vsftpd 服务器的搭建及详解

Vsftpd

1.  Vsftpd文件共享

1.1简介

Vsftpd是“very secure FTP daemon”的缩写,是一款非常安全的FTP软件。支持IPv6以及SSL加密。Vsftpd的安全性主要体现三个方面:进程分离,处理不同任务的进程彼此是独立运行的;进程运行均以最小权限运行;多数进程都使用chroot进行了禁锢,防止客户访问非法共享目录。端口号为21端口

1.2特点

         1.它是一个安全、高速、稳定的FTP服务器;可以做基于多个IP的虚拟FTP主机服务器

2.vsftpd是以一般身份启动服务,并且用chroot进行改换根目录;匿名服务设置方便,根目录不需要特殊的目录结构、系统程序或系统文件

              3.任何需要具有个较高权限的vsftpd指令均以一支特殊的上层程序(parent process)所控制,并且该上层程序享有的较高执行权限功能已经被限制的相当低。

              3.所有的客户端,想要使用这只上层程序所提供的较高执行权限之vsftpd指令的需求,均被视为不可信任的要求来处理,必须要经过相当程度的身份确认后方可利用该上层程序的功能。例如chown、login的要求等等

              4.上层程序中依然使用chroot的功能来限制使用者的权限

            5.不执行任何外部程序,从而减少了安全隐患;

         6.支持虚拟用户,并且每个虚拟用户可以具有独立的属性配置;

         7.可以设置从inetd中启动,或者独立的FTP服务器两种运行方式;

            8.支持两种认证方式:PAP或tcp_wrappers;

          9.支持带宽限制

       1.3 性能

安全性方面vsftpd服务只需一般用户身份启动,相对 Linux 系统的使用权限较低。且任何来自想使用vsftpd较高执行权限的指令请求, 均被视为不可信任的请求,需经过一定身份认证后方可使用。同时,vsftpd 整合了大部分ftp会使用到的额外指令,因此减少了对系统功能的依赖。且应用 chroot限定了使用者根目录,限制使用者的执行权限。

速度方面使用ASCII代码的模式下载数据时,VSFTP的速度是Wu-FTP的两倍。如果Linux主机使用2.4的内核,在千兆以太网上的下载速度可达86MB/S。

稳定方面VSFTP在单机(非集群)上支持4000个以上的并发用户同时连接,根据Red Hat的Ftp服务器(ftp.redhat.com)的数据,VSFTP服务器可以支持15000个并发用户。

1.4 缺点

     vsftp 没有处理文件编码转换,从windows客户端访问时有乱码现象。可以转换服务器目录文件编码或者使用FTP客户端工具来访问服务器解决乱码现象。

2.  FTP工作方式

    2.1主动FTP工作模式

        主动FTP模式的工作步骤如下:

        a.    客户端随机开启大于1024的X端口与服务器21端口建立连接通道,通道建立后,客户端随时可以通过该通道发送上传或者下载命令。

        b.    当客户端需要与服务器进行数据传输时,客户端回再开启一个大于1024的随机端口Y,并将Y端口号通过之前的命令通道传送给服务器的21端口

        c.     服务器获取到客户端的第二个端口后会主动连接客户端的该端口,通过三次握手后,完成服务器与客户端数据通道的建立,所有的数据均通过该数据通道进行传输。

2.2被动FTP工作模式

         被动FTP模式的工作过程如下:

        a.    客户端你随意开启大于1024的X端口与服务器的21端口建立连接通道

        b.    当客户端需要与服务器进行数据传输时,客户端从命令通道发送数据请求要求上传或下载数据

        c.     服务器收到数据请求后会随机开启一个端口Y,并通过命令通道将该端口信息传送给客户端

        d.    客户端在收到服务器发送过来的数据端口Y的信息后,将在客户端本地开启一个随机端口Z,此时客户端再主动通过本机的Z端口与服务器的    Y端口进行连接,通过三次握手连接完成后,即可进行数据传输。

3.  配置文件解析


账户类型

 设置参数 功能
全局设置
lsten=YES

 是否监听端口

lsten_port=21

 监听端口号

write_enable=YES

 是否允许写操作

download_enable=YES

 是否允许用户下载
dirmessage_enable 进入目录是否显示消息
xferlog_enable=YES 是否开启xferlog日志功能
xerlog_std_format=YES xferlog日志文件格式
connect_from_port_20=YES 使用主动模式连接,端口20

pasv_enable=YES

 是否启用被动模式连接,默认为被动模式

pasv_max_port=24600

 被动模式连接的最大端口号
pasv_min_port=24500 被动模式连接的最小端口号
userlist_enable=YES 是否启用userlist用户列表
userlist_deny=YES 是否禁用userlist文件中额账户访问FTP

max_clents=2000

 最大允许同事2000客户端连接,0代表无限制
max_per_ip=0
每个客户端的最大连接限制,0代表无限制
tcp_wrappers=YES 是否启用tcp_wrappers
guest_enable=YES 所有的非匿名登录都映射为guest_username指定的账户

guest_username=ftp

anonymous_enable=YES

是否开启匿名访问功能,默认开启

 设定来宾用户
user_config_dir=/etc/vsftpd/conf 指定用户设置独立配置文件与选项的目录

dual_log_enable=NO
否启用双日志功能,生成两个日志文件

anonymous_enable=YES

 是否开启匿名访问功能,默认开启
匿名账户
 anon_max_rate=0 匿名数据传输率(B/s)

anon_root=/var/ftp

 匿名访问FTP根目录
anon_upload_enbale=YES 是否允许匿名账户上传,默认禁止
anon_mkdir_write_enable=YES 是否允许匿名账户创建目录,默认禁止
anon_other_write_enable=YES 是否允许匿名账户进行其他的所有写操作
anon_umask=077 匿名上传权限掩码
本地账
local_enable=YES

 是否启用本机账户FTP功能
local_max_rate=0 本地账户数据传输率(B/s)
local_umask=077 本地账户权限掩码

chroot_local_user=YES

 是否禁锢本地账户根目录,默认为NO
local_root=/ftp/common 本地账户访问FTP根路径

1.  Vsftpd案例

4.1本地账户FTP

     案例背景:一公司搭建本地FTP服务器为公司员工使用,初定3位员工:Tom、Jack、Mary

(1)  安装vsftpd

[[email protected] /]# yum -y install vsftpd

[[email protected] /]# service vsftpd start

[[email protected] /]# chkconfig vsftpd on

(2)  修改配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错

[[email protected]]# vim vsftpd/vsftpd.conf

anonymous_enable=NO  #是否允许匿名访问    

local_enable=YES     #是否启用本机账户FTP功能

write_enable=YES     #是否允许写操作                 

local_umask=022     #本地账户权限umask         

dirmessage_enable=YES#用户进入目录是否显示信息

xferlog_enable=YES    #是否开启xferlog日志功能

xferlog_std_format=YES #xferlog日志格式           

listen=YES                         #是否开启监听                  

pam_service_name=vsftpd # 指定pam的配置文件为vsftpd

userlist_enable=YES     #启用userlist用户文件列表

tcp_wrappers=YES      #是否启用tcp_wrappers     

(3)  创建系统账户与测试文件    

[[email protected] /]# useradd -s/sbin/nologin Tom

[[email protected] /]# useradd -s/sbin/nologin Jack

                 [[email protected] /]# useradd -s/sbin/nologin Mary

                 [[email protected] /]# touch/home/{Tom,Jack,Mary}/test.txt

            (4)  关闭防火墙SELINUX和设置自启动

    [[email protected] /]# setenforce 0

    [[email protected] /]# service iptables stop

    [[email protected] /]# service vsftpd start

    [[email protected] /]# chkconfig vsftpd on

            (5)  访问ftp客户端

在访问客户端之前需要修改下用户的密码(这是必须滴,养成习惯)

[[email protected] /]# passwd Tom

[[email protected] /]# passwd Jack

[[email protected] /]# passwd Mary

在浏览器中输入 ftp://ip就成功了。。。

4.2虚拟账户FTP

          案例背景:满足大量的账户访问需求

(1)  创建虚拟用户数据库

创建明文密码文件:明文文件奇数行为用户名,偶数行为密码。

使用db_load工具将其转换为数据库文件

db_load是通过安装db4-utils获得

           [[email protected] ~]# yum -yinstall db4-utils   

              [[email protected] ~]# vim /etc/vsftpd/vlogin

                     tomcat

                     123456

                     jerry

                     654321

                     [[email protected]~]# db_load –T –t hash –f /etc/vsftpd/vlogin /etc/vsftpd/vlogin.db

                     [[email protected]~]# chmod 600 /etc/vsftpd/{vlogin,vlogin.db}

(2)  创建PAM文件,这是虚拟账户验证

Linux一般通过PAM文件设置账户验证机制,通过创建新的PAM文件,使用新的数据文件进行登录验证

PAM文件中的db选项于指定并验证账户和密码的数据库文件,数据库文件无需.db的名称后缀

authrequired /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin

account required /lib64/security/pam_userdb.sodb=/etc/vsftpd/vlogin

(3)  设置虚拟账户共享目录

[[email protected]~]# useradd -s /sbin/nologin -d /home/ftp virtual

[[email protected] ~]# cp /etc/redhat-release/home/ftp

(4)  修改主配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错

[[email protected] /]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=NO              #是否开启开启匿名访问功能

local_enable=YES                                   #是否开启本机账户FTP功能

write_enable=YES                                 #是否允许写操作            

anon_upload_enable=YES            #是否允许默认上传功能    

anon_mkdir_write_enable=NO        #是否允许匿名账户创建目录功能

anon_other_write_enable=NO        #是否允许匿名账户其他写入功能

chroot_local_user=YES                #是否禁锢本地账户根目录    

guest_enable=YES                                 #启用则所有非匿名登录都映射为guest_username指定的账户

guest_username=virtual                       #指定来宾用户

listen=YES                                                 #是否监听端口

listen_port=21                                             #监听端口为21端口

pasv_enable=YES                                         #是否启用被动连接模式

pasv_min_port=30000                                #被动连接最小端口号

pasv_max_port=30999                               #被动连接最大端口号

pam_service_name=vsftpd.pam                #指定PAN验证机制的配置文件

user_config_dir=/etc/vsftpd_user_conf    #用户配置文件和选项所在目录

user_sub_token=$USER                 #为每个虚拟用户创建家目录                                 

(5)  为每个用户设置独立的共享路径

[[email protected]/]# mkdir /etc/vsftpd_user_conf

[[email protected]/]# mkdir -p /home/ftp/tomcat

[[email protected] /]# service vsftpd restart

(6)  客户端访问

在浏览器中输入 ftp://ip就成功了。。。

2.  常见问题分析

    1.  提示错误代码: 530 Login incorrect

以上错误说明登录验证账户失败。可能是使用64位系统,而pam文件中库文件使用的是/lib/ 而不是/lib64/ 还有可能是用户名和密码输入错误

也可能是vsftpd主配置文件中设置的pam_servcie_name设置的pam文件名称和/etc/pam.d中创建的pam文件名称不一致导致无法验证成功。

    2.  提示错误代码: 500 OOPS: cannot changedirectory: /home/ftp/$USER

该提示代表目录不存在或无权限导致无法切换至目录,也可能是由于SELinux导致无法共享账户家目录,默认SELinux不允许共享家目录

    3.  登录后无法上传数据

匿名账户和虚拟账户检查以anon_开头的权限设置,本地账户检查以local_开头的权限设置,并且要确保全局write_enable设置为YES

另外,文件系统目录的权限也需要修改,确保客户端账户有权限访问该目录。

    4.  启动服务时报错: 500 OPPS: bad bool valueconfig file

Vsftpd配置文件设置错误,检查配置文件。配置文件要求每个设置项占用独立的一行,并且不可以有多余的空格

这篇博文主要是参考丁明一前辈的《运维之道》。。。。有问题的话希望大家能够指出

时间: 2024-10-05 14:41:02

vsftpd 服务器的搭建及详解的相关文章

Linux之samba服务器的搭建及详解

SAMBA简介 SAMBA是什么 Samba,是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS(Server Message Block/Common Internet File System)网络协议做链接的自由软件.第三版不仅可访问及分享SMB的文件夹及打印机,本身还可以集成入Windows Server的网域,扮演为网域控制站(Domain Controller)以及加入Active Directory成员.简而言之,此软件在Windows与UNIX系列OS之

大数据学习系列之七 ----- Hadoop+Spark+Zookeeper+HBase+Hive集群搭建 图文详解

引言 在之前的大数据学习系列中,搭建了Hadoop+Spark+HBase+Hive 环境以及一些测试.其实要说的话,我开始学习大数据的时候,搭建的就是集群,并不是单机模式和伪分布式.至于为什么先写单机的搭建,是因为作为个人学习的话,单机已足以,好吧,说实话是自己的电脑不行,使用虚拟机实在太卡了... 整个的集群搭建是在公司的测试服务搭建的,在搭建的时候遇到各种各样的坑,当然也收获颇多.在成功搭建大数据集群之后,零零散散的做了写笔记,然后重新将这些笔记整理了下来.于是就有了本篇博文. 其实我在搭

Spring MVC 框架搭建及详解

一.Spring MVC环境搭建:(Spring 2.5.6 + Hibernate 3.2.0) 1. jar包引入 Spring 2.5.6:spring.jar.spring-webmvc.jar.commons-logging.jar.cglib-nodep-2.1_3.jar Hibernate 3.6.8:hibernate3.jar.hibernate-jpa-2.0-api-1.0.1.Final.jar.antlr-2.7.6.jar.commons-collections-3

服务器TIME_WAIT和CLOSE_WAIT详解和解决办法

转载的服务器TIME_WAIT和CLOSE_WAIT详解和解决办法

使用Navicat或者其他数据库工具连接阿里云EDS(数据库服务器)实例过程详解

使用Navicat或者其他数据库工具连接阿里云EDS(数据库服务器)实例过程详解 背景:这几天从阿里云上面购买了云服务器,最垃圾的那种,还送oss和EDS数据库服务器,只不过EDS数据库服务器只有一个月的,就主动升级为一年的,49还是59忘了.对于配置这种EDS过程中,产生的一个念头就是:大厂就是大厂,考虑到用户使用产品的各个方面,都给你解释的清清楚楚,安排的明明白白的.所以,完全可以按照官方给的文档数据库权限用户和创建数据库和表,并使用Navicat连接到远程服务器 自己写文档不给官方文档,实

Memcached集群/分布式/高可用 及 Magent缓存代理搭建过程 详解

当网站访问量达到一定时,如何做Memcached集群,又如何高可用,是接下来要讨论的问题. 有这么一段文字来描述“Memcached集群” Memcached如何处理容错的? 不处理!:) 在memcached节点失效的情况下,集群没有必要做任何容错处理.如果发生了节点失效,应对的措施完全取决于用户.节点失效时,下面列出几种方案供您选择: * 忽略它! 在失效节点被恢复或替换之前,还有很多其他节点可以应对节点失效带来的影响. * 把失效的节点从节点列表中移除.做这个操作千万要小心!在默认情况下(

LAMP架构搭建以及基于LAMP架构的主流论坛和博客搭建过程详解

了解网站架构的朋友都知道,现在很多网站的架构都是采用LAMP(Linux+Apache+Mysql/Mariadb+Php)的,至于LAMP架构本身我们就不做过于深入的探讨了,今天我给大家分享的是关于如何搭建LAMP构架,以及如何基于lamp架构去搭建目前国内比较流行的两大开源论坛(phpwind.discuz)一大开源博客(wordpress),通过这个过程也就能让大家明白我们经常上的论坛以及博客,包括包括我们访问的各个网站到底是如何工作起来的. 注意:为了方便给大家展示实验效果,我们就直接关

samba服务器配置文件smb.conf详解

配置文件详解    Samba配置文件非常简介明了,所有的设置都在/etc/samba/smb.conf配置文件中进行,通过对该配置文件的修改我们可以将Samba配置为一台匿名文件服务器.基于账户的文件服务器或打印服务器,默认Samba会开启本地帐号家目录共享与打印机共享,配置文件中以#或;符号开头的行为注释行,配置文件分为若干段,除了global(全局配置段)之外的其余所有段用来描述共享资源,全局段中的配置代表全局有效,是全局的默认设置.但如果全局配置段中的设置项与共享段中的设置项有冲突,则共

FineBI学习系列之FineBI官网提供的服务器数据集(图文详解)

不多说,直接上干货! 这是来自FineBI官网提供的帮助文档 http://help.finebi.com/http://help.finebi.com/doc-view-30.html 目录: 1.描述 2.设计器远程连接方法及步骤 3.服务器数据集建立步骤 4.服务器数据集使用方法 1.描述 在前面章节中我们介绍了如何通过BI的数据连接功能来连接要访问的数据库,具体见 这一节介绍如何使用服务器数据集.与数据库数据集不同,服务器数据集是不随数据连接的变化而变化的,这些数据存储在BI的服务器中的