应用安装
yum安装vsftp
yum -y install vsftpd
启动服务
systemctl start vsftpd.service
配置文件路径
/etc/vsftpd
虚拟用户配置
虚拟用户必须关闭匿名用户
anonymous_enable=NO
备份配置文件
#cp vsftpd.conf vsftpd.conf.bak
#vim /etc/vsftpd/vsftpd.conf
修改配置文件
变更后的vsftpd.conf内容如下
anonymous_enable=NO #不允许匿名用户登录
write_enable=YES #允许使用任何可以修改文件系统的FTP的指令
chroot_local_user=YES #是否将所有用户限制在主目录,YES为启用 NO禁用.(该项默认值是NO,即在安装vsftpd后不做配置的话,ftp用户是可以向上切换到要目录之外的)
chroot_list_enable=YES #是否启动限制用户的名单 YES为启用 NO禁用(包括注释掉也为禁用)
use_localtime=YES #使用本地时间而不是GMT
local_enable=YES #vsftpd所在系统的用户可以登录vsftpd
allow_writeable_chroot=YES
xferlog_enable=YES #启用一个日志文件,用于详细记录上传和下载。
xferlog_file=/var/log/xferlog #记录上传下载文件的日志
xferlog_std_format=YES #记录日志使用标准格式
vsftpd_log_file=/var/log/vsftpd.log #vsftpd日志存放位置
local_umask=022 #匿名用户新增文件的umask数值
pam_service_name=vsftpd #验证文件的名字
listen_port=21
chroot_local_user=YES #用于指定用户列表文件中的用户,是否允许切换到上级目录
idle_session_timeout=120 #登陆之后超时时间60秒,登陆之后,一分钟不操作,就会断开连接。
data_connection_timeout=120
guest_enable=YES #启用虚拟用户
guest_username=ftpuser #虚拟用户名
user_config_dir=/etc/vsftpd/vuser_conf #虚拟用户配置文件路径
virtual_use_local_privs=YES #虚拟用户和本地用户有相同的权限,反之匿名权限
#pasv_min_port=10060
#pasv_max_port=10090
accept_timeout=5
connect_timeout=1
创建宿主用户
创建用户 ftpuser 指定 /home/vsftpd
目录
useradd -g root -M -d /home/vsftpd -s /sbin/nologin ftpuser
设置用户ftpuser密码
passwd ftpuser@123$%
把 /home/vsftpd 的所有权给ftpuser.root
mkdir -p /home/vsftpd
chown -R ftpuser.root /home/vsftpd
创建虚拟用户文件
touch /etc/vsftpd/vuser_passwd
编辑虚拟用户名单文件:(
第一行账号,第二行密码,注意:不能使用root做用户名,系统保留)
vi /etc/vsftpd/vuser_passwd
编辑内容,下面是 vuser_passwd 内容
ftp1
12345678
ftp2
12345678
:wq!#保存退出
生成虚拟用户数据库
db_load -T -t hash -f /etc/vsftpd/vuser_passwd /etc/vsftpd/vuser_passwd.db
chmod 600 /etc/vsftpd/vuser_passwd.db
用户配置
mkdir /etc/vsftpd/vuser_conf # 建立虚拟用户个人vsftp的配置文件
cd /etc/vsftpd/vuser_conf # 进入目录
touch ftp1 ftp2
编辑用户配置文件
每个文件(ftp1和ftp2写入如下内容,local_root=/home/vsftpd/ftp1#这里写入这个用户的实际存储路劲)
local_root=/home/vsftpd/ftp1
allow_writeable_chroot=YES #上传解决方案,参见下边注释。
write_enable=YES #允许用户上传,外部客户可以根据需求关闭上传权限。
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
注:
从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。
要修复这个错误,可以用命令chmod a-w /home/user去除用户主目录的写权限,注意把目录替换成你自己的。或者你可以在vsftpd的配置文件中增加下列两项中的一项:
allow_writeable_chroot=YES
创建用户目录
#mkdir -p /home/vsftpd/ftp1
#mkdir -p /home/vsftpd/ftp2
虚拟用户PAM配置
cd /etc/pam.d/
备份vsftpd文件
#cp vsftpd vsftpd.bak
修改vsftpd文件内容
#加入第二和第三行,下面的都全部注释,注意下面是64位操作系统,如果是32位的话lib64需要改成lib
#%PAM-1.0
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
服务生效
systemctl restart vsftpd.service # 重启服务
systemctl start vsftpd.service # 启动服务
systemctl status vsftpd.service # 服务状态查看
防火墙配置
FTP两种方式的工作原理:
Port模式
FTP 客户端首先动态的选择一个端口(一般是1024以上的)和FTP服务器的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口连接至客户端的指定端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
Passive模式
在建立控制通道的时候和Standard模式类似,但建立连接后发送的不是Port命令,而是Pasv命令。FTP服务器收到Pasv命令后,随机打开一个高端端口(端口号大于1024)并且通知客户端在这个端口上传送数据的请求,客户端连接FTP服务器此端口,然后FTP服务器将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接。
很多防火墙在设置的时候都是不允许接受外部发起的连接的,所以许多位于防火墙后或内网的FTP服务器不支持PASV模式,因为客户端无法穿过防火墙打开FTP服务器的高端端口;而许多内网的客户端不能用PORT模式登陆FTP服务器,因为从服务器的TCP 20无法和内部网络的客户端建立一个新的连接,造成无法工作。
iptables解决方案
停止firewall防火墙
systemctl stop firewalld
systemctl disable firewalld
关闭SeLinux
vim /etc/sysconfig/selinux
SELINUX=disabled
安装iptables防火墙
yum install iptables* -y
vi /etc/sysconfig/iptables-config
IPTABLES_MODULES=“ip_conntrack_netbios_ns”
IPTABLES_MODULES=“ip_conntrack_ftp” #必须
IPTABLES_MODULES=“ip_nat_ftp”
只开放21即可,主要利用ip_conntrack_ftp模块打洞。
vim /etc/sysconfig/iptables #编辑配置文件
iptables -P INPUT DROP
iptables -P OUTPUT\FORWARD ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 21,22 -j ACCEPT
其它配置
SSL配置
检查vsftpd是否支持ssl模块
ldd $(which vsftpd) |grep ssl
建立专门给vsftpd使用的凭据数据。CentOS有一个建立凭据的路径/etc/pki/tls/certs/,如果此配置必要则使用公网证书,将服务器证书和私钥合并成一个pem文件即可。
cd /etc/pki/tls/certs/
#生产密钥文件
make vsftpd.pem
#复制证书到vsftpd目录
cp -a vsftpd.pem /etc/vsftpd/
ll /etc/vsftpd/vsftpd.pem
公网证书合并pem文件
一般情况下,从证书颁发机构收到的证书文件里 有三段,第一段是服务器证书,第二段是中间证书,第三段是根证书。
把第一段服务器证书和私钥文件单独复制粘贴到另外一个txt文档里,改成pem文件即可。
#受信任根证书路径
/etc/pki/ca-trust/source/anchors/extca.crt
更新受信任的根证书
update-ca-trust
编辑配置文件并增加如下内容
ssl_enable=YES
allow_anon_ssl=YES #匿名支持ssl
force_anon_data_ssl=YES
force_anon_logins_ssl=YES
force_local_data_ssl=YES #本地用户数据传输加密
force_local_logins_ssl=YES #本地用户登录加密
ssl_tlsv1=YES
#ssl_sslv2=YES
#ssl_sslv3=YES
rsa_cert_file=/etc/vsftpd/vsftpd.pem
注:以上方法在PASV模式下不可行,开启端口范围的方式未尝试。最新的filezilla客户端在Port模式下当前是有bug的,需要编译安装的方式才能解决,默认软件包安装的方式尚不可行。
IP登录限制
修改/etc/vsftpd/vsftpd.conf
tcp_wrappers=YES
修改/etc/hosts.deny加入
vsftpd : ALL
修改/etc/hosts.allow加入
vsftpd:.admin99.net
vsftpd:192.168.0.
vsftpd:192.168.0.0/255.255.255.0
SSH登录限制
修改文件:/etc/hosts.deny,加上最后两行,阻止所有进入。
sshd:ALL
vsftpd:ALL
改 /etc/hosts.allow,加上允许访问的IP
#sshd
sshd:192.168.0.125
sshd:192.168.0.126
#vsfptd
vsftpd:192.168.0.125
vsftpd:192.168.0.126
日常运维
添加用户
vi /etc/vsftpd/vuser_passwd
用户一行,密码一行,持续添加即可。
更新用户数据库
db_load -T -t hash -f /etc/vsftpd/vuser_passwd /etc/vsftpd/vuser_passwd.db
chmod 600 /etc/vsftpd/vuser_passwd.db
配置用户目录&权限
创建用户配置文件
cd /etc/vsftpd/vuser_conf # 进入目录
touch ftp123
编辑用户ftp123的配置文件
local_root=/home/vsftpd/ftp123
allow_writeable_chroot=YES #上传解决方案,参见下边注释。
write_enable=YES #允许用户上传,外部客户可以根据需求关闭上传权限。
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
创建用户ftp123根目录
mkdir -p /home/vsftpd/ftp123
chown -R ftpuser.root /home/vsftpd/ftp123
使用场景
如果一个内部的员工对应多个外部客户,可以在这个员工的根目录下创建不同的客户目录,对应不同的客户的账户。
匿名场景
#Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
#Anonymous_root
anon_root=/home/vsftpd/pub