#async_abor_enable=YES
# 开启ASCII协议上传
ascii_upload_enable=YES
# 开启ASCII协议下载
ascii_download_enable=YES
# 开启邮箱验证
#deny_email_enable=YES
# 拒绝的邮箱列表
#banned_email_file=/etc/vsftpd/banned_emails
# 是否允许直接获取子目录信息
#ls_recurse_enable=YES
# 监听IPv4
listen=NO
# 监听IPv6和监听IPv4
listen_ipv6=YES
# 虚拟用户启用pam认证
pam_service_name=vsftpd
# 用户组管理
userlist_enable=YES
# 访问控制
tcp_wrappers=NO
# 允使用被动模式
pasv_enable=YES
# 指定使用被动模式时打开端口的最小值
pasv_min_port=10060
# 指定使用被动模式时打开端口的最大值。
pasv_max_port=10090
# 用户宽带限制200kps
#local_max_rate=200000
# 登录后欢迎内容
ftpd_banner=Welcome to My FTP service.
# ---------开启虚拟用户组参数--------
# 开启虚拟用户
guest_enable=YES
# 主虚拟用户名vsftpd,等下会建立
guest_username=vsftpd
# 虚拟用户配置(可以对每一个虚拟用户进行单独的权限配置)
user_config_dir=/etc/vsftpd/vconf
# 启用限定用户在其主目录下
chroot_local_user=NO
# 开启用户列表chroot管理
chroot_list_enable=YES
# chroot管理的用户列表(一行一用户,虚拟用户都要添加进去)
# 当设置用户只能在登录目录时,chroot管理的用户为不受限制,否则相反
chroot_list_file=/etc/vsftpd/chroot_list
# 允许chroot管理用户进行写操作
allow_writeable_chroot=YES
# 虚拟用户具有写权限(上传、下载、删除、重命名)
virtual_use_local_privs=YES
write_enable=YES
新建服务文件vsftpd.service
新建完服务文件,发现原来通过指令安装vsftpd也会默认生成服务文件vsftpd@.service
[Unit]
Description=Vsftpd ftp daemon
After=network.target
[Service]
Type=forking
ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
[Install]
WantedBy=multi-user.target
设置开机自动启动
#重新加载配置
systemctl daemon-reload
# 启用开机自动启动
systemctl enable vsftpd.service
# 启动redis服务
systemctl start vsftpd.service
# 查看服务状态
systemctl status vsftpd.service
# 停止服务
systemctl stop vsftpd.service
# 取消开机自动启动
systemctl disabled vsftpd.service
重启服务器后查看vsftpd是否开机自启动
宿主用户的建立
# 假如宿主用户为vsftpd
useradd -s /sbin/nologin vsftpd
虚拟用户的建立与配置
虚拟用户需要基于宿主用户
新建虚拟用户账号文件virtusers
# 编辑虚拟用户账号文件:
vim /etc/vsftpd/virtusers
# 编辑内容(第一行账号,第二行密码,注意:不能使用root做用户名,系统保留)
test
123456
新建chroot管理文件chroot_list,并添加虚拟用户
# 添加虚拟用户至chroot管理列表
vim /etc/vsftpd/chroot_list
# 用户列表
test
生成虚拟用户数据文件
# 查询是否已有db工具包
rpm -qa | grep db
# 如若未安装,则查询yum可提供的版本
yum search db4
# 安装db工具包
yum install-y compat-db47.x86_64
# 利用db_load命令生成数据文件
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
# 设定PAM验证文件,并指定对虚拟用户数据库文件进行读取(权限r,w即可)
chmod 600 /etc/vsftpd/virtusers.db
添加虚拟用户的验证
#%PAM-1.0
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth
新建虚拟用户个人配置文件
# test 配置目录
local_root=/home/vsftpd/test
# 允许本地用户对FTP服务器文件具有写权限
write_enable=YES
anon_world_readable_only=NO
# 允许匿名用户上传文件(须将全局的write_enable=YES,默认YES)
anon_upload_enable=YES
# 允许匿名用户创建目录
anon_mkdir_write_enable=YES
# 允许匿名用户删除和重命名权限(自行添加)
anon_other_write_enable=YES
创建虚拟用户文件目录
# 创建虚拟用户文件目录
mkdir -p /home/vsftpd/test
重启vsftpd服务
systemctl restart vsftpd.service
使用虚拟账号通过xftp工具测试
注:xftp默认传输模式为<被动模式> ,这里需要取消勾选,使用<主动模式>