Ubuntu16 FTP的安装,基本配置与权限控制

1.ftp与sftp

大致了解下:

ftp是一个文件传输协议,linux环境需要它才能支持文件的传输与查看,它的默认端口是21。

sftp是加密/解密的文件传输协议,因为它每次传输都有加密解密的步骤,所以效率比ftp低的多但是安全。

2.ftp服务的安装

使用命令行从软件库下载安装:apt-get install vsftpd ftp

3.ftp服务的匿名访问测试

安装完成后我们可以进行测试,首先测试一下匿名登录

修改vsftpd的配置文件:vim /etc/vsftpd.conf(配置文件的位置可能不同)

将anonymous_enable设置为YES,意思是允许匿名登录;

再添加一行匿名登录的默认目录:anon_root=/home/annoDir;

最后启动vsftpd服务:/etc/init.d/vsftpd start

用浏览器匿名访问目录:

可以看到,无需输入账号密码就可以访问annoDir这个目录:

4.ftp服务的配置详解

参考(https://www.linuxidc.com/Linux/2017-04/142493.htm

anonymous_enable=NO             # 关闭匿名登录 默认为NO
local_enable=YES            # 允许本地用户登录
write_enable=YES            # 启用可以修改文件的 FTP 命令
local_umask=022               #设置本地用户新增文档的umask,默认为022,
这里的022ftp服务会把它解析成2进制的000 010 010 再取反,即755,代表了文件的权限,即 对新增的目录有读写执行权

dirmessage_enable=YES           # 当用户第一次进入新目录时显示提示消息(按照默认就好) xferlog_enable=YES          # 一个存有详细的上传和下载信息的日志文件(启用日志文件) connect_from_port_20=YES        # 在服务器上针对 PORT 类型的连接使用端口 20(FTP 数据) xferlog_std_format=YES          # 保持标准日志文件格式(默认不动) listen=NO                 # 阻止 vsftpd 在独立模式下运行,默认为NO,但是据说设置为NO的话,有些配置功能会被限制(找不到相关资料) listen_ipv6=YES             # vsftpd 将监听 ipv6 而不是 IPv4,你可以根据你的网络情况设置,如果需要同时支持ipv4和ipv6的话,需要配置2套 pam_service_name=vsftpd         # vsftpd 将使用的 PAM 验证设备的名字(默认就好) userlist_enable=YES             # 允许 vsftpd 加载用户名字列表,
注意,默认vsftp是基于/etc/vsftpd.userlist来作为禁止访问ftp的名单的,比如其中就包含root用户
我们也可以通过配置 userlist_deny=NO 这个选项来反转配置,即只有该名单内的用户可以访问该目录。
chroot_local_user=YES
allow_writeable_chroot=YES

 #选项chroot_local_user=YES 表示本地用户将进入 chroot 环境,当登录以后默认情况下是其 home 目录

 并且我们要知道,默认情况下,出于安全原因,VSFTPD 不允许 chroot 目录具有可写权限。然而,我们可以通过选项 allow_writeable_chroot=YES 来允许。

 

   chroot_list_enable=YES #限制只访问自身目录

   chroot_list_file=/etc/vsftpd/vsftpd.chroot_list  #限制访问自身目录的用户列表

 

5.新增ftp用户

正常使用ftp服务,很少会用匿名登录,我们需要一个专门的用户去做ftp操作。

1.新建用户(xjxftp)并设置主目录和密码:

2.在ftp的配置文件中限制用户的访问路径:

编辑vsftpd.conf文件,设置chroot_local_user=YES 

同时,新建一个chroot_list文件,将受限制的用户加入:一个用户名占一行,直接加入就好。

重启服务:root@instance-7k2jqcks:/etc# ./init.d/vsftpd restart

 

注:如果我们设置了chroot_local_user=YES,又设置了chroot_list_enable=YES限制访问自身目录,则拥有写权限的用户将无法登录

这是由于ftp新版本的安全机制导致的(https://www.cnblogs.com/zhjh256/p/9155281.html

我们当然不能没有写的权限,这里我们可以设置 allow_writeable_chroot=YES 来允许(如果white_enable=YES这行被注释掉的话也把它放开)

 

这样,我们使用xftp就可以新建文件,并且所有的操作也被限制在该用户主目录下:

 

 

 

6.ftp用户无法新建文件夹和403

这里稍微说一点点遇到的小问题,一个是提到的限制用户访问主目录后的无法写的问题,上面的已经有方案了。

403的问题:

1.如果我们使用阿里云服务器,它进入的协议和端口默认是有限制的,我们需要自己做安全组配置打开20和21端口,如果服务器自带防火墙也一样。

2.还有就是你ftp登录的用户有没有对主目录应有的访问读写权限。

3.默认ftp是对ftpusers这个文件里的用户禁止访问的。它里面就包含root,如果我们的用户在/etc/ftpusers这个文件夹里,登录验证也将失败。

无法新建文件夹的问题:注意有的版本配置文件中write_enable=YES 这个是被注释掉的,这样我们无法写,需要把它打开。

 

7.vsftpd配置必须需要账号密码访问

把user_list文件作为允许访问的用户列表

配置文件中 配置 userlist_enable=YES和 userlist_deny=NO

 

posted @ 2019-04-24 17:07  戏言xjx  阅读(2526)  评论(0编辑  收藏  举报