📄 vsftp配置大全---超完整版 网络应用 linux技术中坚站.htm
字号:
(127.0.0.1:root): ftp <BR>331 Please specify the password.
<BR>Password: <BR>230 Login successful. <BR>Remote system type
is UNIX. <BR>Using binary mode to transfer files. <BR>ftp>
pwd <BR>257 \"/\" <BR>ftp> quit <BR>221 Goodbye. <BR>#
<BR>OK,已经完成了,very nice. <BR><BR>高级配置
<BR>细心的朋友可能已经看出来我们只在默认配置文件增加了四行,就实现了FTP连接(也证明了vsftpd的易用性),那么让我们传个文件吧,呀!!传输失败了(见图1)
<BR>为什么呢?因为 vsftpd
是为了安全需要,/var/ftp目录不能把所有的权限打开,所以我们这时要建一个目录pub,当然也还是需要继续修改配置文件的。
<BR># mkdir /var/ftp/pub <BR># chmod -R 777 /var/ftp/pub
<BR><BR>为了测试方便,我们先建立一个名为kill-ano的脚本,是为了杀掉FTP程序的
<BR>#!/bin/bash <BR>a=`/bin/ps -A | grep vsftpd-ano | awk
\'{print    $1}\'` <BR>kill -9    $a
<BR><BR>那么现在大家看看我的匿名服务器配置文件吧 <BR>anonymous_enable=YES
//允许匿名访问,这是匿名服务器必须的 <BR>write_enable=YES //全局配置可写
<BR>no_anon_password=YES //匿名用户login时不询问口令 <BR>anon_umask=077
//匿名用户上传的文件权限是-rw---- <BR>anon_upload_enable=YES
//允许匿名用户上传文件 <BR>anon_mkdir_write_enable=YES
//允许匿名用户建立目录 <BR>anon_other_write_enable=YES
//允许匿名用户具有建立目录,上传之外的权限,如重命名,删除 <BR>dirmessage_enable=YES
//当使用者转换目录,则会显示该目录下的.message信息 <BR>xferlog_enable=YES
//记录使用者所有上传下载信息 <BR>xferlog_file=/var/log/vsftpd.log
//将上传下载信息记录到/var/log/vsftpd.log中
<BR>xferlog_std_format=YES //日志使用标准xferlog格式
<BR>idle_session_timeout=600 //客户端超过600S没有动作就自动被服务器踢出
<BR>data_connection_timeout=120 //数据传输时超过120S没有动作被服务器踢出
<BR>chown_uploads=YES <BR>chown_username=daemon
//上传文件的属主 <BR>ftpd_banner=Welcome to d-1701.com FTP
service. //FTP欢迎信息 <BR>anon_max_rate=80000
//这是匿名用户的下载速度为80KBytes/s <BR>check_shell=NO
//不检测SHELL <BR><BR>现在再测试,先kill掉再启动FTP程序 <BR># ./kill-ano
<BR># /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf &
<BR>上传一个文件测试一下,怎么样?OK了吧,下载刚上传的那个文件,恩?不行,提示 <BR>550 Failed to
open file. <BR>传输已失败! <BR>传输队列已完成 <BR>1 个文件传输失败
<BR><BR>没有关系,你记得咱们设置了anon_umask=077了吗?所以你下载不了,如果你到服务器上touch
一个文件(644),测试一下,是可以被下载下来的,好了,匿名服务器就说到这里了。
<BR><BR><BR>2、本地用户形式实现 <BR># cd /home/xuchen/vsftpd-2.0.3
//进入vsftpd-2.0.3的源代码目录 <BR># make clean //清除编译环境
<BR># vi builddefs.h \\\\继续编辑builddefs.h 文件,文件内容如下:
<BR>#ifndef VSF_BUILDDEFS_H <BR><BR>#define VSF_BUILDDEFS_H
<BR>#define VSF_BUILD_TCPWRAPPERS <BR>#define VSF_BUILD_PAM
<BR>#define VSF_BUILD_SSL <BR><BR>#endif /* VSF_BUILDDEFS_H */
<BR>将以上define
VSF_BUILD_PAM行的define改为undef,支持tcp_wrappers,不支持PAM认证方式,支持SSL,记住啊,如果支持了PAM认证方式,你本地用户是不能登陆的。
<BR><BR># make //直接在vsftpd-2.0.3里用make编译 <BR># ls -l
vsftpd <BR>-rwxr-xr-x 1 root root 84712 Jun 6
18:56 vsftpd //可执行程序已被编译成功 <BR><BR>创建必要的帐号,目录: <BR>#
useradd nobody //可能你的系统已经存在此帐号,那就不用建立 <BR># mkdir
/usr/share/empty //可能你的系统已经存在此目录,那就不用建立 <BR># mkdir
/var/ftp //可能你的系统已经存在此目录,那就不用建立 <BR># useradd -d
/var/ftp ftp //可能你的系统已经存在此帐号,那就不用建立 <BR># chown
root:root /var/ftp <BR># chmod og-w /var/ftp
<BR>请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
<BR><BR>安装vsftp配置文件,可执行程序,man等: <BR># install -m 755 vsftpd
/usr/local/sbin/vsftpd-loc <BR># install -m 644 vsftpd.8
/usr/share/man/man8 <BR># install -m 644 vsftpd.conf.5
/usr/share/man/man5 <BR># install -m 644 vsftpd.conf
/etc/vsftpd-loc.conf <BR>这样就安装完成了,那么我们开始进行简单的配置 <BR><BR># vi
/etc/vsftpd-loc.conf ,将如下三行加入文件 <BR>listen=YES
<BR>listen_port=21 <BR>tcp_wrappers=YES
//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
<BR>listen=YES的意思是使用standalone启动vsftpd,而不是super
daemon(xinetd)控制它 (vsftpd推荐使用standalone方式),注意事项请参看匿名用户的配置。
<BR>anonymous_enable=NO <BR>local_enable=YES
//这两项配置说不允许匿名用户登陆,允许本地用户登陆 <BR>#
/usr/local/sbin/vsftpd-loc /etc/vsftpd-loc.conf &
//以后台方式启动vsftpd <BR><BR>测试搭建好的匿名用户方式,先测试root用户吧 :) <BR># ftp
127.0.0.1 <BR>Connected to 127.0.0.1. <BR>220 (vsFTPd 2.0.3)
<BR>530 Please login with USER and PASS. <BR>530 Please login
with USER and PASS. <BR>KERBEROS_V4 rejected as an
authentication type <BR>Name (127.0.0.1:root): root <BR>331
Please specify the password. <BR>Password: <BR>230 Login
successful. <BR>Remote system type is UNIX. <BR>Using binary
mode to transfer files. <BR>ftp> pwd <BR>257 \"/root\"
<BR>ftp> quit <BR>221 Goodbye.
<BR>我们看到root用户可以登陆到ftp,他的登陆目录就是自己的主目录。
<BR>再测试一个系统用户,那我们先建立一个用户名叫xuchen的 <BR># useradd xuchen <BR>#
passwd xuchen <BR>Changing password for user xuchen. <BR>New
UNIX password: <BR>Retype new UNIX password: <BR>passwd: all
authentication tokens updated successfully.
<BR>建立好了,让我们开始测试吧!! <BR># ftp 127.0.0.1 <BR>Connected to
127.0.0.1. <BR>220 (vsFTPd 2.0.3) <BR>530 Please login with
USER and PASS. <BR>530 Please login with USER and PASS.
<BR>KERBEROS_V4 rejected as an authentication type <BR>Name
(127.0.0.1:root): xuchen <BR>331 Please specify the password.
<BR>Password: <BR>230 Login successful. <BR>Remote system type
is UNIX. <BR>Using binary mode to transfer files. <BR>ftp>
pwd <BR>257 \"/home/xuchen\" <BR>ftp> quit <BR>221 Goodbye.
<BR>我们看到xuchen用户可以登陆到ftp,他的登陆目录也是自己的主目录。哈哈,又完成了! <BR>高级配置
<BR>细心的朋友可能已经看出来如果我们不支持PAM认证方式,那么本地用户就可以登陆,而默认编译的vsftpd支持PAM认证方式,所以是不支持本地用户登陆的。恩,从这点说,这也是vsftp安全的一个表现----禁止本地用户登陆。
<BR>我们登陆后进行测试,传一个文件上去,得,失败了,那下载个文件下来吧,恩,这是成功的(见图2),而且我们发现我们可以进入到系统根目录(见图3),这样很危险。
<BR><BR><BR><BR>那么改配置文件吧,为了测试方便,我们先建立一个名为kill-loc的脚本,也是为了杀掉FTP程序的
<BR>#!/bin/bash <BR>a=`/bin/ps -A | grep vsftpd-loc | awk
\'{print    $1}\'` <BR>kill -9    $a
<BR><BR>现在提供我的本地用户验证服务器配置文件吧(在匿名里写过的注释我就不在这里写了) <BR>listen=YES
<BR>listen_port=21 <BR>tcp_wrappers=YES
<BR>anonymous_enable=NO <BR>local_enable=YES
<BR>write_enable=YES <BR>local_umask=022
//本地用户文件上传后的权限是-rw-r-r <BR>anon_upload_enable=NO
<BR>anon_mkdir_write_enable=NO <BR>dirmessage_enable=YES
<BR>xferlog_enable=YES <BR>xferlog_file=/var/log/vsftpd.log
<BR>xferlog_std_format=YES <BR>connect_from_port_20=YES
<BR>chroot_local_user=YES //限制用户在自己的主目录 <BR>#local_root=/ftp
//你可以指定所有本地用户登陆后的目录,如果不设置此项,用户都会登陆于自己的主目录,就跟咱们前面测试的结果是一样的
<BR>local_max_rate=500000 //本地用户的下载速度为500KBytes/s
<BR>idle_session_timeout=600 <BR>data_connection_timeout=120
<BR>nopriv_user= nobody
//设定服务执行者为nobody,vsftpd推荐使用一个权限很低的用户,最好是没有家目录(/dev/null),没有登陆shell(/sbin/nologin),系统会更安全
<BR>ftpd_banner=Welcome to d-1701.com FTP service.
<BR>check_shell=NO <BR><BR>userlist_enable=YES
<BR>userlist_deny=YES <BR>userlist_file=/etc/vsftpd.denyuser
<BR>以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里,那么登陆时会出现如下错误:
<BR># ftp 127.0.0.1 <BR>Connected to 127.0.0.1. <BR>220
Welcome to d-1701.com FTP service. <BR>530 Please login with
USER and PASS. <BR>530 Please login with USER and PASS.
<BR>KERBEROS_V4 rejected as an authentication type <BR>Name
(127.0.0.1:root): xuchen <BR>530 Permission denied. <BR>Login
failed. <BR>呵呵,有意思吧,自己测试吧,本地用户登陆方式就介绍到这里吧!
<BR><BR>3、虚拟用户形式实现(db及mysql形式) <BR># cd
/home/xuchen/vsftpd-2.0.3 //进入vsftpd-2.0.3的源代码目录 <BR>#
make clean //清除编译环境 <BR># vi builddefs.h
\\\\继续编辑builddefs.h 文件,文件内容如下: <BR>#ifndef
VSF_BUILDDEFS_H <BR><BR>#define VSF_BUILDDEFS_H <BR>#define
VSF_BUILD_TCPWRAPPERS <BR>#undef VSF_BUILD_PAM <BR>#define
VSF_BUILD_SSL <BR><BR>#endif /* VSF_BUILDDEFS_H */
<BR>将以上define
VSF_BUILD_PAM行的undef改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL,和匿名用户形式是一样的。
<BR><BR># make //直接在vsftpd-2.0.3里用make编译 <BR># ls -l
vsftpd <BR>-rwxr-xr-x 1 root root 86088 Jun 6
22:26 vsftpd //可执行程序已被编译成功 <BR><BR>创建必要的帐号,目录: <BR>#
useradd nobody //可能你的系统已经存在此帐号,那就不用建立 <BR># mkdir
/usr/share/empty //可能你的系统已经存在此目录,那就不用建立 <BR># mkdir
/var/ftp //可能你的系统已经存在此目录,那就不用建立 <BR># useradd -d
/var/ftp ftp //可能你的系统已经存在此帐号,那就不用建立 <BR># chown
root:root /var/ftp <BR># chmod og-w /var/ftp
<BR>请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
<BR><BR>安装vsftp配置文件,可执行程序,man等: <BR># install -m 755 vsftpd
/usr/local/sbin/vsftpd-pam <BR># install -m 644 vsftpd.8
/usr/share/man/man8 <BR># install -m 644 vsftpd.conf.5
/usr/share/man/man5 <BR># install -m 644 vsftpd.conf
/etc/vsftpd-pam.conf <BR>这样就安装完成了,那么我们开始进行简单的配置
<BR><BR>对于用DB库存储用户名及密码的方式来说: <BR>(1)查看系统是否有相应软件包 <BR><BR># rpm
–qa | grep db4 <BR>db4-devel-4.2.52-7.1 <BR>db4-4.2.52-7.1
<BR>db4-utils-4.2.52-7.1
<BR>(2)建立一个logins.txt的文件,单行为用户名,双行为密码,例如 <BR># vi
/home/logins.txt <BR><BR>xuchen <BR>12345
<BR><BR>(3)建立数据库文件并设置文件属性 <BR># db_load -T -t hash -f
/home/logins.txt /etc/vsftpd_login.db <BR># chmod 600
/etc/vsftpd_login.db <BR>(4)建立认证文件 <BR># vi /etc/pam.d/ftp
插入如下两行 <BR>auth required /lib/security/pam_userdb.so
db=/etc/vsftpd_login <BR>account required
/lib/security/pam_userdb.so db=/etc/vsftpd_login
<BR>(5)建立一个虚拟用户 <BR>useradd -d /home/vsftpd -s /sbin/nologin
vsftpd <BR>ls -ld /home/vsftpd <BR>drwx------ 3 vsftpd
vsftpd 1024 Jun 6 22:55 /home/vsftpd/
<BR>(6)编写配置文件(注意事项请参看匿名用户的配置,这里不再赘述) <BR># vi
/etc/vsftpd-pam.conf <BR>listen=YES <BR>listen_port=21
<BR>tcp_wrappers=YES
//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
<BR>listen=YES的意思是使用standalone启动vsftpd,而不是super
daemon(xinetd)控制它 (vsftpd推荐使用standalone方式)
<BR>anonymous_enable=NO <BR>local_enable=YES
//PAM方式此处必须为YES,如果不是将出现如下错误: <BR>500 OOPS: vsftpd: both
local and anonymous access disabled! <BR>write_enable=NO
<BR>anon_upload_enable=NO <BR>anon_mkdir_write_enable=NO
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -