CentOS7.8安装配置vsftpd
采用vsftpd在CentOS7上搭建FTP服务器。
1、安装vsftpd
yum -y install vsftpd
2、设置开机启动
systemctl enable vsftpd
3、启动ftp服务
systemctl start vsftpd.service
4、打开防火墙,开放21端口
firewall-cmd --zone=public --add-port=21/tcp --permanent firewall-cmd --permanent --zone=public --add-service=ftp firewall-cmd --reload
5、添加ftp用户
useradd -g root -d /var/www/html -s /sbin/nologin ftpuser
注:表示新增一个ftpuser(用户名),且指定上传目录在/var/www/html/下
如果后期想变更此用户的上传目录到(/home/ftpuser/),请使用下面的命令:
usermod -d /home/ftpuser/ ftpuser
6、设置用户密码
passwd ftpuser
7、配置selinux 允许ftp访问home和外网访问
setsebool -P allow_ftpd_full_access on setsebool -P ftp_home_dir on
8、设置权限
chown -R ftpuser:root /var/www/html/
#配合allow_writeable_chroot=YES使用,否则报503错误
chmod o-w /var/www/html/
9、修改vsftp配置文件,禁用匿名登录
#vi /etc/vsftpd/vsftpd.conf #改为NO 就是禁止匿名用户登录 anonymous_enable=NO #允许本地用户访问(/etc/passwd中的用户) local_enable=YES #允许写入权限,包括修改,删除 write_enable=YES #禁止跳出当前用户权限目录 chroot_local_user=YES ascii_upload_enable=YES ascii_download_enable=YES #末尾添加 不加会报5XX错误 allow_writeable_chroot=YES #当chroot_local_user=NO时,chroot_list里面配置的用户不可以跳出家目录,当chroot_local_user=YES时,chroot_list里面配置的用户可以跳出家目录 chroot_list_file=/etc/vsftpd/chroot_list
10、被动模式端口
很多客户端会通过被动模式连接FTP,涉及到映射的时候,数据端口是变化的。可给设置一个固定范围
#开启被动模式 pasv_enable=YES pasv_min_port=64500 pasv_max_port=64999
虚拟用户模式配置:
虚拟用户的用户认证是通过pam方式去认证的,pam文件里面指定了认证的db文件,db文件又是通过明文用户名和密码文件生成而来,首先要指定pam文件,这个在 /etc/vsftpd/vsftpd.conf 配置文件是通过 pam_service_name=vsftpd 配置指定的,其位置是 /etc/pam.d/vsftpd,编辑该文件,把auth两行注释掉,加上以下两行(32位lib64改为lib):
1、密码策略
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
2、配置文件vsftpd.conf说明
#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置 #用户家目录可写,默认是只读的 allow_writeable_chroot=YES #设定启用虚拟用户功能。 guest_enable=YES #指定虚拟用户的宿主用户。 guest_username=testftp #设定虚拟用户的权限符合他们的宿主用户。 virtual_use_local_privs=YES #设定虚拟用户个人vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个vsftp虚拟用户个性的配置文件,一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。 user_config_dir=/etc/vsftpd/vconf #如果配置了以下配置,则还需要在user_list里面添加指定的虚拟用户,如ftptest,不然不能登录,如图 #NO表示所有用户均不可以登录ftp,YES表示所有用户均能访问ftp,默认是YES userlist_deny=NO #当userlist_deny=NO时,user_list是白名单,当userlist_deny=YES时,user_list是黑名单 userlist_file=/etc/vsftpd/user_list
3、创建用户
目录新建virtusers文件,用于存放虚拟用户及密码。
touch /etc/vsftpd/virtusers
注:从第一行开始,奇数行为用户名,偶数行为密码
user1 123456 user2 123456 user3 123456
#留一个空行,否则报错,可以验证一下
4、生成数据文件
cd /etc/vsftpd/ db_load -T -t hash -f virtusers virtusers.db #修改virtusers.db的用户及组为宿主的用户及组 chown testftp:testftp virtusers.db #修改virtusers.db的权限,敏感文件只允许宿主读写 chmod 600 virtusers.db
5、建立配置文件
根据vsftpd.conf文件中user_config_dir=/etc/vsftpd/vconf的配置,在/etc/vsftpd/目录创建vconf目录,目录里面存放各个虚拟用户单独的配置文件。
#创建vconf目录 mkdir /etc/vsftpd/vconf #创建虚拟用户单独的配置文件,ftptest为virtusers中配置的用户名 touch /etc/vsftpd/vconf/ftptest
配置示例:
#指定此虚拟用户的家目录 local_root=/home/testftp/ftp-file #设定不允许匿名用户访问 anonymous_enable=NO #设定允许写操作 write_enable=YES #设定上传文件权限掩码 local_umask=022 #设定不允许匿名用户上传 anon_upload_enable=NO #设定不允许匿名用户建立目录 anon_mkdir_write_enable=NO #设定空闲连接超时时间 idle_session_timeout=600 #设定单次连续传输最大时间 data_connection_timeout=120 #设定并发客户端访问个数 max_clients=10 #设定单个客户端的最大线程数,这个配置主要来照顾Flashget、迅雷等多线程下载软件 max_per_ip=5 #设定该用户的最大传输速率,单位b/s local_max_rate=1024000
重启FTP服务
systemctl restart vsftpd systemctl stop vsftpd systemctl start vsftpd
