Ubuntu16 FTP的安装,基本配置与权限控制
1.ftp与sftp
大致了解下:
ftp是一个文件传输协议,linux环境需要它才能支持文件的传输与查看,它的默认端口是21。
sftp是加密/解密的文件传输协议,因为它每次传输都有加密解密的步骤,所以效率比ftp低的多但是安全。
2.ftp服务的安装
使用命令行从软件库下载安装:apt-get install vsftpd ftp
3.ftp服务的匿名访问测试
安装完成后我们可以进行测试,首先测试一下匿名登录:
修改vsftpd的配置文件:vim /etc/vsftpd.conf(配置文件的位置可能不同)
将anonymous_enable设置为YES,意思是允许匿名登录;
再添加一行匿名登录的默认目录:anon_root=/home/annoDir;
最后启动vsftpd服务:/etc/init.d/vsftpd start
用浏览器匿名访问目录:
可以看到,无需输入账号密码就可以访问annoDir这个目录:
4.ftp服务的配置详解
参考(https://www.linuxidc.com/Linux/2017-04/142493.htm)
anonymous_enable=NO # 关闭匿名登录 默认为NO local_enable=YES # 允许本地用户登录 write_enable=YES # 启用可以修改文件的 FTP 命令
local_umask=022 #设置本地用户新增文档的umask,默认为022,
这里的022ftp服务会把它解析成2进制的000 010 010 再取反,即755,代表了文件的权限,即 对新增的目录有读写执行权
dirmessage_enable=YES # 当用户第一次进入新目录时显示提示消息(按照默认就好) xferlog_enable=YES # 一个存有详细的上传和下载信息的日志文件(启用日志文件) connect_from_port_20=YES # 在服务器上针对 PORT 类型的连接使用端口 20(FTP 数据) xferlog_std_format=YES # 保持标准日志文件格式(默认不动) listen=NO # 阻止 vsftpd 在独立模式下运行,默认为NO,但是据说设置为NO的话,有些配置功能会被限制(找不到相关资料) listen_ipv6=YES # vsftpd 将监听 ipv6 而不是 IPv4,你可以根据你的网络情况设置,如果需要同时支持ipv4和ipv6的话,需要配置2套 pam_service_name=vsftpd # vsftpd 将使用的 PAM 验证设备的名字(默认就好) userlist_enable=YES # 允许 vsftpd 加载用户名字列表,
注意,默认vsftp是基于/etc/vsftpd.userlist来作为禁止访问ftp的名单的,比如其中就包含root用户
我们也可以通过配置 userlist_deny=NO 这个选项来反转配置,即只有该名单内的用户可以访问该目录。
chroot_local_user=YES allow_writeable_chroot=YES
#选项chroot_local_user=YES 表示本地用户将进入 chroot 环境,当登录以后默认情况下是其 home 目录。
并且我们要知道,默认情况下,出于安全原因,VSFTPD 不允许 chroot 目录具有可写权限。然而,我们可以通过选项 allow_writeable_chroot=YES 来允许。
chroot_list_enable=YES #限制只访问自身目录
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list #限制访问自身目录的用户列表
5.新增ftp用户
正常使用ftp服务,很少会用匿名登录,我们需要一个专门的用户去做ftp操作。
1.新建用户(xjxftp)并设置主目录和密码:
2.在ftp的配置文件中限制用户的访问路径:
编辑vsftpd.conf文件,设置chroot_local_user=YES
同时,新建一个chroot_list文件,将受限制的用户加入:一个用户名占一行,直接加入就好。
重启服务:root@instance-7k2jqcks:/etc# ./init.d/vsftpd restart
注:如果我们设置了chroot_local_user=YES,又设置了chroot_list_enable=YES限制访问自身目录,则拥有写权限的用户将无法登录:
这是由于ftp新版本的安全机制导致的(https://www.cnblogs.com/zhjh256/p/9155281.html)
我们当然不能没有写的权限,这里我们可以设置 allow_writeable_chroot=YES 来允许(如果white_enable=YES这行被注释掉的话也把它放开)
这样,我们使用xftp就可以新建文件,并且所有的操作也被限制在该用户主目录下:
6.ftp用户无法新建文件夹和403
这里稍微说一点点遇到的小问题,一个是提到的限制用户访问主目录后的无法写的问题,上面的已经有方案了。
403的问题:
1.如果我们使用阿里云服务器,它进入的协议和端口默认是有限制的,我们需要自己做安全组配置,打开20和21端口,如果服务器自带防火墙也一样。
2.还有就是你ftp登录的用户有没有对主目录应有的访问读写权限。
3.默认ftp是对ftpusers这个文件里的用户禁止访问的。它里面就包含root,如果我们的用户在/etc/ftpusers这个文件夹里,登录验证也将失败。
无法新建文件夹的问题:注意有的版本配置文件中write_enable=YES 这个是被注释掉的,这样我们无法写,需要把它打开。
7.vsftpd配置必须需要账号密码访问
把user_list文件作为允许访问的用户列表
配置文件中 配置 userlist_enable=YES和 userlist_deny=NO