vsftpd

vsftpd

启动和停止

# 启动
service vsftpd start
/etc/init.d/vsftpd start 

# 停止
service vsftpd stop  
/etc/init.d/vsftpd stop

# 重启
service vsftpd restart
/etc/init.d/vsftpd restart

# 查看状态
service vsftpd status

配置文件

文件

说明

/etc/vsftpd/vsftpd.conf

主配置文件

/usr/sbin/vsftpd

Vsftpd的主程序

/etc/rc.d/init.d/vsftpd

启动脚本

/etc/pam.d/vsftpd

PAM认证文件(此文件中file=/etc/vsftpd/ftpusers字段,指明阻止访问的用户来自/etc/vsftpd/ftpusers文件中的用户)

/etc/vsftpd/ftpusers

禁止使用vsftpd的用户列表文件。记录不允许访问FTP服务器的用户名单,管理员可以把一些对系统安全有威胁的用户账号记录在此文件中,以免用户从FTP登录后获得大于上传下载操作的权利,而对系统造成损坏。(注意:linux-4中此文件在/etc/目录下)

/etc/vsftpd/user_list

禁止或允许使用vsftpd的用户列表文件。这个文件中指定的用户缺省情况(即在/etc/vsftpd/vsftpd.conf中设置userlist_deny=YES)下也不能访问FTP服务器,在设置了userlist_deny=NO时,仅允许user_list中指定的用户访问FTP服务器。(注意:linux-4中此文件在/etc/目录下)

/var/ftp

匿名用户主目录;本地用户主目录为:/home/用户主目录,即登录后进入自己家目录

/var/ftp/pub

匿名用户的下载目录,此目录需赋权根chmod 1777 pub(1为特殊权限,使上载后无法删除)

/etc/logrotate.d/vsftpd.log

Vsftpd的日志文件

vsftpd.conf

限制最大连接数和传输速率

在FTP服务器的管理中,无论对本地用户还是匿名用户,对于FTP服务器资源的使用都需要进行控控制,避免由于负担过大造成FTP服务器运行异常,可以添加以下配置项对FTP客户机使用FTP服务器资源进行控制:

  • max_client设置项 用于设置FTP服务器所允许的最大客户端连接数,值为0时表示不限制。例如max_client=100表示FTP服务器的所有客户端最大连接数不超过100个。

  • max_per_ip设置项 用于设置对于同一IP地址允许的最大客户端连接数,值为0时表示不限制。例如max_per_ip=5表示同一IP地址的FTP客户机与FTP服务器建立的最大连接数不超过5个。

  • local_max_rate设置项 用于设置本地用户的最大传输速率,单位为B/s,值为0时表示不限制。例如local_max_rate=500000表示FTP服务器的本地用户最大传输速率设置为500KB/s.

  • anon_max_rate设置项 用于设置匿名用户的最大传输速率,单位为B/s,值为0表示不限制。例如ano_max_rate=200000,表示FTP服务器的匿名用户最大传输速率设置为200KB/s.

指定用户的权限设置

vsftpd.user_list文件需要与vsftpd.conf文件中的配置项结合来实现对于vsftpd.user_list文件中指定用户账号的访问控制:

设置禁止登录的用户账号

当vsftpd.conf配置文件中包括以下设置时,vsftpd.user_list文件中的用户账号被禁止进行FTP登录:

userlist_enable设置项设置使用vsftpd.user_list文件,userlist_deny设置为YES表示vsftpd.user_list文件用于设置禁止的用户账号。

设置只允许登录的用户账号

当vsftpd.conf配置文件中包括以下设置时,只有vsftpd.user_list文件中的用户账号能够进行FTP登录:

userlist_enable设置项设置使用vsftpd.user_list文件,userlist _deny设置为NO表示vsftpd.usre_list文件用于设置只允许登录的用户账号,文件中未包括的用户账号被禁止FTP登录。

userlist_deny和userlist_enable选项限制用户登录FTP服务器(使用userlist_deny选项和user_list文件一起能有效阻止root,apache,www等系统用户登录FTP服务器,从而保证FTP服务器的分级安全性)。以下是两个选项的具体表现形式和两种搭配使用方式的效果:

设置项

说明

Userlist_enable=YES

Ftpusers中用户允许访问User_list中用户允许访问

Userlist_enable=NO

Ftpusers中用户禁止访问User_list中用户允许访问

Userlist_deny=YES

Ftpusers中用户禁止访问(登录时可以看到密码输入提示,但仍无法访问)user_list 中用户禁止访问

Userlist_deny=NO

ftpusers中用户禁止访问user_list中用户允许访问

Userlist_enable=YES 并且Userlist_deny=YES

Ftpusers中用户禁止访问User_list中用户禁止访问(登录时不会出现密码提示,直接被服务器拒绝)

Userlist_enable=YES 并且Userlist_deny=NO

Ftpusers中用户禁止访问User_list中用户允许访问

修改默认端口

默认FTP服务器端口号是21,出于安全目的,有时需修改默认端口号,修改/etc/vsftpd/vsftpd.conf,添加语句(例):

语句指定了修改后FTP服务器的端口号,应尽量大于4000。修改后访问:

#ftp 192.168.57.2 4449

注意这里需加上正确的端口号了,否则不能正常连接。

设置用户组

有关FTP用户和用户组的重要性,我们在之前介绍vsftpd的时候便已经提到过。这里主要是简单的说明用户组的技术实现,至于具体如何应用,还是具体需求具体对待

由于本地用户登录FTP服务器后进入自己主目录,而try1,try2 try3对主目录/home/try分配的权限不同,所以通过FTP访问的权限也不同,try1访问权限为:上传,下载,建目录;try2,try3访问权限为下载,浏览,不能建目录和上传。实现了群组中用户不同访问级别,加强了对FTP服务器的分级安全管理。

连接超时

配置空闲的用户会话的中断时间:如下配置将在用户会话空闲5分钟后被中断,以释放服务器的资源

配置空闲的数据连接的中断时间:如下配置将在数据空闲连接1分钟后被中断,同样也是为了释放服务器的资源

配置客户端空闲时的自动中断和激活连接的时间:如下配置将使客户端空闲1分钟后自动中断连接,并在30秒后自动激活连接

虚拟用户使用vsftpd服务器

虚拟用户是指在FTP服务器上拥有账号,并且该账号只能用于文件传输服务的用户,也称作Guest用户。该类用户可以通过输入账号以及口令来进行授权登录。登录入系统后,其登录目录为指定的目录。一般情况下,该类用户既可以下载也可以上传文件。

vsftpd的虚拟用户采用单独的用户名/口令保存方式,与系统账号(passwd/shadow)分离,这大大增强了系统的安全性。vsftpd可以采用数据库文件来保存用户/口令,如hash;也可以将用户/口令保存在数据库服务器中,如MySQL等。vsftpd验证虚拟用户,则采用PAM方式。由于虚拟用户的用户名/口令被单独保存,因此在验证时,vsftpd须要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证,这就是guest用户,这正如同匿名用户也需要有一个系统用户ftp一样。当然,guest用户也可以被认为是用于映射虚拟用户。

在虚拟用户使用vsftpd服务器之前,要对服务器进行配置,主要包括如下几个步骤:

  • 生成虚拟用户口令库文件。

  • 配置生成vsftpd的认证文件。

  • 建立虚拟用户访问所需要的目录并且设定相应的访问权限。

  • 建立配置文件。

  • 重新启动vsftpd服务器。

下面是完成上述五个步骤的基本命令和过程,如下所示:

生成虚拟用户口令库文件

配置生成vsftpd的认证文件

建立虚拟用户访问所需要的目录并且设定相应的访问权限

对vsftpd的主配置文件进行配置

重新启动vsftpd服务器

经过上面几个步骤的配置后,就可以使用虚拟用户登录vsftpd服务器了,如下所示:

使用创建的虚拟用户liyangsuper,登录成功:

能够浏览虚拟目录/home/ftp里的文件和目录

测试是否能够创建目录

配置vsftpd服务器中chroot

在vsftpd服务器的默认设置中,本地用户可以切换到主目录以外的目录进行浏览访问,这样对于服务器来说是不太安全的,因为任何用户可以随时浏览到别的用户的私有信息,下面介绍如何使用chroot选项来防止这种情况的发生。

与该功能相关的选项主要包括:

  • chroot_local_user

  • chroot_list_enable

  • chroot_list_file

可以通过如下两种方法来设置chroot,从而杜绝上述不安全的情况发生:

  • 设置所有的本地用户执行chroot,只要将/etc/vsftpd/vsftpd.con文件中的chrootlocal user值置为YES,即chroot_local_user=YES。

  • 设置指定的用户执行chroot,按照如下方法进行设置:

    设置后,只有/etc/vsftpd.chroot_list文件中指定的用户才能够执行chroot命令。

配置vsftpd服务器在非标准端口工作

在使用FTP服务的过程中,可以使该服务在非标准端口(非21端口)工作,不过要完成这项工作,须要使vsftpd服务器运行在独立启动方式下,而且要配置vsftpd的主配置文件/etc/vsftpd/vsftpd.conf,将listen_port=10003或者是其他端口号的选项加入该文件即可,然后要重新启动vsftpd守护进程:

#service vsftpd restart

下面是对该功能进行实例验证, 使用匿名用户登录到服务器的10003端口,成功:

配置虚拟FTP服务器

所谓虚拟FTP服务器,是指一台机器上有多个IP地址,并且可以向外提供多FTP服务,这些服务器在逻辑上是独立的,有不同的访问控制表和不同的下载内容。

配置虚拟FTP服务器的步骤如下所示:

  • 为一个服务器配置多个IP地址。假设原来的主机内部地址为210.77.27.222,可再绑定一个IP地址如下:

    向接口添加一个新的IP210.77.27.223

    #/sbin/ifconfig eth0:0 210.77.27.223 up

  • 创建虚拟FTP服务器的根目录,并确保/var/newftp和/var/newftp/pub目录的拥有者和组均为root,掩码为755。

  • 增加虚拟FTP服务器的匿名用户账号。原先的FTP服务器使用系统用户ftp作为其匿名用户账号。需要增加一个newftp用于虚拟FTP服务器。

    useradd -d /var/newftp -M newftp

  • 创建虚拟FTP服务器的配置文件。复制原来的vsftpd.conf作为虚拟FTP服务器的配置文件,并修改相关参数。

    #cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf

    新添或修改以下参数:

    此处需要特别注意:由于vsftpd默认是监听所有的IP地址,当设定基于IP的虚拟FTP服务器时,为防止原来的FTP服务器与虚拟FTP服务器发生监听上的冲突,原FTP服务器须要指定监听的IP地址。在这里,原来的配置文件中就要设置listen_address=//向接口添加一个新的IP210.77.27.222。

  • 启动和测试虚拟FTP服务器

    可以使用命令同时启动或关闭原FTP服务器和新加的虚拟FTP服务器,如下:

    启动成功后,就可以对该虚拟服务器登录进行测试,如下面所示:

    测试以127.0.0.1登录:

    连接原来的FTP服务器,其IP地址为210.77.27.222,端口号为10003:

    使用匿名用户登录,成功:

    连接虚拟FTP服务器,其IP地址为210.77.27.223,端口号为10004:

    使用匿名用户登录,成功:

    进入该登录文件夹:

示例配置

问题

卸载vsftpd出错

解决

refusing to run with writable root inside chroot()

上一页ps下一页wget

最后更新于

这有帮助吗?