vsftp设置大全收藏.docx
《vsftp设置大全收藏.docx》由会员分享,可在线阅读,更多相关《vsftp设置大全收藏.docx(21页珍藏版)》请在冰豆网上搜索。
vsftp设置大全收藏
vsftp设置大全收藏
一、前言
Vsftp(VerySecureFTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器,目前已被许多大型站点所采用,如
ftp.kde.org,ftp.gnome.org.等。
Vsftpd的实现有三种方式
1、匿名用户形式:
在默认安装的情况下,系统只提供匿名用户访问
2、本地用户形式:
以/etc/passwd中的用户名为认证方式
3、虚拟用户形式:
支持将用户名和口令保存在数据库文件或数据库服务器中。
相对于FTP的本地用户形式来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器所提供的资源,这大大增强系统本身的安全性。
相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中的文件,增加了对用户和下载的可管理性。
对于需要提供下载服务,但又不希望所有人都能匿名下载;既需要对下载用户进行管理,又考虑到主机安全和管理方便的FTP站点来说,虚拟用户是一种极好的解决方案。
二、安装
三、三种方式的实现
1、匿名用户形式实现
#vibuilddefs.h\\编辑builddefs.h文件,文件内容如下:
#ifndefVSF_BUILDDEFS_H
#defineVSF_BUILDDEFS_H
#undefVSF_BUILD_TCPWRAPPERS
#defineVSF_BUILD_PAM
#undefVSF_BUILD_SSL
#endif/*VSF_BUILDDEFS_H*/
将以上undef的都改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL
#make//直接在vsftpd-2.0.3里用make编译
#ls-lvsftpd
-rwxr-xr-x1rootroot86088Jun612:
29vsftpd//可执行程式已被编译成功
创建必要的帐号,目录:
#useraddnobody//可能你的系统已存在此帐号,那就不用建立
#mkdir/usr/share/empty//可能你的系统已存在此目录,那就不用建立
#mkdir/var/ftp//可能你的系统已存在此目录,那就不用建立
#useradd-d/var/ftpftp//可能你的系统已存在此帐号,那就不用建立
#chownroot:
root/var/ftp
#chmodog-w/var/ftp
请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
安装vsftp设置文件,可执行程式,man等:
#install-m755vsftpd/usr/local/sbin/vsftpd-ano
#install-m644vsftpd.8/usr/share/man/man8
#install-m644vsftpd.conf.5/usr/share/man/man5
#install-m644vsftpd.conf/etc/vsftpd-ano.conf
这样就安装完成了,那么我们开始进行简单的设置
#vi/etc/vsftpd-ano.conf,将如下三行加入文件
listen=YES
listen_port=21
tcp_wrappers=YES
anon_root=/var/ftp//设置匿名用户本地目录,和ftp用户目录必须相同
listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式)
#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&//以后台方式启动vsftpd
注意:
每行的值都不要有空格,否则启动时会出现错误,举个例子,如果我在listen=YES后多了个空格,那我启动时就出现如下错误:
500OOPS:
badboolvalueinconfigfilefor:
listen
测试搭建好的匿名用户方式
#ftp127.0.0.1
Connectedto127.0.0.1.
220(vsFTPd2.0.3)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(127.0.0.1:
root):
ftp
331Pleasespecifythepassword.
Password:
230Loginsuccessful.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>;pwd
257"/"
ftp>;quit
221Goodbye.
#
传个文件吧,呀!
!
传输失败了:
为什么呢?
因为vsftpd是为了安全需要,/var/ftp目录不能把所有的权限打开,所以我们这时要建一个目录pub,当然也还是需要继续修改设置文件的。
#mkdir/var/ftp/pub
#chmod-R777/var/ftp/pub
为了测试方便,我们先建立一个名为kill-ano的脚本,是为了杀掉FTP程式的
#!
/bin/bash
a=`/bin/ps-A|grepvsftpd-ano|awk’{print$1}’`
kill-9$a
那么目前大家看看我的匿名服务器设置文件吧
anonymous_enable=YES//允许匿名访问,这是匿名服务器必须的
write_enable=YES//全局设置可写
anon_umask=077//匿名用户上传的文件权限是-rw----
anon_upload_enable=YES//允许匿名用户上传文件
anon_mkdir_write_enable=YES//允许匿名用户建立目录
anon_other_write_enable=YES//允许匿名用户具有建立目录,上传之外的权限,如重命名,删除
dirmessage_enable=YES//当使用者转换目录,则会显示该目录下的.message信息
xferlog_enable=YES//记录使用者所有上传下载信息
xferlog_file=/var/log/vsftpd.log//将上传下载信息记录到/var/log/vsftpd.log中
xferlog_std_format=YES//日志使用标准xferlog格式
idle_session_timeout=600//客户端超过600S没有动作就自动被服务器踢出
data_connection_timeout=120//数据传输时超过120S没有动作被服务器踢出
ftpd_banner=Welcometod-FTPservice.//FTP欢迎信息
anon_max_rate=80000//这是匿名用户的下载速度为80KBytes/s
check_shell=NO//不检测SHELL
目前再测试,先kill掉再启动FTP程式
#./kill-ano
#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&
上传一个文件测试一下,怎么样?
OK了吧,下载刚上传的那个文件,恩?
不行,提示
550Failedtoopenfile.
传输已失败!
传输队列已完成
1个文件传输失败
没有关系,你记得咱们设置了anon_umask=077了吗?
所以你下载不了,如果你到服务器上touch一个文件(644),测试一下,是能被下载下来的,好了,匿名服务器就说到这里了。
2、本地用户形式实现
#cd/home/xuchen/vsftpd-2.0.3//进入vsftpd-2.0.3的原始码目录
#makeclean//清除编译环境
#vibuilddefs.h\\继续编辑builddefs.h文件,文件内容如下:
#ifndefVSF_BUILDDEFS_H
#defineVSF_BUILDDEFS_H
#defineVSF_BUILD_TCPWRAPPERS
#defineVSF_BUILD_PAM
#defineVSF_BUILD_SSL
#endif/*VSF_BUILDDEFS_H*/
将以上defineVSF_BUILD_PAM行的define改为undef,支持tcp_wrappers,不支持PAM认证方式,支持SSL,记住啊,如果支持了PAM认证方式,你本地用户是不能登陆的。
listen=YES
listen_port=21
tcp_wrappers=YES//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式),注意事项请参看匿名用户的设置。
anonymous_enable=NO
local_enable=YES//这两项设置说不允许匿名用户登陆,允许本地用户登陆
目前提供我的本地用户验证服务器设置文件吧(在匿名里写过的注释我就不在这里写了)
listen=YES
listen_port=21
tcp_wrappers=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022//本地用户文件上传后的权限是-rw-r-r
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
connect_from_port_20=YES
chroot_local_user=YES//限制用户在自己的主目录
#local_root=/ftp//你能指定所有本地用户登陆后的目录,如果不设置此项,用户都会登陆于自己的主目录,就跟咱们前面测试的结果是相同的
local_max_rate=500000//本地用户的下载速度为500KBytes/s
idle_session_timeout=600
data_connection_timeout=120
nopriv_user=nobody//设定服务执行者为nobody,vsftpd推荐使用一个权限非常低的用户,最佳是没有家目录(/dev/null),没有登陆shell(/sbin/nologin),系统会更安全
ftpd_banner=Welcometod-FTPservice.
check_shell=NO
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd.denyuser
以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里,那么登陆时会出现如下错误:
3、虚拟用户形式实现(db及mysql形式)
#cd/home/xuchen/vsftpd-2.0.3//进入vsftpd-2.0.3的原始码目录
#makeclean//清除编译环境
#vibuilddefs.h\\继续编辑builddefs.h文件,文件内容如下:
#ifndefVSF_BUILDDEFS_H
#defineVSF_BUILDDEFS_H
#defineVSF_BUILD_TCPWRAPPERS
#undefVSF_BUILD_PAM
#defineVSF_BUILD_SSL
#endif/*VSF_BUILDDEFS_H*/
将以上defineVSF_BUILD_PAM行的undef改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL,和匿名用户形式是相同的。
#make//直接在vsftpd-2.0.3里用make编译
#ls-lvsftpd
-rwxr-xr-x1rootroot86088Jun622:
26vsftpd//可执行程式已被编译成功
创建必要的帐号,目录:
#useraddnobody//可能你的系统已存在此帐号,那就不用建立
#mkdir/usr/share/empty//可能你的系统已存在此目录,那就不用建立
#mkdir/var/ftp//可能你的系统已存在此目录,那就不用建立
#useradd-d/var/ftpftp//可能你的系统已存在此帐号,那就不用建立
#chownroot:
root/var/ftp
#chmodog-w/var/ftp
请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
安装vsftp设置文件,可执行程式,man等:
#install-m755vsftpd/usr/local/sbin/vsftpd-pam
#install-m644vsftpd.8/usr/share/man/man8
#install-m644vsftpd.conf.5/usr/share/man/man5
#install-m644vsftpd.conf/etc/vsftpd-pam.conf
这样就安装完成了,那么我们开始进行简单的设置
对于用DB库存储用户名及密码的方式来说:
(1)查看系统是否有相应软件包
#rpm?
qa|grepdb4
db4-devel-4.2.52-7.1
db4-4.2.52-7.1
db4-utils-4.2.52-7.1
(2)建立一个logins.txt的文件,单行为用户名,双行为密码,例如
#vi/home/logins.txt
xuchen
12345
(3)建立数据库文件并设置文件属性
#db_load-T-thash-f/home/logins.txt/etc/vsftpd_login.db
#chmod600/etc/vsftpd_login.db
(4)建立认证文件
#vi/etc/pam.d/ftp插入如下两行
authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd_login
accountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd_login
(5)建立一个虚拟用户
useradd-d/home/vsftpd-s/sbin/nologinvsftpd
ls-ld/home/vsftpd
drwx------3vsftpdvsftpd1024Jun622:
55/home/vsftpd/
(6)编写设置文件(注意事项请参看匿名用户的设置,这里不再赘述)
#vi/etc/vsftpd-pam.conf
listen=YES
listen_port=21
tcp_wrappers=YES//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制他(vsftpd推荐使用standalone方式)
anonymous_enable=NO
local_enable=YES//PAM方式此处必须为YES,如果不是将出现如下错误:
500OOPS:
vsftpd:
bothlocalandanonymousaccessdisabled!
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
chroot_local_user=YES
guest_enable=YES
guest_username=vsftpd//这两行的意思是采用虚拟用户形式
virtual_use_local_privs=YES//虚拟用户和本地用户权限相同
pasv_enable=YES//建立资料联机采用被动方式
pasv_min_port=30000//建立资料联机所能使用port范围的上界,0表示任意。
默认值为0。
pasv_max_port=30999//建立资料联机所能使用port范围的下界,0表示任意。
默认值为0。
(7)启动程式
#/usr/local/sbin/vsftpd-pam/etc/vsftpd-pam.conf&
(8)测试连通及功能
#vi/home/vsftpd/test//建立一个文件,内容如下
1234567890
#chownvsftpd.vsftpd/home/vsftpd/test
#ftp127.0.0.1
Connectedto127.0.0.1.
220(vsFTPd2.0.3)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(127.0.0.1:
root):
xuchen
331Pleasespecifythepassword.
Password:
230Loginsuccessful.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>;pwd
257"/"
ftp>;sizetest
21311
ftp>;quit
221Goodbye.
OK,用户名为xuchen,密码为12345能连接到FTP服务器,看不到文件列表,但能下载已知文件名的文件,不能上传文件,非常安全吧!
!
如果我们需要用户看到文件,怎么办?
也好办,在设置文件中加入如下语句:
anon_world_readable_only=NO//匿名登入者不能下载可阅读的档案,默认值为YES
如果需要让用户上传文件和下载文件分开,建议如下这么做
#vi/home/logins.txt
xuchen
12345
upload
45678
//首先建立虚拟用户upload,密码为45678
#db_load-T-thash-f/home/logins.txt/etc/vsftpd_login.db//更新数据文件
#mkdir/home/vsftpd/upload
#vi/etc/vsftpd-pam.conf加入如下语句
user_config_dir=/etc/vsftpd_user_conf
#mkdir/etc/vsftpd_user_conf
#vi/etc/vsftpd_user_conf/upload文件内容如下
local_root=/home/vsftpd/upload
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
#chmod700/home/vsftpd/upload
#chownvsftpd.vsftpd/home/vsftpd/upload/
这样,xuchen用户能下载/home/vsftpd里的文件及upload里的文件,而upload用户能上传和下载/home/vsftpd/upload目录的东西,但不能到/home/vsftpd里下载文件,非常简单得实现了分用户上传和下载
对于用Mysql库存储用户名及密码的方式来说:
就是把用户名和密码放在mysql库里,实现起来也相当简单
(1)建立一个库并设置相应权限
#mysql?
p
mysql>;createdatabaseftpd;
mysql>;useftpd;
mysql>;createtableuser(namechar(20)binary,passwdchar(20)binary);
mysql>;insertintouser(name,passwd)values(’test1’,’12345’);
mysql>;insertintouser(name,passwd)values(’test2’,’54321’);
mysql>;grantselectonftpd.usertoftpd@localhostidentifiedby’123456’;
mysql>;flushprivileges;刷新权限设置
mysql>;quit
(2)下载libpam-mysql进行安装编译
下载地址如下:
假设我们把他放在了/home/xuchen目录下
#cd/home/xuchen
#tarxzvfpam_mysql-0.5.tar.gz
#cdpam_mysql
#make
#cppam_mysql.so/lib/security
(3)建立PAM认证信息
#vi/etc/pam.d/ftp,内容如下
authrequired/lib/security/pam_mysql.souser=ftpdpasswd=123456host=localhostdb=ftpdtable=userusercolumn=namepasswdcolumn=passwdcrypt=0
accountrequired/lib/security/pam_mysql.souser=ftpdpasswd=123456host=localhostdb=ftpdtable=user