ftp-vsftpd安装及虚拟用户配置
FTP服务是最常用的跨平台文件共享服务之一
============= 完美的分割线 ===============
0.FTP两种模式的区分
1)PORTFTP和PASVFTP,PORTFTP是一般形式的FTP。
2)这两种FTP在建立控制连接时操作是一样的,都是由客户端首先和FTP服务器的控制端口(默认值为21)建立控制链接,并通过此链接进行传输操作指令。它们的区别在于使用数据传输端口(ftp-data)的方式。
3)PORTFTP由FTP服务器指定数据传输所使用的端口,默认值为20。
4)PASVFTP由FTP客户端决定数据传输的端口。PASVFTP这种做法,主要是考虑到存在防火墙的环境下,由客户端与服务器进行沟通(客户端向服务器发出数据传输请求中包含了数据传输端口),决定两者之间的数据传输端口更为方便一些。
1.安装FTP服务端
1.1.环境准备
# 检查系统环境,如果系统版本较低,建议升级内核等
# 在CentOS6.x和7.x版本安装方法基本相同
uname -a cat /etc/redhat-release # yum update -y # 如果是新服务器或者是ftp独占可以升级,其他看情况
1.2.安装vsftpd
# 包括服务端和客户端
yum install vsftpd ftp -y
1.3.启动vsftpd服务并配置开机自启动
/etc/init.d/vsftpd start netstat -anptl|grep vsftpd chkconfig vsftpd on chkconfig --list vsftpd
1.4.配置查看ftp相关日志
# 从xferlog可以查看到用户上传下载等的操作记录,删除不会显示
vim /etc/logrotate.d/vsftpd
/var/log/vsftpd.log { # ftpd doesn't handle SIGHUP properly nocompress missingok } /var/log/xferlog { # ftpd doesn't handle SIGHUP properly nocompress missingok }
tail -f /var/log/xferlog
2.配置匿名方式访问FTP服务端
2.1.安装好vsftpd服务,默认为匿名访问
1)可以直接输入IP端口,可以打开ftp服务器
2)允许匿名用户登录,宿主目录为/var/ftp,不能离开,下载目录为/var/ftp/pub,且只能下载,不能上传
3)允许本地用户登录,且可离开主目录,本地用户允许上传/下载
4)写在文件/etc/vsftpd/ftpusers中的本地用户禁止登录
5)服务器使用独占方式启动,且无限制连接数
3.配置虚拟用户认证的FTP服务端
3.1.修改vsftpd.conf 文件
cd /etc/vsftpd/
vim vsftpd.conf
# 修改配置文件,确认以下选项
anonymous_enable=NO # 修改,禁止匿名用户登录 local_enable=YES # 默认启用,允许本地用户登录,虚拟用户需要映射到本地用户才可以使用 write_enable=YES # 默认启用,本地用户开放写权限 #local_umask=022 # 注释掉,本地用户创建的文件的权限反码022,创建的文件为644 userlist_enable=YES # 默认启用,默认为允许user_list中的用户进行访问 # userlist_deny=yes # 也可以用这个,默认拒绝user_list中的用户访问FTP服务器,保留一种即可 userlist_file=/etc/vsftpd/user_list chroot_local_user=YES # 默认启用,将本地用户锁定在自家目录中 # made for virtual user guest_enable=YES # 增加,启用虚拟用户模式 guest_username=ftpvuser # 增加,配置虚拟用户映射到的本地用户名 pam_service_name=/etc/pam.d/ftpvuser.pam # 修改,配置虚拟用户的认证方式 user_config_dir=/etc/vsftpd/vuser.d # 增加,虚拟用户的配置文件目录 anon_umask=022 # 增加,匿名用户新增文件的umask数值。默认值为077,需要修改为022,否则上传后的文件为600
# 其他配置选项,根据实际需求修改
dirmessage_enable=YES # 设置切换到目录时显示message 隐含文件的内容 xferlog_enable= YES # 激活上传和下载日志 connect_from_port_20= YES # 启用FTP数据端口连接 pam_service_name=vsftpd # 设置PAM认证服务的配置文件名称, 该文件存放在/etc/pam.d目录下 userlist_enable= YES # 允许vsftpd.user_list文件中的用户访问服务器 userlist_deny= YES # 拒绝vsftpd.user_list文件中的用户访问服务器 listen= YES # 是否使用独占启动方式 tcp_wrappers= YES # 使用防火墙 #file_open_mode=0755
# vsftpd配置文件
/etc/vsftpd/vsftpd.conf # 主配置文件 /etc/vsftpd/ftpusers # FTP限制访问的用户,里面是一些系统用户,默认不允许访问,防止被入侵 /etc/vsftpd/user_list # 授权用户列表,可以控制哪些用户可以访问或者禁止访问
# 注意:
1)vsftpd.conf 文件中每个选项设置为一行,格式为“option=value”,“=”号两边不能留空白符
2)除了主配置文件外,还可以给特定用户设定个人配置文件
3)虚拟用户默认可以读写,访问时映射为本地用户,所以需要启用对本地用户的控制
4)实际的访问权限可由用户独立的配置文件进行单独控制
3.2.创建虚拟用户相关文件
1)创建授权认证文件
cd /etc/pam.d/ mv vsftpd vsftpd.ori # 备份原有的ftp的pam认证文件 vim ftpvuser.pam # 创建新的ftp虚拟用户认证文件
写入以下内容:
#%PAM-1.0 auth required pam_userdb.so db=/etc/vsftpd/vuser.d/vuser # 不可以加.db的扩展名,否则认证不成功 account required pam_userdb.so db=/etc/vsftpd/vuser.d/vuser
2)创建虚拟用户的秘钥文件
mkdir -p /etc/vsftpd/vuser.d cd /etc/vsftpd/vuser.d touch vuser.list
3)加密虚拟用户的秘钥文件
# 使用db_load工具生成加密
yum install db4-utils -y db_load -T -t hash -f vuser.list vuser.db file vuser.list file vuser.db
# 为了安全,修改虚拟用户文件的访问权限
chmod 600 /etc/vsftpd/vuser.*
ll /etc/vsftpd/vuser.*
3.3.配置一个虚拟用户访问权限的实例
1)创建或修改虚拟用户秘钥信息
cd /etc/vsftpd/vuser.d vim vuser.list -------------------- admin 123456 --------------------
2)设置可以访问ftp的虚拟用户列表user_list
# 注释掉其他本地用户认证的内容,因为启用了guest_enable后,本地用户将失效,所有非匿名用户变成虚拟用户
# 因为需要授权访问的用户比较少,所以user_list设置为可以访问ftp服务的用户
vim /etc/vsftpd/user_list --------------------- admin ----------------------
3)每个用户单独创建授权文件
cd /etc/vsftpd/vuser.d vim admin --------------------------- # 指定宿主目录,配置访问权限 write_enable=YES local_root=/data/ftpdata/admin # 宿主目录 anon_upload_enable=YES # 上传 anon_mkdir_write_enable=YES # 创建目录写权限 anon_other_write_enable=YES # 其他写入权限 ---------------------------
4)创建ftp虚拟用户的宿主目录
# 创建的ftp本地用户及其根目录,用于映射虚拟用户,注意修改目录权限
mkdir -p /data/ftpdata/admin # 虚拟用户的宿主目录需要预先创建 useradd -d /data/ftpdata/ -s /sbin/nologin ftpvuser chmod 755 /data/ftpdata/ ll /data/ftpdata/ -d
5)配置完成刷新配置信息,进行测试
service vsftpd reload
4.常见报错处理
错误现象1:文件显示上传成功,刷新就是不显示。
报错分析:
1)检查发现上传的文件权限为600,是上传文件权限设置问题
解决方法:修改虚拟用户权限配置
local_umask=022 改为 anon_umask=022
2)另外,在创建虚拟用户映射的ftp本地用户的时候,使用useradd创建的宿主目录权限默认为700
这样,虽然上传文件的权限为644可读,文件夹755可读,但由于ftp的上层目录不可读,子目录也会受限
解决方法:修改宿主目录的权限为755即可
chmod 755 /data/ftpdata/
5.附:防火墙配置
如果ftp被动模式用到防火墙,可以参考以下配置
iptables -I INPUT -p tcp --dport 21 -j ACCEPT #FTP连接端口 iptables -I INPUT -p tcp --dport 33000:34000 -j ACCEPT #pasv模式下的随机端口 iptables-save >/etc/sysconfig/iptables #保存防火墙配置 systemctl restart iptables.service systemctl restart vsftpd.service
======== 完毕,呵呵呵呵 ========
本文版权归作者和博客园共有,如果感觉有用可以随意打赏,感谢支持,欢迎转载