Linux配置vsftpd 服务

一、文件传输协议

文件传输协议(File Transfer Protocol,FTP),基于该协议FTP客户端与服务端可以实现共享文件、上传文件、下载文件。 FTP 基于TCP协议生成一个虚拟的连接,主要用于控制FTP连接信息,同时再生成一个单独的TCP连接用于FTP数据传输。用户可以通过客户端向FTP服务器端上传、下载、删除文件,FTP服务器端可以同时提供给多人共享使用。

FTP服务是Client/Server(简称C/S)模式,基于FTP协议实现FTP文件对外共享及传输的软件称之为FTP服务器源端,客户端程序基于FTP协议,则称之为FTP客户端,FTP客户端可以向FTP服务器上传、下载文件


二、FTP传输模式

FTP基于C/S模式,FTP客户端与服务器端有两种传输模式,分别是FTP主动模式、FTP被动模式

  • 主动模式:FTP 服务器主动向客户端发起连接请求。
  • 被动模式:FTP 服务器等待客户端发起连接请求(FTP 的默认工作模式)。
  1. FTP主动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器,FTP服务器以数据端口(20)连接到客户端指定的数据端口(N+1)。
  2. FTP被动模式:客户端从一个任意的端口N(N>1024)连接到FTP服务器的port 21命令端口,客户端开始监听端口N+1,客户端提交 PASV命令,服务器会开启一个任意的端口(P >1024),并发送PORT P命令给客户端。客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。

在企业实际环境中,如果FTP客户端与FTP服务端均开放防火墙,FTP需以主动模式工作,这样只需要在FTP服务器端防火墙规则中,开放20、21端口即可。

三、Vsftpd服务器简介

目前主流的FTP服务器端软件包括:Vsftpd、ProFTPD、PureFTPd、Wuftpd、Server-U FTP、FileZilla Server等软件,其中Unix/Linux使用较为广泛的FTP服务器端软件为Vsftpd 。

非常安全的FTP服务进程(Very Secure FTP daemon,Vsftpd),Vsftpd在Unix/Linux发行版中最主流的FTP服务器程序,优点小巧轻快,安全易用、稳定高效、满足企业跨部门、多用户的使用等


四、Vsftp安装与配置

检查是否安装:

rpm -qa | grep vsftpd

卸载vsftpd

yum remove vsftpd

安装vsftpd

yum install vsftpd -y

启动

systemctl start vsftpd

重启

systemctl restart vsftpd

查看是否启动

pe -ef | grep vsftpd

安装ftp

yum install ftp -y

配置文件

/etc/vsftpd/vsftpd.conf这个文件是vsftpd服务的核心配置文件!我们在修改配置文件的时候,最好先备份一份!

cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

vsftpd.conf默认配置文件详解如下:

参数作用
anonymous_enable=YES开启匿名用户访问
local_enable=YES启用本地系统用户访问
write_enable=YES本地系统用户写入权限
local_umask=022本地用户创建文件及目录默认权限掩码
dirmessage_enable=YES打印目录显示信息,通常用于用户第一次访问目录时,信息提示
xferlog_enable=YES启用上传/下载日志记录
connect_from_port_20=YESFTP使用20端口进行数据传输
xferlog_std_format=YES日志文件将根据xferlog的标准格式写入
listen=NOVsftpd不以独立的服务启动,通过Xinetd服务管理,建议改成YES
listen_ipv6=YES启用IPV6监听
pam_service_name=vsftpd登录FTP服务器,依据/etc/pam.d/vsftpd中内容进行认证
userlist_enable=YESVsftpd.user_list和ftpusers配置文件里用户禁止访问FTP
tcp_wrappers=YES设置vsftpd与tcp wrapper结合进行主机的访问控制,Vsftpd服务器检查/etc/hosts.allow 和/etc/hosts.deny中的设置,来决定请求连接的主机,是否允许访问该FTP服务器

用户访问模式配置

vsftpd 作为更加安全的文件传输的服务程序,允许用户以三种认证模式登录到 FTP 服务器上。

  • 匿名开放模式:是一种最不安全的认证模式,任何人都可以无需密码验证而直接登录到 FTP 服务器。

  • 本地用户模式:是通过 Linux 系统本地的账户密码信息进行认证的模式,相较于匿名开放模式更安全,而且配置起来也很简单。但是如果被黑客破解了账户的信息,就可以畅通无阻地登录 FTP 服务器,从而完全控制整台服务器。

  • 虚拟用户模式:是这三种模式中最安全的一种认证模式,它需要为 FTP 服务单独建立用户数据库文件,虚拟出用来进行口令验证的账户信息,而这些账户信息在服务器系统中实际上是不存在的,仅供 FTP 服务程序进行认证使用。这样,即使黑客破解了账户信息也无法登录服务器,从而有效降低了破坏范围和影响。

匿名开放模式

可以向匿名用户开放的权限参数以及作用

参数作用
anonymous_enable=YES允许匿名访问模式
anon_umask=022匿名用户上传文件的 umask 值
anon_upload_enable=YES允许匿名用户上传文件
anon_mkdir_write_enable=YES允许匿名用户创建目录
anon_other_write_enable=YES允许匿名用户修改目录名称或删除目录

修改配置文件

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=YES           #允许匿名访问模式
anon_umask=022                 #匿名用户上传文件的 umask 值
anon_upload_enable=YES         #允许匿名用户上传文件
anon_mkdir_write_enable=YES    #允许匿名用户创建目录
anon_other_write_enable=YES    #允许匿名用户修改目录名称或删除目录


local_enable=YES 
write_enable=YES 
local_umask=022 
dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_port_20=YES 
xferlog_std_format=YES 
listen=NO 
listen_ipv6=YES 
pam_service_name=vsftpd 
userlist_enable=YES 
tcp_wrappers=YES

由于默认Vsftpd匿名用户有两种:anonymous、ftp,所以匿名用户如果需要上传文件、删除及修改等权限,需要ftp用户对/var/ftp/pub目录有写入权限,使用如下chown和chmod任意一种即可,设置命令如下:

chown -Rf ftp /var/ftp/pub

chmod o+w var/ftp/pub/

如果报错,一般是因为SELinux导致的,或者防火墙的问题

getsebool 命令查看与 FTP 相关的 SELinux 域策略都有哪些:

getsebool -a | grep ftp

修改该策略规则:

setsebool -P ftpd_full_access=on

本地用户模式

本地用户模式使用的权限参数以及作用

参数作用
anonymous_enable=NO禁止匿名访问模式
local_enable=YES允许本地用户模式
write_enable=YES设置可写权限
local_umask=022启用“禁止用户名单”,名单文件为 ftpusers 和 user_list
userlist_enable=YES允许匿名用户修改目录名称或删除目录
userlist_deny=YES开启用户作用名单文件功能

创建测试用户user1、user2 密码都为“123456”

useradd user1
useradd user2

--stdin:从标准输入接收用户密码
echo 123456 | passwd --stdin user1
echo 123456 | passwd --stdin user2

修改配置文件

vim /etc/vsftpd/vsftpd.conf 


anonymous_enable=NO      #禁止匿名访问模式
local_enable=YES         #允许本地用户模式
write_enable=YES         #设置可写权限
local_umask=022          #本地用户模式创建文件的 umask 值

userlist_enable=YES
userlist_deny=NO

dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_port_20=YES 
xferlog_std_format=YES 
listen=NO 
listen_ipv6=YES 
pam_service_name=vsftpd 
userlist_enable=YES 
tcp_wrappers=YES

/etc/vsftpd目录下有两个文件
  • ftpusers不受任何配制项的影响,它总是有效,它是一个黑名单!该文件存放的是一个禁止访问FTP的用户列表,**通常为了安全考虑,管理员不希望一些拥有过大权限的帐号(比如root)登入FTP,以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。
  • user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的,它可以有效,也可以无效,有效时它可以是一个黑名单,也可以是一个白名单!

userlist_enable=YES时,userlist_deny项的配置才有效,user_list文件才会被使用;当其为NO时,无论userlist_deny项为何值都是无效的。

当userlist_enable=YES时,userlist_deny=YES时,user_list是一个黑名单,所有出现在名单中的用户都会被拒绝登入。

当userlist_enable=YES时,userlist_deny=NO时:user_list是一个白名单,只有出现在名单中的用户才会被准许登入(user_list之外的用户都被拒绝登入);另外需要特别提醒的是:使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous

查看名单

cat /etc/vsftpd/user_list

添加用户到白名单

vim /etc/vsftpd/user_list
user1
user2

需要再次开启 SELinux 域中对 FTP 服务的允许策略

setsebool -P ftpd_full_access=on

虚拟用户模式

  1. 建立虚拟FTP用户的帐号
useradd -s /sbin/nologin vu
  1. 创建虚拟用户文件
    基数行代表用户名,偶数行代表密码
cd /etc/vsftpd/
vim user
user1
123456
user2
123456
  1. 通过db_load工具创建出Berkeley DB格式的数据库文件
db_load -T -t hash -f user user.db

-f 指定数据原文件
-T 允许非Berkeley DB的应用程序使用文本格式转换的DB数据文件
-t hash   读取文件的基本方法
  1. 建立支持虚拟用户的PAM认证文件
 vim /etc/pam.d/vsftpd.vu
 加入以下两行

auth       required     /lib64/security/pam_userdb.so db=/etc/vsftpd/user

account    required     /lib64/security/pam_userdb.so db=/etc/vsftpd/user

对应刚才生成user.db的文件
  1. 修改配置文件
    利用 PAM 文件进行认证时使用的参数以及作用
参数作用
anonymous_enable=NO禁止匿名访问模式
local_enable=YES允许本地用户模式
guest_enable=YES开启虚拟用户模式
guest_username=virtual指定虚拟用户账户
pam_service_name=vsftpd.vu指定 PAM 文件
allow_writeable_chroot=YES允许对禁锢的FTP 根目录执行写入操作,而且不拒绝用户的登录请求
vim /etc/vsftpd/vsftpd.conf


anonymous_enable=NO 
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES


write_enable=YES 
local_umask=022 
dirmessage_enable=YES 
xferlog_enable=YES 
connect_from_port_20=YES 
xferlog_std_format=YES 
listen=NO 
listen_ipv6=YES 
pam_service_name=vsftpd.vu
userlist_enable=YES 
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/user_dir
  1. 为用户建立独立的配置目录及文件
mkdir /etc/vsftpd/user_dir
cd /etc/vsftpd/user_dir
vim user

local_root=/etc/vsftpd/data                      
虚拟用户数据的存放路径

创建虚拟用户数据存放目录

cd /etc/vsftpd
mkdir data
chmod 777 data/

重启服务

systemctl restart vsftpd

五、配置文件详解

常用的匿名FTP配置项

anonymous_enable=YES                    # 是否允许匿名用户访问
anon_umask=022                          # 匿名用户所上传文件的权限掩码
anon_root=/var/ftp                      # 设置匿名用户的FTP根目录
anon_upload_enable=YES                  # 是否允许匿名用户上传文件
anon_mkdir_write_enable=YES             # 是否允许匿名用户允许创建目录
anon_other_write_enable=YES             # 是否允许匿名用户有其他写入权(改名,删除,覆盖)
anon_max_rate=0                         # 限制最大传输速率(字节/秒)0为无限制

常用的本地用户FTP配置项

local_enable=YES                             # 是否允许本地系统用户访问
local_umask=022                              # 本地用户所上传文件的权限掩码
local_root=/var/ftp                          # 设置本地用户的FTP根目录
chroot_list_enable=YES                       # 表示是否开启chroot的环境,默认没有开启
chroot_list_file=/etc/vsftpd/chroot_list     # 表示写在/etc/vsftpd/chroot_list文件里面的用户是不可以出chroot环境的。默认是可以的。
Chroot_local_user=YES                        # 表示所有写在/etc/vsftpd/chroot_list文件里面的用户是可以出chroot环境的,和上面的相反。
local_max_rate=0                             # 限制最大传输速率(字节/秒)0为无限制

常用的全局配置项

listen=YES                             # 是否以独立运行的方式监听服务
listen_address=192.168.4.1             # 设置监听FTP服务的IP地址
listen_port=21                         # 设置监听FTP服务的端口号
write_enable=YES                       # 是否启用写入权限(上传,删除文件)
download_enable=YES                   # 是否允许下载文件
dirmessage_enable=YES                  # 用户切换进入目录时显示.message文件
xferlog_enable=YES                     # 启用日志文件,记录到/var/log/xferlog
xferlog_std_format=YES                 # 启用标准的xferlog日志格式,禁用此项将使用vsftpd自己的格式
connect_from_port_20=YES               # 允许服务器主动模式(从20端口建立数据连接)
pasv_enable=YES                        # 允许服务器被动模式
pasv_max_port=24600                    # 设置被动模式服务器的最大端口号
pasv_min_port=24500                    # 设置被动模式服务器的最小端口号
pam_service_name=vsftpd                # 用户认证的PAM文件位置(/etc/pam.d/vsftpd.vu)
userlist_enable=YES                    # 是否启用user_list列表文件
userlist_deny=YES                      # 是否禁用user_list中的用户
max_clients=0                          # 限制并发客户端连接数
max_per_ip=0                           # 限制同一IP地址的并发连接数
tcp_wrappers=YES                       # 是否启用tcp_wrappers主机访问控制
chown_username=root                    # 表示匿名用户上传的文件的拥有人是root,默认关闭
ascii_upload_enable=YES                # 表示是否允许用户可以上传一个二进制文件,默认是不允许的 
ascii_download_enable=YES              # 这个是代表是否允许用户可以下载一个二进制文件,默认是不允许的
nopriv_user=vsftpd                     # 设置支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户
async_abor_enable=YES                  # 设定支持异步传输功能
ftpd_banner=Welcome to FTP             # 设定Vsftpd的登陆标语
guest_enable=YES                   # 设置启用虚拟用户功能
guest_username=ftpuser               # 指定虚拟用户的宿主用户
virtual_use_local_privs=YES       # 设定虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vconf    # 设定虚拟用户个人Vsftp的配置文件存放路径
©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页