vsftpd安装配置教程
2017-05-31 00:00
471 查看
摘要: vsftpd安装配置教程
http://blog.csdn.net/ldx891113/article/details/38338539
http://blog.csdn.net/bluishglc/article/details/42399439
http://blog.csdn.net/yuwenruli/article/details/8767160
参考(抄)
https://segmentfault.com/a/1190000000438443http://blog.csdn.net/ldx891113/article/details/38338539
http://blog.csdn.net/bluishglc/article/details/42399439
http://blog.csdn.net/yuwenruli/article/details/8767160
vsftpd安装
# 安装Vsftpd服务相关部件 yum install vsftpd* # 确认安装PAM服务相关部件 yum install pam* # 安装DB4部件包 这里要特别安装一个db4的包,用来支持文件数据库 yum install db4*
vsftpd系统账户
# 建立Vsftpd服务的宿主用户 # 默认的Vsftpd的服务宿主用户是root,但是这不符合安全性的需要。 # 这里建立名字为vsftpd的用户,用他来作为支持Vsftpd的服务宿主用户。 # 由于该用户仅用来支持Vsftpd服务用,因此没有许可他登陆系统的必要,并设定他为不能登陆系统的用户。 useradd vsftpd -s /sbin/nologin # 建立Vsftpd虚拟宿主用户 # 本篇主要是介绍Vsftp的虚拟用户,虚拟用户并不是系统用户,也就是说这些FTP的用户在系统中是不存在的。 # 他们的总体权限其实是集中寄托在一个在系统中的某一个用户身上的,所谓Vsftpd的虚拟宿主用户, # 就是这样一个支持着所有虚拟用户的宿主用户。由于他支撑了FTP的所有虚拟的用户,那么他本身的权 # 限将会影响着这些虚拟的用户,# 因此,处于安全性的考虑,也要非分注意对该用户的权限的控制, # 该用户也绝对没有登陆系统的必要,这里也设定他为不能登陆系统的用户。 useradd overlord -s /sbin/nologin
vsftpd配置文件详解
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.backup vi /etc/vsftpd/vsftpd.conf # Allow anonymous FTP? (Beware - allowed by default if you comment this out). #anonymous_enable=YES # 设定不允许匿名访问 anonymous_enable=NO # # Uncomment this to allow local users to log in. # 设定本地用户可以访问。注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问 local_enable=YES # # Uncomment this to enable any form of FTP write command. # 设定可以进行写操作。 write_enable=YES # # Default umask for local users is 077. You may wish to change this to 022, # if your users expect that (022 is used by most other ftpd's) # 设定上传后文件的权限掩码。 local_umask=022 # # Uncomment this to allow the anonymous FTP user to upload files. This only # has an effect if the above global write enable is activated. Also, you will # obviously need to create a directory writable by the FTP user. # 禁止匿名用户上传。 #anon_upload_enable=YES anon_upload_enable=NO # # Uncomment this if you want the anonymous FTP user to be able to create # new directories. # 禁止匿名用户建立目录。 #anon_mkdir_write_enable=YES anon_mkdir_write_enable=NO # # Activate directory messages - messages given to remote users when they # go into a certain directory. # 设定开启目录标语功能。 dirmessage_enable=YES #启用/var/log/vsftpd.log和/var/log/xferlog双份日志, #xferlog是wu-ftpd类型的传输日志,而vsftpd.log是vsftpd自己类型的日志; #dual_log_enable=YES # # Activate logging of uploads/downloads. # 设定开启日志记录功能。 xferlog_enable=YES # # Make sure PORT transfer connections originate from port 20 (ftp-data). # 设定端口20进行数据连接。 connect_from_port_20=YES # # If you want, you can arrange for uploaded anonymous files to be owned by # a different user. Note! Using "root" for uploaded files is not # recommended! # 设定禁止上传文件更改宿主。 #chown_uploads=YES chown_uploads=NO #chown_username=whoever # # You may override where the log file goes if you like. The default is shown # below. # 设定Vsftpd的服务日志保存路径。注意,该文件默认不存在。必须要手动touch出来, # 并且由于这里更改了Vsftpd的服务宿主用户为手动建立的Vsftpd。 # 必须注意给与该用户对日志的写入权限,否则服务将启动失败。 xferlog_file=/var/log/vsftpd.log # # If you want, you can have your log file in standard ftpd xferlog format # 设定日志使用标准的记录格式。 xferlog_std_format=YES # # You may change the default value for timing out an idle session. # 设定空闲连接超时时间,这里使用默认。 # 将具体数值留给每个具体用户具体指定,当然如果不指定的话,还是使用这里的默认值600,单位秒。 #idle_session_timeout=600 # # You may change the default value for timing out a data connection. # 设定单次最大连续传输时间,这里使用默认。 # 将具体数值留给每个具体用户具体指定,当然如果不指定的话,还是使用这里的默认值120,单位秒。 #data_connection_timeout=120 # # It is recommended that you define on your system a unique user which the # ftp server can use as a totally isolated and unprivileged user. # 设定支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户。 # 注意,一旦做出更改宿主用户后,必须注意一起与该服务相关的读写文件的读写赋权问题。 # 比如日志文件就必须给与该用户写入权限等。 #nopriv_user=ftpsecure nopriv_user=vsftpd # # Enable this and the server will recognise asynchronous ABOR requests. Not # recommended for security (the code is non-trivial). Not enabling it, # however, may confuse older FTP clients. # 设定支持异步传输功能。 async_abor_enable=YES # # By default the server will pretend to allow ASCII mode but in fact ignore # the request. Turn on the below options to have the server actually do ASCII # mangling on files when in ASCII mode. # Beware that on some FTP servers, ASCII support allows a denial of service # attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd # predicted this attack and has always been safe, reporting the size of the # raw file. # ASCII mangling is a horrible feature of the protocol. # 设定支持ASCII模式的上传和下载功能 ascii_upload_enable=YES ascii_download_enable=YES # # You may fully customise the login banner string: # 设定Vsftpd的登陆标语。 ftpd_banner=This Vsftp server supports virtual users ^_^ # # You may specify a file of disallowed anonymous e-mail addresses. Apparently # useful for combatting certain DoS attacks. #deny_email_enable=YES # (default follows) #banned_email_file=/etc/vsftpd/banned_emails # # You may specify an explicit list of local users to chroot() to their home # directory. If chroot_local_user is YES, then this list becomes a list of # users to NOT chroot(). # 禁止用户登出自己的FTP主目录。 #chroot_list_enable=YES chroot_list_enable=NO # (default follows) #chroot_list_file=/etc/vsftpd/chroot_list # # You may activate the "-R" option to the builtin ls. This is disabled by # default to avoid remote users being able to cause excessive I/O on large # sites. However, some broken FTP clients such as "ncftp" and "mirror" assume # the presence of the "-R" option, so there is a strong case for enabling it. # 禁止用户登陆FTP后使用"ls -R"的命令。 # 该命令会对服务器性能造成巨大开销。如果该项被允许,那么挡多用户同时使用该命令时将会对该服务器造成威胁。 #ls_recurse_enable=YES ls_recurse_enable=NO # When "listen" directive is enabled, vsftpd runs in standalone mode and # listens on IPv4 sockets. This directive cannot be used in conjunction # with the listen_ipv6 directive. # 设定该Vsftpd服务工作在StandAlone模式下。 # 顺便展开说明一下,所谓StandAlone模式就是该服务拥有自己的守护进程支持, # 在ps -A命令下我们将可用看到vsftpd的守护进程名。 # 如果不想工作在StandAlone模式下,则可以选择SuperDaemon模式,在该模式下vsftpd将没有自己的守护进程, # 而是由超级守护进程Xinetd全权代理,与此同时,Vsftp服务的许多功能将得不到实现。 listen=YES # # This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6 # sockets, you must run two copies of vsftpd whith two configuration files. # Make sure, that one of the listen options is commented !! #listen_ipv6=YES # 设定PAM服务下Vsftpd的验证配置文件名。因此,PAM验证将参考/etc/pam.d/下的vsftpd文件配置。 pam_service_name=vsftpd # 设定userlist_file中的用户将不得使用FTP。 userlist_enable=YES # 设定支持TCP Wrappers。 tcp_wrappers=YES # KC: The following entries are added for supporting virtual ftp users. # 以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置。 # 设定启用虚拟用户功能。 guest_enable=YES # 指定虚拟用户的宿主用户。 guest_username=overlord # 设定虚拟用户的权限符合他们的宿主用户。 virtual_use_local_privs=YES # 设定虚拟用户个人Vsftp的配置文件存放路径。 # 也就是说,这个被指定的目录里,将存放每个Vsftp虚拟用户个性的配置文件, # 一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。 user_config_dir=/etc/vsftpd/vconf
vsftpd日志文件
touch /var/log/vsftpd.log chown vsftpd.vsftpd /var/log/vsftpd.log
vsftpd虚拟用户
1.建立虚拟用户配置文件存放路径
mkdir /etc/vsftpd/vconf/
2.建立虚拟用户名单文件
# 建立虚拟用户名单文件,这个文件就是来记录vsftpd虚拟用户的用户名和口令的数据文件,我这里给它命名为virtusers。 # 为了避免文件的混乱,我把这个名单文件就放置在/etc/vsftpd/下。 touch /etc/vsftpd/virtusers vi /etc/vsftpd/virtusers # 内容如下 kanecruise 123456 near 123456near mello 123456mello
3.生成虚拟用户数据文件
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db # 察看生成的虚拟用户数据文件 ll /etc/vsftpd/virtusers.db -rw-r--r-- 1 root root 12288 5月 19 14:37 /etc/vsftpd/virtusers.db # 需要特别注意的是,以后再要添加虚拟用户的时候, # 只需要按照“一行用户名,一行口令”的格式将新用户名和口令添加进虚拟用户名单文件。 # 但是光这样做还不够,不会生效的哦! # 还要再执行一遍“ db_load -T -t hash -f 虚拟用户名单文件 虚拟用户数据库文件.db ”的命令使其生效才可以!
4.设定PAM验证文件,并指定虚拟用户数据库文件进行读取
vi /etc/pam.d/vsftpd # 增加如下两行 auth sufficient pam_userdb.so db=/etc/vsftpd/virtusers account sufficient pam_userdb.so db=/etc/vsftpd/virtusers # 这里的auth是指对用户的用户名口令进行验证。 这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。 # 其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。 # 相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败, # 意味着用户还必须将经历剩下来的验证审核。 # 再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。 # 最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。
5.虚拟用户配置文件模板
# 规划好虚拟用户的主路径 mkdir /opt/vsftp/ # 建立测试用户的FTP用户目录 mkdir /opt/vsftp/kanecruise/ /opt/vsftp/mello/ /opt/vsftp/near/ # 建立虚拟用户配置文件模版 cp /etc/vsftpd/vsftpd.conf.backup /etc/vsftpd/vconf/vconf.tmp # 定制虚拟用户模版配置文件 vi /etc/vsftpd/vconf/vconf.tmp # 内容如下 # 指定虚拟用户的具体主路径。 local_root=/opt/vsftp/virtuser # 设定不允许匿名用户访问。 anonymous_enable=NO # 设定允许写操作。 write_enable=YES # 设定上传文件权限掩码。 local_umask=022 # 设定不允许匿名用户上传。 anon_upload_enable=NO # 设定不允许匿名用户建立目录。 anon_mkdir_write_enable=NO # 设定空闲连接超时时间。 idle_session_timeout=600 # 设定单次连续传输最大时间。 data_connection_timeout=120 # 设定并发客户端访问个数。 max_clients=10 # 设定单个客户端的最大线程数,这个配置主要来照顾Flashget、迅雷等多线程下载软件。 max_per_ip=5 # 设定该用户的最大传输速率,单位b/s。 local_max_rate=50000 # 这里将原vsftpd.conf配置文件经过简化后保存作为虚拟用户配置文件的模版。 # 这里将并不需要指定太多的配置内容,主要的框架和限制交由 Vsftpd的主配置文件vsftpd.conf来定义, # 即虚拟用户配置文件当中没有提到的配置项目将参考主配置文件中的设定。 # 而在这里作为虚拟用户的配置文件模版只需要留一些和用户流量控制,访问方式控制的配置项目就可以了。 # 这里的关键项是local_root这个配置,用来指定这个虚拟用户的FTP主路径。
6.更改虚拟用户的主目录的属主为虚拟宿主用户
chown -R overlord.overlord /opt/vsftp/ # 检查权限 ll /opt/vsftp/
7.给测试用户定制
cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/kanecruise vi /etc/vsftpd/vconf/kanecruise # 内容如下 local_root=/opt/vsftp/kanecruise anonymous_enable=NO write_enable=YES local_umask=022 anon_upload_enable=NO anon_mkdir_write_enable=NO idle_session_timeout=300 data_connection_timeout=90 max_clients=1 max_per_ip=1 local_max_rate=25000
启动服务
service vsftpd start
补充
vsftpd:500 OOPS: vsftpd: refusing to run with writable root inside chroot ()
vsftpd:500 OOPS: vsftpd: refusing to run with writable root inside chroot () # 从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了! # 如果检查发现还有写权限,就会报该错误。 # 要修复这个错误,可以用命令chmod a-w /home/user去除用户主目录的写权限 # 或者你可以在vsftpd的配置文件中增加一项: # allow_writeable_chroot=YES # eg : chroot_list中指定的用户才可以chroot # chroot_local_user=YES # chroot_list_enable=YES # chroot_list_file=/etc/vsftpd/chroot_list # allow_writeable_chroot=YES # reference : http://blog.csdn.net/bluishglc/article/details/42399439 # 对chroot_list_file=/etc/vsftpd.chroot_list的一点说明 # http://www.linuxidc.com/Linux/2013-09/90560.htm # 如果设置为 # chroot_local_user=YES # chroot_list_enable=YES(这行可以没有, 也可以有) # chroot_list_file=/etc/vsftpd.chroot_list # 那么, 凡是加在文件vsftpd.chroot_list中的用户都是不受限止的用户,即可以浏览其主目录的上级目录。 # 如果设置如下 # chroot_local_user=NO # chroot_list_enable=YES(这行必须要有, 否则文件vsftpd.chroot_list不会起作用) # chroot_list_file=/etc/vsftpd.chroot_list # 此时, 在该文件中的用户都是不可以浏览其主目录之外的目录的
550 create directory operation failed
# 解决方法: 关闭selinux vi /etc/selinux/config # 将 SELINUX=XXX -->XXX 代表级别 SELINUX=disabled # reference : http://blog.csdn.net/yuwenruli/article/details/8767160[/code]Port模式和Pasv模式
http://blog.csdn.net/ldx891113/article/details/38338539
相关文章推荐
- vsftpd 安装配置详细教程
- CentOS7.2 安装配置vsftpd
- Windows下MySQL 5.7.18免安装版的安装配置教程
- win7下mysql5.7.17安装配置方法图文教程
- CentOS 6.5系统安装配置图解教程(详细图文)
- Hadoop安装教程_单机/伪分布式配置_Hadoop2.6.0/Ubuntu14.04
- Mysql免安装版配置教程和常用命令图
- Ubuntu 14.04 FTP服务器--vsftpd的安装和配置
- MySql免安装版配置使用教程
- vsftpd 和Proftp 安装与配置 ZT
- Eclipse4.5在线安装Aptana插件及配置代码提示教程
- 【Redis教程】Redis 简介、安装与配置(一)
- linux服务器subversionSVN安装配置及windows客户端TortoiseSVN使用教程
- nodejs教程:安装express及配置app.js文件------转
- 安装配置MySQLMTOP来监控MySQL运行性能的教程
- MySQL5.6免安装版环境配置图文教程
- MySQL下载安装、配置与使用教程详细版(win7x64)
- Spket在Eclipse/MyEclipse下的安装和配置(图文教程)
- CentOS 7下安装配置proftpd搭建ftp服务器的详细教程