vsftp部署和优化

服务端

## 安装

[[email protected] ~]# yum install -y vsftpd

## 启动vsftpd

[[email protected] ~]# /etc/init.d/vsftpd start

为 vsftpd 启动 vsftpd：                                    [确定]

解释说明：

若启动失败的话，主要原因是被pure-ftpd（21端口）占了，这时候可以先用netstat -lnp查看一下，是否

被占用了，占用的了话，则killall pure-ftpd，然后再启动vsftpd。

## 查看端口

[[email protected] ~]# netstat -lnp|grep vsftp

tcp        0      0 0.0.0.0:21                 0.0.0.0:*                   LISTEN      1543/vsftpd

解释说明：

默认的配置文件，它是能够让我们系统的用户去登录的。

## 比如用php-fpm，重新修改它的密码

[[email protected] ~]# passwd php-fpm

更改用户 php-fpm 的密码 。

新的 密码：

无效的密码： 过于简单化/系统化

无效的密码： 过于简单

重新输入新的 密码：

passwd： 所有的身份验证令牌已经成功更新。

客户端

## 登录

[[email protected] ~]# lftp [email protected]

口令:

lftp [email protected]:~> ls

服务端

## 查看php-fpm的家目录

[[email protected] ~]# grep php-fpm /etc/passwd

php-fpm:x:501:501::/home/php-fpm:/sbin/nologin

## 在php-fpm的家目录创建文件或目录

[[email protected] ~]# ls /home/php-fpm/

[[email protected] ~]# touch /home/php-fpm/1122.txt

[[email protected] ~]# mkdir /home/php-fpm/aabb

客户端

## 查看服务端创建的文件或目录

lftp [email protected]:~> ls

-rw-r--r--    1 0        0               0 Nov 14 14:42 1122.txt

drwxr-xr-x    2 0        0            4096 Nov 14 14:43 aabb

解释说明：

这个就是默认的vsftp它这个服务，默认就可以让我们的系统用户去登录。

## 查看

lftp [email protected]:~> pwd

ftp://[email protected]/%2Fhome/php-fpm

## 查看能否进入/etc下

lftp [email protected]:/>  cd /etc

lftp [email protected]:/etc> ls

解释说明：

这样是非常危险的，它可以进入到任何目录下（除了/root）也就是说它没有限定我们的家目录；这个默认的vsftp非常地危险，所以建议不要这样去用，那怎么去用呢？我们也需要像pure-ftpd那样做一个虚拟的

用户去映射一下，这样才能够更加地安全。

服务端

## 编辑配置文件，限定家目录

[[email protected] ~]# vim /etc/vsftpd/vsftpd.conf

chroot_local_user=YES

解释说明：

chroot_local_user=YES 就是限定家目录，不能访问其他的目录

也可以针对性地做一个列表（user1,user2.....），就要把chroot_list_enable=YES和chroot_list_file=/etc/vsftpd/chroot_list这两项都打开。

## 重启

[[email protected] ~]# /etc/init.d/vsftpd restart

客户端

## 再来查看，能否进入其他目录

lftp [email protected]:~> exit

[[email protected] ~]# lftp [email protected]

口令:

lftp [email protected]:~> cd /etc

cd: Access failed: 550 Failed to change directory. (/etc)

lftp [email protected]:/> cd /tmp

cd: Access failed: 550 Failed to change directory. (/tmp)

lftp [email protected]:/> pwd

ftp://[email protected]/

lftp [email protected]:/> ls

-rw-r--r--    1 0        0               0 Nov 14 14:42 1122.txt

drwxr-xr-x    2 0        0            4096 Nov 14 14:43 aabb

解释说明：

在服务端做了家目录限制，就不能进入到其他的目录了，只能在当前目录下；总之，这个vsftp使用系统的用户是不太安全的，你想想，你ftp能登，那我是不是就可以登录ssh，这个肯定不太好，所以我们使用虚拟

映射的用户是必不可少的。

如何去做虚拟的用户？（它必然也会映射一个系统的用户）

服务端

## 创建虚拟用户所对应的那个用户

[[email protected] ~]# useradd virftp -s /sbin/nologin

## 创建虚拟用户存放的用户名密码文件

[[email protected] ~]# vim /etc/vsftpd/vsftpd_login

test1

111222aaa

test2

aaa111ddd

## 做权限更改，只允许root可以看

[[email protected] ~]# chmod 600 /etc/vsftpd/vsftpd_login

## 生成库文件（vsftpd这个服务能识别的二进制的库文件）

[[email protected] ~]# db_load -T -t hash -f /etc/vsftpd/vsftpd_login /etc/vsftpd/vsftpd_login.db

解释说明：

这两个文件的名字要一致

## 创建虚拟账号

[[email protected] ~]# mkdir /etc/vsftpd/vsftpd_user_conf //虚拟用户它的配置文件所存放的那个目录

[[email protected] ~]# cd !$

cd /etc/vsftpd/vsftpd_user_conf

[[email protected] vsftpd_user_conf]# vim test1 //创建跟用户名同名的文件，这个文件就是它的配置文件

local_root=/home/virftp/test1     //限定家目录

anonymous_enable=NO             //匿名用户是否可用

write_enable=YES                 //是否可写

local_umask=022

anon_upload_enable=NO            //匿名用户是否可上传

anon_mkdir_write_enable=NO       //匿名用户是否可创建

idle_session_timeout=600

data_connection_timeout=120

max_clients=10

max_per_ip=5

local_max_rate=50000

解释说明：

这个配置文件里有什么呢，跟我们vsftpd.conf里面的内容是大同小异的。

注：这里参数一定不要打错。会报：登录失败：500 OOPS

## 创建test1的家目录

[[email protected] vsftpd_user_conf]# mkdir /home/virftp/test1

## 修改权限，改成所映射的那个用户

[[email protected] vsftpd_user_conf]# chown -R virftp:virftp !$

chown -R virftp:virftp /home/virftp/test1

## 查看认证模块

[[email protected] vsftpd_user_conf]# ls /lib64/security/pam_userdb.so

/lib64/security/pam_userdb.so

解释说明：

如果系统是64位的，则是在/lib64/目录下；若是32位的，则是在/lib/目录下

## 编辑认证相关的一个文件

[[email protected] vsftpd_user_conf]# vim /etc/pam.d/vsftpd

#%PAM-1.0

auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

解释说明：

/lib64/security/pam_userdb.so 认证的一个模块

## 编辑vsftpd配置文件

[[email protected] vsftpd_user_conf]# vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

local_enable=YES

anon_upload_enable=NO

anon_mkdir_write_enable=NO

##在文件末尾加上这几行：

guest_enable=YES       //要不然虚拟用户virftp它登录不了

guest_username=virftp  //指定来宾用户

virtual_use_local_privs=YES

user_config_dir=/etc/vsftpd/vsftpd_user_conf    //指定虚拟用户所在的配置文件到底在哪里

## 重启服务

[[email protected] vsftpd_user_conf]# /etc/init.d/vsftpd restart

## 本地安装lftp测试

[[email protected] vsftpd_user_conf]# yum install -y lftp

## 查看密码文件

[[email protected] vsftpd_user_conf]# cat /etc/vsftpd/vsftpd_login

test1

111222aaa

test2

aaa111ddd

## 登录

[[email protected] vsftpd_user_conf]# lftp [email protected]

口令:

lftp [email protected]:~> ls

ls: 登录失败: 530 Login incorrect.

lftp [email protected]:~> pwd

ftp://[email protected]

lftp [email protected]:~> exit

## 在test1家目录下创建文件目录

[[email protected] vsftpd_user_conf]# cd /home/virftp/test1

[[email protected] test1]# touch 2.txt

[[email protected] test1]# mkdir 12312

## 登录

[[email protected] vsftpd_user_conf]# lftp [email protected]

口令:

lftp [email protected]:~> ls

drwxr-xr-x    2 502      502          4096 Nov 14 16:22 12312

-rw-r--r--    1 502      502             0 Nov 14 16:21 2.txt

## 也可以在浏览器中登录

## 点登录后可查看到

解释说明：

最好的方式还是去windows下的客户端去访问