一 .
vsftpd是一款在Linux發行版中最受推崇的FTP服務器程序。特點是小巧輕快,安全易用。
如果你想在你的Linux/Unix服務器上搭建一個安全、高性能、穩定性好的FTP 服務器,那麼vsftpd可能是你的首選應用。vsftpd意思為“very secure FTP daemon(非常安全的FTP進程)”,是一個基於GPL發布的類UNIX類操作系統上運行的服務器的名字(是一種守護進程),可以運行在諸如 Linux、BSD、Solaris、HP-UX以及Irix等系統上面。vsftpd支持很多其他傳統的FTP服務器不支持的良好特性。
CentOS vsftpd軟件配置
1 安裝軟件
2 配置為超級服務
3 使用匿名用戶登入
4 本地用戶登入
5 使用虛擬用戶登入
6 使用ssl加密
7 vsftpd.conf 配置文件詳解
1 安裝 vsftpd
centos 或Redhat 系統;
2 啟用超級服務啟動
[root@localhost ~]#vi /etc/xinetd.d/vsftpd
3 使用匿名用戶登入
[root@localhost ~]#vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
4 使用本地用戶登入
[root@localhost ~]#vi /etc/vsftpd/vsftpd.conf
#下面是允許某些用戶登入的項目 存在user_list文件中的用戶不允許登入
userlist_enable=YES
userlist_deny=YES #如果這裡改為NO 反過來只能存在user_list文件中的用戶允許登入
userlist_file=/etc/vsftpd/user_list
anonymous_enable=NO
#下面是限制用戶只能訪問自己的主目錄 存在chroot_list文件中的用戶只能訪問自己的主目錄
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
新建個用戶 這樣重啟服務 可以在客戶端使用新建的本地用戶登入了。
5 使用虛擬用戶登入
#創建兩個目錄
[root@localhost ~]#mkdir /home/vsftpd/ftp1
[root@localhost ~]# mkdir /home/vsftpd/ftp3
[root@localhost ~]# vi /etc/vsftpd/loginuser.txt
#加入兩個用戶 奇數行代表用戶名 偶數行代表密碼
xftpadmin
123456
xftpuser
123456
#執行命令 生成虛擬數據庫
[root@localhost ~]# db_load -T -t hash -f /etc/vsftpd/loginuser.txt /etc/vsftpd/login.db
#設置數據庫文件的訪問權限
[root@localhost ~]# chmod 600 /etc/vsftpd/login.db
[root@localhost ~]#vi /etc/pam.d/vsftpd
#將以下內容增加的原文件前面兩行:
auth required pam_userdb.so db=/etc/vsftpd/login
account required pam_userdb.so db=/etc/vsftpd/login
#我們建立的虛擬用戶將采用PAM進行驗證,這是通過/etc/vsftpd.conf文件中的 語句pam_service_name=vsftpd.vu來啟用的。
vsftpd使用的pam文件
auth sufficient pam_userdb.so db=/etc/vsftpd/login
account sufficient pam_userdb.so db=/etc/vsftpd/login
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succeed
#auth required pam_stack.so service=system-auth
#auth required pam_shells.so
#account required pam_stack.so service=system-auth
#session required pam_stack.so service=system-auth
可以看出前面兩行是對虛擬用戶的驗證,後面是對系統用戶的驗證。 為了安全我一般把系統用戶的登入關閉 使用虛擬賬號登入ftp
對虛擬用戶的驗證使用了sufficient這個控制標志。
這個標志的含義是如果這個模塊驗證通過,就不必使用後面的層疊模塊進行驗證了;但如果失敗了,
就繼續後面的認證,也就是使用系統真實用戶的驗證。
虛擬用戶創建本地系統用戶
#新建一個系統用戶vsftpd, 用戶登錄終端設為/bin/false(即使之不能登錄系統)
[root@localhost ~]# useradd vsftpd -d /home/vsftpd -s /bin/false
[root@localhost ~]# chown vsftpd:vsftpd /home/vsftpd#改變目錄所屬用戶組
根據需要創建/etc/vsftpd/vsftpd.conf,以下設置:
listen=YES #監聽為專用模式
anonymous_enable=NO #禁用匿名登入
dirmessage_enable=YES
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log #記錄ftp操作日志
xferlog_std_format=YES
chroot_local_user=YES #對用戶訪問只限制在主目錄 不能訪問其他目錄
guest_enable=YES #啟用guest
guest_username=vsftpd #使用虛擬賬號形式
user_config_dir=/etc/vsftpd_user_conf #虛擬賬號配置目錄
pam_service_name=vsftpd #對vsftpd的用戶使用pam認證
local_enable=YES
#執行以下命令
[root@localhost ~]# mkdir /etc/vsftpd/user_conf
[root@localhost ~]# cd /etc/vsftpd/user_conf
[root@localhost ~]# touch xftpuser xftpadmin #創建兩個文件
[root@localhost ~]# vi /etc/vsftpd/user_config/xftpadmin
#加入以下內容 擁有所有權限
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_root=/home/vsftpd/ftp3
[root@localhost ~]# vi /etc/vsftpd/user_config/xftpuser
#加入以下內容 只讀權限
local_root=/home/vsftpd/ftp1
#登入 使用ftp1用戶登入看看
如果不能讀寫操作 可能是目錄權限不夠需要設置權限 試試看
[root@localhost ~]# chmod 777 /home/vsftpd/ftp3
這樣就可以用虛擬賬號登入了 ftpadmin、ftpuser分別登入之後訪問的是ftp3、ftp1目錄。
6 使用ssl登入
[root@localhost ~]# cd /etc/pki/tls/certs/
[root@localhost ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
4 修改vsftpd.conf文件
[root@localhost ~]#vi/usr/local/etc/vsftpd.conf .
ssl_enable=YES(開啟vsftpd對ssl協議的支持)
ssl_sslv2=YES(支持SSL v2 protocol)
ssl_sslv3=YES(支持SSL v3 protocol)
ssl_tlsv1=YES(支持TSL v1)
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem(證書的路徑)
ssl_enable=YES
ssl_sslv2=YES
ssl_sslv3=YES
ssl_tlsv1=YES
這樣重啟vsftpd 就可以用客戶端來嘗試進行SSL加密連接了 。
7 vsftpd.conf 設定詳細說明
/etc/vsftpd/vsftpd.conf 本身就是一個挺詳細的配置文件,且使用『 man 5 vsftpd.conf 』則可以得到完整的參數說明。
與主機較相關的設定值
connect_from_port_20=YES (NO)
ftp-data 的端口;
listen_port=21
vsftpd 使用的命令通道之端口號,如果您想要使用非正規的端口,在這個設定項目修改吧! 不過你必須要知道,這個設定值僅適合以 stand alone 的方式來啟動(對於 super daemon 無效)
dirmessage_enable=YES (NO)
當用戶進入某個目錄時,會顯示該目錄需要注意的內容,顯示的文件默認是 .message ,你可以使用底下的設定項目來修改!
message_file=.message
當 dirmessage_enable=YES 時,可以設定這個項目來讓 vsftpd 尋找該文件來顯示信息!
listen=YES (NO)
若設定為 YES 表示 vsftpd 是以 standalone 的方式來啟動的
pasv_enable=YES (NO)
啟動被動式聯機模式(passive mode),一定要設定為 YES 的
use_localtime=YES (NO)
是否使用本地時間?vsftpd 預設使用 GMT 時間(格林威治)
write_enable=YES (NO)
如果你允許用戶上傳數據時,就要啟動這個設定值;
connect_timeout=60
單位是秒,在數據連接的主動式聯機模式下,我們發出的連接訊號在 60 秒內得不到客戶端的響應,則不等待並強制斷線。
accept_timeout=60
當用戶以被動式 PASV 來進行數據傳輸時,如果主機啟用 passive port 並等待 client 超過 60 秒而無回應, 那麼就給他強制斷線!這個設定值與 connect_timeout 類似,不過一個是管理主動聯機,一個管理被動聯機。
data_connection_timeout=300
如果服務器與客戶端的數據聯機已經成功建立 (不論主動還是被動聯機),但是可能由於線路問題導致 300 秒內還是無法順利的完成數據的傳送,那客戶端的聯機就會被我們的 vsftpd 強制剔除!
idle_session_timeout=300
如果使用者在 300 秒內都沒有命令動作,強制脫機
max_clients=0
如果 vsftpd 是以 stand alone 方式啟動的,那麼這個設定項目可以設定同一時間,最多有多少 client 可以同時連上 vsftpd
max_per_ip=0
與上面 max_clients 類似,這裡是同一個 IP 同一時間可允許多少聯機?
pasv_min_port=0, pasv_max_port=0
上面兩個是與 passive mode 使用的 port number 有關,如果您想要使用 65400 到 65410 這 11 個 port 來進行被動式聯機模式的連接,可以這樣設定 pasv_max_port=65410 以及 pasv_min_port=65400。 如果是 0 的話,表示隨機取用而不限制。
ftpd_banner=一些文字說明
當使用者聯機進入到 vsftpd 時,在 FTP 客戶端軟件上頭會顯示的說明文字。不過,這個設定值數據比較少啦! 建議你可以使用底下的設定值來取代這個項目;
banner_file=/path/file
這個項目可以指定某個純文本檔作為使用者登入 vsftpd 服務器時所顯示的歡迎字眼。
與實體用戶較相關的設定值
guest_enable=YES (NO)
若這個值設定為 YES 時,那麼任何非 anonymous 登入的賬號,均會被假設成為 guest (訪客) 至於訪客在 vsftpd 當中,預設會取得 ftp 這個使用者的相關權限。但可以透過 guest_username 來修改。
guest_username=ftp
在 guest_enable=YES 時才會生效,指定訪客的身份而已。
local_enable=YES (NO)
這個設定值必須要為 YES 時,在 /etc/passwd 內的賬號才能以實體用戶的方式登入我們的 vsftpd 主機
local_max_rate=0
實體用戶的傳輸速度限制,單位為 bytes/second, 0 為不限制。
chroot_local_user=YES (NO)
將用戶限制在自己的家目錄之內(chroot)!這個設定在 vsftpd 當中預設是 NO,因為有底下兩個設定項目的輔助喔! 所以不需要啟動他!
chroot_list_enable=YES (NO)
是否啟用將某些實體用戶限制在他們的家目錄內?預設是 NO ,不過,如果您想要讓某些使用者無法離開他們的家目錄時, 可以考慮將這個設定為 YES ,並且規劃下個設定值
chroot_list_file=/etc/vsftpd.chroot_list
如果 chroot_list_enable=YES 那麼就可以設定這個項目了! 他裡面可以規定那一個實體用戶會被限制在自己的家目錄內而無法離開!(chroot) 一行一個賬號即可!
userlist_enable=YES (NO)
是否藉助 vsftpd 的抵擋機制來處理某些不受歡迎的賬號,與底下的設定有關;
userlist_deny=YES (NO)
當 userlist_enable=YES 時才會生效的設定,若此設定值為 YES 時,則當使用者賬號被列入到某個文件時, 在該文件內的使用者將無法登入 vsftpd 服務器!該文件名與下列設定項目有關。
userlist_file=/etc/vsftpd.user_list
若上面 userlist_deny=YES 時,則這個文件就有用處了!在這個文件內的賬號都無法使用 vsftpd
匿名者登入的設定值
anonymous_enable=YES (NO)
設定為允許 anonymous 登入我們的 vsftpd 主機!預設是 YES ,底下的所有相關設定都需要將這個設定為 anonymous_enable=YES 之後才會生效!
anon_world_readable_only=YES (NO)
僅允許 anonymous 具有下載可讀文件的權限,預設是 YES。
anon_other_write_enable=YES (NO)
是否允許 anonymous 具有寫入的權限?預設是 NO!如果要設定為 YES, 那麼開放給 anonymous 寫入的目錄亦需要調整權限,讓 vsftpd 的 PID 擁有者可以寫入才行!
anon_mkdir_write_enable=YES (NO)
是否讓 anonymous 具有建立目錄的權限?默認值是 NO!如果要設定為 YES, 那麼 anony_other_write_enable 必須設定為 YES !
anon_upload_enable=YES (NO)
是否讓 anonymous 具有上傳數據的功能,默認是 NO,如果要設定為 YES , 則 anon_other_write_enable=YES 必須設定。
deny_email_enable=YES (NO)
將某些特殊的 email address 抵擋住,不讓那些 anonymous 登入! 如果以 anonymous 登入主機時,不是會要求輸入密碼嗎?密碼不是要您 輸入您的 email address 嗎?如果你很討厭某些 email address , 就可以使用這個設定來將他取消登入的權限!需與下個設定項目配合:
banned_email_file=/etc/vsftpd.banned_emails
如果 deny_email_enable=YES 時,可以利用這個設定項目來規定哪個 email address 不可登入我們的 vsftpd 喔!在上面設定的文件內,一行輸入一個 email address 即可!
no_anon_password=YES (NO)
當設定為 YES 時,表示 anonymous 將會略過密碼檢驗步驟,而直接進入 vsftpd 服務器內喔!所以一般預設都是 NO
anon_max_rate=0
這個設定值後面接的數值單位為 bytes/秒 ,限制 anonymous 的傳輸速度,如果是 0 則不限制(由最大帶寬所限制),如果您想讓 anonymous 僅有 30 KB/s 的速度,可以設定『anon_max_rate=30000』
anon_umask=077
限制 anonymous 的權限!如果是 077 則 anonymous 傳送過來的文件 權限會是 -rw-------
關於系統安全方面的一些設定值
ascii_download_enable=YES (NO)
如果設定為 YES ,那麼 client 就可以使用 ASCII 格式下載文件。
ascii_upload_enable=YES (NO)
與上一個設定類似的,只是這個設定針對上傳而言!預設是 NO
one_process_model=YES (NO)
這個設定項目比較危險一點~當設定為 YES 時,表示每個建立的聯機 都會擁有一支 process 在負責,可以增加 vsftpd 的效能。不過, 除非您的系統比較安全,而且硬件配備比較高,否則容易耗盡系統資源一般建議設定為 NO
tcp_wrappers=YES (NO)
當然我們都習慣支持 TCP Wrappers 的 所以設定為 YES
xferlog_enable=YES (NO)
當設定為 YES 時,使用者上傳與下載文件都會被紀錄起來。記錄的文件與下一個設定項目有關:
xferlog_file=/var/log/vsftpd.log
如果上一個 xferlog_enable=YES 的話,這裡就可以設定了!這個是登文件的名稱
xferlog_std_format=YES (NO)
是否設定為 wu ftp 相同的登錄檔格式?!預設為 NO ,因為登錄檔會比較容易讀! 不過,如果您有使用 wu ftp 登錄文件的分析軟件,這裡才需要設定為 YES
nopriv_user=nobody
我們的 vsftpd 預設以 nobody 作為此一服務執行者的權限。因為 nobody 的權限 相當的低,因此即使被入侵,入侵者僅能取得 nobody 的權限
pam_service_name=vsftpd
這個是 pam 模塊的名稱,我們放置在 /etc/pam.d/vsftpd 即是這個
1. 解壓軟件
[root@redhat local]# tar -zxvf vsftpd-2.3.2.tar.gz //解壓vsftp source文件
[root@redhat local]# cd vsftpd-2.3.2 //進入解壓後的目錄
[root@redhat vsftpd-2.3.2]# more INSTALL //看看安裝說明。比如要做什麼工作。是個英文文檔.
2. 提供安裝vsftpd服務的前提條件(根據上面more INSTALL的安裝說明)
[root@redhat vsftpd-2.3.2]# useradd nobody //這裡需要加一個nobody用戶。大家可以使用finger nobody查看下。看是否有這個用戶,如果有就不需要加了.
useradd: user nobody exists
[root@redhat vsftpd-2.3.2]# mkdir /usr/share/empty/ //這一步同上。服務器需要一個empty的空目錄放在/usr/share/下。可以使用ls /usr/share/empty查看。如果存在就不需要了,這步也可以跳過。
mkdir: 無法創建目錄 `/usr/share/empty': 文件已存在
如果需要開啟匿名用戶訪問,需要做下面幾步工作
[root@redhat vsftpd-2.3.2]# mkdir /var/ftp/ //創建供匿名用戶使用的目錄
[root@redhat vsftpd-2.3.2]# useradd -d /var/ftp ftp //創建ftp用戶並且指定家目錄為/var/ftp,這個步驟一般的系統也有。如果創建提示:user ftp exists(FTP用戶存在)就表示此用戶已經存在。
3. 編譯源代碼及安裝
[root@redhat vsftpd-2.3.2]# make //編譯二進制文件
問題1.
在執行make命令時卻出現了問題,具體如下:
sysdeputil.o: In function `vsf_sysdep_check_auth':
sysdeputil.c:(.text+0x109): undefined reference to `crypt'
sysdeputil.c:(.text+0x13a): undefined reference to `crypt'
collect2: ld 返回 1
make: *** [vsftpd] 錯誤 1
解決方法:
打開Makefile
vimMakefile
LIBS=`./vsf_findlibs.sh`
末尾增加-lcrypt變成
LIBS=`./vsf_findlibs.sh`-lcrypt
4. 安裝、編輯配置
[root@redhat vsftpd-2.3.2]# cp vsftpd.conf /etc/ //將默認配置文件考貝到/etc/
[root@redhat vsftpd-2.3.2]# cp RedHat/vsftpd.pam /etc/pam.d/vsftpd //為了讓vsftpd支持本地用戶登錄,我們將身份認證模塊文件(PAM安全驗證文件)拷貝到驗證文件所在的目錄。
[root@redhat vsftpd-2.3.2]# vi /etc/vsftpd.conf
然後按,跳到行尾。設置 pam_server_name=vsftpd(要與你的PAM文件同名);userlist_enable=YES(用戶列表的用戶不允許登入服務器)。然後:wq保存退出
[root@redhat vsftpd-2.3.2]# cp vsftpd.conf.5 /usr/local/man/man5
[root@redhat vsftpd-2.3.2]# cp vsftpd.8 /usr/local/man/man8
基本到這裡。所有工作就做完了。
配置vsftpd服務
服務的啟動與停止
啟動服務之前,我們先編輯配置文件/etc/vsftpd.conf. 打開配置文件後可以看到許多以“#”開始的行,這些行都是注釋行,大多是幫助信息,可以仔細閱讀。vsftpd.conf文件的所有項目都是以“參數=值 ”來設置的,對格式要求比較嚴格,必須嚴格區分大小寫,等號兩邊不能有空格,每行的最後也不能有空格。每個參數都有一個默認值,沒有在配置文件中明確指定 的參數就會使用默認值。我們這裡不理會配置文件本來的信息,把所有內容都刪掉或注釋掉,最後加上下面四行,每行右邊的//及後的文字是含義說明,不要輸入 到文件中:
listen=yes //vsftpd工作在standalone 模式下
anonymous_enable=yes //允許匿名用戶登陸服務器
local_enable=yes //允許本地用戶登錄到服務器
pam_service_name=vsftpd //使用PAM認證
vsftpd有兩種工作模式,standalone模式和xinetd守護進程模式,第1行就是讓其工作在standalone模式下。此種模式中,每次 修改配置文件必須重新啟動vsftpd服務才能生效,關於兩種模式在後面有詳細介紹。我們安裝時還把 Redhat 目錄下的 vsftpd.pam 文件復制成了/etc/pam.d/vsftpd 文件。這個文件就是本地用戶登陸的 pam 驗證配置文件。關於這個文件我們會在後面具體介紹。這裡我們要知道,必須得有這個配置文件,而且主配置文件裡要加上 pam_service_name=vsftpd語句,我們才能讓本地用戶登陸。用以下命令啟動服務:
[root@redhat vsftpd-2.3.2]# /usr/local/sbin/vsftpd & //後台啟動vsftp
問題3:
500 OOPS: bad bool value in config file for: anonymous_enable
看似配置文件錯誤,看了一下配置相應的行: anonymous_enable=NO 語句沒什麼錯誤,不過把這行注釋後又到下一行報錯,看來是整個文件都有問題,百度了一下,大部分都是說語句後面不能有多余的空格,但是用VI看來不了行末是否有多余的字符,干脆把配置文件下載下來,發現這個文件是一般PC(WINDOWS,CRLF)的格式的,所文件改為UNIX(LF)格式再上傳,VSFTP就可以啟動了
以下 sed 調用將把 DOS/Windows 格式的文本轉換成可信賴的 UNIX 格式:
$ sed -e 's/.$//' mydos.txt > myunix.txt
怎麼查看一個既有文件的格式:
unix上: file filename
為保證服務確實啟動,我們用如下命令檢測:
[root@redhat vsftpd-2.3.2]# netstat -an |grep 22
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN
我們看到服務器已經打開了tcp21端口,表明ftp確實已經啟動。
再登錄服務器:
[root@redhat vsftpd-2.3.2]# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): ftp
331 Please specify the password.
Password:
230 Login successful.
這時我們已經用匿名用戶(用戶名ftp或anonymous,密碼任意)登錄到服務器了,還可以用本地用戶登錄。我們做測試時建議使用如上所示的ftp命 令(windows、Linux及Unix都帶這個命令,用法都是一樣的)來登錄服務器,這樣可以看到更詳細的信息,對於我們調試服務器是非常有幫助的。 最簡單的ftp服務器就已經達建起來了。
使用如下命令關閉ftp服務:
[root@redhat vsftpd-2.3.2]# killall vsftpd //或是 pkill vsftpd
[root@redhat vsftpd-2.3.2]# pgrep vsftpd //查看vsftpd服務器是否已經關閉
開機自啟動
用vi打開etc/rc.local在裡面加入/usr/local/bin/vsftpd & 即可。
service vsftpd restart重啟vsftpd服務
