ftp服务搭建配置管理 / 憋错料

ftp【file transfer protocol这是档案传输的通讯协议，也是一般最常用来传送档案的方式这是档案传输的通讯协议，也是一般最常用来传送档案的方式】是/tcp/ip的一种具体的应用，工作在OSI上的第七层，TCP/IP模型的第四层，是一种面向连接的协议,工作模式分为主动模式和被动模式

vsftpd是UNIX类操作系统上运行的服务器名称，它的名字代表“very secure FTP daemon”，安全性是其设计与开发的一个重要目标,支持很多其他的FTP 服务器不支持的特征：
非常高的安全性需求
带宽限制
良好的可伸缩性
创建虚拟用户的可能性

分配虚拟IP地址的可能性

[[email protected] ~]# rpm -qa vsftpd
[[email protected] ~]# yum list all vsftpd*
Loaded plugins: product-id, refresh-packagekit, security, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
Available Packages
vsftpd.x86_64
2.2.2-12.el6_5.1 rhel6
[[email protected] ~]# yum -y install vsftpd

[[email protected] ~]# rpm -qa vsftpd
vsftpd-2.2.2-12.el6_5.1.x86_64
[[email protected] ~]# /etc/init.d/vsftpd restart //initd运行模式来启动和管理服务器，也就是独立运行模式

Shutting down vsftpd: [FAILED]
Starting vsftpd for vsftpd: [ OK ]

[[email protected] ~]# netstat -tulnp | grep vsftpd
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 4384/vsftpd
[[email protected] ~]#

如果允许用户匿名访问，需创建用户ftp和目录/var/ftp，安装完vsftpd后会默认的创建/var/ftp/pub，即ftp默认的根

[[email protected] pub]# pwd
/var/ftp/pub
[[email protected] pub]#
# mkdir /var/ftp
# useradd –d /var/ftp ftp

如果用源码包的安装方式：需要这样启动服务/usr/sbin/vsftpd & /usr/local/sbin/vsftpd &

[[email protected] ~]# pgrep vsftpd //查看进程
4384
[[email protected] ~]# pkill vsftpd //杀死进程
[[email protected] ~]# sevice vsftpd restart

不允许匿名登陆
anonymous_enable=NO
本地帐号下载的速度限制(单位B/S),如10KB/S
local_max_rate=100000
最大的并发连接数(同时连接的客户端数量),这里设置为10个
max_clients=10
每个IP最多多少个连接,这里设置为1
max_per_ip=1
我一直没找到如何限制总带宽,也就是说不限客户端数目,总带宽给他们平均分,同时连的人多每人得的带宽就少,连的人少每人得的带宽就多
不过我也想到这样,反正是限定了客户端的数量和每个客户端的下载速度,两者相乘就是服务器给它的最大带宽,虽然不灵活,但是也是变相的起到了限制总流量的作用了.
我想一般ftp服务器也就用到这么多功能,最后必须要提到的是你要帐户能写,那个目录就要给账户开写的权限哦.
由于匿名上传不会成功，所以配置上传用户：
    A、在etc 目录下more vsftp.user_list和more vsftp.users
    B、 vi vsftp.user_list
    C、加一个#注释掉ROOT。存盘退出。
让 FTP 机器启动就跟着启动：

Chkconfig -–list | more

Chkconfig –-list | grep vsftpd

然后做这个东西：Chkconfig vsftpd on 启动级别变成开始

测试
221 Goodbye.

[[email protected] pub]# ftp localhost //登陆

Trying ::1...
ftp: connect to address ::1Connection refused
Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
220 (vsFTPd 2.2.2)
Name (localhost:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (127,0,0,1,52,220).
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Jul 29 2014 pub
226 Directory send OK.
ftp> bye //使用bye退出

221 Goodbye.
[[email protected] pub]#

所以不用修改vsftpd里面的内容,就可以直接运行了.不过此时的效果是:
匿名帐号anonymous可以登陆,主目录为/var/ftp,并且被锁定在此目录下.此账户只有下载权限
系统的帐号(/etc/passwd文件中的帐号)可以登陆,并且没有锁定主目录
任何在/etc/vsftpd.ftpusers文件中的帐号是无法登陆的
上传和下载的日志信息保存在/var/log/vsftpd.log中
所以一般这样就够我们用了,只是要注意把那些不允许登陆的帐号写到上面提到的两个文件中vsftpd.ftpusers和vsftd.user_list

[[email protected] pub]# ftp localhost
Trying ::1...
ftp: connect to address ::1Connection refused
Trying 127.0.0.1...
Connected to localhost (127.0.0.1).
220 (vsFTPd 2.2.2)
Name (localhost:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (127,0,0,1,193,191).
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Jul 29 2014 pub
226 Directory send OK.
ftp> bye
221 Goodbye.
[[email protected] pub]#

在FTP服务器中，匿名用户的用户名和密码都是ftp ；这个用户可以在您的操作系统中的 /etc/passwd 中能找得到；可能有类似下面的一行；

[[email protected] pub]# cat /etc/passwd | grep ftp
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

FTP客户端配置及访问

（1）Windows环境下访问进入cmd

C:\>ftp 192.168.1.114

输入用户/密码 ftp /ftp anonymous/anonymous

或者windows浏览器访问 ftp://IP

（2）Linux环境下访问

[[email protected] /]# ftp localhosts

输入用户/密码 ftp /ftp anonymous/anonymous

2.1、匿名ftp 用户和用户组的理解；

当我们访问各大FTP上访问时，可能我们不去想我们以什么身份登录的，如果他的FTP允许匿名登录的话；比如我们在浏览器上打入；【可以把IP改为域名】

ftp://ftp://192.168.137.12/

或
ftp://ftp:[email protected]/

说明：

/etc/passwd 是系统用户的配置文件；/etc/group是系统用户组配置文件，您可以通过《Linux 用户（user）和用户组（group）管理概述》及其相关文档中了解一些用户管理的一些基础知识；

在ftp用户这行中，我们看到七个字段，每个字段写字段之间用:号分割；

ftp 是用户名
x 是密码字段，是隐藏的；
14 是用户的UID字段，可以自己来设定，不要和其它用户的UID相同，否则会造成系统安全问题；
50 用用户组的GID，可以自己设定，不要和其它用户组共用FTP的GID，否则会造成系统全全问题；
FTP User 是用户说明字段；
/var/ftp 是ftp用户的家目录，可以自己来定义；
/sbin/nologin 这是用户登录SHELL ，这个也是可以定义的，/sbin/nologin
表示不能登录系统；系统虚拟帐号（也被称为伪用户）一般都是这么设置。比如我们把ftp用户的/sbin/nologin 改为 /bin/bash
，这样ftp用户通过本地或者远程工具ssh或telnet以真实用户身份登录到系统。这样做对系统来说是不安全的；如果您认为一个用户没有太大的必要登录到系统，就可以只给他FTP帐号的权限，也就是说只给他FTP的权限，而不要把他的SHELL设置成
/bin/bash 等；

关于ftp用户组的理解：

我们查看 /etc/group 的时候，会发现类似这样一条；

ftp:x:50:

/etc/group 是用户组的管理配置文件，上面这行表示用户组ftp，x是密码段，50是GID；我们对照在/etc/passwd中的ftp那行得知ftp用户是属于ftp用户组的，因为ftp用户那行中的GID和ftp用户组的GID是相同的；

2.2、匿名ftp 用户和ftp用户组是否可以删除

在一般情况下是不能把/etc/passwd和/etc/group 中有把ftp用户和用户组的行删除的，因为FTP服务器是需要他们来对FTP用户实现管理，在默认的情况下。

虽然不能删除，但对/etc/passwd及/etc/group中的ftp用户及ftp用户组的一些相关的东西是能修改的；比如我们可以把ftp用户的家目录改掉，也可以把ftp用户的UID改掉
... ...
前提是你对用户管理有所了解，系统用户管理是一切应用基础之一，可能初学Linux的弟兄并不了解用户管理的重要性，但慢慢您就会发现这个道理；

[[email protected] pub]# ls -ld /var/ftp
drwxr-xr-x 3 root root 4096 Feb 13 15:46 /var/ftp
[[email protected] pub]#

有的弟兄可能会说，那匿名用户的可读、可下载、可上传怎么办呢？这也简单，在/var/ftp下再建一个目录，权限是777的就行了，再改一改vsftpd.conf就OK了；没有什么难的；

vsFTPd出于安全考虑，是不准让ftp用户的家目录的权限是完全没有限制的，您可以去读一下vsFTPd的文档就明白的了；否则也不能称为最安全的FTP服务器了，对不对？

关于vsFTPd服务器的一些常用功能的实现；

关于匿名上传下载的实现；

首先：我们要改一下vsftpd.conf，确保有以下几行；

anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_umask=022

其次：在ftp用户家目录的下建一个文件夹，并修改其权限为完全开放；

ftp用户的家目录在哪？我们前面已经说了，要通过/etc/passwd来查看；也可以通过finger ftp来查看；

[[email protected] pub]# finger ftp
-bash: finger: command not found

[[email protected] pub]#yum -y install finger

[[email protected] pub]# rpm -qa finger
finger-0.17-40.el6.x86_64
[[email protected] pub]#

[[email protected] pub]# which finger
/usr/bin/finger
[[email protected] pub]# finger ftp
Login: ftp Name: FTP User
Directory: /var/ftp Shell: /sbin/nologin
Never logged in.
No mail.
No Plan.
[[email protected] pub]#

这说明ftp用户的家目录在/var/ftp
，我们要在这个目录下建一个目录，然后把他的权限设置为任何用户可读可写可执行就行了；一般的情况下，在发行版中，有一个/var/ftp/pub的目录，如果没有，您也可以自己建一个；把配置文件改好后，只要把/var/ftp下的任何一个目录的权限打开，都可以用来匿名上传和下载；

比如您想让匿名用户上传和下载都在/var/ftp/pub，就可以把/var/ftp/pub的权限打开，如果没有这个目录，您要自己建一个；

[[email protected] ~]# mkdir /var/ftp/pub
[[email protected] ~]# chmod 777 /var/ftp/pub

这样上传的时候传到pub目录就OK了，对不对？？

关于添加本地用户及打开读写权限示例；

FTP用户一般是不能登录系统的，这也是为了安全。在系统中，没有权限登录系统的用户一般也被称之为虚拟用户；虚拟用户也是要写进/etc/passwd中；这只是一种虚拟用户的方法，但说实在的并不是真正的虚拟用户，只是把他登录SHELL的权限去掉了，所以他没有能力登录系统；

如果我们想把beinan这个用户目录定位在/opt/beinan这个目录中，并且不能登录系统；我们应该如下操作

[[email protected] ~]# adduser -d /opt/beinan -g ftp -s /sbin/nologin beinan
[[email protected] ~]# passwd beinan
Changing password for user beinan.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[[email protected] ~]#

其实这还是不够的，还要改一下配置文件vsftpd.conf ，以确保本地虚拟用户能有读写权限；

local_enable=YES
write_enable=YES
local_umask=022

如何实现虚拟路径

比如：

/home/a 映射为 ftp://localhost/a
/home/b/c 则为 ftp://localhost/c

其实这个不能说是vsFTPd的内容，其实我们早就接触过了，可能我们没有注意，我们可以通过如下的方法来实现。

[[email protected] ~]# mount --bind [原有的目录] [新目录]

比如我的ftp的默认目录是/var/ftp，我想把/mnt/LinG/WinSoft文件夹，映射到/var/ftp目录中，我就如下操作

我们要先在/var/ftp目录中建一个目录

[[email protected] ~]# mkdir /var/ftp/WinSoft

然后执行mount命令

[[email protected] ~]# mount --bind /mnt/LinG/WinSoft /var/ftp/WinSoft

这样就OK了。

打开vsFTP服务器的日志功能；

把下面xferlog_file前面的#号对掉，也就是把vsftp的log功能打开，这样我们就能在/var/log目录下查看vsftpd.log。这是vsFTP的日志功能，这对于我们来说是极为重要的。

xferlog_file=/var/log/vsftpd.log

如何定制欢迎信息

如何定制欢迎信息，也就是我们登入有些FTP之后，会出现类似：欢迎您来到LinuxSir FTP，在这里，您会得到最真诚的帮助，如果有什么问题和建议，请来信，多谢。

实现这个并不难，我们可以查看vsftpd.conf文件中，是否有这行。

dirmessage_enable=YES
message_file=.message

如果没有就加上，如果dirmessage_enable=YES前面有#号，就把#号去掉。其实FTP信息默认的就是.message，所以可以不加 message_file= 来指定。自己指定也行，无所谓的事；

然后我们制定一个.message文件，写上您想要写的东西，比如是.message的内容是如下的：

--欢迎您来到LinuxSir FTP！
--在这里，您会得到最真诚的帮助；
--如果有什么问题和建议，请来信，多谢。

我们可以用编辑器来写这个.message，我想这个过程就不用说了吧。

然后我们把.message这个文件复制到各个用户的家目录中。比如我的FTP的一个用户是beinan，这个用户所在的家目录是/opt/beinan
我们就要把.message放在/opt/beinan这个目录下。如果系统用户ftp，他的目录就是/var/ftp这个目录，这个是默认的，当匿名用户登入时就访问的是/var/ftp这个目录。我们要让匿名用户能看到欢迎信息。就要把.message放在/var/ftp目录中。其它的用户，也无非就是类似的操作。

硬盘空间有限，如何把帐号ftp默认的家目录更改到别处

我的硬盘空间有限，如何把帐号ftp默认的路径/var/ftp更改到别处？或者是，我的linux所有的目录都放在/根分区，因为空间紧张，我能否把ftp这个用户的默认路径放到别的分区？？

对于ftp这个用户的管理，我们应该查看/etc/passwd ，然后修改ftp用户那行；

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

比如我们想把ftp用户的家目录改为/opt/ftp，则要把类似上一行改为

ftp:x:14:50:FTP User:/opt/ftp:/sbin/nologin

然后我们要建立ftp用户的新的家目录；

[[email protected] ~]# mkdir /opt/ftp
[[email protected] ~]# chmod 755 /opt/ftp
[[email protected] ~]# chown root:root /opt/ftp

如果默认的ftp磁盘空间紧张，我们其实也可以用虚拟路径映射的方法来解决；也就是mount --bind的办法；看情况吧，哪个适合就是最好的方法；

如何让vsFTP服务器限制链接数，以及每个IP最大的链接数？

应该改vsFTPd服务器的配制文件vsftpd.conf，加入下面的两行：

max_clients=数字
max_per_ip=数字

举例：我想让我的vsFTP最大支持链接数为100个，每个IP，最多能支持5个链接，所以我应该在vsftpd.conf中加上如下的两行：

max_clients=100
max_per_ip=5

改好了配制文件，不要忘记启动vsftp服务器。

如何限制传输速度？
anon_max_rate=数字

注：这是匿名的速度

local_max_rate=数字

注：这是vsFTP服务器上本地用户的速度

注：这个数字的单位是byte，所以我们要计算一下。比如我想让匿名用户和vsFTP上的用户都以80KB下载，所以这个数字应该是1024x80=81920
所以我们要在vsftpd.conf中加入下面的两行

anon_max_rate=81920
local_max_rate=81920

如何有选择的把用户限制在家目录中呢？

我们要自己建一个文件，在/etc目录中或/etc/vsftpd目录中（假如您的vsftpd配置文件都是放在这个目录的话）；

#touch /etc/vsftpd.chroot_list

以beinan和nanbei这两个用户限制在他们所在的家目录中，而其它的FTP用户不做此限制。

在vsftpd.chroot_list这个文件中，把beinan和nanbei添上去就行，注意，每个用户占一行。

beinan
nanbei

然后改/etc/vsftpd/vsftpd.conf文件，找如下的两行

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list

如果没有这样的两行，就可以自己添加上去也是一样的。

设置好后，重新vsFTPD服务器。

补充一之补充：如何把系统内所有的FTP用户都限制在家目录中呢？？经juliaugong兄的提示，我查找了vsFTPd的洋文说明，证明这个选项是一刀切的解决所有的用户都能限制在家目录中

我们可以通过更改vsftpd.conf文件，加入如下的一行

chroot_local_user=YES

改完配制文件，不要忘记重启vsFTPd服务器；

如何让绑定IP到vsFTPd？

如何让绑定IP到vsFTPd？也就是说，如何让用户只能通过某个IP来访问FTP。其实这个功能很有意思。如果绑定的是内网的IP，外部是没有办法访问的。如果绑定的是对外服务的IP，内网也只能通过对外服务的IP来访问FTP

在vsftpd.conf中加一行，以我的局域网为例，请看第一帖中的操作环境，这样外网就不能访问我的FTP了，内网也可能通过192.168.0.2来访问FTP；

listen_address=192.168.0.2

vsftpd提供了3种ftp登录形式

访问FTP服务器时需要经过验证,只有经过了FTP服务器的相关验证,用户才能访问和传输文件.:

(1)anonymous(匿名帐号)

使用anonymous是应用广泛的一种FTP服务器.如果用户在FTP服务器上没有帐号,那么用户可以以anonymous为用户名,以自己的电子邮件地址为密码进行登录.当匿名用户登录FTP服务器后,其登录目录为匿名FTP服务器的根目录/var/ftp.为了减轻FTP服务器的负载,一般情况下,应关闭匿名帐号的上传功能.

(2)real(真实帐号)

real也称为本地帐号,就是以真实的用户名和密码进行登录,但前提条件是用户在FTP服务器上拥有自己的帐号.用真实帐号登录后,其登录的目录为用户自己的目录,该目录在系统建立帐号时系统就自动创建.

(3)guest(虚拟帐号)

如果用户在FTP服务器上拥有帐号,但此帐号只能用于文件传输服务,那么该帐号就是guest,guest是真实帐号的一种形式,它们的不同之处在于,geust登录FTP服务器后,不能访问除宿主目录以外的内容.

vsftpd服务器的基本配置

vsftpd服务器的配置文件保存在“/etc”目录和它的子目录中。
1）vsftpd.conf文件中的配置项
vsftpd.conf文件中所有的配置记录都包括配置项和配置值两部分内容，中间用等号连接。
anonymous_enable=YES
2）vsftpd服务器的默认配置
vsftpd.conf文件中的默认配置使用于最常用的FTP服务器配置需求，去除注释行后的配置文件中包括如下配置内容：
#grep –v ‘#’ vsftpd/vsftpd.conf
anonymous_enable=YES //表示FTP可以允许匿名登陆
local_enable=YES     //表示允许本地用户登陆
write_enable=YES    //表示FTP服务器开放对本地用户的写权限
local_umask=022     //设置本地用户的文件生成掩码
dirmessage_enable=YES //当切换到FTP服务器中的某个目录时，将显示该目录下的“.message”隐含文件了内容
xferlog_enable=YES //FTP将启用上传和下载日志
connect_from_port_20=YES //ftp将启用ftp数据端口的连接请求
xferlog_std_format=YES //ftp将使用标准的ftpd xferlog日志格式
pam_service_name=vsftpd //设置PAM认证服务的配置文件名称，该文件保存在“/etc/pam.d/”目录下
userlist_enable=YES //ftp将检查userlist_file设置文件中指定的用户是否可以访问vsftpd服务器
listen=YES   //ftp服务器将处于独立启动模式
tcp_wrappers=YES //ftp服务器将使用tcp_wrappers作为主机访问控制模式
3）/etc/vsftpd.chroot_list

此文件要自行建立,当vsftpd.conf中的参数chroot_list_enable和chroot_list_file启用后,此文件里面的用户就登陆ftp以后就只能在自己的主目录下活动,不能到处逛.
/var/ftp
匿名用户登陆后的主目录

4）/etc/pam.d/vsftpd文件说明
这里定义了采用pam的方式进行身份验证,它是根据/etc/vsftpd.ftpusers文件进行验证的,凡是在这个文件里面列出的用户无法登陆ftp

5）vsftpd.ftpusers文件说明

这个文件是用来记录"不允许"登录到FTP服务器的用户,.

用于保存不允许进行ftp登陆的本地用户帐号，这些帐号（包括root用户在内）通常不是普通用户帐号，而是一些系统默认的用户,这些用户在系统中具有较高权限的帐号。禁止这些用户可以提高系统的安全性，切记每个用户都要单独占用一行

6）vsftpd.user_list文件说明

其实它的内容跟上面那个文件内容一样,只是在系统对文件vsftpd.conf 进行检测时,会检测到"userlist_deny=YES",因此这个文件必须存在

注:上面的两个文件看起来功能雷同,其实不然,vsftpd.ftpusers是采用外挂的PAM程序进行验证时所需要的,而vsftd.user_list则是vsftp本身的验证机制.也就是双重验证,无疑时更加安全.既然作用一样,所以这两个文件的内容也最好写的一样

（1）设置登陆的用户帐号
当配置文件vsftd.conf中的参数userlist_enable和userlist_deny设置为YES之后,此文件生效,凡是在此文件里面列出的用户就无法登陆ftp，即vsftpd.user_list文件中的用户帐号被禁止进行ftp登陆userlist_enable=YES
userlist_deny=YES
userlist_deny设置项设置使用vsftpd.user_list文件，userlist_deny设置为YES表示vsftpd.user_list文件用于设置禁止登陆的用户帐号。
（2）设置只允许登陆的用户帐号
当vsftpd.conf配置文件中包括以下设置时，只有vsftpd.user_list文件中的用户帐号能够进行ftp登陆
userlist_enable=NO
userlist_deny=NO
userlist_enable设置项设置使用vsftpd.user_list文件，userlist_deny设置为NO表示vsftpd.user_list文件用于设置只允许登陆的用户帐号，文件中未包括的用户帐号被禁止ftp登陆

功能配置补充：

1．登录和对匿名用户的设置
write_enable=YES               //是否对登录用户开启写权限。属全局性设置。默认NO
local_enable=YES               //是否允许本地用户登录FTP服务器。默认为NO
anonymous_enable=YES          //设置是否允许匿名用户登录FTP服务器。默认为YES
ftp_username=ftp                //定义匿名用户的账户名称，默认值为ftp。
no_anon_password=YES             //匿名用户登录时是否询问口令。设置为YES，则不询问。默
认NO
anon_world_readable_only=YES   //匿名用户是否允许下载可阅读的文档，默认为YES。
   anon_upload_enable=YES      //是否允许匿名用户上传文件。只有在write_enable设置为
YES时，该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO。
anon_mkdir_write_enable=YES //是否允许匿名用户创建目录。只有在write_enable设置为    YES时有效。且匿名用户对上层目录有写入的权限。默认为NO。
anon_other_write_enable=NO    //若设置为YES，则匿名用户会被允许拥有多于
上传和建立目录的权限，还会拥有删除和更名权限。默认值为NO。

2．设置欢迎信息
用户登录FTP服务器成功后，服务器可向登录用户输出预设置的欢迎信息。
ftpd_banner=Welcome to my FTP server.
//该配置项用于设置比较简短的欢迎信息。若欢迎信息较多，则可使用banner_file配置项。
banner_file=/etc/vsftpd/banner
//设置用户登录时，将要显示输出的文件。该设置项将覆盖ftpd_banner的设置。
dirmessage_enable=YES
//设置是否显示目录消息。若设置为YES，则当用户进入特定目录（比如/var/ftp/Linux）时，将显示该目录中的由message_file配置项指定的文件（.message）中的内容。
message_file=.message          //设置目录消息文件。可将显示信息存入该文件。该文件需要放在相应的目录（比如/var/ftp/linux）下

3．设置用户登录后所在的目录
local_root=/var/ftp
// 设置本地用户登录后所在的目录。默认配置文件中没有设置该项，此时用户登录FTP服务器后，所在的目录为该用户的主目录，对于root用户，则为/root目录。
anon_root=/var/ftp
//设置匿名用户登录后所在的目录。若未指定，则默认为/var/ftp目录。

4．控制用户是否允许切换到上级目录
在默认配置下，用户可以使用“cd..”命名切换到上级目录。比如，若用户登录后所在的目录为/var/ftp，则在“ftp>”命令行下，执行“cd..”命令后，用户将切换到其上级目录/var，若继续执行该命令，则可进入Linux系统的根目录，从而可以对整个Linux的文件系统进行操作。

若设置了write_enable=YES，则用户还可对根目录下的文件进行改写操作，会给系统带来极大的安全隐患，因此，必须防止用户切换到Linux的根目录，相关的配置项如下：
chroot_list_enable=YES
// 设置是否启用chroot_list_file配置项指定的用户列表文件。设置为YES则除了列在j/etc/vsftpd/chroot_list文件中的的帐号外，所有登录的用户都可以进入ftp根目录之外的目录。默认NO
chroot_list_file=/etc/vsftpd/chroot_list
// 用于指定用户列表文件，该文件用于控制哪些用户可以切换到FTP站点根目录的上级目录。
chroot_local_user=YES
// 用于指定用户列表文件中的用户，是否允许切换到上级目录。默认NO
注意：要对本地用户查看效果，需先设置local_root=/var/ftp

具体情况有以下几种：
1）当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd/chroot_list文件中列出的用户，可以切换到上级目录；未在文件中列出的用户，不能切换到站点根目录的上级目录。
2）当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd/chroot_list文件中列出的用户，不能切换到站点根目录的上级目录；未在文件中列出的用户，可以切换到上级目录。
3）当chroot_list_enable=NO，chroot_local_user=YES时，所有用户均不能切换到上级目录。
4）当chroot_list_enable=NO，chroot_local_user=NO时，所有用户均可以切换到上级目录。
5）当用户不允许切换到上级目录时，登录后FTP站点的根目录“/”是该FTP账户的主目录，即文件的系统的/var/ftp目录。

5．设置访问控制
（1）设置允许或不允许访问的主机（见TBP14）
tcp_wrappers=YES用来设置vsftpd服务器是否与tcp wrapper相结合，进行主机的访问控制。默认设置为YES，vsftpd服务器会检查/etc/hosts.allow和/etc /hosts.deny中的设置，以决定请求连接的主机是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。
比如，若要仅允许192.168.168.1～192.168.18.254的用户，可以访问连接vsftpd服务器，则可在/etc/hosts.allow文件中添加以下内容：
vsftpd：192.168.168.0/255.255.255.0 ：allow
all：all：deny
（2）设置允许或不允许访问的用户
对用户的访问控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件来控制实现。相关配置命令如下：
userlist_enable=YES
// 决定/etc/vsftpd/user_list文件是否启用生效。YES则生效，NO不生效。
userlist_deny=YES
// 决定/etc/vsftpd/user_list文件中的用户是允许访问还是不允许访问。若设置为YES，则/etc/vsftpd/user_list 文件中的用户将不允许访问FTP服务器；若设置为NO，则只有vsftpd.user_list文件中的用户，才能访问FTP服务器。

6．设置访问速度
anon_max_rate=0
//设置匿名用户所能使用的最大传输速度，单位为b/s。若设置为0，则不受速度限制，此为默认值。
local_max_rate=0
// 设置本地用户所能使用的最大传输速度。默认为0，不受限制。

7．定义用户配置文件
在vsftpd服务器中，不同用户还可使用不同的配置，这要通过用户配置文件来实现。
user_config_dir=/etc/vsftpd/userconf //用于设置用户配置文件所在的目录。
设置了该配置项后，当用户登录FTP服务器时，系统就会到/etc/vsftpd/userconf目录下读取与当前用户名相同的文件，并根据文件中的配置命令，对当前用户进行更进一步的配置。比如，利用用户配置文件，可实现对不同用户进行访问的速度进行控制，在各用户配置文件中，定义 local_max_rate配置，以决定该用户允许的访问速度。

8．与连接相关的设置
listen=YES
//设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好的方式，此时listen必须设置为YES，此为默认值，建议不要更改。很多与服务器运行相关的配置命令，需要此运行模式才有效。若设置为NO，则vsftpd不是以独立的服务运行，要受 xinetd服务的管理控制，功能上会受限制。

max_clients=0
//设置vsftpd允许的最大连接数，默认为0，表示不受限制。若设置为150时，则同时允许有150个连接，超出的将拒绝建立连接。只有在以standalone模式运行时才有效。

max_per_ip=0
// 设置每个IP地址允许与FTP服务器同时建立连接的数目。默认为0，不受限制。通常可对此配置进行设置，防止同一个用户建立太多的连接。只有在以standalone模式运行时才有效。

listen_address=IP地址
//设置在指定的IP地址上侦听用户的FTP请求。若不设置，则对服务器所绑定的所有IP地址进行侦听。只有在以standalone模式运行时才有效。对于只绑定了一个IP地址的服务器，不需要配置该项，默认情况下，配置文件中没有该配置项。若服务器同时绑定了多个IP地址，则应通过该配置项，指定在哪个IP地址上提供FTP服务，即指定FTP服务器所使用的IP地址。
注意：设置此值前后，可以通过netstat -tnl对比端口的监听情况

accept_timeout=60
//设置建立被动（PASV）数据连接的超时时间，单位为秒，默认值为60。
connect_timeout=60
// PORT方式下建立数据连接的超时时间，单位为秒。
data_connection_timeout=300
//设置建立FTP数据连接的超时时间，默认为300秒。

idle_session_timeout＝600
//设置多长时间不对FTP服务器进行任何操作，则断开该FTP连接，单位为秒，默认为600秒。即设置发呆的逾时时间，在这个时间内，若没有数据传送或指令的输入，则会强行断开连接。
pam_service_name=vsftpd
//设置在PAM所使用的名称，默认值为vsftpd。

setproctitle_enable=NO|YES
//设置每个与FTP服务器的连接，是否以不同的进程表现出来，默认值为NO，此时只有一个名为vsftpd的进程。若设置为YES，则每个连接都会有一个vsftpd进程，使用“ps -ef|grep ftp”命令可查看到详细的FTP连接信息。安全起见，建议关闭。

9．FTP工作方式与端口设置
（1）FTP工作方式简介
FTP的工作方式有两种，一种是PORT FTP，另一种是PASV FTP。下面介绍其工作方式。
二者的区别在于PORT FTP的数据传输端口是由FTP服务器指定的，而PASV FTP则是由FTP客户端指定的，而且每次数据连接所使用的端口号都不同。正因为如此，所以在CuteFTP等FTP客户端软件中，其连接类型设置项中有PORT和PASV两种选择。

当FTP服务器设置为PASV工作模式时，客户端也必须设置为PASV连接类型。若客户端连接类型设置为PORT，则能建立FTP连接，但在执行ls或get等需要数据请求的命令时，将会出现无响应并最终报告无法建立数据连接。

（2）与端口相关的配置
listen_port=21
// 设置FTP服务器建立连接所侦听的端口，默认值为21。
连接非标准端口示例：ftp www.sunflower.org 7000
connect_from_port_20＝YES
// 默认值为YES，指定FTP数据传输连接使用20端口。若设置为NO，则进行数据连接时，所使用的端口由ftp_data_port指定。

ftp_data_port=20
//设置PORT方式下FTP数据连接所使用的端口，默认值为20。
pasv_enable=YES|NO
//若设置为YES，则使用PASV工作模式；若设置为NO，使用PORT模式。默认为YES，即使用PASV模式。
pasv_max_port=0
//设置在PASV工作方式下，数据连接可以使用的端口范围的上界。默认值为0，表示任意端口。
pasv_mim_port=0
//设置在PASV工作方式下，数据连接可以使用的端口范围的下界。默认值为0，表示任意端口。

10．设置传输模式
FTP在传输数据时，可使用二进制（Binary）方式，也可使用ASCII模式来上传或下载数据。
ascii_download_enable=YES //设置是否启用ASCII模式下载数据。默认为NO。
ascii_upload_enable=YES //设置是否启用ASCII模式上传数据。默认为NO。

11．设置上传文档的所属关系和权限
（1）设置匿名上传文档的属主
chown_uploads=YES
//用于设置是否改变匿名用户上传的文档的属主。默认为NO。若设置为YES，则匿名用户上传的文档的属主将被设置为chown_username配置项所设置的用户名。
chown_username=whoever
//设置匿名用户上传的文档的属主名。只有chown_uploads=YES时才有效。建议不要设置为root用户。但系统默root

（2）新增文档的权限设定
local_umask=022
//设置本地用户新增文档的umask，默认为022，对应的权限为755。umask为022，对应的二进制数为000 010 010，将其取反为111 101 101，转换成十进制数，即为权限值755，代表文档的所有者（属主）有读写执行权，所属组有读和执行权，其他用户有读和执行权。022适合于大多数情况，一般不需要更改。若设置为077，则对应的权限为700。
anon_umask=022               //设置匿名用户新增文档的umask。默认077
file_open_mode=0755          //设置上传文档的权限。权限采用数字格式。默认0666

12．日志文件
xferlog_enable=YES //是否启用上传/下载日志记录。默认为NO
xferlog_file=var/log/vsftpd.log //设置日志文件名及路径。需启用xferlog_enable选项
xferlog_std_format=YES //日志文件是否使用标准的xferlog日志文件格式（与wu-ftpd使用的格式相同）。默认为NO

13．其他设置
text_userdb_names=NO
//设置在执行ls命令时，是显示UID、GID还是显示出具体的用户名或组名称。默认为NO，以UID和GID方式显示，若希望显示用户名和组名称，则设置为YES。
ls_recurse_enable=YES
//若设置为YES，则允许执行“ls –R”这个命令，默认值为NO。在配置文件中该配置项被注释掉了，与此类似的还有一些配置，需要启用时，将注释符去掉并进行YES或NO的设置即可

vsftpd.conf配置参数分类详解：

Vsftpd的配置文件存放在/etc/vsftpd/vsftpd.conf 我们可根据实际数要对如下信息进行配置：
1. 连接选项
☆监听地址和控制端口
(1) listen_address=ip address
定义主机在哪个IP 地址上监听FTP请求。即在哪个IP地址上提供FTP服务。

(2) listen_port=port_value
指定FTP服务器监听的端口号。默认值为21。

2. 性能与负载控制
☆超时选项
(1) idle_session_timeout=
空闲用户会话的超时时间，若是超过这段时间没有数据的传送或是指令的输入，则会被迫断线。默认值是300s

(2) accept_timeout=numerical value
接受建立联机的超时设定。默认值为60s

☆负载选项
(1) max_clients= numerical value
定义FTP服务器最大的兵法连接数。当超过此连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。

(2) max_per_ip= numerical value
定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将会影响到网际快车、迅雷之类的多线程下载软件。默认值为0，表示不限制。

(3) anon_max_rate=value
设定匿名用户的最大数据传输速度，以B/s为单位。默认无。

(4) local_max_rate=value
设定用户的最大数据传输速度。以B/s为单位。默认无。此选项对所有的用户都生效。

3. 用户选项
vsftpd的用户分为3类：匿名用户、本地用户（local user）及虚拟用户（guest）
☆ 匿名用户
(1) anonymous_enable=YES|NO
控制是否允许匿名用户登录

(2) ftp_username=
匿名用户使用的系统用户名。默认情况下，值为ftp

(3) no_anon_password= YES|NO
控制匿名用户登录时是否需要密码。

(4) anon_root=
设定匿名用户的根目录，即匿名用户登录后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/

(5) anon_world_readable_only= YES|NO
控制是否只允许匿名用户下载可阅读的文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。

(6) anon_upload_enable= YES|NO
控制是否允许匿名用户上传文件。除了这个参数外，匿名用户要能上传文件，还需要两个条件，write_enable参数为YES；在文件系统上，FTP匿名用户对某个目录有写权限。

(7) anon_mkdir_wirte_enable= YES|NO
控制是否允许匿名用户创建新目录。在文件系统上，FTP匿名用户必须对新目录的上层目录拥有写权限。

(8) anon_other_write_enbale= YES|NO
控制匿名用户是否拥有除了上传和新建目录之外的其他权限。如删除、更名等。

(9) chown_uploads= YES|NO
是否修改匿名用户所上传文件的所有权。YES，匿名用户上传得文件所有权改为另一个不同的用户所有，用户由chown_username参数指定。

(10) chown_username=whoever
指定拥有匿名用户上传文件所有权的用户。

☆本地用户
(1) local_enable= YES|NO
控制vsftpd所在的系统的用户是否可以登录vsftpd。

(2) local_root=
定义本地用户的根目录。当本地用户登录时，将被更换到此目录下。

☆虚拟用户
(1) guest_enable= YES|NO
启动此功能将所有匿名登入者都视为guest

(2) guest_username=
定义vsftpd的guest用户在系统中的用户名。

4. 安全措施
☆用户登录控制
(1) /etc/vsftpd.ftpusers
Vsftpd禁止列在此文件中的用户登录FTP服务器。此机制是默认设置的。

(2) userlist_enable= YES|NO
此选项激活后，vsftpd将读取userlist_file参数所指定的文件中的用户列表。

(3) userlist_file=/etc/vsftpd.user_list
指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list

(4) userlist_deny= YES|NO
决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。userlist_enable选项启动后才能生效。默认值为YES，禁止文中的用户登录，同时不向这些用户发出输入口令的指令。NO，只允许在文中的用户登录FTP服务器。

☆目录访问控制
(1) chroot_list_enable= YES|NO
锁定某些用户在自己的目录中，而不可以转到系统的其他目录。

(2) chroot_list_file=/etc/vsftpd/chroot_list
指定被锁定在主目录的用户的列表文件。

(3) chroot_local_users= YES|NO

配置说明

将本地用户锁定在主目中。

1．登录和对匿名用户的设置
write_enable=YES               //是否对登录用户开启写权限。属全局性设置。默认NO
local_enable=YES               //是否允许本地用户登录FTP服务器。默认为NO
anonymous_enable=YES          //设置是否允许匿名用户登录FTP服务器。默认为YES
ftp_username=ftp                //定义匿名用户的账户名称，默认值为ftp。
no_anon_password=YES             //匿名用户登录时是否询问口令。设置为YES，则不询问。默
认NO
anon_world_readable_only=YES   //匿名用户是否允许下载可阅读的文档，默认为YES。
   anon_upload_enable=YES      //是否允许匿名用户上传文件。只有在write_enable设置为
YES时，该配置项才有效。而且匿名用户对相应的目录必须有写权限。默认为NO。
anon_mkdir_write_enable=YES //是否允许匿名用户创建目录。只有在write_enable设置为    YES时有效。且匿名用户对上层目录有写入的权限。默认为NO。
anon_other_write_enable=NO    //若设置为YES，则匿名用户会被允许拥有多于
上传和建立目录的权限，还会拥有删除和更名权限。默认值为NO。

2．设置欢迎信息
用户登录FTP服务器成功后，服务器可向登录用户输出预设置的欢迎信息。
ftpd_banner=Welcome to my FTP server.
//该配置项用于设置比较简短的欢迎信息。若欢迎信息较多，则可使用banner_file配置项。
banner_file=/etc/vsftpd/banner
//设置用户登录时，将要显示输出的文件。该设置项将覆盖ftpd_banner的设置。
dirmessage_enable=YES
//设置是否显示目录消息。若设置为YES，则当用户进入特定目录（比如/var/ftp/linux）时，将显示该目录中的由message_file配置项指定的文件（.message）中的内容。
message_file=.message          //设置目录消息文件。可将显示信息存入该文件。该文件需要放在相应的目录（比如/var/ftp/linux）下

3．设置用户登录后所在的目录
local_root=/var/ftp
// 设置本地用户登录后所在的目录。默认配置文件中没有设置该项，此时用户登录FTP服务器后，所在的目录为该用户的主目录，对于root用户，则为/root目录。
anon_root=/var/ftp
//设置匿名用户登录后所在的目录。若未指定，则默认为/var/ftp目录。

4．控制用户是否允许切换到上级目录

在默认配置下，用户可以使用“cd..”命名切换到上级目录。比如，若用户登录后所在的目录为/var/ftp，则在“ftp>”命令行下，执行“cd..”命令后，用户将切换到其上级目录/var，若继续执行该命令，则可进入Linux系统的根目录，从而可以对整个Linux的文件系统进行操作。

FTP 数字代码的意义
110
重新启动标记应答。
120 服务在多久时间内ready。
125 数据链路埠开启，准备传送。
150 文件状态正常，开启数据连接端口。

200 命令执行成功。
202 命令执行失败。
211 系统状态或是系统求助响应。
212 目录的状态。
213
文件的状态。
214 求助的讯息。
215 名称系统类型。
220 新的联机服务ready。
221
服务的控制连接埠关闭，可以注销。
225 数据连结开启，但无传输动作。
226 关闭数据连接端口，请求的文件操作成功。
227
进入passive mode。
230 使用者登入。
250 请求的文件操作完成。
257 显示目前的路径名称。
331
用户名称正确，需要密码。
332 登入时需要账号信息。
350 请求的操作需要进一部的命令。
421 无法提供服务，关闭控制连结。