配置文件说明
①/etc/vsftpd/vsftpd.conf这个文件是vsftpd服务的核心配置文件!
我们在修改配置文件的时候,最好先备份一份!
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
配置的大致内容:
# 是否允许匿名登录FTP服务器,默认设置为YES允许 # 用户可使用用户名ftp或anonymous进行ftp登录,口令为用户的E-mail地址。 # 如不允许匿名访问则设置为NO anonymous_enable=YES # 是否允许本地用户(即linux系统中的用户帐号)登录FTP服务器,默认设置为YES允许 # 本地用户登录后会进入用户主目录,而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub # 若只允许匿名用户访问,前面加上#注释掉即可阻止本地用户访问FTP服务器 local_enable=YES # 是否允许本地用户对FTP服务器文件具有写权限,默认设置为YES允许 write_enable=YES # 掩码,本地用户默认掩码为077 # 你可以设置本地用户的文件掩码为缺省022,也可根据个人喜好将其设置为其他值 #local_umask=022 # 是否允许匿名用户上传文件,须将全局的write_enable=YES。默认为YES #anon_upload_enable=YES # 是否允许匿名用户创建新文件夹 #anon_mkdir_write_enable=YES # 是否激活目录欢迎信息功能 # 当用户用CMD模式首次访问服务器上某个目录时,FTP服务器将显示欢迎信息 # 默认情况下,欢迎信息是通过该目录下的.message文件获得的 # 此文件保存自定义的欢迎信息,由用户自己建立 #dirmessage_enable=YES # 是否让系统自动维护上传和下载的日志文件 # 默认情况该日志文件为/var/log/vsftpd.log,也可以通过下面的xferlog_file选项对其进行设定 # 默认值为NO xferlog_enable=YES # Make sure PORT transfer connections originate from port 20 (ftp-data). # 是否设定FTP服务器将启用FTP数据端口的连接请求 # ftp-data数据传输,21为连接控制端口 connect_from_port_20=YES # 设定是否允许改变上传文件的属主,与下面一个设定项配合使用 # 注意,不推荐使用root用户上传文件 #chown_uploads=YES # 设置想要改变的上传文件的属主,如果需要,则输入一个系统用户名 # 可以把上传的文件都改成root属主。whoever:任何人 #chown_username=whoever # 设定系统维护记录FTP服务器上传和下载情况的日志文件 # /var/log/vsftpd.log是默认的,也可以另设其它 #xferlog_file=/var/log/vsftpd.log # 是否以标准xferlog的格式书写传输日志文件 # 默认为/var/log/xferlog,也可以通过xferlog_file选项对其进行设定 # 默认值为NO #xferlog_std_format=YES # 以下是附加配置,添加相应的选项将启用相应的设置 # 是否生成两个相似的日志文件 # 默认在/var/log/xferlog和/var/log/vsftpd.log目录下 # 前者是wu_ftpd类型的传输日志,可以利用标准日志工具对其进行分析;后者是vsftpd类型的日志 #dual_log_enable # 是否将原本输出到/var/log/vsftpd.log中的日志,输出到系统日志 #syslog_enable # 设置数据传输中断间隔时间,此语句表示空闲的用户会话中断时间为600秒 # 即当数据传输结束后,用户连接FTP服务器的时间不应超过600秒。可以根据实际情况对该值进行修改 #idle_session_timeout=600 # 设置数据连接超时时间,该语句表示数据连接超时时间为120秒,可根据实际情况对其个修改 #data_connection_timeout=120 # 运行vsftpd需要的非特权系统用户,缺省是nobody #nopriv_user=ftpsecure # 是否识别异步ABOR请求。 # 如果FTP client会下达“async ABOR”这个指令时,这个设定才需要启用 # 而一般此设定并不安全,所以通常将其取消 #async_abor_enable=YES # 是否以ASCII方式传输数据。默认情况下,服务器会忽略ASCII方式的请求。 # 启用此选项将允许服务器以ASCII方式传输数据 # 不过,这样可能会导致由"SIZE /big/file"方式引起的DoS攻击 #ascii_upload_enable=YES #ascii_download_enable=YES # 登录FTP服务器时显示的欢迎信息 # 如有需要,可在更改目录欢迎信息的目录下创建名为.message的文件,并写入欢迎信息保存后 #ftpd_banner=Welcome to blah FTP service. # 黑名单设置。如果很讨厌某些email address,就可以使用此设定来取消他的登录权限 # 可以将某些特殊的email address抵挡住。 #deny_email_enable=YES # 当上面的deny_email_enable=YES时,可以利用这个设定项来规定哪些邮件地址不可登录vsftpd服务器 # 此文件需用户自己创建,一行一个email address即可 #banned_email_file=/etc/vsftpd/banned_emails # 用户登录FTP服务器后是否具有访问自己目录以外的其他文件的权限 # 设置为YES时,用户被锁定在自己的home目录中,vsftpd将在下面chroot_list_file选项值的位置寻找chroot_list文件 # 必须与下面的设置项配合 #chroot_list_enable=YES # 被列入此文件的用户,在登录后将不能切换到自己目录以外的其他目录 # 从而有利于FTP服务器的安全管理和隐私保护。此文件需自己建立 #chroot_list_file=/etc/vsftpd/chroot_list # 是否允许递归查询。默认为关闭,以防止远程用户造成过量的I/O #ls_recurse_enable=YES # 是否允许监听。 # 如果设置为YES,则vsftpd将以独立模式运行,由vsftpd自己监听和处理IPv4端口的连接请求 listen=YES # 设定是否支持IPV6。如要同时监听IPv4和IPv6端口, # 则必须运行两套vsftpd,采用两套配置文件 # 同时确保其中有一个监听选项是被注释掉的 #listen_ipv6=YES # 设置PAM外挂模块提供的认证服务所使用的配置文件名,即/etc/pam.d/vsftpd文件 # 此文件中file=/etc/vsftpd/ftpusers字段,说明了PAM模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers中 #pam_service_name=vsftpd # 是否允许ftpusers文件中的用户登录FTP服务器,默认为NO # 若此项设为YES,则user_list文件中的用户允许登录FTP服务器 # 而如果同时设置了userlist_deny=YES,则user_list文件中的用户将不允许登录FTP服务器,甚至连输入密码提示信息都没有 #userlist_enable=YES/NO # 设置是否阻扯user_list文件中的用户登录FTP服务器,默认为YES #userlist_deny=YES/NO # 是否使用tcp_wrappers作为主机访问控制方式。 # tcp_wrappers可以实现linux系统中网络服务的基于主机地址的访问控制 # 在/etc目录中的hosts.allow和hosts.deny两个文件用于设置tcp_wrappers的访问控制 # 前者设置允许访问记录,后者设置拒绝访问记录。 # 如想限制某些主机对FTP服务器192.168.57.2的匿名访问,编缉/etc/hosts.allow文件,如在下面增加两行命令: # vsftpd:192.168.57.1:DENY 和vsftpd:192.168.57.9:DENY # 表明限制IP为192.168.57.1/192.168.57.9主机访问IP为192.168.57.2的FTP服务器 # 此时FTP服务器虽可以PING通,但无法连接 tcp_wrappers=YES
除此之外,还有一些其它常用的控制选项
use_localtime=YES <==是否使用本地时间,默认为NO(默认使用GMT时间) listen_port=21 <==vsftpd的端口号,默认为21 pasv_enable=YES <==是否启用数据的被动模式连接,默认为YES pasv_min_port=0 <==设置FTP被动模式连接的最小端口。默认为0,表示不受限制 pasv_max_port=0 <==设置FTP被动模式连接的最大端口。默认为0,表示不受限制 connect_timeout=60 <==PORT方式下建立数据连接的超时时间,单位为秒 ,默认为60 accept_timeout=60 <==被动(PASV)数据连接的超时时间,单位为秒,默认值为60 max_clients=0 <==vsftpd允许每个客户端的最大连接数,默认为0,表示不受限制 max_per_ip=0 <==vsftpd允许每个IP的最大连接数,默认为0,表示不受限制 local_max_rate=0 <==本地用户所能使用的最大传输速度。默认为0,表示不受限制 anon_max_rate=0 <==匿名用户所能使用的最大传输速度。默认为0,表示不受限制 anon_world_readable_only=YES <==仅允许匿名用户具有下载可读文件的权限,默认为YES anon_other_write_enable=YES <==是否允许匿名用户具有除了写之外的权限,包括删除与修改文件和目录,默认为NO ftp_username=ftp <==定义匿名用户的账户名称,默认值为ftp。 no_anon_password=YES <==匿名用户登录时是否询问口令。设置为YES,则询问。默认NO anon_umask=022 <==设置匿名用户新增文档的umask。默认077
userlist_enable和userlist _deny选项不同时
userlist_enable=YES && userlist_deny=YES <==/etc/vsftpd/user_list中的用户禁止访问 userlist_enable=YES && userlist_deny=NO <==/etc/vsftpd/user_list中的用户允许访问
②/etc/vsftpd/ftpusers这个文件是禁止使用vsftpd的用户列表文件。记录不允许访问FTP服务器的用户名单,管理员可以把一些对系统安全有威胁的用户账号记录在此文件中,以免用户从FTP登录后获得大于上传下载操作的权利,而对系统造成损坏。
③/etc/vsftpd/user_list这个文件禁止或允许使用vsftpd的用户列表文件。这个文件中指定的用户缺省情况(即在/etc/vsftpd/vsftpd.conf中设置userlist_deny=YES)下也不能访问FTP服务器,在设置了userlist_deny=NO时,仅允许user_list中指定的用户访问FTP服务器。
注意:/etc/vsftpd/ftpuser不受任何配制项的影响,它总是有效,它是一个黑名单。当userlist_enable=YES时,userlist_deny选项才会生效。当userlist_enable=YES,userlist_deny=YES时,user_list是一个黑名单;当userlist_enable=YES,userlist_deny=NO时,user_list是一个白名单。需要提醒的是,使用白名单后,匿名用户将无法登入!除非显式在user_list中加入一行:anonymous
传输模式配置
开启被动模式:
connect_from_port_20=NO(默认为YES) #设置是否允许主动模式 pasv_enable=YES(默认为YES) #设置是否允许被动模式 pasv_min_port=50000(default:0(use any port)) pasv_max_port=60000(default:0(use any port))
开启主动模式:
connect_from_port_20=YES
pasv_enable=NO
上边配置只是开启所需模式要求的,其他配置看实际需求!
用户访问模式配置
vsftpd服务访问模式有三种:匿名用户模式,系统用户模式和虚拟用户模式!
匿名用户配置
Vsftpd默认以匿名用户访问,匿名用户默认访问的FTP服务器端路径为:/var/ftp/pub,匿名用户只有查看权限,无法创建、删除、修改。
这种模式下,不需改动配置文件,直接启动服务即可访问!
如果想要允许匿名用户能够上传、下载、删除文件,需修改/etc/vsftpd/vsftpd.conf配置文件中:
anon_upload_enable=YES #允许匿名用户上传文件; anon_mkdir_write_enable=YES #允许匿名用户创建目录; anon_other_write_enable=YES #允许匿名用户其他写入权限。
另外默认Vsftpd匿名用户有两个:anonymous、ftp,所以匿名用户如果需要上传文件、删除及修改等权限,需要ftp用户对/var/ftp/pub目录有写入权限,使用如下chown和chmod任意一种即可,设置命令如下:
chown -R ftp pub/
如果要关闭匿名用户登录,只需设置:
anonymous_enable=NO
系统用户配置
匿名模式可以让任何人使用ftp服务,比较公开!多适用于共享文件!如果我们想要特定用户使用,就需要使用系统用户登录访问!这种模式,需要我们新建不同用户,linux创建用户:
useradd 新的用户名 passwd 新的用户名
然后需要修改配置文件:
anonymous_enable=NO #禁止匿名用户登录 chown_uploads=NO #设定禁止上传文件更改宿主 nopriv_user=ftptest #设定支撑Vsftpd服务的宿主用户为新建用户 ascii_upload_enable=YES ascii_download_enable=YES #设定支持ASCII模式的上传和下载功能。 userlist_enable=YES userlist_deny=NO
最后打开/etc/vsftpd/user_list文件,将新建的用户添加到最后一行(一个用户一行)
这种模式下,登录访问的目录就是/home/新建用户/
虚拟用户配置
系统用户模式虽然可以控制访问,但是如果用户过多,就会影响服务器系统的管理,对服务器安全造成威胁!而且我们需要的仅仅是可以使用搭建在服务器的FTP服务而已!
那么就需要我们设置虚拟用户进行登录,这也是推荐的方式!这种方式更加安全!
虚拟用户就是没有实际的真实系统用户,而是通过映射到其中一个真实用户以及设置相应的权限来实现访问验证,虚拟用户不能登录Linux系统,从而让系统更加的安全可靠。
一、首先需要我们新建一个虚拟宿主用户,也就是上边说的要映射的真实用户:
useradd virtualhost -s /sbin/nologin
这里设置宿主用户也不允许登录系统!
二、然后修改配置文件,下边我给出我的设置:
anonymous_enable=NO #设定不允许匿名访问 local_enable=YES #设定本地用户可以访问。注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问。 write_enable=YES #设定可以进行写操作。 local_umask=022 #设定上传后文件的权限掩码。 anon_upload_enable=NO #禁止匿名用户上传。 anon_mkdir_write_enable=NO #禁止匿名用户建立目录。 dirmessage_enable=YES #设定开启目录标语功能。 xferlog_enable=YES #设定开启日志记录功能。 connect_from_port_20=YES #设定端口20进行数据连接。(主动模式) chown_uploads=NO #设定禁止上传文件更改宿主。 #chown_username=whoever xferlog_file=/var/log/xferlog #设定Vsftpd的服务日志保存路径。注意,该文件默认不存在。必须要手动touch出来,并且由于这里更改了Vsftpd的服务宿主用户为手动建立的Vsftpd。必须注意给与该用户对日志的写入权限,否则服务将启动失败。 xferlog_std_format=YES #设定日志使用标准的记录格式。 #idle_session_timeout=600 #设定空闲连接超时时间,单位为秒,这里默认。 #data_connection_timeout=120 #设定空闲连接超时时间,单位为秒,这里默认 #nopriv_user=ftptest async_abor_enable=YES #设定支持异步传输功能。 ascii_upload_enable=YES ascii_download_enable=YES #设定支持ASCII模式的上传和下载功能。 ftpd_banner=Welcome to blah FTP service. #设定Vsftpd的登陆标语。 #deny_email_enable=YES # (default follows) #banned_email_file=/etc/vsftpd/banned_emails chroot_list_enable=NO #禁止用户登出自己的FTP主目录。 # (default follows) #chroot_list_file=/etc/vsftpd/chroot_list ls_recurse_enable=NO #禁止用户登陆FTP后使用"ls -R"的命令。该命令会对服务器性能造成巨大开销。如果该项被允许,那么挡多用户同时使用该命令时将会对该服务器造成威胁。 listen=YES 设定该Vsftpd服务工作在StandAlone模式下 #listen_ipv6=YES userlist_enable=YES #设定userlist_file中的用户将不得使用FTP。 #userlist_deny=NO tcp_wrappers=YES #设定支持TCP Wrappers #下边是关于虚拟用户的重要配置 guest_enable=YES #设定启用虚拟用户功能。 guest_username=virtualhost #指定虚拟用户的宿主用户。 virtual_use_local_privs=YES #设定虚拟用户的权限符合他们的宿主用户。 pam_service_name=vsftpd #设定PAM服务下Vsftpd的验证配置文件名。因此,PAM验证将参考/etc/pam.d/下的vsftpd文件配置。 user_config_dir=/etc/vsftpd/virtualconf #设定虚拟用户个人Vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个Vsftp虚拟用户个性的配置文件,一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。
需要注意的地方:
①Vsftpd的日志文件不存在,建立Vsftpd的日志文件,并更该属主为Vsftpd的服务宿主用户。
touch /var/log/vsftpd.log
chown virtualhost.virtualhost /var/log/vsftpd.log
②建立虚拟用户配置文件存放路径:
mkdir /etc/vsftpd/virtualconf
这里是跟配置文件中的user_config_dir这一项是对应的!
三、接着制作虚拟用户数据库文件,这里需要先安装db4包,用来支持文件数据库。
安装:
yum install db4
然后建立虚拟用户名单文件:touch /etc/vsftpd/virtusers
建立了一个虚拟用户名单文件,这个文件就是来记录vsftpd虚拟用户的用户名和口令的数据文件,我这里给它命名为virtusers。为了避免文件的混乱,我把这个名单文件就放置在/etc/vsftpd/下。
接着编辑这个文件,将虚拟用户信息写入这个文件vi /etc/vsftpd/virtusers
virtual1 123456 virtual2 123456
类似上边的格式,一行用户名,一行密码!
接着生成虚拟用户数据文件:
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
四、设定PAM验证文件,并指定虚拟用户数据库文件进行读取
这里需要我们安装pam服务,一般系统都会有安装:
yum install pam
Vsftp的PAM验证配置文件:/etc/pam.d/vsftpd
这里对应的就是核心配置文件中的pam_service_name,它会去找/etc/pam.d/vsftpd这个文件!
那么我们需要编辑这个文件,同样的编辑前先备份一下:
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
然后编辑文件:vi /etc/pam.d/vsftpd
#%PAM-1.0 auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/virtusers account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/virtusers
以上两条是手动添加的,内容是对虚拟用户的安全和帐户权限进行验证。
这里的auth是指对用户的用户名口令进行验证。
这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。
其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败,意味着用户还必须将经历剩下来的验证审核。
再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。
这里有一个问题需要注意一下:
如果你的系统是64位的,那么这里要改成:
/lib64/security/pam_userdb.so
否则会验证失败!不能登录!
五、配置虚拟用户
1.规划好虚拟用户的主路径:mkdir /opt/vsftp/
2.建立测试用户的FTP用户目录:
mkdir /opt/vsftp/virtual1/ /opt/vsftp/virtual2/
3.建立虚拟用户配置文件模版
cp /etc/vsftpd/vsftpd.conf.bak /etc/vsftpd/virtualconf/vconf.tmp
4.定制虚拟用户模版配置文件: vi /etc/vsftpd/virtualconf/vconf.tmp
local_root=/opt/vsftp/virtuser 指定虚拟用户的具体主路径。 anonymous_enable=NO 设定不允许匿名用户访问。 write_enable=YES 设定允许写操作。 local_umask=022 设定上传文件权限掩码。 anon_upload_enable=NO 设定不允许匿名用户上传。 anon_mkdir_write_enable=NO 设定不允许匿名用户建立目录。 idle_session_timeout=600 设定空闲连接超时时间。 data_connection_timeout=120 设定单次连续传输最大时间。 max_clients=10 设定并发客户端访问个数。 max_per_ip=5 设定单个客户端的最大线程数,这个配置主要来照顾Flashget、迅雷等多线程下载软件。 local_max_rate=50000 设定该用户的最大传输速率,单位b/s。
这里将原vsftpd.conf配置文件经过简化后保存作为虚拟用户配置文件的模版。这里将并不需要指定太多的配置内容,主要的框架和限制交由 Vsftpd的主配置文件vsftpd.conf来定义,即虚拟用户配置文件当中没有提到的配置项目将参考主配置文件中的设定。而在这里作为虚拟用户的配置文件模版只需要留一些和用户流量控制,访问方式控制的配置项目就可以了。这里的关键项是local_root这个配置,用来指定这个虚拟用户的FTP主路径。
5.更改虚拟用户的主目录的属主为虚拟宿主用户:
chown -R virtualhost.virtualhost/opt/vsftp/
6.配置虚拟用户,从虚拟用户模版配置文件复制:
cp /etc/vsftpd/virtualconf/vconf.tmp /etc/vsftpd/virtualconf/virtual1
7.针对具体用户进行定制:vi /etc/vsftpd/virtualconf/virtual1
local_root=/opt/vsftp/virtual1 anonymous_enable=NO write_enable=YES local_umask=022 anon_upload_enable=NO anon_mkdir_write_enable=NO idle_session_timeout=300 data_connection_timeout=90 max_clients=1 max_per_ip=1 local_max_rate=25000
当然,如果很熟练的话3,4,6步骤都可以省略!不要设置!
这里主要是为了方便!可以在原来的基础的进行修改而已!
最后别忘了,开启或者重启服务!
测试
我们可以先在模板目录新建一个空文件
touch /opt/vsftp/virtual1/test.txt
登录一下,在windows打开cmd:(当然我们使用浏览器,或者使用windows文件浏览窗口都可以!)
ftp 192.168.164.133
使用用户virtual1和密码123456登录!
然后输入ls,展示该目录下文件列表。
看有没有我们刚才新建的test.txt文本?!
然后测试一下上传,使用put命令,然后看一下目录中是否有上传的文件?
接着测试一下建立目录操作:mkdir newdir,看是否有新目录被创建?!
然后测试一下下载:使用get test.txt,将test.txt文件下载到本地!注意默认的下载路径为windows用户目录c:\Users\xxxxx目录下`!
