当前位置:   article > 正文

vsftpd配置详解_vsftpd服务关闭有什么影响

vsftpd服务关闭有什么影响

关于vsftpd的配置,这篇文章挺不错的.

vsftpd是linux发行版中的一款ftp服务器程序,它的全称是“very secure ftp daemon”,号称是最安全的ftp服务器。它工作在21,20号端口,主要提供文件传输服务,可以跨越网络提供服务,非常好用。


 
本文主要内容:
一,ftp的工作原理:
二,vsftpd的配置文件:
三,vsftpd的安装
四,vsftpd的启动与关闭:
五,vsftpd的配置文件/etc/vsftpd/vsftpd.conf解析:
六,用tcp_wraper来控制vsftpd:
七,创建ftp虚拟用户
八,启用ssl,建立安全的传输
 
一,ftp的工作原理:
    ftp的两种工作模式:
    1,主动模式
    工作原理:客户端从一个任意的非特权端口(大于1024)N连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)
    2,被动模式
    工作原理:当开启一个 FTP连接时,客户端打开两个任意的非特权本地端口(大于1024)N和N+1。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交 PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(大于1024)P ,并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据
    
    主动模式与被动模式的比较:       
    主动FTP对FTP服务器的管理和安全很有利,但对客户端的管理不利,因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。目前,ftp服务器一般工作在被动模式。
    
二,vsftpd的配置文件:
     1,/etc/vsftpd/vsftpd.conf
     这个是vsftpd的主配置文件
     2,/etc/xinetd.d/vsftpd
     如果vsftpd工作在超级守护进程的管理下,这是其配置文件来管理vsftpd
     3,/etc/pam.d/vsftpd
     如果vsftpd启用PAM机制,这是PAM认证文件(此文件中file=/etc/vsftpd/ftpusers
 
字段,指明阻止访问的用户来自/etc/vsftpd/ftpusers文件中的用户)
     4,/etc/vsftpd/ftpusers
     禁止使用vsftpd的用户列表文件
     5,/etc/vsftpd/user_list
     禁止或允许使用vsftpd的用户列表文件
     6,/etc/hosts.allow和/etc/hosts.deny
     如果vsftpd启用tcp_wraper控制机制,这两个文件可以控制vsftpd
 
 
     小知识:
    1,ftp是受selinux管理的,要配置好selinux或是关闭;
    2,改动vsftpd主配置文件时确保“=”两边无空格,有些功能我们可以添加到配置文件中;并且指令要顶格写;
 
三,vsftpd的安装(在系统光盘中有对应的rpm包):
#rpm -ivh rpm -ivh vsftpd-2.0.5-16.el5.i386.rpm
 
四,vsftpd的启动与关闭:
#service vsftpd start
#service vsftpd stop
 
五,vsftpd的配置文件/etc/vsftpd/vsftpd.conf解析:
anonymous_enable=YES
是否允许匿名用户访问,匿名用户访问的时候是被映射为系统的ftp用户,它的家目录为/var/ftp,故我们用匿名访问的时候,访问的是/var/ftp的目录(这个目录的权限请不要随意改动,如果改动可能造成无法访问)。
 
local_enable=YES
是否允许本地用户登录ftp,登录之后是用户的家目录,但uid号小于500的用户都不允许登录
 
write_enable=YES
本地用户是否有上传权限
 
local_umask=022
本地用户上传的文件的反向掩码。而f用户访问ftp对文件的实际权限是:所访问目录和这个文件权限的交集
 
anon_upload_enable=YES
是否允许匿名用户上传文件
 
anon_mkdir_write_enable=NO
匿名用户是否有创建目录的权限
 
anon_other_write_enable=NO
匿名用户是否有删除和重名名文件的权限
 
anon_world_readable_only=NO
匿名用户只能下载全局可读的文件,即文件的属组,属主,其他用户都有读权限
 
dirmessage_enable=YES
当用户切换目录时,定义的欢迎信息。可以在家目录中定义一个.message的文件
 
xferlog_enable=YES
是否打开传输日志
 
connect_from_port_20=YES
是否启用20号端口进行数据传输,这样会工作在主动模式
 
chown_uploads=YES
chown_username=whoever
当用户上传了文件,是否更改该上传的文件属主,并且属主更改为哪个用户
 
xferlog_file=/var/log/xferlog
定义传输日志的位置,默认在/var/log/messages中
 
xferlog_std_format=YES
定义日志的格式
 
idle_session_timeout=600
会话的超时时间
 
data_connection_timeout=120
数据连接的超时时间
 
nopriv_user=ftpsecure
指定一个安全用户账号,让FTP服务器用作完全隔离和没有特权的独立用户。一般不启用
 
async_abor_enable=YES
是否允许运行特殊的ftp命令"async ABOR",一般不启用
 
ascii_upload_enable=YES
ascii_download_enable=YES
以ascii形式传输,一般不启用
 
ftpd_banner=Welcome to blah FTP service.
登录ftp的欢迎信息
 
deny_email_enable=YES
banned_email_file=/etc/vsftpd/banned_emails
是否要禁止匿名用户使用某些邮件地址,如果是输入禁止的邮件地址的路径和文件名,可防Dos攻击
 
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
当这个文件中的用户登录时,把其用户的目录锁定,不能随意切换,对保证系统的安全重要。
 
chroot_local_user=YES
把所有登录的用户都锁进自己的家目录,不能随意切换
 
ls_recurse_enable=YES
当用户查看ftp服务器上目录文件时,支持递归显示
 
listen=YES
以独立守护进程工作
 
listen_ipv6=YES
是否启用ipv6地址上监听
 
pam_service_name=vsftpd
定义以pam实现ftp用户认证,根据/etc/pam.d/vsftpd定义进行认证
 
userlist_enable=YES
是否启用用户列表,并且只允许/etc/vsftpd/user_list文件中的用户登录
 
userlist_deny=YES
启用用户列表,禁止此列表/etc/vsftpd/usr_list中定义的用户登录
 
tcp_wrappers=YES
是否启用tcp_wrapper对vsftpd的控制
 
六,用tcp_wraper来控制vsftpd:
首先,要确保vsftpd的主配置文件"tcp_wrappers=YES"这一行启用
 
允许192.168.0网段访问:
#vim /etc/hosts.allow
添加:
vsftpd:192.168.0.
禁止172.16.30网段访问:
#vim /etc/hosts.deny
添加:
vsftpd:172.16.30.

七,创建ftp虚拟用户:
    什么是虚拟用户呢?
虚拟用户是指那些非操作系统的用户。可以建多个,虚拟用户访问ftp服务器的时候,会映射到操作系统的一个普通进行访问,访问的是这个被映射用户的家目录。
 
我们可以把ftp的账号,密码信息存入mysql数据库中:
1,编译安装pam_mysql-0.7RC1:
准备好pam_mysql-0.7RC1.tar.gz( http://pam-mysql.sourceforge.net/ ),配置好yum源,先安装开发组和所依赖的软件包:
#yum groupinstall "Development Tools" "Development Libraries"
 
如果我们想让ftp支持ssl功能的话要安装如下两个包:
#yum install openssl
#yum install openssl-devel
 
# tar zxvf  pam_mysql-0.7RC1.tar.gz
# cd  pam_mysql-0.7RC1
# ./configure --with-mysql=/usr/local/mysql --with-openssl 
--with-mysql 指定mysql的安装位置,根据mysql的安装位置指定(mysql的安装见我的文章"LNMP源码安装配置+discuz")
--with-openssl 使ftp启用ssl(可选)
 
# make
# make install
 
 
2,配置:
 
1.准备数据库及相关表
登录进mysql:
#mysql -uroot -p
 
我们建立名为vsftpd的数据库来存放相关虚拟用户的帐号
mysql> create database vsftpd;
 
只给lee用户操作vsftpd数据库select的权限,用户lee的密码为123456:
mysql> grant select on vsftpd.* to lee@localhost identified by '123456';
mysql> grant select on vsftpd.* to lee@127.0.0.1 identified by '123456';
mysql>flush privileges;
 
mysql> use vsftpd;
mysql> create table users (
    -> id int AUTO_INCREMENT NOT NULL PRIMARY KEY,
    -> name char(20) NOT NULL UNIQUE KEY,
    -> password char(48) NOT NULL
    -> );
查看表的结构:
mysql>DESC users;
 
添加虚拟用户jia,其密码采取加密存放的方式:
mysql> insert into users(name,password) values('jia',password('123456'));
 
查看结果
mysql> select * from users;
 
2,建立PAM认证所需的文件:
为了我们ftp服务器的安全性,一般不允许我们的系统用户直接登录ftp服务器:
#vi /etc/pam.d/vsftpd.mysql
添加如下两行内容,此时不允许系统用户登录:
auth required pam_mysql.so user=lee passwd=123456 host=localhost db=vsftpd table=users  usercolumn=name passwdcolumn=password crypt=2
 
account required pam_mysql.so user=lee passwd=123456 host=localhost db=vsftpd table=users  usercolumn=name passwdcolumn=password crypt=2
 
 
如果想要系统用户用自己的账号密码也能访问我们的ftp服务器,则修改/etc/pam.d/vsftpd.mysql文件,改为为如下六行内容:
auth sufficient pam_mysql.so user=lee passwd=123456 host=localhost db=vsftpd table=users  usercolumn=name passwdcolumn=password crypt=2
 
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
 
auth required pam_shells.so
 
auth include system-auth
 
account sufficient pam_mysql.so user=lee passwd=123456 host=localhost 
db=vsftpd table=users  usercolumn=name passwdcolumn=password crypt=2
 
account include system-auth
注意:此时系统用户访问的时候也是被映射为我们的虚拟用户vsftp来访问的,也就是说系统用户访问的时候也只能访问/var/ftproot这个目录
 
3,修改vsftpd的配置文件,使其适应mysql认证:
 
建立虚拟用户映射的系统用户vsftp及对应的目录,/var/ftproot就是虚拟用户登录ftp服务器的所在目录:
#useradd -s /sbin/nologin -d /var/ftproot vsftp
#chmod go+rx /var/ftproot
 
请确保/etc/vsftpd/vsftpd.conf中已经启用了以下选项:
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
 
为/etc/vsftpd/vsftpd.conf添加以下选项:
chroot_local_user=YES
guest_enable=YES
guest_username=vsftp
 
修改/etc/vsfptd/vsftpd.conf中的pam_service_name=vsftpd为如下内容:
pam_service_name=vsftpd.mysql
 
启动服务:
#service vsftpd restart
 
4,设置虚拟用户的权限:
先建立一个目录,用来存放与虚拟用户名对应的文件:
#mkdir /etc/vsftpd/virusers
#cd /etc/vsftpd/virusers
 
在这个目录中建立的文件的名字必须和虚拟用户的名字相同:
#vim lee
使虚拟用户lee有上传,下载,新建文件的权限,则添加如下内容:
anon_upload_enable=YES
anon_mkdir_write_enable=YES
 
#vim /etc/vsftpd/vsftpd.conf
添加如下行(目录文件的名字和建立的目录路径相对应):
user_config_dir=/etc/vsftpd/virusers
 
重启服务:
#service vsftpd restart
 
5,启用iptables跟踪功能:
 
我们的服务器通常要有防火墙的,而我们的ftp服务一般工作在被动模式,如果我们设置ftp服务器(ip:1.1.1.1)的防火墙规则,而工作在被动模式的ftp服务可能会被挡掉,可以启用iptables的跟踪功能解决:
 
安装模块:
#modprobe ip_conntrack_ftp
#modprobe ip_nat_ftp
 
是这些模块能自动装载:
#vim /etc/sysconfig/iptables-config
修改:
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
 
例:设置ftp服务器的规则可以如下,使用RELATED选项:
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP
#iptables -A INPUT -d 1.1.1.1 -p tcp --dport 20:21 -j ACCEPT
#iptables -A OUTPUT -s 1.1.1.1 -p tcp --sport 20:21 -j ACCEPT
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
 
好了,我们可以用虚拟用户可以正常访问ftp服务器了。

八,启用ssl,建立安全的传输(可选)
由于ftp传输是明文的,非常不安全,我们可以启用ssl功能,建立安全加密的传输:
#vim /etc/vsftpd/vsftp.conf
添加如下内容:
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key
 
重启服务:
#service vsftpd restart
 
然后,建立我们自己的CA,然后创建证书vsftpd.crt和密码vsftpd.key,放在/etc/vsftpd/ssl目录中(CA建立过程见我的“数据加密及CA的创建” 见 http://www.linuxidc.com/Linux/2012-07/64748.htm)
 
这时候只有我们使用专用的ftp客户端工具才可以使用加密的传输,因为要指定使用哪种ssl类型进行传输。


相关附件下载


免费下载地址在 http://linux.linuxidc.com/


用户名与密码都是www.linuxidc.com


具体下载目录在 /2012年资料/7月/9日/vsftpd配置详解

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/代码探险家/article/detail/1020292
推荐阅读
相关标签
  

闽ICP备14008679号