10vsftpd服务部署.docx
《10vsftpd服务部署.docx》由会员分享,可在线阅读,更多相关《10vsftpd服务部署.docx(11页珍藏版)》请在冰豆网上搜索。
10vsftpd服务部署
vsftpd服务部署
1、安装vsftpd服务程序
iptables防火墙管理工具默认禁止了FTP传输协议的端口号,在正式配置vsftpd服务程序之前,需要清空iptables防火墙的默认策略,并把当前已经被清理的防火墙策略状态保存下来。
vsftpd服务程序的主配置文件(/etc/vsftpd/vsftpd.conf)内容总长度达到123行,但其中大多数为注释信息,可以在grep命令后面添加-v参数,过滤并反选出没有包含井号(#)的参数行,然后将过滤后的参数行通过输出重定向符写回原始的主配置文件中。
vsftpd服务程序常用的参数以及作用:
listen=[YES|NO]:
是否以独立运行的方式监听服务
listen_address=IP地址:
设置要监听的IP地址
listen_port=21:
设置FTP服务的监听端口
download_enable=[YES|NO]:
是否允许下载文件
userlist_enable=[YES|NO]
userlist_deny=[YES|NO]:
设置用户列表为“允许”还是“禁止”操作
max_clients=0:
最大客户端连接数,0为不限制
max_per_ip=0:
同一IP地址的最大连接数,0为不限制
anonymous_enable=[YES|NO]:
是否允许匿名用户访问
anon_upload_enable=[YES|NO]:
是否允许匿名用户上传文件
anon_umask=022:
匿名用户上传文件的umask值
anon_root=/var/ftp:
匿名用户的FTP根目录
anon_mkdir_write_enable=[YES|NO]:
是否允许匿名用户创建目录
anon_other_write_enable=[YES|NO]:
是否开放匿名用户的其他写入权限(包括重命名、删除等操作权限)
anon_max_rate=0:
匿名用户的最大传输速率(字节/秒),0为不限制
local_enable=[YES|NO]:
是否允许本地用户登录FTP
local_umask=022:
本地用户上传文件的umask值
local_root=/var/ftp:
本地用户的FTP根目录
chroot_local_user=[YES|NO]:
是否将用户权限禁锢在FTP目录,以确保安全
local_max_rate=0:
本地用户最大传输速率(字节/秒),0为不限制
2、配置vsftpd服务匿名开放模式
ftp是Linux系统中以命令行界面的方式来管理FTP传输服务的客户端工具。
首先手动安装这个ftp客户端工具。
vsftpd服务程序默认开启了匿名开放模式,我们需要做的就是开放匿名用户的上传、下载文件的权限,以及让匿名用户创建、删除、更名文件的权限。
重启vsftpd服务程序,把配置过的服务程序加入到开机启动项。
将/var/ftp/目录的所有者身份改成系统账户ftp。
修改与ftp相关的SELinux域策略,-P参数让修改过的策略永久生效
尝试使用FTP连接,进行操作。
3、配置vsftpd服务本地用户模式
配置/etc/vsftpd/vsftpd.conf文件
重启vsftpd服务程序,把配置过的服务程序加入到开机启动项。
编辑/etc/vsftpd/user_list和/etc/vsftpd/ftpusers两个文件,将其中的root用户删除。
生产环境不建议如此操作,可以选择ftpusers和user_list文件中没有的一个普通用户登录FTP服务器。
确保SELinux域策略中ftpd_full_access是开启状态。
如果是关闭状态,使用setsebool-Pftpd_full_access=on命令开启。
使用本地用户linuxprobe尝试登录下FTP服务器,分别执行文件的创建、重命名及删除等命令。
4、配置vsftpd服务虚拟用户模式
虚拟用户模式是这三种模式中最安全的一种认证模式,生产环境中推荐使用该模式。
创建用于进行FTP认证的用户数据库文件,其中奇数行为账户名,偶数行为密码。
例如,我们分别创建出zhangsan和lisi两个用户,密码均为redhat
使用db_load命令用哈希(hash)算法将原始的明文信息文件转换成数据库文件,并且降低数据库文件的权限(避免其他人看到数据库文件的内容),然后再把原始的明文信息文件删除。
创建vsftpd服务程序用于存储文件的根目录(根目录是指当虚拟用户登录后所访问的默认位置)以及虚拟用户映射的系统本地用户virtual。
为了方便管理FTP服务器上的数据,可以把这个系统本地用户的家目录设置为/var目录(该目录用来存放经常发生改变的数据)。
并且为了安全起见,我们将这个系统本地用户设置为不允许登录FTP服务器,这不会影响虚拟用户登录,而且还可以避免黑客通过这个系统本地用户进行登录。
建立用于支持虚拟用户的PAM文件。
新建一个用于虚拟用户认证的PAM文件vsftpd.vu,其中PAM文件内的“db=”参数为使用db_load命令生成的账户密码数据库文件的路径,但不用写数据库文件的后缀。
配置/etc/vsftpd/vsftpd.conf文件
为虚拟用户设置不同的权限。
比如,允许张三上传、创建、修改、查看、删除文件,只允许李四查看文件。
这可以通过vsftpd服务程序来实现。
只需新建一个目录,在里面分别创建两个以zhangsan和lisi命名的文件,其中在名为zhangsan的文件中写入允许的相关权限(使用匿名用户的参数)。
修改vsftpd主配置文件,通过添加user_config_dir参数来定义这两个虚拟用户不同权限的配置文件所存放的路径。
为了让修改后的参数立即生效,需要重启vsftpd服务程序并将该服务添加到开机启动项中
确保SELinux域策略中ftpd_full_access是开启状态。
如果是关闭状态,使用setsebool-Pftpd_full_access=on命令开启。
分别使用lisi和zhangsan用户登录测试
5、配置部署简单文件传输协议(TFTP)
安装TFTP服务程序
TFTP服务是使用xinetd服务程序来管理的。
在安装TFTP软件包后,还需要在xinetd服务程序中将其开启,把默认的禁用(disable)参数修改为no
重启xinetd服务并将它添加到系统的开机启动项中。
有些系统的防火墙默认没有允许UDP协议的69端口,手动将该端口号加入到防火墙的允许策略中
tftp命令中可用的参数以及作用
?
帮助信息
put上传文件
get下载文件
verbose显示详细的处理信息
status显示当前的状态信息
binary使用二进制进行传输
ascii使用ASCII码进行传输
timeout设置重传的超时时间
quit退出
使用TFTP尝试访问其中的文件
升级会员 