vSFTP（FTP服务）

系统版本：CentOS7.X

概念

vSFTP协议有两个端口：20和21。21用于会话控制，20用于数据传输。

vSFTP使用PAM认证机制进行用户身份验证。PAM（Pluggable Authentication Modules）可插拔认证模块是由Sun互联网技术服务公司提出的一种用户密码认证机制。它通过一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开。

vSFTP支持三种用户访问方式：匿名访问、用户访问、虚拟用户访问。

• 匿名：无需要用户名和密码，使用默认匿名用户访问文件服务。
• 用户：基于系统用户名和密码才可访问文件服务。
• 虚拟用户：将一个真实用户可以映射成多个虚拟用户，使用虚拟用户身份访问文件服务。

vSFTP的数据传输模式：主动模式和被动模式。

• 主动模式：服务端20端口主动连接客户端20号端口，相同端口连接传输效率高。
• 被动模式：服务端20端口被动连接客户端非20号端口，不同端口连接传输可增加安全性。

服务端：搭建FTP服务

# yum -y install vsftpd

二、修改配置文件

# unalias cp                                                       （临时取消CP命令弹出提示

# cp -f /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak        （备份主配置文件

# cat /etc/vsftpd/vsftpd.conf.bak |grep -Ev "^#|^$|^;" >/etc/vsftpd/vsftpd.conf（过滤#；空格开头的行到vsftpd.conf文件中

# vi /etc/vsftpd/vsftpd.conf                                       （修改主配置文件

listen=YES                          #开启vSFTP服务以独立进程运行

listen_port=21                      #设置监听端口

listen_address=0.0.0.0              #设置监听地址

pasv_enable=YES                     #设置数据传输模式为被动模式

pam_service_name=vsftpd             #设置PAM认证文件位置，对应/etc/pam.d/vsftpd文件。此项为必须。

xferlog_enable=YES     `            #开启Xferlog日志功能

xferlog_file=/var/log/xferlog       #指定Xferlog日志文件位置

xferlog_std_format=YES              #指定日志文件的存档格式为Xferlog日志格式

tcp_wrappers=NO                     #禁用TCP_wrappers主机访问控制功能

userlist_enable=NO                  #禁用用户列表控制功能

anonymous_enable=NO                 #禁用匿名用户访问

write_enable=YES                    #允许用户拥有可写权限

download_enable=YES                 #允许用户拥有下载权限

local_enable=YES                    #开启本地用户访问

local_root=/var/ftp                 #设置本地用户访问的家目录位置

local_umask=077                     #开启本地用户写入文件权限（反掩码），777-077=700

chroot_local_user=YES               #开启将本地用户禁锢在家目录

三、创建一个登录用户

# useradd tom -M -s /sbin/nologin      （创建用户，不允许创建家目录和登录系统

# echo "123" |passwd zhangsan --stdin  （密码

# chown tom.tom /var/ftp               （访问目录所属用户

# chmod 555 /var/ftp                   （设置主目录只允许读和执行的权限，主目录不允许有写的权限

四、开启服务

# systemctl start vsftpd

客户端：安装FTP客户端

# yum -y install ftp （安装FTP客户端

# ftp 192.168.116.131 （访问FTP服务

常用配置解读

PAM认证配置文件路经：/etc/pam.d/vsftpd

配置格式：

选项=YES/NO

选项=文件路径

选项=数值

配置说明

一、全局配置

listen=YES                          #设置监听进程的方式，YES为独立进程运行，NO则以Xined进程的方式运行，服务则由Xined管理工具控制。Xined是一种服务管理工具，类似于Redhat中的service命令。一般设置为YES。

listen_port=2                       #设置监听端口号。默认为21。

listen_address=0.0.0.0              #设置监听地址。如果不配置，默认监听所有IP。

connect_from_port_20=NO             #设置服务器数据传输是否为主动模式。如果为YES，则服务器主动从客户端的20端口建立数据连接，传输数据。

pasv_enable=YES                     #设置服务器数据传输是否为被动模式。默认开启，当服务端被动传输数据。

pasv_max_port=0                     #设置被动模式下客户端开启的最大端口号。

pasv_min_port=0                     #设置被动模式下客户端开启的最小端口号。

tcp_wrappers=NO                     #设置是否开启TCP_wrappers主机访问控制功能。如果为YES，则由TCP_wrappers网络防火墙控制，允许或拒绝那些主机才能访问FTP服务。

pam_service_name=vsftpd             #设置用于用户认证的PAM文件位置。此项必须存在。对应/etc/pam.d/vsftpd文件。

max_clients=2000                    #设置客户端最大连接数。

max_per_ip=50                       #设置相同IP同时连接的数量。0表示无限制。

ascii_download_enable=NO            #是否启用下载时采用ASCII方式传输文件。加密传输。

ascii_upload_enable=NO              #是否启用上传时采用ASCII方式传输文件。加密传输。

xferlog_enable=NO                   #控制开启xferlog日志功能。

xferlog_file=/var/log/xferlog       #指定日志记录位置。

xferlog_std_format=NO               #是否将日志记录的格式转换成xferlog格式。

write_enable=NO                     #控制所有用户登录是否可写。

download_enable=YES                 #控制所有用户是否允许下载操作。

user_config_dir=/etc/vsftpd/user    #针对每个用户创建不同的配置文件。这里指定存放用户配置文件的目录位置。每个用户的配置文件名与用户名必须相同。

userlist_enable=YES                 #是否开启用户列表控制功能。创建一个用户列表文件，每个用户名为一行。

userlist_file=/etc/vsftpd/user_list #指定用户列表文件位置。

userlist_deny=YES                   #设置是否拒绝这个用户列表文件中的用户访问登录。如果为YES则为拒绝，如果为NO则为允许。

二、匿名用户配置

anonymous_enable=YES                #控制匿名登录是否启用。如果启用则默认使用ftp和anonymous为匿名用户。

ftp_username=ftp                    #设置匿名用户名。默认为ftp。

anon_root=/var/ftp                  #设置匿名用户的主目录位置。默认是/var/ftp目录。

anon_mkdir_write_enable=NO          #如果为YES，则匿名用户允许创建、删除目录的权限，前提是开启write_enable=YES。

anon_other_write_enable=NO          #如果为YES，则匿名用户允许执行写入操作，除了上传和创建目录，如删除和重命名。

anon_upload_enable=NO               #如果为YES，则允许匿名用户上传文件，前提是开启write_enable=YES。

anon_world_readable_only=YES        #如果为YES，则匿名用户只拥有只读权限，只可以下载文件，不可修改和写入。

anon_max_rate0                      #设置匿名传输最大速率（以字节为单位）。0表示无限制。

anon_umask=077                      #设置匿名用户创建文件时的文件权限。为反掩码，转换成正掩码：777-077=700。

no_anon_password=NO                 #如果为YES，则匿名登录时不用要求输入密码直接登录。

三、本地用户配置

local_enable=NO                     #本地用户启用开关，如果启用的话则访问文件服务需要输入用户名和密码，默认读取系统中/etc/passwd文件中的用户账户。说白了就是使用系统用户登录。

local_root=/var/ftp                 #设置本地用户的主目录位置。

local_umask=077                     #设置本地用户创建文件时的文件权限。为反掩码，转换成正掩码：777-077=700。

chroot_local_user=NO                #设置是否将用户限制在自己的用户主目录中，不允许切换到上级目录。

chroot_list_enable=NO               #如果为YES，则你需要提供一个本地用户列表的文件。在该列表中的用户都不允许切换到上级目录，将其限制在家目录（共享目录）中。你需要指定一个本地用户列表的文件。

chroot_list_file=/etc/vsftpd/chroot_list  #设置一个本地用户列表文件。

local_max_rate=0                          #设置本地用户传输最大速率（以字节为单位）。

userlist_enable=NO                        #设置使用一个本地用户列表控制用户访问登录，只允许此列表中的用户访问文件服务。

userlist_deny=NO                          #设置使用一个本地用户列表控制用户访问登录，在此列表中的用户禁止访问文件服务。

userlist_file=/etc/vsftpd/user_list       #本地用户列表文件位置。

四、虚拟用户配置

guest_enable=NO                    #如果开启此项则所有非匿名登录用户都将被视为“访客”登录。开启虚拟用户映射功能。

guest_username=ftp                 #设置虚拟用户对应的真实系统用户名。