收藏
下载资源 加入VIP免费专享

Linux下FTP服务器vsftp配置大全.doc

上传人:本田雅阁 文档编号:2726279 上传时间:2019-05-08 格式:DOC 页数:37 大小:134KB
返回 下载 相关 举报
Linux下FTP服务器vsftp配置大全.doc_第1页
第1页 / 共37页
Linux下FTP服务器vsftp配置大全.doc_第2页
第2页 / 共37页
Linux下FTP服务器vsftp配置大全.doc_第3页
第3页 / 共37页
Linux下FTP服务器vsftp配置大全.doc_第4页
第4页 / 共37页
Linux下FTP服务器vsftp配置大全.doc_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《Linux下FTP服务器vsftp配置大全.doc》由会员分享,可在线阅读,更多相关《Linux下FTP服务器vsftp配置大全.doc(37页珍藏版)》请在三一文库上搜索。

1、Linux下FTP服务器vsftp配置大全(一)2009-10-19 22:33环境: RedHat AS4 说明: 如果不做说明,一般安装命令均使用ROOT权限,用 # 表示 特别说明:无 以下文章介绍Liunx 环境下vsftpd的三种实现方法 ftp:/vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz,目前已经到2.0.3版本。假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录 代码: # cd /home/xuchen # tar xzvf vsftpd-2.0.3.tar.gz /解压

2、缩程序 # cd vsftpd-2.0.3 三、三种方式的实现 1、匿名用户形式实现 # vi builddefs.h 编辑builddefs.h 文件,文件内容如下: #ifndef VSF_BUILDDEFS_H #define VSF_BUILDDEFS_H #undef VSF_BUILD_TCPWRAPPERS #define VSF_BUILD_PAM #undef VSF_BUILD_SSL #endif /* VSF_BUILDDEFS_H */ 将以上undef的都改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL # make /直接在vsftp

3、d-2.0.3里用make编译 # ls -l vsftpd -rwxr-xr-x 1 root root 86088 Jun 6 12:29 vsftpd /可执行程序已被编译成功 创建必要的帐号,目录: # useradd nobody /可能你的系统已经存在此帐号,那就不用建立 # mkdir /usr/share/empty /可能你的系统已经存在此目录,那就不用建立 # mkdir /var/ftp /可能你的系统已经存在此目录,那就不用建立 # useradd -d /var/ftp ftp /可能你的系统已经存在此帐号,那就不用建立 # chown root:root /var/

4、ftp # chmod og-w /var/ftp 请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin 安装vsftp配置文件,可执行程序,man等: # install -m 755 vsftpd /usr/local/sbin/vsftpd-ano # install -m 644 vsftpd.8 /usr/share/man/man8 # install -m 644 vsftpd.conf.5 /usr/share/man/man5 # install -m 644 v

5、sftpd.conf /etc/vsftpd-ano.conf 这样就安装完成了,那么我们开始进行简单的配置 # vi /etc/vsftpd-ano.conf ,将如下三行加入文件 listen=YES listen_port=21 tcp_wrappers=YES anon_root=/var/ftp /设置匿名用户本地目录,和ftp用户目录必须相同 listen=YES的意思是使用standalone启动vsftpd,而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式) # /usr/local/sbin/vsftpd-ano /etc/

6、vsftpd-ano.conf & /以后台方式启动vsftpd 注意:每行的值都不要有空格,否则启动时会出现错误,举个例子,假如我在listen=YES后多了个空格,那我启动时就出现如下错误: 500 OOPS: bad bool value in config file for: listen 测试搭建好的匿名用户方式 # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERB

7、EROS_V4 rejected as an authentication type Name (127.0.0.1:root): ftp 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 / ftp quit 221 Goodbye. # OK,已经完成了,very nice. 高级配置 细心的朋友可能已经看出来我们只在默认配置文件增加了四行,就实现了FTP连接

8、(也证明了vsftpd的易用性),那么让我们传个文件吧,呀!传输失败了(见图1) 为什么呢?因为 vsftpd 是为了安全需要,/var/ftp目录不能把所有的权限打开,所以我们这时要建一个目录pub,当然也还是需要继续修改配置文件的。 # mkdir /var/ftp/pub # chmod -R 777 /var/ftp/pub 为了测试方便,我们先建立一个名为kill-ano的脚本,是为了杀掉FTP程序的 #!/bin/bash a=/bin/ps -A | grep vsftpd-ano | awk print ?$1 kill -9 ?$a 那么现在大家看看我的匿名服务器配置文件吧

9、anonymous_enable=YES /允许匿名访问,这是匿名服务器必须的 write_enable=YES /全局配置可写 no_anon_password=YES /匿名用户login时不询问口令 anon_umask=077 /匿名用户上传的文件权限是-rw- anon_upload_enable=YES /允许匿名用户上传文件 anon_mkdir_write_enable=YES /允许匿名用户建立目录 anon_other_write_enable=YES /允许匿名用户具有建立目录,上传之外的权限,如重命名,删除 dirmessage_enable=YES /当使用者转换目录

10、,则会显示该目录下的.message信息 xferlog_enable=YES /记录使用者所有上传下载信息 xferlog_file=/var/log/vsftpd.log /将上传下载信息记录到/var/log/vsftpd.log中 xferlog_std_format=YES /日志使用标准xferlog格式 idle_session_timeout=600 /客户端超过600S没有动作就自动被服务器踢出 data_connection_timeout=120 /数据传输时超过120S没有动作被服务器踢出 chown_uploads=YES chown_username=daemon

11、/上传文件的属主 ftpd_banner=Welcome to d- FTP service. /FTP欢迎信息 anon_max_rate=80000 /这是匿名用户的下载速度为80KBytes/s check_shell=NO /不检测SHELL 现在再测试,先kill掉再启动FTP程序 # ./kill-ano # /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf & 上传一个文件测试一下,怎么样?OK了吧,下载刚上传的那个文件,恩?不行,提示 550 Failed to open file. 传输已失败! 传输队列已完成 1 个文件传输失败

12、 没有关系,你记得咱们设置了anon_umask=077了吗?所以你下载不了,如果你到服务器上touch 一个文件(644),测试一下,是可以被下载下来的,好了,匿名服务器就说到这里了。 2、本地用户形式实现 # cd /home/xuchen/vsftpd-2.0.3 /进入vsftpd-2.0.3的源代码目录 # make clean /清除编译环境 # vi builddefs.h 继续编辑builddefs.h 文件,文件内容如下: #ifndef VSF_BUILDDEFS_H #define VSF_BUILDDEFS_H #define VSF_BUILD_TCPWRAPPERS

13、 #define VSF_BUILD_PAM #define VSF_BUILD_SSL #endif /* VSF_BUILDDEFS_H */ 将以上define VSF_BUILD_PAM行的define改为undef,支持tcp_wrappers,不支持PAM认证方式,支持SSL,记住啊,如果支持了PAM认证方式,你本地用户是不能登陆的。 # make /直接在vsftpd-2.0.3里用make编译 # ls -l vsftpd -rwxr-xr-x 1 root root 84712 Jun 6 18:56 vsftpd /可执行程序已被编译成功 创建必要的帐号,目录: # use

14、radd nobody /可能你的系统已经存在此帐号,那就不用建立 # mkdir /usr/share/empty /可能你的系统已经存在此目录,那就不用建立 # mkdir /var/ftp /可能你的系统已经存在此目录,那就不用建立 # useradd -d /var/ftp ftp /可能你的系统已经存在此帐号,那就不用建立 # chown root:root /var/ftp # chmod og-w /var/ftp 请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin

15、 安装vsftp配置文件,可执行程序,man等: # install -m 755 vsftpd /usr/local/sbin/vsftpd-loc # install -m 644 vsftpd.8 /usr/share/man/man8 # install -m 644 vsftpd.conf.5 /usr/share/man/man5 # install -m 644 vsftpd.conf /etc/vsftpd-loc.conf 这样就安装完成了,那么我们开始进行简单的配置 # vi /etc/vsftpd-loc.conf ,将如下三行加入文件 listen=YES listen

16、_port=21 tcp_wrappers=YES /支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)listen=YES的意思是使用standalone启动vsftpd,而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式),注意事项请参看匿名用户的配置。 anonymous_enable=NO local_enable=YES /这两项配置说不允许匿名用户登陆,允许本地用户登陆 # /usr/local/sbin/vsftpd-loc /etc/vsftpd-loc.conf & /以

17、后台方式启动vsftpd 测试搭建好的匿名用户方式,先测试root用户吧 :) # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): root 331 Please specify the password. Password: 230 Login

18、 successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 /root ftp quit 221 Goodbye. 我们看到root用户可以登陆到ftp,他的登陆目录就是自己的主目录。 再测试一个系统用户,那我们先建立一个用户名叫xuchen的 # useradd xuchen # passwd xuchen Changing password for user xuchen. New UNIX password: Retype new UNIX password: pass

19、wd: all authentication tokens updated successfully. 建立好了,让我们开始测试吧! # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): xuchen 331 Please specify the

20、password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 /home/xuchen ftp quit 221 Goodbye. 我们看到xuchen用户可以登陆到ftp,他的登陆目录也是自己的主目录。哈哈,又完成了!Linux下FTP服务器vsftp配置大全(二) 2009-10-19 22:34高级配置 细心的朋友可能已经看出来如果我们不支持PAM认证方式,那么本地用户就可以登陆,而默认编译的vsftpd支持PAM

21、认证方式,所以是不支持本地用户登陆的。恩,从这点说,这也是vsftp安全的一个表现-禁止本地用户登陆。 我们登陆后进行测试,传一个文件上去,得,失败了,那下载个文件下来吧,恩,这是成功的(见图2),而且我们发现我们可以进入到系统根目录(见图3),这样很危险。 那么改配置文件吧,为了测试方便,我们先建立一个名为kill-loc的脚本,也是为了杀掉FTP程序的 #!/bin/bash a=/bin/ps -A | grep vsftpd-loc | awk print ?$1 kill -9 ?$a 现在提供我的本地用户验证服务器配置文件吧(在匿名里写过的注释我就不在这里写了)listen=YES

22、 listen_port=21 tcp_wrappers=YES anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 /本地用户文件上传后的权限是-rw-r-r anon_upload_enable=NO anon_mkdir_write_enable=NO dirmessage_enable=YES xferlog_enable=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES connect_from_port_20=YES chro

23、ot_local_user=YES /限制用户在自己的主目录 #local_root=/ftp /你可以指定所有本地用户登陆后的目录,如果不设置此项,用户都会登陆于自己的主目录,就跟咱们前面测试的结果是一样的 local_max_rate=500000 /本地用户的下载速度为500KBytes/s idle_session_timeout=600 data_connection_timeout=120 nopriv_user= nobody /设定服务执行者为nobody,vsftpd推荐使用一个权限很低的用户,最好是没有家目录(/dev/null),没有登陆shell(/sbin/nolog

24、in),系统会更安全 ftpd_banner=Welcome to d- FTP service. check_shell=NO userlist_enable=YES userlist_deny=YES userlist_file=/etc/vsftpd.denyuser 以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里,那么登陆时会出现如下错误: # ftp 127.0.0.1 Connected to 127.0.0.1. 220 Welcome to d- FTP ser

25、vice. 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): xuchen 530 Permission denied. Login failed. 呵呵,有意思吧,自己测试吧,本地用户登陆方式就介绍到这里吧!3、虚拟用户形式实现(db及mysql形式) # cd /home/xuchen/vsftpd-2.0.3 /进入vsftpd-2.0.3的源代码目录

26、# make clean /清除编译环境 # vi builddefs.h 继续编辑builddefs.h 文件,文件内容如下: #ifndef VSF_BUILDDEFS_H #define VSF_BUILDDEFS_H #define VSF_BUILD_TCPWRAPPERS #undef VSF_BUILD_PAM #define VSF_BUILD_SSL #endif /* VSF_BUILDDEFS_H */ 将以上define VSF_BUILD_PAM行的undef改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL,和匿名用户形式是一样的。 #

27、make /直接在vsftpd-2.0.3里用make编译 # ls -l vsftpd -rwxr-xr-x 1 root root 86088 Jun 6 22:26 vsftpd /可执行程序已被编译成功 创建必要的帐号,目录: # useradd nobody /可能你的系统已经存在此帐号,那就不用建立 # mkdir /usr/share/empty /可能你的系统已经存在此目录,那就不用建立 # mkdir /var/ftp /可能你的系统已经存在此目录,那就不用建立 # useradd -d /var/ftp ftp /可能你的系统已经存在此帐号,那就不用建立 # chown r

28、oot:root /var/ftp # chmod og-w /var/ftp 请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin 安装vsftp配置文件,可执行程序,man等: # install -m 755 vsftpd /usr/local/sbin/vsftpd-pam # install -m 644 vsftpd.8 /usr/share/man/man8 # install -m 644 vsftpd.conf.5 /usr/share/man/man5 # in

29、stall -m 644 vsftpd.conf /etc/vsftpd-pam.conf 这样就安装完成了,那么我们开始进行简单的配置 对于用DB库存储用户名及密码的方式来说: (1)查看系统是否有相应软件包 # rpm qa | grep db4 db4-devel-4.2.52-7.1 db4-4.2.52-7.1 db4-utils-4.2.52-7.1 (2)建立一个logins.txt的文件,单行为用户名,双行为密码,例如 # vi /home/logins.txt xuchen 12345 (3)建立数据库文件并设置文件属性 # db_load -T -t hash -f /ho

30、me/logins.txt /etc/vsftpd_login.db # chmod 600 /etc/vsftpd_login.db (4)建立认证文件 # vi /etc/pam.d/ftp 插入如下两行 auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login account required /lib/security/pam_userdb.so db=/etc/vsftpd_login (5)建立一个虚拟用户 useradd -d /home/vsftpd -s /sbin/nologin vsftpd ls -ld

31、 /home/vsftpd drwx- 3 vsftpd vsftpd 1024 Jun 6 22:55 /home/vsftpd/ (6)编写配置文件(注意事项请参看匿名用户的配置,这里不再赘述) # vi /etc/vsftpd-pam.conf listen=YES listen_port=21 tcp_wrappers=YES /支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)listen=YES的意思是使用standalone启动vsftpd,而不是super daemon(xinetd)控制它 (vsftpd推荐使用stan

32、dalone方式) anonymous_enable=NO local_enable=YES /PAM方式此处必须为YES,如果不是将出现如下错误: 500 OOPS: vsftpd: both local and anonymous access disabled! write_enable=NO anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO chroot_local_user=YES guest_enable=YES guest_username=vsftpd /这两行的意思是采用虚拟

33、用户形式 virtual_use_local_privs=YES /虚拟用户和本地用户权限相同 pasv_enable=YES /建立资料联机采用被动方式 pasv_min_port=30000 /建立资料联机所可以使用port 范围的上界,0表示任意。默认值为0。 pasv_max_port=30999 /建立资料联机所可以使用port 范围的下界,0表示任意。默认值为0。 (7)启动程序 # /usr/local/sbin/vsftpd-pam /etc/vsftpd-pam.conf & (8)测试连通及功能 # vi /home/vsftpd/test /建立一个文件,内容如下 123

34、4567890 # chown vsftpd.vsftpd /home/vsftpd/test # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): xuchen 331 Please specify the password. Password:

35、 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 / ftp size test 213 11 ftp quit 221 Goodbye. OK,用户名为xuchen,密码为12345可以连接到FTP服务器,看不到文件列表,但可以下载已知文件名的文件,不能上传文件,非常安全吧! 如果我们需要用户看到文件,怎么办?也好办,在配置文件中加入如下语句: anon_world_readable_only=NO /匿名登入者不能下载可阅读的档案,默认值为Y

36、ES 如果需要让用户上传文件和下载文件分开,建议如下这么做 # vi /home/logins.txt xuchen 12345 upload 45678 /首先建立虚拟用户upload,密码为45678 # db_load -T -t hash -f /home/logins.txt /etc/vsftpd_login.db /更新数据文件 # mkdir /home/vsftpd/upload # vi /etc/vsftpd-pam.conf 加入如下语句 user_config_dir=/etc/vsftpd_user_conf # mkdir /etc/vsftpd_user_con

37、f # vi /etc/vsftpd_user_conf/upload 文件内容如下 local_root=/home/vsftpd/upload write_enable=YES anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES # chmod 700 /home/vsftpd/upload # chown vsftpd.vsftpd /home/vsftpd/upload/ 这样,xuchen用户可以下载/home/vsftpd

38、里的文件及upload里的文件,而upload用户可以上传和下载/home/vsftpd/upload文件夹的东西,但不能到/home/vsftpd里下载文件,很简单得实现了分用户上传和下载 对于用Mysql库存储用户名及密码的方式来说: 就是把用户名和密码放在mysql库里,实现起来也相当简单 (1)建立一个库并设置相应权限 # mysql p mysqlcreate database ftpd; mysqluse ftpd; mysqlcreate table user(name char(20) binary,passwd char(20) binary); mysqlinsert in

39、to user (name,passwd) values (test1,12345); mysqlinsert into user (name,passwd) values (test2,54321); mysqlgrant select on ftpd.user to ftpdlocalhost identified by 123456; mysqlflush privileges; 刷新权限设置 mysqlquit (2)下载libpam-mysql进行安装编译 下载地址如下: http:/ . am_mysql-0.5.tar.gz 假设我们把它放在了/home/xuchen目录下 #

40、cd /home/xuchen # tar xzvf pam_mysql-0.5.tar.gz # cd pam_mysql # make # cp pam_mysql.so /lib/security (3)建立PAM认证信息 # vi /etc/pam.d/ftp ,内容如下 auth required /lib/security/pam_mysql.so user=ftpd passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0 account required

41、 /lib/security/pam_mysql.so user=ftpd passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0 注意: crypt= n crypt=0: 明文密码 crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt(),encrypt()随机产生salt) crypt=2: 使用MYSQL中的password()函数加密 crypt=3:表示使用md5的散列方式 (4)建立本地虚拟用户 # useradd -d /home

42、/ftpd -s /sbin/nologin ftpd (5)下面就差修改vsftpd.conf文件了,我把我的提供给大家参考吧:) # vi /etc/vsftpd-pam1.conf anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES chroot_local_user=YES guest_enable=YES guest_username=ftp

43、d listen=YES listen_port=21 pasv_enable=YES pasv_min_port=30000 pasv_max_port=30999 anon_world_readable_only=NO virtual_use_local_privs=YES #user_config_dir=/etc/vsftpd_user_conf 可以看出,和前面的用db库来验证没有多大区别,其实就是一个东西,一个用mysql来验证,一个用db库,我个人比较倾向于用db库来验证,在这个环境下,相对于Mysql来说,安全系数更高一点。 (6)# /usr/local/sbin/vsftp

44、d-pam /etc/vsftpd-pam1.conf & /以后台方式启动 (7)测试连通 # ftp 127.0.0.1 Connected to 127.0.0.1. 220 (vsFTPd 2.0.3) 530 Please login with USER and PASS. 530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (127.0.0.1:root): test1 331 Please specify the password. Password: 2

45、30 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp pwd 257 / ftp quit 221 Goodbye. 看,成功了!这样就实现了mysql的认证方式,很简单吧? 4、为FTP增加磁盘配额,从而避免恶意用户用垃圾数据塞满你的硬盘 我首先要说的是这个功能是系统自带的,而不是vsftp 的功能之一,千万别搞混了。好了,我们先假设我们的系统用户ftpd的主目录是/home/ftpd,它是建立在/home分区中,那么如果我们要对ftpd用户进行磁盘限额,那我们需要修改/etc/fstab中根分区的记录,将/home分区的第4个字段改成defaults,usrquota,如下: LABEL=/home /home ext3 defaults,usrquota 1 2 # reboot /重新启动系统使设置生效 也可以用 # moun

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1