- 论坛徽章:
- 0
|
1. 安装vsftpd服务:
在shell下运行yum install vsftpd,即可安装成功;
2. 修改vsftpd的配置:
在/etc/vsftpd/下找到vsftpd.conf文件,修改默认配置,包括监听地址和端口,是否打开tcp、psav模式等等;配置比较简单3.启动vsftpd服务:
运行service vsftpd start即可,或者运行/etc/init.d/vsftpd start
4.为ftp建立用户和登录目录
这个和linux建用户帐号是一样的
先用“useradd -d 目录名 用户名”建立一个到ftp目录的用户帐号,然后在用passwd设置密码;
然后你就可以用你新建的用户名和帐号登录这个ftp了,ftp的登录方式是
ftp 主机名;
输入用户名;
输入密码。
当然你用ftp工具也可以。
我们的步骤分为两大步:安装VSFTP和配置VSFTP。第一步:安装VSFTP准备:下载VSFTP源码包或VSFTP的RPM包软件,这里我使用的是vsftpd-2.0.5.tar.gz,这是目前VSFTP的最高版本,需要有root权限。使用tar.gz源码包安装VSFTP,把下载的源码包放在一个目录下,这里我建一个目录ftp,所有的操作都在这个目录下进行:mkdir ftp把vsftpd-2.0.5.tar.gz复制到目录ftp下:cp 下载vsftpd-2.0.5.tar.gz放置目录 ftp/进入ftp目录:cd ftp接下来解压:tar zxvf vsftpd-2.0.5.tar.gz解压之后ftp目录下多了一个名为vsftpd-2.0.5的目录,进入该目录编译VSFTP:cd vsftpd-2.0.5编译:make编译之后目录下多了一个可执行文件vsftpd,#ls -l vsftpd-rwxr-xr-x 1 root root 77144 4月 13 21:17 vsftpd这是vsftp的主程序。因为vsftp默认需要使用"nobody"这个用户来配置,所以你必须确定你的系统中有这个用户,一般说都会有的,但为了明确起见,执行下述命令添加nobody用户:#adduser nobodyadduser: user nobody exists因为我的系统里已经有nobody用户了,所以提示该用户已经存在了。vsftp默认的配置还需要一个空的目录(empty),该目录的绝对路径应该是/usr/share/empty/,另外若ftp服务器需要匿名用户(anonymous)需要加一个用户ftp,此用户的要求这样:用户目录设为/var/ftp,它是VSFTP的匿名用户的映射本地用户,即指anonymous用户在进程中以ftp用户身分运行 进程,但anonymous用户并不继承了ftp用户的文件权限,它只拥有其他组的文件权限。可使用下述的命令完成上面的需求:#mkdir /var/ftp/#useradd -d /var/ftp ftp如果你的系统已经存在有ftp用户的话,使用下面的命令更改目录属主和用户目录:#chown root.root /var/ftp#chmod og-w /var/ftp接下来把编译的文件安装到相应目录:make install安装之后,在/usr/local/sbin/目录下有vsftpd这个主程序。在/etc/xinetd.d下也有一个vsftpd配置文件,这个文件是由xinetd守护进程启动vsftpd的配置文件。另外你不使用xinetd启动vsftp的话,你应该在/etc/目录下加一个vsftp的配置文件,默认的文件名为/etc/vsftpd.conf,这个文件你可以手动编辑,但在我们的源码目录里已经有一个样本配置文件了,可以直接修改这个文件以满足我们的需求,现在把这个样本配置文件拷贝到这个目录下:#cp vsftpd.conf /etc/这样在/etc/下有一个配置文件vsftpd.conf了。我们来测试一下VSFTP是否能够正常运行,我们采取使用独立进程而不是xinetd来启动VSFTP,这样要在刚才的文件/etc/vsftpd.conf后面加入一行:listen=YES加入之后用下面的命令试试启动VSFTP:#/usr/local/sbin/vsftpd &[1] 7208好了,VSFTP已经启动,进程号为7208。接下来测试FTP(你应该确定你的机器里没有里别的FTP服务软件运行,否则使用相同的端口会发生冲突):# ftp 127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 (vsFTPd 1.2.1)Name (127.0.0.1:root): ftp331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.OK,FTP服务器运行正常,使用匿名用户ftp登陆成功,你也可以使用anonymous代替用户名ftp,一样可以成功登陆。使用RPM包安装VSFTP就容易多了,只需要执行下面的命令:#rpm -ivh sftpd-1.1.3-8.i386.rpm好了,看来我们的VSFTP至此为止安装得很正确并且运行得非常良好,这样我们可以进入第二大步:配置VSFTP。第二步:配置VSFTPa)使本地用户能登录FTP。按照上面的源码安装配置我们的FTP还不能让本地用户登录,因为缺少一个认证PAM文件,在源码目录下有一个RedHat/vsftpd.pam认证文件,把它复制到/etc/pam.d/ftp。#cp RedHat/vsftpd.pam /etc/pam.d/ftp测试一下,假设有一个本地用户test,登录FTP:#ftp 127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 (vsFTPd 1.2.1)Name (127.0.0.1:root): test331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.看来情况很好:)b)配置匿名用户有浏览,读写,创建目录权限的FTP。这种配置的FTP是极度不安全的FTP,但在某些FTP网站上可能希望能匿名用户能上传文件,因此有必要讲解一下:编辑配置VSFTP的配置文件vsftpd.conf,在文件加入下面几行:anon_world_readable_only=NO //关闭匿名用户只读权限,这个选项是控制匿名用户只能下载具有可读权限的文件,绝不允许有其他权限,特别是写权限,因此要使匿名用户有写权限,应该禁止它anon_upload_enable=YES //匿名用户上传权限开放anon_mkdir_write_enable=YES //匿名用户写和创建目录权限开放write_enable=YES //这是VSFTP控制用户改变文件系统的权限的选项,若任何用户要使用改变文件系统命令(如,读写,删除等等操作)都必须使它开放,默认值是NOOK,保存后退出。测试:#ftp127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 (vsFTPd 1.2.1)Name (127.0.0.1:root): test331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp> put mp3.txtlocal: mp3.txt remote: mp3.txt227 Entering Passive Mode (127,0,0,1,25,17)150 Ok to send data.226 File receive OK.682 bytes sent in 0.00885 secs (75 Kbytes/sec)测试成功,匿名用户已经有了上传的权限。几点说明:1, anon_other_write_enable选项可以使匿名用户删除文件目录,一般不开启。2,匿名用户要拥有上传的权限除应该在上面VSFTP的配置文件里设置几项之外,还应该使目录的其他组权限有写的权限。c)其他的几种有用的配置选项。1,开启ACSII上传下载传输模式ascii_download_enable=YES //开启了下载时的ASCII模式数据传输ascii_upload_enable=YES //开启了上传时的ASCII模式数据传输因为二进制传输不用进行二进制和ASCII码之间的相互转化,因而速度较ASCII模式快,VSFTP在默认情况下是不开启ASCII码传输模式的,上述两个语句使ASCII上传下载传输模式分别开启。2,更改FTP服务器默认监听端口listen_port=2121 //改变默认的21端口号为21213,设置用户会话的空闲中断时间idle_session_timeout=300 //连接服务器的用户在5分钟时间内没有任何动作将被断开,默认为3004,设置空闲的数据连接的中断时间data_connection_timeout=300 //数据连接空闲5分钟将被断开,默认为300秒5,设置客户端空闲时的自动中断和激活连接的时间accept_timeout=60 //客户端建立PASV模式数据连接空闲1分钟自动中断,默认为60秒connect_timeout=60 //客户端在中断1分钟后自动激活连接,默认为60秒6,设置最大传输速率限制local_max_rate=50000 //本地用户最大传输速率为50kbytes/sanon_max_rate=30000 //匿名用户最大传输速率为30kbytes/s若把上述的数值设为0则为不限速,这也是VSFTP的默认值。7,设置最大客户端连接数max_clients=30 //服务器最大连接数设为30,默认为0,即不加以限制,安全的FTP应该加以限制8,设置客户端连接时的端口范围pasv_min_port=50000pasv_max_port=60000上述语句使客户端连接端口范围在50000至60000之间,这有利于提高服务器的安全。默认两个值都是0,即不限制,使用任意端口。9,把用户限制在家目录,即设置chroot()chroot_local_userchroot_list_enablechroot_list_file要设置chroot(),可以使用chroot_local_user=YES上述语句是使全部的本地用户都被限制在家目录,这无法只限制特定的用户,要限制特定用户,使用下面的方法:chroot_local_user=NO //关闭本地用户chroot()chroot_list_enable=YES //开启要设置chroot()用户项chroot_list_file=/etc/vsftpd.chroot_list //指定要设置chroot()的特定用户文件,这个文件的格式应该每个用户名占用一行11,开启进站或进入目录的欢迎或说明性文字dirmessage_enable=YES //开启目录文字选项message_file=.welcome //欢迎或说明性文字文件设为.welcome,在默认是.message这样在目录下建立文件.welcome(默认是.message),在用户进入目录时可把该文件的内容显示出来。10,开启FTP服务器的日志功能xferlog_enable=YES //启动日志记录功能,记录在xferlog_file指明的文件里xferlog_file=/var/log/ftp.log //日志记录在文件/var/log/ftp.log里,默认值为/var/log/xferlog上面不是默认配置,默认配置是如下语句xferlog_enable=YESvsftpd_log_file=/var/log/vsftpd.log //日志记录在/var/log/vsftpd.log里,默认也是这个文件默认配置xferlog_std_format语句没有启用。d)配置基于用户的访问控制有两种方法:A)使用认证文件,前面我们让本地用户能够登录服务器的时候是使用源码树里的一个样本pam文件(RedHat/vsftpd.pam),把它复制到/etc/pam.d/目录下并改名为ftp就可使本地用户登录,改名为ftp的原因是VSFTP默认的pam认证文件名为ftp,但我们可以使用下面的语句来改变pam_service_name=vsftppam //这样设置后VSFTP使用/etc/pam.d/vsftppam文件来认证用户回来主题,应该如何使本地用户不能登录呢?回想到原来本地用户不能够登录是因为没有ftp这个认证文件,那么我们把它删除就可以了。B)使用VSFTP相关的几个语句userlist_enableuserlist_denyuserlist_file用这三个语句可以控制指定用户不能登录,方法如下:userlist_enable=YES //用户清单功能开启userlist_deny=YES //把用户清单设为拒绝用户清单userlist_file=/etc/vsftpd.user_list //用户清单文件为/etc/vsftpd.user_list,这个文件的格式也是一个用户名占用一行因为第二个语句把文件/etc/vsftpd.user_list设为拒绝用户清单,那么,文件里面的用户名都不能登录。或是另外一种设置方法:userlist_enable=YES //用户清单功能开启userlist_deny=NO //把用户清单设为接受用户清单userlist_file=/etc/vsftpd.user_list //用户清单文件为/etc/vsftpd.user_list因为第二个语句把文件/etc/vsftpd.user_list设为接受用户清单,那么,文件里面的用户名都能登录,不在文件里的用户不能登录。从这里可以看出userlist_deny语句起了开关的作用,可把用户清单文件设为拒绝或是接受,是不是很有趣?:)e)配置安全的匿名FTP站点。要求匿名用户只有浏览和下载权限,没有其他的用户。通过上面的学习,配置这种常见的匿名FTP站点很容易:首先,把本地用户禁止登录,可以使用上面介绍的方法,这里不再复述。然后,确定把下面的语句设为下面的样例:anon_world_readable_only=YESanon_upload_enable=NOanon_mkdir_write_enable=NOwrite_enable=NO这样做之后,就能有一个满足要求的FTP站点了,其实只要设anon_world_readable_only=YES也可以做到上述效果的了。f)上面讲述的启动服务器的方法是都是以独立(standalone)进程的方式启动的,还有一种启动VSFTP的方法,就是使用超级服务器xinetd启动,这两种方法的区别是,xinetd的启动使支持的并发进程比独立进程方式启动少,不适合访问人数多的大站点,一般如果访问的流量少可以使用xinetd启动,如果是访问的流量多应该以独立方式启动。好了,下面介绍以xinetd启动的方法:编辑/etc/vsftpd.conf把原来加入的listen=YES这行删除,或前面加注释#编辑/etc/xinetd.d/vsftpd(这个文件在源码安装时已经被复制存在了),确定这行值为NO:disable= NO执行下面的命令重启xinetd服务器:#service xinetd restartStopping xinetd: [ OK ]Starting xinetd: [ OK ]#ftp 127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 (vsFTPd 1.2.1)Name (127.0.0.1:root): test331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.成功通过xinetd启动VSFTP了。可以通过xinetd的功能实现控制VSFTP,下面一一介绍:1,配置基于主机的访问控制配置基于主机的访问控制可以使用超级服务器xinetd的功能,由xinetd去控制特定的IP可以访问FTP服务器,VSFTP只提供基于本地用户的访问控制,控制特定的访问可使用下面的xinetd的语句:only_from //允许访问IPno_access //拒绝访问IPper_source //每个IP的最大连接数instances //并发最高连接数access_time //访问时间banner_fail //登录失败显示的内容文件这里的具体使用属于xinetd的内容,可以参考相关内容,这里就不多说了.
在LINXU平台上使用的FTP软件有Wu-ftpd、Proftpd和vsftpd等。Wu-ftpd的历史悠久,是最流行的FTP服务器程序,稳定、出色,但发布较早,安全不及Proftpd及vsftpd。Proftpd在Wu-ftpd之后开发,安全性及稳定性有所提高。而vsftpd则是在Proftpd之后开发的,意为Very Sucure,吸取了Wu-ftpd和Proftpd的优点,安全性、速度、稳定性都有很大提高。
RHEL4(AS)中vsftpd的RPM软件包在第1张光盘中,名为vsftpd-2.0.1-5.i386.rpm。默认情况下没有安装。Vsftpd的主配置文件是/etc/vsftpd.conf。未修改的主配置文件去掉注释后如下(“;”后为解释):
anonymous_enable=YES ;是否允许匿名访问
local_enable=YES ;是否允许本地用户登录
write_enable=YES ;是否允许本地用户写入
local_umask=022 ;生向掩码(文件生成掩码),跟权限有关,我记不住了,有兴趣的朋友可以去查查,知道的朋友也请告诉我一下
dirmessage_enable=YES ;切换到FTP中的某目录时,是否显示该目录下的隐含文件“.message”
xferlog_enable=YES ;是否启用启用上传和下载日志
connect_from_port_20=YES ;是否启用FTP数据端口的连接请求
xferlog_std_format=YES ;是否让FTP使用ftpd xferlog日志格式
pam_service_name=vsftpd ;设置PAM认证服务的配置文件,位于/etc/pam.d目录下
userlist_enable=YES ;需与userlist_file配合使用,稍后介绍
listen=YES ;是否处于独立启动模式
tcp_wrappers=YES ;为YES时,以tcp_wrappers作为主机访问控制方式
(去掉后,vsftpd的配置文件就这么一点^_^。)
/etc/vsftpd.ftpusers保存着不允许进行FTP登录的用户帐户,通常是权限很高的用户,以提高FTP的安全。
至于/etc/vsftpd.user_list文件,里面有说明:
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers
…………(后略)
前面说的userlist_enalbe就跟这有关(重点是第二、三行)
另外,/vsr/ftp是匿名用户的宿主目录.
配置vsftpd的虚拟用户:
1. 建立虚拟用户口令库文件(奇数行为用户名,偶数行为密码):
[root@localhost.localdomain]cat vsftpd
abc
abc12321cba
efg
vsftpd.conf
2. 生成认证文件(db_load生成认证文件,“-f”用于指明虚拟用户的口令库文件,即:vsftpd.操作中,口令库文件名可随便取.“-t hash”指加密方式)
db_load -T -t hash -f vsftpd /etc/vsftpd/vsftpd_login.db
3.设置权限,以提高安全:
chmod 600 /etc/vsftpd/vsftpd_login.db
4. 建立虚拟用户的PAM文件:
cat /etc/pam.d/vsftpd.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
5.建立虚拟用户的目录,并设置相应权限:
useradd -d /home/vsftpd virtual
chmod 700 /home/vsftpd/
6. 编辑vsftpd的配置文件:
vi /etc/vsftpd/vsftpd.conf
guest_enable=yes
guest_username=virtual
pam_service_name=vsftpd.vu
7. 对虚拟用户设置不同权限:
vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd_user_conf ;设置主配置文件
(:wq #保存退出)
mkdri /etc/vsftpd_user_conf
vi /etc/vsftpd_user_conf/abc ;为虚拟用户配置权限
anon_world_readable_only=no ;用户可以浏览目录并下载文件
anon_upload_enable=yes ;用户可以上传文件
anon_mkdir_write_enable=yes ;用户可以添加和删除目录
anon_other_write_enable=yes ;用户可以进行其它操作,如改名、删除文件等。
(:wq)
service vsftpd restart
如果只想让用户下载的话,则配置为:
anon_world_readable_only=no
好了,自个儿看效果吧!!!
常见问题:
1.无法匿名访问?
可能是vsftpd.conf中的anonyoums_enable出的错,或者是你根本就没连接到服务器,也有可能是服务器的iptables出的问题(过滤掉了),这种情况下一般与selinux无关。还有就是服务未运行。
2.创建的虚拟用户无法访问vsftpd?
原因或许是在创建虚拟用户的时候出的错,如果无法使用虚拟用户访问vsftpd的时候,建议先检查在创建虚拟用户时,打错什么字没有,如果还是没有检查出什么问题来的话,建议你直接推倒重做。还是一点差点忘记说了,就是在创建虚拟用户的时候,尽量将虚拟用户的密码设长一点、复杂一点,我在测试的时候,就是因为密码太短而几次没有成功。
3.在cmd下用虚拟用户登录vsftpd时,出现“200 PORT command successful. Consider using PASV.”的字样是怎么回事啊?
你所访问的电脑上的防火墙在做怪!!!我就上过这个当!!!
4.其它问题?
一般情况下,vsftpd出现问题大多数都是因为配置文件出错的,如果想要测试的话,建议在命令行了进行测试,当vsftpd出现问题时,它会在访问端的界面上显示原因。另外不成功的原因是因为服务器上的防火墙没有配置好。
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/78657/showart_2083377.html |
|
免费注册
发表于 2009-10-31 11:38