收藏
下载资源下载资源 加入VIP,免费下载

vsftp设置大全收藏.docx

上传人:b****6 文档编号:7196840 上传时间:2023-01-21 格式:DOCX 页数:21 大小:26.61KB
下载 相关 举报
vsftp设置大全收藏.docx_第1页
第1页 / 共21页
vsftp设置大全收藏.docx_第2页
第2页 / 共21页
vsftp设置大全收藏.docx_第3页
第3页 / 共21页
vsftp设置大全收藏.docx_第4页
第4页 / 共21页
vsftp设置大全收藏.docx_第5页
第5页 / 共21页
点击查看更多>>
下载资源
资源描述

vsftp设置大全收藏.docx

《vsftp设置大全收藏.docx》由会员分享,可在线阅读,更多相关《vsftp设置大全收藏.docx(21页珍藏版)》请在冰豆网上搜索。

vsftp设置大全收藏.docx

vsftp设置大全收藏

vsftp设置大全收藏

一、前言

Vsftp(VerySecureFTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器,目前已被许多大型站点所采用,如

ftp.kde.org,ftp.gnome.org.等。

Vsftpd的实现有三种方式

1、匿名用户形式:

在默认安装的情况下,系统只提供匿名用户访问

2、本地用户形式:

以/etc/passwd中的用户名为认证方式

3、虚拟用户形式:

支持将用户名和口令保存在数据库文件或数据库服务器中。

相对于FTP的本地用户形式来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器所提供的资源,这大大增强系统本身的安全性。

相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中的文件,增加了对用户和下载的可管理性。

对于需要提供下载服务,但又不希望所有人都能匿名下载;既需要对下载用户进行管理,又考虑到主机安全和管理方便的FTP站点来说,虚拟用户是一种极好的解决方案。

二、安装

三、三种方式的实现

1、匿名用户形式实现

#vibuilddefs.h\\编辑builddefs.h文件,文件内容如下:

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#undefVSF_BUILD_TCPWRAPPERS

#defineVSF_BUILD_PAM

#undefVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上undef的都改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL

#make//直接在vsftpd-2.0.3里用make编译

#ls-lvsftpd

-rwxr-xr-x1rootroot86088Jun612:

29vsftpd//可执行程式已被编译成功

创建必要的帐号,目录:

#useraddnobody//可能你的系统已存在此帐号,那就不用建立

#mkdir/usr/share/empty//可能你的系统已存在此目录,那就不用建立

#mkdir/var/ftp//可能你的系统已存在此目录,那就不用建立

#useradd-d/var/ftpftp//可能你的系统已存在此帐号,那就不用建立

#chownroot:

root/var/ftp

#chmodog-w/var/ftp

请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp设置文件,可执行程式,man等:

#install-m755vsftpd/usr/local/sbin/vsftpd-ano

#install-m644vsftpd.8/usr/share/man/man8

#install-m644vsftpd.conf.5/usr/share/man/man5

#install-m644vsftpd.conf/etc/vsftpd-ano.conf

这样就安装完成了,那么我们开始进行简单的设置

#vi/etc/vsftpd-ano.conf,将如下三行加入文件

listen=YES

listen_port=21

tcp_wrappers=YES

anon_root=/var/ftp//设置匿名用户本地目录,和ftp用户目录必须相同

listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式)

#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&//以后台方式启动vsftpd

注意:

每行的值都不要有空格,否则启动时会出现错误,举个例子,如果我在listen=YES后多了个空格,那我启动时就出现如下错误:

500OOPS:

badboolvalueinconfigfilefor:

listen

测试搭建好的匿名用户方式

#ftp127.0.0.1

Connectedto127.0.0.1.

220(vsFTPd2.0.3)

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name(127.0.0.1:

root):

ftp

331Pleasespecifythepassword.

Password:

230Loginsuccessful.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>;pwd

257"/"

ftp>;quit

221Goodbye.

#

传个文件吧,呀!

传输失败了:

为什么呢?

因为vsftpd是为了安全需要,/var/ftp目录不能把所有的权限打开,所以我们这时要建一个目录pub,当然也还是需要继续修改设置文件的。

#mkdir/var/ftp/pub

#chmod-R777/var/ftp/pub

为了测试方便,我们先建立一个名为kill-ano的脚本,是为了杀掉FTP程式的

#!

/bin/bash

a=`/bin/ps-A|grepvsftpd-ano|awk’{print$1}’`

kill-9$a

那么目前大家看看我的匿名服务器设置文件吧

anonymous_enable=YES//允许匿名访问,这是匿名服务器必须的

write_enable=YES//全局设置可写

anon_umask=077//匿名用户上传的文件权限是-rw----

anon_upload_enable=YES//允许匿名用户上传文件

anon_mkdir_write_enable=YES//允许匿名用户建立目录

anon_other_write_enable=YES//允许匿名用户具有建立目录,上传之外的权限,如重命名,删除

dirmessage_enable=YES//当使用者转换目录,则会显示该目录下的.message信息

xferlog_enable=YES//记录使用者所有上传下载信息

xferlog_file=/var/log/vsftpd.log//将上传下载信息记录到/var/log/vsftpd.log中

xferlog_std_format=YES//日志使用标准xferlog格式

idle_session_timeout=600//客户端超过600S没有动作就自动被服务器踢出

data_connection_timeout=120//数据传输时超过120S没有动作被服务器踢出

ftpd_banner=Welcometod-FTPservice.//FTP欢迎信息

anon_max_rate=80000//这是匿名用户的下载速度为80KBytes/s

check_shell=NO//不检测SHELL

目前再测试,先kill掉再启动FTP程式

#./kill-ano

#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&

上传一个文件测试一下,怎么样?

OK了吧,下载刚上传的那个文件,恩?

不行,提示

550Failedtoopenfile.

传输已失败!

传输队列已完成

1个文件传输失败

没有关系,你记得咱们设置了anon_umask=077了吗?

所以你下载不了,如果你到服务器上touch一个文件(644),测试一下,是能被下载下来的,好了,匿名服务器就说到这里了。

2、本地用户形式实现

#cd/home/xuchen/vsftpd-2.0.3//进入vsftpd-2.0.3的原始码目录

#makeclean//清除编译环境

#vibuilddefs.h\\继续编辑builddefs.h文件,文件内容如下:

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#defineVSF_BUILD_TCPWRAPPERS

#defineVSF_BUILD_PAM

#defineVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上defineVSF_BUILD_PAM行的define改为undef,支持tcp_wrappers,不支持PAM认证方式,支持SSL,记住啊,如果支持了PAM认证方式,你本地用户是不能登陆的。

listen=YES

listen_port=21

tcp_wrappers=YES//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)

listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式),注意事项请参看匿名用户的设置。

anonymous_enable=NO

local_enable=YES//这两项设置说不允许匿名用户登陆,允许本地用户登陆

目前提供我的本地用户验证服务器设置文件吧(在匿名里写过的注释我就不在这里写了)

listen=YES

listen_port=21

tcp_wrappers=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022//本地用户文件上传后的权限是-rw-r-r

anon_upload_enable=NO

anon_mkdir_write_enable=NO

dirmessage_enable=YES

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

connect_from_port_20=YES

chroot_local_user=YES//限制用户在自己的主目录

#local_root=/ftp//你能指定所有本地用户登陆后的目录,如果不设置此项,用户都会登陆于自己的主目录,就跟咱们前面测试的结果是相同的

local_max_rate=500000//本地用户的下载速度为500KBytes/s

idle_session_timeout=600

data_connection_timeout=120

nopriv_user=nobody//设定服务执行者为nobody,vsftpd推荐使用一个权限非常低的用户,最佳是没有家目录(/dev/null),没有登陆shell(/sbin/nologin),系统会更安全

ftpd_banner=Welcometod-FTPservice.

check_shell=NO

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd.denyuser

以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里,那么登陆时会出现如下错误:

3、虚拟用户形式实现(db及mysql形式)

#cd/home/xuchen/vsftpd-2.0.3//进入vsftpd-2.0.3的原始码目录

#makeclean//清除编译环境

#vibuilddefs.h\\继续编辑builddefs.h文件,文件内容如下:

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#defineVSF_BUILD_TCPWRAPPERS

#undefVSF_BUILD_PAM

#defineVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上defineVSF_BUILD_PAM行的undef改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL,和匿名用户形式是相同的。

#make//直接在vsftpd-2.0.3里用make编译

#ls-lvsftpd

-rwxr-xr-x1rootroot86088Jun622:

26vsftpd//可执行程式已被编译成功

创建必要的帐号,目录:

#useraddnobody//可能你的系统已存在此帐号,那就不用建立

#mkdir/usr/share/empty//可能你的系统已存在此目录,那就不用建立

#mkdir/var/ftp//可能你的系统已存在此目录,那就不用建立

#useradd-d/var/ftpftp//可能你的系统已存在此帐号,那就不用建立

#chownroot:

root/var/ftp

#chmodog-w/var/ftp

请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp设置文件,可执行程式,man等:

#install-m755vsftpd/usr/local/sbin/vsftpd-pam

#install-m644vsftpd.8/usr/share/man/man8

#install-m644vsftpd.conf.5/usr/share/man/man5

#install-m644vsftpd.conf/etc/vsftpd-pam.conf

这样就安装完成了,那么我们开始进行简单的设置

对于用DB库存储用户名及密码的方式来说:

(1)查看系统是否有相应软件包

#rpm?

qa|grepdb4

db4-devel-4.2.52-7.1

db4-4.2.52-7.1

db4-utils-4.2.52-7.1

(2)建立一个logins.txt的文件,单行为用户名,双行为密码,例如

#vi/home/logins.txt

xuchen

12345

(3)建立数据库文件并设置文件属性

#db_load-T-thash-f/home/logins.txt/etc/vsftpd_login.db

#chmod600/etc/vsftpd_login.db

(4)建立认证文件

#vi/etc/pam.d/ftp插入如下两行

authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd_login

accountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd_login

(5)建立一个虚拟用户

useradd-d/home/vsftpd-s/sbin/nologinvsftpd

ls-ld/home/vsftpd

drwx------3vsftpdvsftpd1024Jun622:

55/home/vsftpd/

(6)编写设置文件(注意事项请参看匿名用户的设置,这里不再赘述)

#vi/etc/vsftpd-pam.conf

listen=YES

listen_port=21

tcp_wrappers=YES//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)

listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式)

anonymous_enable=NO

local_enable=YES//PAM方式此处必须为YES,如果不是将出现如下错误:

500OOPS:

vsftpd:

bothlocalandanonymousaccessdisabled!

write_enable=NO

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

chroot_local_user=YES

guest_enable=YES

guest_username=vsftpd//这两行的意思是采用虚拟用户形式

virtual_use_local_privs=YES//虚拟用户和本地用户权限相同

pasv_enable=YES//建立资料联机采用被动方式

pasv_min_port=30000//建立资料联机所能使用port范围的上界,0表示任意。

默认值为0。

pasv_max_port=30999//建立资料联机所能使用port范围的下界,0表示任意。

默认值为0。

(7)启动程式

#/usr/local/sbin/vsftpd-pam/etc/vsftpd-pam.conf&

(8)测试连通及功能

#vi/home/vsftpd/test//建立一个文件,内容如下

1234567890

#chownvsftpd.vsftpd/home/vsftpd/test

#ftp127.0.0.1

Connectedto127.0.0.1.

220(vsFTPd2.0.3)

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name(127.0.0.1:

root):

xuchen

331Pleasespecifythepassword.

Password:

230Loginsuccessful.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>;pwd

257"/"

ftp>;sizetest

21311

ftp>;quit

221Goodbye.

OK,用户名为xuchen,密码为12345能连接到FTP服务器,看不到文件列表,但能下载已知文件名的文件,不能上传文件,非常安全吧!

如果我们需要用户看到文件,怎么办?

也好办,在设置文件中加入如下语句:

anon_world_readable_only=NO//匿名登入者不能下载可阅读的档案,默认值为YES

如果需要让用户上传文件和下载文件分开,建议如下这么做

#vi/home/logins.txt

xuchen

12345

upload

45678

//首先建立虚拟用户upload,密码为45678

#db_load-T-thash-f/home/logins.txt/etc/vsftpd_login.db//更新数据文件

#mkdir/home/vsftpd/upload

#vi/etc/vsftpd-pam.conf加入如下语句

user_config_dir=/etc/vsftpd_user_conf

#mkdir/etc/vsftpd_user_conf

#vi/etc/vsftpd_user_conf/upload文件内容如下

local_root=/home/vsftpd/upload

write_enable=YES

anon_world_readable_only=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

#chmod700/home/vsftpd/upload

#chownvsftpd.vsftpd/home/vsftpd/upload/

这样,xuchen用户能下载/home/vsftpd里的文件及upload里的文件,而upload用户能上传和下载/home/vsftpd/upload目录的东西,但不能到/home/vsftpd里下载文件,非常简单得实现了分用户上传和下载

对于用Mysql库存储用户名及密码的方式来说:

就是把用户名和密码放在mysql库里,实现起来也相当简单

(1)建立一个库并设置相应权限

#mysql?

p

mysql>;createdatabaseftpd;

mysql>;useftpd;

mysql>;createtableuser(namechar(20)binary,passwdchar(20)binary);

mysql>;insertintouser(name,passwd)values(’test1’,’12345’);

mysql>;insertintouser(name,passwd)values(’test2’,’54321’);

mysql>;grantselectonftpd.usertoftpd@localhostidentifiedby’123456’;

mysql>;flushprivileges;刷新权限设置

mysql>;quit

(2)下载libpam-mysql进行安装编译

下载地址如下:

假设我们把他放在了/home/xuchen目录下

#cd/home/xuchen

#tarxzvfpam_mysql-0.5.tar.gz

#cdpam_mysql

#make

#cppam_mysql.so/lib/security

(3)建立PAM认证信息

#vi/etc/pam.d/ftp,内容如下

authrequired/lib/security/pam_mysql.souser=ftpdpasswd=123456host=localhostdb=ftpdtable=userusercolumn=namepasswdcolumn=passwdcrypt=0

accountrequired/lib/security/pam_mysql.souser=ftpdpasswd=123456host=localhostdb=ftpdtable=user

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 工程科技 > 冶金矿山地质

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1