工作模式
ftp有2种工作模式: 主动和被动
主动模式: 1、客户端从大于1024端口到服务器的21端口 2、服务器的21端口到客户端大于1024的端口 3、FTP服务器的20端口到大于1024的端口 4、客户端大于1024端口到FTP服务器的20端口 被动模式: 1. 客户端从任何大于1024的端口到服务器的21端口 2. 服务器的21端口到客户端任何大于1024的端口 3. 客户端从任何大于1024端口到服务器的大于1024端口 4. 服务器的大于1024端口到远程的大于1024的端口
登录方式
vsftp允许三种用户登录:
本地用户(系统中的用户) 匿名用户(anonymous免密码登录) 虚拟用户(基于本地用户)
虚拟用户以本地用户为宿主(一般是不能登录系统的本地用户),仅仅用于登录vsftp,无法登陆系统;
可以建立多个虚拟用户,设置各自的密码,并且根据其用途设置相应的配置,能适应多种情况。
- Vsftpd的安装
安装环境说明:
Centos release 6.4 (Final): 2.6.32-358.el6.x86_64 Vsftp 安装版本: vsftpd-2.2.2-14.el6_7.1.x86_64 mysql Ver 14.14 Distrib 5.1.73
使用yum的方式安装vsftpd
yum install –y vsftpd
2、 一般默认的目录、文件说明
/etc/rc.d/init.d/vsftpd # 启动脚本 /etc/vsftpd/vsftpd.conf # 主配置文件 /etc/pam.d/vsftpd # PAM认证文件 /etc/vsftpd/ftpusers # 禁止使用vsftpd用户列表文件 /etc/vsftpd/user_list # 如vsftpd.conf的userlist_deny=NO则次文件为可以允许登录用户文件,反之不允许登录文件 /etc/vsftpd/chroot_list # 不能离开主目录的用户列表 /var/ftp # 匿名用户主目录 /var/ftp/pub # 匿名用户的下载目录
3、 主配置文件 /etc/vsftpd/vsftpd.conf
anonymous_enable=NO # 不允许匿名登录 local_enable=YES # 设定本地用户可以访问。注:如使用虚拟宿主用户,在该项目设定为NO的情况下所有虚拟用户将无法访问 write_enable=YES local_umask=022 anon_upload_enable=NO # 禁止匿名用户上传 anon_mkdir_write_enable=NO # 禁止匿名用户创建目录 dirmessage_enable=YES # 进入目录时可以显示一些设定的信息,可以通过message_file=.message来设置 xferlog_enable=YES # 开启日志 connect_from_port_20=YES # 主动连接的端口号 xferlog_file=/var/log/vsftpd.log # 启用日志记录 xferlog_std_format=YES # 日志格式 nopriv_user=vsftpd # 启动用户 chown_uploads=NO # 设定禁止上传文件更改宿主 ascii_upload_enable=YES # 设定支持ASCII模式的上传和下载功能 ascii_download_enable=YES ftpd_banner=Welcome to blah FTP service # 登陆欢迎语 chroot_local_enable=YES chroot_list_enable=YES # 使用户不能离开主目录 chroot_list_file=/etc/vsftpd/chroot_list # 不能离开主目录的用户列表 listen=YES # 以standalone方式来启动 pam_service_name=vsftpd # PAM认证文件名。PAM将根据/etc/pam.d/vsftpd进行认证 userlist_enable=YES # 在/etc/vsftpd/user_list中的用户将不得使用FTP tcp_wrappers=YES # 支援 TCP Wrappers 的防火墙机制 # 以下内容是默认没有的,按需添加 ### 开启虚拟用户 guest_enable=YES # 启用虚拟用户功能 guest_username=ftp # 将虚拟用户映射为本地ftp用户(指定虚拟用户的宿主用户)。Centos默认有ftp用户 virtual_use_local_privs=YES # 虚拟用户的权限符合他们的宿主用户 user_config_dir=/etc/vsftpd/vuser_conf # 虚拟用户个人vsftpd的配置文件存放路径。注意:配置文件名必须和虚拟用户名相同 ### 开启PASV模式(被动模式) pasv_enable=YES pasv_min_port=40000 # 最小端口号 pasv_max_port=40100 # 最大端口号 pasv_promiscuous=YES ### 会话限制(全局),同时可以在用户的权限文件里面设置 idle_session_timeout=600 # 用户会话空闲后10分钟 data_connection_timeout=120 # 将数据连接空闲2分钟断 max_clients=10 # 最大客户端连接数 max_per_ip=5 # 每个ip最大连接数 local_max_rate=0 # 限制上传速率,0为无限制
二、 虚拟用户账号密码设置
虚拟账号有2中保存方法,db4和MySQL数据库
1、使用db4数据库保存ftp虚拟账号密码
yum install -y db4 db4-utils a) 自定义创建用户密码文件 /etc/vsftpd/vuser_passwd.txt ,注意奇行是用户名,偶行是密码(一行是账号一行是密码 cat /etc/vsftpd/vuser_passwd.txt admin # 账号 123456 # 密码 b) 生成虚拟用户认证的db文件,将文本内的帐号及密码添加到db4的数据库文件内 db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt/etc/vsftpd/vuser_passwd.db c) 编辑认证文件/etc/pam.d/vsftpd,全部注释掉原来语句,再增加以下两句: authrequired pam_userdb.so db=/etc/vsftpd/vuser_passwd account required pam_userdb.sodb=/etc/vsftpd/vuser_passwd anon_other_write_enable=YES # 其他权限(删除,重命名) download_enable=YES
2、使用MySQL数据保存ftp虚拟账号密码
a)建立一个库并设置相应权限 # mysql –uroot -p mysql>create database vsftp; mysql>use vsftp; mysql>create table users (id INT NOT NULL AUTO_INCREMENT PRIMARYKEY,name CHAR(20) NOT NULL UNIQUE KEY,password CHAR(48) NOT NULL); mysql>insert into users (name,passwd) values (‘ admin ‘,‘123456‘); mysql>insert into users (name,passwd) values (‘test‘,‘123456‘); mysql>grant select on vsftp.users to [email protected] identifiedby ‘123456‘; mysql>flush privileges; mysql>quit b)下载libpam-mysql进行安装编译 下载地址如下: http://nchc.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz tar xzvf pam_mysql-0.7RC1.tar.gz cd pam_mysql-0.7RC1 ./configure --with-openssl make && make install cp /lib/security/pam_mysql.* /lib64/security/ c)建立PAM认证信息 # cat /etc/pam.d/vsftpd ,原来的都注释掉,添加内容如下 auth required /lib64/security/pam_mysql.so user=vsftp passwd=123456host=localhost db=vsftp table=users usercolumn=name passwdcolumn=passwordcrypt=0 account required /lib64/security/pam_mysql.so user=vsftppasswd=123456 host=localhost db=vsftp table=users usercolumn=namepasswdcolumn=password crypt=0 # user,passwd 用户名密码对应上面的MySQL授权账号 # usercolumn 对应ftp用户 # passwdcolumn 对应ftp用户密码 # crypt=0: 明文密码 # crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt(),encrypt()随机产生salt) # crypt=2: 使用MYSQL中的password()函数加密 # crypt=3:表示使用md5的散列方式
可以看出,和前面的用db库来验证没有多大区别,其实就是一个东西,一个用mysql来验证,一个用db库
/etc/init.d/vsftpd restart # 重启
三、虚拟用户权限文件设置
1、置文件vsftpd.conf中指定虚拟用户的权限目录
user_config_dir=/etc/vsftpd/vuser_conf
2、创建虚拟用户配置文件
mkdir-pv /etc/vsftpd/vuser_conf cat /etc/vsftpd/vuser_conf/admin #文件名等于vuser_passwd.txt里面的账户名,否则下面设置无效 local_root=/data/ftp/www # 虚拟用户根目录,根据实际情况修改 write_enable=YES # 可写 anon_umask=022 anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES # 新建文件、目录
3、新建虚拟用户admin 权限文件
cat/etc/vsftpd/vuser_conf/admin local_root=/data/ftp/zztm/admin #虚拟用户根目录,根据实际情况修改 write_enable=YES # 写权限(上传、下载、删除、重命名) anon_world_readable_only=NO # 下载权限(只能下载)。注意这个地方千万不能写成YES,否则用户将不能列出文件和目录 download_enable=YES # 下载 upload_enable=YES # 上传权限 anon_mkdir_write_enable=YES # 创建文件权限 anon_other_write_enable=YES # 删除和重命名文件 只能上传,新建文件,不能下载、修改、重命名文件的权限设置如下 write_enable=YES anon_world_readable_only=NO anon_upload_enable=YES # 上传 anon_mkdir_write_enable=YES # 新建文件 anon_other_write_enable=NO download_enable=NO
iptables添加
-A INPUT -m state--state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state--state NEW -m tcp -p tcp --dport 40000:40100 -j ACCEPT
# service iptables restart 重启iptables
# /etc/init.d/vsftpd start 启动ftp服务
# ps –ef| grep vsftp 查看进程是否启动
时间: 2024-08-24 14:29:10