vsftpd安装使用说明

vsftpd安装使用说明

vsftpd是在linux环境下,使用最多的FTP服务端软件。

vsftpd默认只能使用root用户运行。使用非root用户运行,需要在配置文件里设置run_as_launching_user=YES

官方强烈不推荐使用这种方式启动,会带来巨大的安全问题,并且会导致无法使用chroot技术来限制文件访问。

以下安装配置均在root账号下进行。

安装

yum install -y vsftpd
yum install -y db4 #设置虚拟账户的本地数据库文件用

也可以下载源码安装,解压之后直接make & make install即可安装。
不提供configure文件,所以无法指定路径。

安装完成后会在相关目录生成文件,需要用到的如下:

/usr/sbin/vsftpd #vsftpd可执行文件

/etc/vsftpd/vsftpd.conf #主配置文件

/etc/pam.d/vsftpd #PAM认证文件

/etc/vsftpd.ftpusers #禁用使用VSFTPD的用户列表文件

/etc/vsftpd.user_list #禁止或允许使用VSFTPD的用户列表文件

配置

vsftpd主要配置

先对默认配置文件进行备份,再进行配置。

cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

配置文件具体配置如下:

anonymous_enable=NO #不允许匿名登录
local_enable=YES
write_enable=YES
local_umask=022  #上传文件权限补码,最终上传后的文件权限为  666-022=644
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
ascii_upload_enable=YES
ascii_download_enable=YES
chroot_local_user=NO #虚拟账户配置下,在下面两个chroot配置后,这个参数必须为NO,否则登陆FTP后还可以访问其他目录!
chroot_list_enable=YES 
allow_writeable_chroot=YES
chroot_list_file=/home/ftp/config/chroot_list #指定不能离开家目录的用户列表文件,一行一个用户。使用此方法时必须chroot_local_user=NO。说明这个列表里面的用户登陆ftp后都只能访问其主目录,其他目录都不能访问!
listen=YES #监听IPV4
listen_ipv6=NO #监听IPV6,不能和上面的listen同时设置为YES

pam_service_name=vsftpd #指定PAM配置文件,即下面的/etc/pam.d/vsftpd文件要和这里指定的一致
userlist_enable=YES
tcp_wrappers=YES

virtual_use_local_privs=YES
guest_enable=YES #启用虚拟账户
guest_username=chenxj #将虚拟用户映射为本地chenxj用户(前提是local_enable=YES),更安全的做法是映射为nobody用户,因为nobody的权限最低

user_config_dir=/home/ftp/config/vuser_conf #指定不同虚拟用户配置文件的存放路径

listen_port=21 #监听的ftp端口,改成其他端口,会导致无法启动
pasv_min_port=40001 #分配给ftp账号的最小端口。被动模式下的配置
pasv_max_port=40100 #分配给ftp账号的最大端口。每个账号分配一个端口,即最大允许100个ftp账号连接
max_clients=150 #客户端的最大连接数
accept_timeout=5
connect_timeout=1
max_per_ip=5 #每个ip最大连接数

以上配置有修改,需要重启vsftpd服务才能生效

虚拟账户设置

在自己决定的目录(如:/home/ftp/config)新建vuser_passwd.txt,奇数行为账号,偶数行为密码:

user1  #账号1
user1@2018 #账号1密码
user2 #账号2
user2@2018 #账号2密码

在此目录下,生成虚拟用户口令认证的db文件,这是本地数据库文件:

cd /home/ftp/config
db_load -T -t hash -f vuser_passwd.txt vuser_passwd.db
chmod 600 vuser_passwd.db #安全起见,将该文件的权限设置为root读写

同时在该目录下,新建chroot_list文件,即/etc/vsftpd/vsftpd.conf中的chroot_list_file=,并将虚拟账户的账号放在这个文件中。

cat chroot_list
user1
user2

然后新建vuser_conf目录,即/etc/vsftpd/vsftpd.conf中的user_config_dir=。用于存放每个虚拟账户的配置文件,虚拟账户的配置文件以虚拟账户的用户名命名。

mkdir vuser_conf
vim user1
# 配置如下:
local_root=/home/ftp/data/user1 #目录需已经存在,拥有者需为/etc/vsftpd/vsftpd.conf 中guest_username指定的用户
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

以上配置有修改,不需要重启vsftpd,即时生效

PAM认证

修改/etc/pam.d/vsftpd文件,注释掉原来的内容,在最后两行添加认证文件路径,如下所示:

#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
#auth       include password-auth
#account    include password-auth
#session    required     pam_loginuid.so
#session    include password-auth
auth    required    /lib64/security/pam_userdb.so   db=/home/ftp/config/vuser_passwd
account required    /lib64/security/pam_userdb.so db=/home/ftp/config/vuser_passwd

中间使用Tab键分隔。

启动

systemctl start vsftpd #启动
systemctl restart vsftpd #重启
systemctl stop vsftpd #停止
systemctl status vsftpd #查看状态

管理

写了3个小脚本来管理。

新增用户

sh /home/ftp/script/setFTP.sh <user> <passwd> <path>

代码如下:

#!/bin/sh

user=$1
passwd=$2
path=$3

echo $user >> /home/ftp/config/chroot_list
echo -e "$user\n$passwd" >> /home/ftp/config/vuser_passwd.txt
db_load -T -t hash -f /home/ftp/config/vuser_passwd.txt /home/ftp/config/vuser_passwd.db

mkdir $path
chown -R chenxj:chenxj $path
chmod 700 $path

echo -e "local_root=$path\nwrite_enable=YES\nanon_world_readable_only=NO\nanon_upload_enable=YES\nanon_mkdir_write_enable=YES\nanon_other_write_enable=YES" > /home/ftp/config/vuser_conf/$user

取消和恢复

如果希望某个路径关闭FTP,则直接修改其权限为600即可,则在配置文件中local_root指定为该路径的账号全都无法登陆。同理,恢复则将权限修改为700

sh /home/ftp/script/cancelFTP.sh <path> #chmod 600 $path
sh /home/ftp/script/recoverFTP.sh <path> #chmod 700 $path
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,402评论 6 499
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,377评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,483评论 0 353
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,165评论 1 292
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,176评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,146评论 1 297
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 40,032评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,896评论 0 274
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,311评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,536评论 2 332
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,696评论 1 348
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,413评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 41,008评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,659评论 0 22
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,815评论 1 269
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,698评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,592评论 2 353

推荐阅读更多精彩内容

  • 图片更清晰,文字在最下面 FTP是TCP/IP的一种应用,使用TCP而不是UDP,所以是可靠的,面向连接的。 FT...
    停下浮躁的心阅读 1,712评论 0 4
  • 1.FTP简介 File Transfer Protocol 早期的三个应用级协议之一 基于C/S结构 双通道...
    尛尛大尹阅读 2,412评论 0 0
  • #################匿名权限控制############### anonymous_enable=Y...
    牧民阅读 4,497评论 2 4
  • vsftpd.conf 部分:文件格式(5)索引 返回主要内容 名称 vsftpd.conf - vsftpd的配...
    张龙象阅读 2,283评论 0 1
  • 图文/爱丽丝桐 转载请联系作者授权 喜欢就来关注Alice的专题 禅中品禅,彩铅创造个世界 一起来画画吧 Alic...
    语静然阅读 308评论 0 1