全面剖析vsftpd服务器的使用

最新推荐文章于 2021-07-29 16:19:57 发布

weixin_34315189

最新推荐文章于 2021-07-29 16:19:57 发布

阅读量103

点赞数

原文链接：http://blog.51cto.com/itchenyi/1050078

版权

Vsftpd服务全攻略之常规配置

文章比较长，于是分了三页，一页一个案例！给不给力，你说了算！

1：vsftpd服务软件包

vsftpd-2.2.2-11.el6.i686.rpm

2：vsftpd相关文档

/etc/vsftpd/vsftpd.conf : vsftpd的核心配置文件

/etc/vsftpd/ftpusers : 用于指定哪些用户不能访问FTP服务器

/etc/vsftpd/user_list : 用于允许使用vsftpd的用户列表文件

/etc/vsftpd/vsftpd_conf_migrate.sh : 是vsftpd操作的一些变量和设置脚本

/etc/ftp : 默认情况下匿名用户的根目录

FTP常规配置应用案例1：

需求：

公司开发部准备搭建一台功能简单的FTP服务器，允许所有员工上传和下载文件，并允许创建用户自己的目录。

分析：

允许所有员工上传和下载文件需要设置称匿名用户登录并且需要将尼姆用户上传功能开启，最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。

解决方案：

(1) 配置vsftpd.conf 主配置文件，(服务器配置支持上传)

允许匿名用户访问

anonymous_enable=YES

允许匿名用户上传文件并可以创建目录

anon_upload_enable=YES

anon_mkdir_write_enable=YES

保存退出

(2) 上传目录ftp用户的写入权限

大家注意，默认匿名用户家目录的权限是755，这个权限是不能改变的。切记！切记！！

下面我们来一步一步的实现，先修改目录权限，创建一个公司上传用的目录，演示需要，交chenyi，分配ftp用户所有，目录权限755

OK了

(3) 修改selinux（selinux支持上传）既然是模拟真实环境，想了想不去关闭它了！

使用getsebool –a | grep ftp 命令可以查找到ftp的bool值。然后我们来修改 getbool –a

是显示所有的selinux的布尔值，通过管道，查找与ftp相关的！

使用setsebool –P allow_ftpd_anon_write 命令设置布尔值

下面我们准备上下文

然后reboot重新启动服务器

重启就不上图了。如果你直接关闭了selinux的话可以不进行重启操作命令如下
：setenforce 0

(4) 运行级别3开启vsftpd服务

(5) 测试

匿名登录FTP

现在试试匿名上传

现在匿名上传的文件是禁止删除的

这样匿名用的上传就算成功了！

*******************************辰逸技术博客*******************************

FPT常规配置应用案例2：

需求：

公司内部现在有一台FTP和WEB服务器，FTP的功能主要用于维护公司的网站内容，包括上传文件，创建目录，更新网页等，公司现在有两个部门负责维护任务，他们分别是team1

和team2帐号进行管理。先要求仅允许chenyi1和chenyi2帐号登录FTP服务器，但不能登录本地系统并将这2个帐号根目录限制为/var/www/html，不能进入该目录以外的任何目录。

分析：

将FTP和WEB服务器做在一起是企业经常采用的方法，于是辰逸便取经一番以该案例做为第二案例，这样即方便实现对网站的维护，为了增强安全性，首先需要使用仅允许本地用户访问，并禁止匿名用户，其次使用chroot功能将chenyi1和chenyi2锁定在/var/www/html目录下，如果需要删除文件则还需要注意本地权限，呵呵！

解决方案：

（1）建立维护网站内容的 ftp 帐号，chenyi1和chenyi2并禁止本地登录，然后设置其密码

useradd –s /sbin/nologin 用户名

（2）配置vsftpd.conf主配置文件并做相应的修改

vi /etc/vsftpd/vsftpd.conf

anonymous_enable=NO：禁止匿名用户登录

local_enable=YES：允许本地用户登录

local_root=/var/www/html：设置本地用户的根目录为/var/www/html

chroot_list_enable=YES：激活chroot功能

chroot_list_file=/etc/vsftpd/chroot_list：设置锁定用户在根目录的列表文件

保存退出！

（3）建立/etc/vsftpd/chroot_list文件，添加chenyi1和chenyi2帐号

touch /etc/vsftpd/chroot_list

（4）开启禁用selinux的FTP传输审核功能

setsebool –P ftpd_disable_trans

如果有，而没禁用selinux的FTP传输审核功能则会出现如下错误：“500 OOPS：无法改变目录”

还需要这条命令setsebool -P allow_ftpd_anon_write 关闭之前开启匿名

这里我就直接关闭selinux了

（5）重启vsftpd服务使配置生效，service vsftpd restart

（6）修改本地权限

（6）测试

*******************************辰逸技术博客*******************************

FTP高级配置应用案例1：

企业环境：公司为了宣传最新的产品信息，计划搭建FTP服务器，为客户提供相关文档下载，对所有权互联网开放共享目录，允许下载产品信息，禁止上传，公司的合作单位能够使用FTP服务器进行上传，但不可以删除数据，并且为了保证服务器的稳定性，进行适当的优化~

需求分析：

根据企业的需求，对于不同用户进行不同的权限限制，FTP服务器实现用户的审核，需要考虑到服务器的安全性，所以关闭了实体用户的登录，使用虚拟帐号验证限制，并对虚拟账号设置不同的权限，为了保证服务器的性能，还需要根据用户的等级，限制客户端的连接数及下载速度！

解决方案：

1：创建用户数据库

（1）创建用户文本文件

先建立用户文本文件 chenyi 添加两个虚拟帐号，公共帐号ftp及客户帐号vip

touch /etc/vsftpd/chenyi

vi /etc/vsftpd/chenyi 下图为编辑内容

保存退出

注意：

（2）修改数据库文件访问权限

生成chenyi.db命令（db_load –T –t hash –f /etc/vsftpd/chenyi.com vsftpd_chenyi.db 生成后可删除原文件不删也行）如果该命令无法执行报错没有 db_load该命令，请安装 db4这个软件包！如果有问题，问百度和我都可以！

数据库文件中保存着虚拟账号的密码信息，为了防止非法用户盗取，我们可以修改其访问权限，生成的认证文件应该设置为可读可写即600

chmod 600 /etc/vsf tpd/chenyi.db

2：配置PAM文件

为了使服务器能够使用数据库文件，对客户端进行身份，需要调用系统的PAM模块，PAM（Plugable Authentication Module）可插拔认证模块，不必重新安装应用系统，通过修改指定的配置文件，调整对改程序的认证方式，PAM模块的配置文件路径为/etc/pam.d/目录，此目录下保存着大量与认证有关的配置文件，并以服务名称命名！

修改vsftpd对应的PAM配置文件，/etc/pam.d/vsftpd，将默认配置用用“#”全部注释。添加相应字段即可。