VSFTPD的菜鸟篇
这是我这个菜鸟学习LINUX所写的第一篇文章,是比较基础的FTP架设的应用,如果我
写有什么问题请大家多指教,我后续会陆续出进阶篇把FTP中各种详细的配置跟大家
一起进行探讨。
我所用的是LINUX AS+VSFTPD-1.2.0-4的系统架构,在这里说明的是如果对配置文件
不是很熟悉,最好做个备份,以免误操作:
1. 匿名服务器的连接(独立的服务器)
在/etc/vsftpd/vsftpd.conf配置文件中添加如下几项:
Anonymous_enable=yes (允许匿名登陆)
Dirmessage_enable=yes (切换目录时,显示目录下.message的内容)
Local_umask=022 (FTP上本地的文件权限,默认是077)
Connect_form_port_20=yes (启用FTP数据端口的数据连接)*
Xferlog_enable=yes (激活上传和下传的日志)
Xferlog_std_format=yes (使用标准的日志格式)
Ftpd_banner=XXXXX (欢迎信息)
Pam_service_name=vsftpd (验证方式)*
Listen=yes (独立的VSFTPD服务器)*
功能:只能连接FTP服务器,不能上传和下传
注:其中所有和日志欢迎信息相关连的都是可选项,打了星号的无论什么帐户都要添
加,是属于FTP的基本选项
2. 开启匿名FTP服务器上传权限
在配置文件中添加以下的信息即可:
Anon_upload_enable=yes (开放上传权限)
Anon_mkdir_write_enable=yes (可创建目录的同时可以在此目录中上传文件)
Write_enable=yes (开放本地用户写的权限)
Anon_other_write_enable=yes (匿名帐号可以有删除的权限)
3. 开启匿名服务器下传的权限
在配置文件中添加如下信息即可:
Anon_world_readable_only=no
注:要注意文件夹的属性,匿名帐户是其它(other)用户要开启它的读写执行的权
限
(R)读-----下传 (W)写----上传 (X)执行----如果不开FTP的目录都进不去
4.普通用户FTP服务器的连接(独立服务器)
在配置文件中添加如下信息即可:
Local_enble=yes (本地帐户能够登陆)
Write_enable=no (本地帐户登陆后无权删除和修改文件)
功能:可以用本地帐户登陆vsftpd服务器,有下载上传的权限
注:在禁止匿名登陆的信息后匿名服务器照样可以登陆但不可以上传下传
5. 用户登陆限制进其它的目录,只能进它的主目录
设置所有的本地用户都执行chroot
Chroot_local_user=yes (本地所有帐户都只能在自家目录)
设置指定用户执行chroot
Chroot_list_enable=yes (文件中的名单可以调用)
Chroot_list_file=/任意指定的路径/vsftpd.chroot_list
注意:vsftpd.chroot_list 是没有创建的需要自己添加,要想控制帐号就直接在文
件中加帐号即可
6. 限制本地用户访问FTP
Userlist_enable=yes (用userlistlai 来限制用户访问)
Userlist_deny=no (名单中的人不允许访问)
Userlist_file=/指定文件存放的路径/ (文件放置的路径)
注:开启userlist_enable=yes匿名帐号不能登陆
7. 安全选项
Idle_session_timeout=600(秒) (用户会话空闲后10分钟)
Data_connection_timeout=120(秒) (将数据连接空闲2分钟断)
Accept_timeout=60(秒) (将客户端空闲1分钟后断)
Connect_timeout=60(秒) (中断1分钟后又重新连接)
Local_max_rate=50000(bite) (本地用户传输率50K)
Anon_max_rate=30000(bite) (匿名用户传输率30K)
Pasv_min_port=50000 (将客户端的数据连接端口改在
Pasv_max_port=60000 50000—60000之间)
Max_clients=200 (FTP的最大连接数)
Max_per_ip=4 (每IP的最大连接数)
Listen_port=5555 (从5555端口进行数据连接)
8. 查看谁登陆了FTP,并杀死它的进程
ps –xf |grep ftp
kill 进程号
用vsFTPd自架Linux网络安装服务器,以及Redhat局域网安装的解决办法
为了验证局域网网络安装Linux,近两天做了一个实验,目的就是为了写一个比较完
整的帖子。
约定:
1。本帖操作环境是Redhat 9.0,vsFTPd的版本是Redhat 9.0所带的vsftpd-1.1.3-
8.i386.rpm,在安装盘的第三张中
2。vsFTPd实现的最基本的目的:用系统中存在的真实用户能登入FTP,能用匿名访问
。
3。本帖中vsFTPd运行模式是在standalone模式下运行的,也就是说,本帖中vsFTPd
所有的功能都是在standalone模式下运行的。至于有些功能是否能在xinetd模式下运
行,您就得测试了,不能照搬照抄。因为有些功能是必须运行在特定的模式下的。
3。服务器的IP和和DNS设定
第一块网卡
IP:192.168.0.1
子掩码:255.255.255.0
网关不设置:
第二块网卡:
IP:192.168.0.2
子掩码:255.255.255.0
网关不设置
因为我的操作环境是一个小型的局域网,所以其它的机器的IP都是在192.168.0这个
网段上。ADSL是接在服务器的第一个网卡上。服务器的第二个网卡是接集线器,其它
的客户机都是接在集线器上。为了能让ADSL访问internet,因为自己手动设置了IP,
所以DNS也要自己来设置,DNS如下:
202.96.134.133
202.96.168.68
设置工具是:
[root@linuxsir001 root]# redhat-config-network
相应参考资料:vsFTPd官方文档:
一。用vsFTPd来架设FTP服务器,vsFTPd服务器是目前最好的FTP服务器软件,优点是
体积小,可定制强,效率高
1。查看是否安装了vsFTPd软件
[root@linuxsir001 root]# rpm -qa | grep vsftpd
如果没有任何显示,说明没有把vsFTPd安装上,如果出现的是下面的这样的提示,就
证明已经安装上了。
[root@linuxsir001 root]# rpm -qa | grep vsftpd
vsftpd-1.1.3-8
我以Redhat 9.0,以其自带的vsFTPd包vsftpd-1.1.3-8版本来为本帖约定。
[root@linuxsir001 root]# rpm -ivh vsftpd*.rpm
2。打开vsFTPd服务器。
[root@linuxsir001 root]# ntsysv
把vsftpd服务器打开,也就是在运行 ntsysv命令后,把vsftpd服务选中。
[*] vsftpd
3。运行/etc/init.d/vsftpd start
[root@linuxsir001 root]# /etc/init.d/vsftpd start
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
4。配制vsFTPd,vsFTPd的运行有两种模式,一种是standalone "initd"模式,另外
一种是xinetd模式,上面我们所说的就是standalone "initd"运行模式。两种模式运
行机制不是相同的,stardard initd模式,适合专业FTP,且FTP总是一直有人访问,
占用资源也是比较大,如果您的FTP总是有人访问和登入。就要用这种模式。如果您
的FTP访问人数比较小,建议您用xinetd模式。xinetd模式,是当用户请求时,
vsFTPd才会启动。
不同的环境,当然得用不同的启动模式。
如果想了解更多的,请在本帖后面跟帖,我会慢慢补充xinetd模式,以及虚拟用户如
何设置方面的问题。
1]我们主要把vsFTPd的配制文件改一下就行了。配制文件
在/etc/vsftpd/vsftpd.conf,用您喜欢的编辑器打开。请参考下面的配制文件。
# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are very paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
#
# Allow anonymous FTP?
anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to
022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This
only
# has an effect if the above global write enable is activated. Also, you
will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is
shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests.
Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact
ignore
# the request. Turn on the below options to have the server actually do
ASCII
# mangling on files when in ASCII mode.
# Beware that turning on ascii_download_enable enables malicious remote
parties
# to consume your I/O resources, by issuing the command "SIZE /big/file"
in
# ASCII mode.
# These ASCII options are split into upload and download because you may
wish
# to enable ASCII uploads (to prevent uploaded scripts etc. from
breaking),
# without the DoS risk of SIZE and ASCII downloads. ASCII mangling should
be
# on the client anyway..
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses.
Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may specify an explicit list of local users to chroot() to their
home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror"
assume
# the presence of the "-R" option, so there is a strong case for enabling
it.
#ls_recurse_enable=YES
pam_service_name=vsftpd
userlist_enable=YES
#enable for standalone mode
listen=YES
tcp_wrappers=YES
2]更改完配制文件后,我们可以用下面的命令来重启vsFTPd服务器
[root@linuxsir001 root]# /etc/init.d/vsftpd restart
关闭 vsftpd: [ 确定 ]
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
3]以匿名方式来访问测试,在text模式下:
注意:在text模式下,要用用户名ftp,密码ftp来访问,这才是在text中匿名访问
FTP。看如下的操作:
[root@linuxsir001 root]# ftp 192.168.0.1
Connected to 192.168.0.1.
220 (vsFTPd 1.1.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.1:root): ftp 这里写上ftp
331 Please specify the password.
Password:[这里添写ftp的密码],匿名登入密码也是ftp
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,0,1,137,151)
150 Here comes the directory listing.
drwxr-xr-x 6 0 0 4096 May 25 13:54 RedHat90
drwxr-xr-x 2 0 0 4096 Feb 28 19:21 pub
226 Directory send OK.
ftp>
那匿名用户所访问的是哪个目录?是/var/ftp这个目录
出现问题的解决:有时出错,是因为没有ftp和nobody用户,所以要在系统中添加这
两个用户,一般的情况下,这两个用户在系统中是存在的。看下面的操作。
[root@linuxsir001 root]# adduser ftp
adduser: user ftp exists
[root@linuxsir001 root]# adduser nobody
adduser: user nobody exists
从上面的操作中可知ftp和nobody用户是存在的,所以没有必要添加ftp和nobody用户
了。如果不存在,一定要添加这两个用户,否则会出现匿名用户不能访问的情况。
4]如果要以系统中存在的普通用户登入FTP,也没有什么可以设置的,添加一个用户
就行。比如我要添加beinan这个用户,就要用下面的办法
[root@linuxsir001 root]# adduser beinan
[root@linuxsir001 root]# passwd beinan
Changing password for user beinan.
New password:
BAD PASSWORD: it does not contain enough DIFFERENT characters
Retype new password:
passwd: all authentication tokens updated successfully.
[root@linuxsir001 root]#
这样的话,就在/home目录中出现一个beinan的用户目录:如下:
[root@linuxsir001 root]# ls /home/
beinan
如果我们想让beinan这个用户作为虚拟用户,也就是说,beinan这个用户是不能登入
系统的,只能是登入FTP。 那这样的用户应该如何添加呢??
[root@linuxsir001 backupNow]# adduser -g ftp -s /sbin/nologin beinan
[root@linuxsir001 backupNow]# passwd beinan
Changing password for user beinan.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@linuxsir001 backupNow]#
注:这仅仅是vsFTPd添加虚拟用户的一个方法,还有更好的办法需要我们去学习!另
外的办法也在测试之中。严格上来说,这种办法不能算虚拟用户。还有另外的一个办
法,就是通过pam认证,用db_load来添加用户,目前我也弄成功了,不过相对要复杂
一点。正在测试之中。
如果我们想把用户目录定位到别的目录应该怎么办呢??这个也比较简单,看一下
useradd就比较明白了。比如我想添加beinan这个用户,并把目录放在/opt目录中:
如下操作:
[root@linuxsir001 root]# adduser -d /opt/beinan beinan
[root@linuxsir001 root]# passwd beinan
Changing password for user beinan.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
如果是添加虚拟用户,也就是不让用户登入系统,只能登入FTP的用户。如果我们想
把beinan这个用户目录定位在/opt/beinan这个目录中,根据上面的方法。我们应该
如下操作
[root@linuxsir001 backupNow]# adduser -d /opt/beinan -g ftp -s
/sbin/nologin beinan
[root@linuxsir001 backupNow]# passwd beinan
Changing password for user beinan.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@linuxsir001 backupNow]#
看一下是不是已经成功添加到了beinan这个用户,并把beinan的家目录放在了/opt目
录中呢??
[root@linuxsir001 root]# ls /opt/
beinan
证明已经成功。
我们可以在text模式下以beinan用户登入,然后来访问ftp。
[root@linuxsir001 root]# ftp 192.168.0.1
Connected to 192.168.0.1.
220 (vsFTPd 1.1.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.1:root): beinan
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
是不是成功了???
我们也可以用gftp来访问beinan用户,并上传相应的东西,所传上的东西就放在
beinan用户所在的家目录中,普通用户的家目录在哪里,写您所用的添加用户的方法
有关。我在前面已经说了两种办法,一种是默认的添加方法,就是放在/home目录中
。
在本例中,我是采用默认的添加用户的方法。也就是不特别指定用户用户,这样的话
,用户目录就在/home目录中。比如用beinan登入FTP时,访问的就是/home/beinan这
个目录。让传的东西也在这个目录中。
那匿名用户所访问的是哪个目录呢???
应该是:/var/ftp这个目录
5]访问ftp的几种方法
第一种方法就是text访问,也就是用ftp命令来访问。这个前面已经说过了。
第二种方法是以客户端FTP软件来访问,在linux中有gftp。在本例中,我的FTP地址
是通过局域网访问的。地址栏中,添上192.168.0.1,端口是21,用户名和密码的添
写,如果您是用匿名登入,请不要添写用户名和密码。如果用普通用户登入,这个是
必须要用用户名和密码的。
第三种办法是和浏览器访问:如果匿名登入,就直接用下面的方法:
如果是用户登入方式,应该是
如果想让在互联网上的用户能访问到,如果您是用ADSL来访问互联网,要查找到您的
动态IP,用下面的办法
[root@linuxsir001 root]# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:218.61.7.23 P-t-P:218.61.7.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:24245 errors:0 dropped:0 overruns:0 frame:0
TX packets:20411 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:23103297 (22.0 Mb) TX bytes:3588337 (3.4 Mb)
从上面的可以知道,能让在internet访问的地址是:218.61.7.23
二。如何让局域网通过这个FTP安装Linux呢??以Redhat 9.0为例:
1。我们要在/var/ftp中,为每个发行版建一个目录,然后把每个发行版的每个版本
再建一个目录。把每个版本的ISO都解压到相应的目录里。举个例子:
比如我想让其它的客户机,通过我的服务器来安装Redhat9.0,我就要在/var/ftp目
录中建一个RedHat90的目录,然后把RedHat 9.0的三个ISO都解到这个目录中。
这样服务器的设置就完成了。
2。客户机方面如何引导及设置???我们可以做一个系统的引志盘,但有的发行版
也没有必要。这也要以各个发行版的情况而定。比如Redhat 9.0的安装,如果您的客
户机上有windows,就直接通过局域网的FTP,dosutils images isolinux三个目录放
到一个在fat32分区中建的目录中,比如说在客户机上建一个Redhat9的目录,然后把
三个文件拷到客户机中的fat32分区中的Redhat9的目录中。
3.客户机安装及操作:
以DOS盘引导,不要加载CDROM,直接进入客户机中fat32分区Redhat9\dosutils目录
,执行下面的命令。
autoboot
这样就开始了安装:
4.出现的画面中,我们要选ftp安装。在设置网络环境时,我们要设置好IP和网关之
类的。
以我的局域网为例:
客户机的IP设置成192.168.0.5,掩码也是2552555.255.0,网关设置成192.168.0.1
。name 服务可以不设置。以匿名方式访问FTP。
下一步会出现让我们添写FTP,及安装源的地址,还是以我的局域网为例:
地址:192.168.0.1
路径:因为我是把三个ISO放在了/var/ftp/RedHat90的目录下,我应该写如下的
/RedHat90
这样就OK了,一切和其它的安装方式都是一样的了。
因为每个发行版不太一样,所以通过网络安装,有的要做引导盘,如何做引导盘,我
想大家早就知道了。如果不知道这方面的,请用搜索来找这方面的帖子。
__________________
补充一:如何有选择的把用户限制在家目录中呢?
我们要自己建一个文件,在/etc目录中
#touch /etc/vsftpd.chroot_list
以beinan和nanbei这两个用户限制在他们所在的家目录中,而其它的FTP用户不做此
限制。
在vsftpd.chroot_list这个文件中,把beinan和nanbei添上去就行,注意,每个用户
占一行。
beinan
nanbei
然后改/etc/vsftpd/vsftpd.conf文件,找如下的两行
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
把前面的#号去掉,也就是这样的
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
如果没有这样的两行,就可以自己添加上去也是一样的。
设置好后,重新vsFTPD服务器。
补充一之补充:如何把系统内所有的FTP用户都限制在家目录中呢??经juliaugong
兄的提示,我查找了vsFTPd的洋文说明,证明这个选项是一刀切的解决所有的用户都
能限制在家目录中
我们可以通过更改vsftpd.conf文件,加入如下的一行
chroot_local_user=YES
改完配制文件,不要忘记重启vsFTPd服务器
[root@linuxsir001 root]# /etc/init.d/vsftpd restart
关闭 vsftpd: [ 确定 ]
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
补充二:打开vsFTP服务器的日志功能:
把下面xferlog_file前面的#号对掉,也就是把vsftp的log功能打开,这样我们就能
在/var/log目录下查看vsftpd.log。这是vsFTP的日志功能,这对于我们来说是极为
重要的。
#xferlog_file=/var/log/vsftpd.log
补充三:如何让绑定IP到vsFTP?也就是说,如何让用户只能通过某个IP来访问FTP。
其实这个功能很有意思。如果绑定的是内网的IP,外部是没有办法访问的。如果绑定
的是对外服务的IP,内网也只能通过对外服务的IP来访问FTP
在/etc/vsftpd/vsftpd.conf中加一行,以我的局域网为例,请看第一帖中的操作环
境,这样外网就不能访问我的FTP了,内网也可能通过192.168.0.2来访问FTP
listen_address=192.168.0.2
加完后,要重启vsFTP服务器
[root@linuxsir001 root]# /etc/init.d/vsftpd restart
关闭 vsftpd: [ 确定 ]
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
补充四:如何让vsFTP服务器限制链接数,以及每个IP最大的链接数??
答:应该改vsFTP服务器的配制文件vsftpd.conf,加入下面的两行:
max_clients=数字
max_per_ip=数字
举例:我想让我的vsFTP最大支持链接数为100个,每个IP,最多能支持5个链接,所
以我应该在vsftpd.conf中加上如下的两行:
max_clients=100
max_per_ip=5
改好了配制文件,不要忘记启动vsftp服务器。
补充五:如何限制下载的速度?
anon_max_rate=数字 注:这是匿名的下载速度
local_max_rate=数字 注:这是vsFTP服务器上普通用户的下载速度
注:这个数字的单位是字节,所以我们要计算一下。比如我想让匿名用户和vsFTP上
的用户都以80KB下载,所以这个数字应该是1024x80=81920
所以我们要在vsftpd.conf中加入下面的两行
anon_max_rate=81920
local_max_rate=81920
不要忘记重启vsftpd服务
补充六:我的硬盘空间有限,如何把帐号ftp默认的路径/var/ftp更改到别处?或者
是,我的linux所有的目录都放在/根分区,因为空间紧张,我能否把ftp这个用户的
默认路径放到别的分区??
可以,应该如下操作!
首先要把ftp这个用户删除
#userdel -r ftp
会有错误信息,不过不用理,这是正常的。
然后我们再把这个用户添加上,比如我想为帐号ftp的家目录设置在/mnt/LinG/ftp,
我们就可以如下操作
[root@linuxsir001 root]# mkdir /mnt/LinG
[root@linuxsir001 root]# adduser -d /mnt/LinG/ftp -g ftp -s /sbin/nologin
ftp
仅仅是这样做还不行,因为这样还是不能让匿名用户找到它的家目录,所以我们必须
改变/mnt/LinG/ftp这个目录的权限。
[root@linuxsir001 root]# chmod 755 /mnt/LinG/ftp/
[root@linuxsir001 root]# chown -R root.root /mnt/LinG/ftp/
补充七:如何定制欢迎信息,也就是我们登入有些FTP之后,会出现类似:欢迎您来
到LinuxSir FTP,在这里,您会得到最真诚的帮助,如果有什么问题和建议,请来信
,多谢。
实现这个并不难,我们可以查看vsftpd.cof文件中,是否有这行。
dirmessage_enable=YES
如果没有就加上,如果dirmessage_enable=YES前面有#号,就把#号去掉。
然后我们制定一个.message文件,写上您想要写的东西,比如是.message的内容是如
下的:
欢迎您来到LinuxSir FTP!
在这里,您会得到最真诚的帮助;
如果有什么问题和建议,请来信,多谢。
我们可以用编辑器来写这个.message,我想这个过程就不用说了吧。
然后我们把.message这个文件复制到各个用户的家目录中。比如我的FTP的一个用户
是beinan,这个用户所在的家目录是/home/beinan
我们就要把.message放在/home/beinan这个目录下。如果系统用户ftp,他的目录就
是/var/ftp这个目录,这个是默认的,当匿名用户登入时就访问的是/var/ftp这个目
录。我们要让匿名用户能看到欢迎信息。就要把.message放在/var/ftp目录中。其它
的用户,也无非就是类似的操作。
补充八:如何实现虚拟路径?
比如:
/home/a 映射为
/home/b/c 则为
其实这个不能说是vsFTPd的内容,其实我们早就接触过了,可能我们没有注意,我们
可以通过如下的方法来实现。
#mount --bind [原有的目录] [新目录]
比如我的ftp的默认目录是/var/ftp,我想把/mnt/LinG/WinSoft文件夹,映射
到/var/ftp目录中,我就如下操作
我们要先在/var/ftp目录中建一个目录
#mkdir /var/ftp/WinSoft
然后执行mount命令
#mount --bind /mnt/LinG/WinSoft /var/ftp/WinSoft
这样就OK了。
补充九:如何上匿名访问、上传,并支持下载和执行?
在默认的情况下,vsftp是不支持匿名用户的访问的,所以我们要自己打开相应的选
项。现在我针对这个问题,我们要打开如下的选项。
anonymous_enable=YES 注:允许匿名访问
anon_upload_enable=YES 注:允许上传
anon_mkdir_write_enable=YES 注:允许建立相应的目录
anon_umask=022 把上传到FTP的文件或者目录改变权限
当然打开这些选项还是不行的,我们还要让匿名写入文件的上一级目录有写入权,以
我所做的FTP为例,我所做的FTP的匿名访问的目录是/var/ftp,在vsFTPd
中,/var/ftp这个目录是不能让匿名用户有写入权限的,这是为了安全考虑,所以我
们必须自己在/var/ftp目录中建一个目录,让这个目录有写入权。
比如:我在/var/ftp目录建一个upload目录,然后把它的权限设置成777,这样匿名
用户就能写入了。
#mkdir /var/ftp/upload
#chmod 777 /var/ftp/upload
改了一系列的文件,不要忘记重启vsFTPd服务器
我是用standalone模式的,当然用下面的方法
[root@linuxsir001 root]# service vsftpd restart
关闭 vsftpd: [ 确定 ]
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
如果您用的是xinetd模式来启动vsFTPd,我们要重启xinetd服务器
[root@linuxsir001 root]# service xinetd restart
停止 xinetd: [ 确定 ]
启动 xinetd: [ 确定 ]
[root@linuxsir001 root]# ]
补充十:通过pam认证方式,添加虚拟用户
通过pam认证,用db_load添加用户,是真正的虚拟用户。现在我们简单的介绍一下,
通过以后的学习,我们再深入补充:
1。在/etc/pam.d/目录中创建一个文件ftp
[root@linuxsir001 root]# touch /etc/pam.d/ftp
2。在/etc/pam.d/ftp里面加上如下的两行
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
3。创建一系统的用户名用密码的文件logins.txt
[root@linuxsir001 root]# touch logins.txt
在logins.txt文件中,输入如下的内容。这个内容您可以自己来定。比如我下面的。
其实linuxsir007是FTP的虚拟用户名,123456是linuxsir007的密码;linuxsir008是
虚拟用户名,234567是linuxsir008的密码,以此类推,您想加入几个就是几个;下
面是我添加的FTP的虚拟用户名和密码。
linuxsir007
123456
linuxsir008
234567
linuxsir009
567890
linuxsir010
678901
linuxsir011
789012
4。创建一个真实的用户名linuxsir006,这个linuxsir006的用户,所在的家目录由
您来定。我在这里不多说了。我是按系统默认的来添加的。
[root@linuxsir001 root]# useradd linuxsir006
5。把/etc/hosts复制到/home/linuxsir006,并改变它的属主
[root@linuxsir001 root]#cp /etc/hosts /home/linuxsir006/hosts
[root@linuxsir001 root]#chown linuxsir006.linuxsir006
/home/linuxsir006/hosts
6。通过db_load来创建虚拟用户的库文件。我们在前面建的logins.txt文件,我是放
在了/root用户目录下。所以咱们得把目录切换到/root目录来创建虚拟用户的库文件
。
[root@linuxsir001 root]# db_load -T -t hash -f logins.txt
/etc/vsftpd_login.db
7。更改vsftpd.conf文件,加入如下的几行
pam_service_name=ftp
guest_enable=YES
guest_username=linuxsir006
anon_world_readable_only=NO
8。重启vsFTPd服务器;改了一系列的文件,不要忘记重启vsFTPd服务器
我是用standalone模式的,当然用下面的方法
[root@linuxsir001 root]# service vsftpd restart
关闭 vsftpd: [ 确定 ]
为 vsftpd 启动 vsftpd: [ 确定 ]
[root@linuxsir001 root]#
如果您用的是xinetd模式来启动vsFTPd,我们要重启xinetd服务器
[root@linuxsir001 root]# service xinetd restart
停止 xinetd: [ 确定 ]
启动 xinetd: [ 确定 ]
[root@linuxsir001 root]#
9。如果您想让用户登入FTP时,登入成功的相应的信息,请把您制作的.message复制
到您的用户的家目录中,这方面的请参考前面的补充。
10。测试:
[root@linuxsir001 root]# ftp 192.168.0.1
Connected to 192.168.0.1.
220 (vsFTPd 1.1.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.1:root): linuxsir007
331 Please specify the password.
Password:
230-欢迎光临LinuxSir自由FTP
230-在这里,您将得到最真诚的帮助!
230-本站限度为30KB!
230-每个IP限四个线程
230-请大家遵守FTP的有关规定。
230-多谢合作!
230-
230-LinuxSir管理部
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,0,1,85,171)
150 Here comes the directory listing.
-rw-r--r-- 1 ftp ftp 174 Jun 01 12:59 hosts
drwxr-xr-x 3 ftp ftp 4096 Jun 01 13:29 linuxsir008
drwxr-xr-x 2 ftp ftp 4096 Jun 01 13:24 sun
226 Directory send OK.
ftp>
补充十一:如何把Redhat 9.0中系统默认安装的vsftpd-1.1.3-8.i386.rpm,系统默
认vsFTPd是用standalone启动方式 ,改为xinetd启动方式 ?
如果是用源码包安装的,安装后就是xinetd模式,如果是用RPM包安装的,在Redhat
9.0中,应该用下面的方法来解决。
1.在/etc/xinetd.d/目录中创建一个文件vsftpd
[root@linuxsir001 root]# touch /etc/xinetd.d/vsftpd
/etc/xinetd.d/vsftpd内容如下:
service ftp
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
# server_args =
# log_on_success += DURATION USERID
# log_on_failure += USERID
nice = 10
disable = no
}
2。复制vsftpd.conf到/etc/目录下,因为xinetd对vsFTPd配制文件应该在/etc目录
下,所以我们就必须把这个文件复制到/etc目录下,否则会出现系统中local用户无
法登入,也就是说,不复制这个文件会出现ftp非匿名用户无法访问,只能用匿名用
户访问。
[root@linuxsir001 root]# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd.conf
3。更改配制文件/etc/vsftpd.conf,把如下的项注掉:
也就是把
listen=YES
改为
#listen=YES
或者是把这行删除也行。
4。把/etc/init.d/vsftpd这个文件删除。其实最好的备份到别处,因为我们有时实
验来实验去,可能还会转到standalone模式启动。我就直接移动到别的目录,比如是
/root下面的backup目录。
[root@linuxsir001 root]#mkdir /root/backup
[root@linuxsir001 root]# mv /etc/init.d/vsftpd /root/backup
5。运行ntsysv,把vsftpd的服务取消
[root@linuxsir001 root]#ntsysv
[ ] vsftpd
6。重启xinetd服务
[root@linuxsir001 root]# service xinetd restart
REDHAT 8.0 初始 VSFTPD 设置指南
REDHAT 8.0 初始 VSFTPD 设置指南
REDHAT 8 改用了VSFTPD作为默认的FTPD服务器
vsftpd相关文档:
/etc/vsftpd.ftpusers 这里面列出禁止登陆的用户名单
/etc/vsftpd.user_list 当配置文件中定义userlist_deny=NO时 这里面列出禁止登
陆的用户名单 (默认)
当配置文件中定义userlist_deny=YES时这里面列出容许登陆的用户名单
/etc/vsftpd.conf vsftpd的基本配置文件
另外因为vsftpd需要由xinetd来引导启动,单独运行vsftpd时会提示:
500 OOPS:vsftpd: does not run standalnoe, must be started from inetd
这里所说的inetd在redhat中已用xinetd替代了。
所以在修改配置文件后,需要重新启动FTP服务时,需要这样做:
xinetd -restart
vsftpd与xinetd相关的文件:
/etc/xinetd.conf xinetd的基本配置文件
/etc/xinetd.d/vsftpd xinetd引导vsftpd的配置文件(是否自动启动的选择也在这
里)
执行文件在这个位置
/etc/sbin/vsftpd
/etc/sbin/xinetd
FAQ1:启动时如何自动运行vsftpd?
ANS: 修改/etc/xinetd.d/vsftpd中 disable = no ;
FAQ2: 如何配置以容许root用户远程登陆进来?
ANS: 修改/etc/vsftpd.user_list和/etc/vsftpd.ftpusers
将root一栏删除或在前头加"#"注释;
FAQ3: 如何容许anonymous匿名用户登陆?
ANS: 修改/etc/vsftpd.conf中: anonymous_enable = YES
redhat 9.0下的vsftp如何配
我是在台湾的一家网站上偶尔发现的,我把繁体字转变为简体字,那个网站说,没有
得到作者同意,不能转载,呵呵,但我还是转载了,LINUX崇尚自由嘛
3.2 VSFTP—安全与效能兼备的ftp 服务器
3.2.1 VSFTP 概述
FTP,file transfer protocol,这是档案传输的通讯协议,也是一般最常用来传送
档案的方式。读者在使用RedHat9 的时候,可能会感受到ftp server 有一些改变:
第一,就是ftp server 只剩下vsftp,原有的wuftp 等都没放入﹔第二,就是vsftp
从XINETD 中独立出来,并将设定档从/etc/vsftpd.conf 之中移
到/etc/vsftpd/vsftpd.conf。
为什么做这样的改变?可以想见的是vsftp 已有独立运作的能力,不需要XINETD 来
做更进一步的管控,并且类似sendmail、httpd、ssh、samba 等,将设定文件的放入
/etc 下独立的目录。
FTP 分为两类,一种为PORT FTP,也就是一般的FTP﹔另一类是PASVFTP,分述如下:
PORT FTP
这是一般形式的FTP,首先会建立控制频道,默认值是port 21,也就是跟
port 21 建立联机,并透过此联机下达指令。第二,由FTP server 端会建立数据
传输频道,默认值为20,也就是跟port 20 建立联机,并透过port 20 作数据的
传输。
PASV FTP
跟PORT FTP 类似,首先会建立控制频道,默认值是port 21,也就是跟
port 21 建立联机,并透过此联机下达指令。第二,会由client 端做出数据传输
的请求,包括数据传输port 的数字。
这两者的差异为何?PORT FTP 当中的数据传输port 是由FTP server 指定,
而PASV FTP 的数据传输port 是由FTP client 决定。通常我们使用PASV FTP,
是在有防火墙的环境之下,透过client 与server 的沟通,决定数据传输的port。
3.2.2 范例
3.2.1. 直接启动VSFTP 服务
这个范例是套用RedHat 的预设范例,直接启动vsftp。
[root@relay vsftpd]# /sbin/service vsftpd start
Starting vsftpd for vsftpd: OK ]
3.2.2. 更换port 提供服务:将预设的port 21 更换为2121
为了安全,或是以port 来区隔不同的ftp 服务,我们可能会将ftp port 改为
21 之外的port,那么,可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
listen_port=2121
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.3. 特定使用者peter、john 不得变更目录
使用者的预设目录为/home/username,若是我们不希望使用者在ftp 时能够
切换到上一层目录/home,则可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将底下三行
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
改为
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
Step2. 新增一个档案: /etc/vsftpd/chroot_list
内容增加两行:
peter
john
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
若是peter 欲切换到根目录以外的目录,则会出现以下警告:
ftp> cd /home
550 Failed to change directory.
3.2.4. 取消anonymous 登入
若是读者的主机不希望使用者匿名登入,则可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将
anonymous_enable=YES
改为
anonymous_enable=NO
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.5. 安排欢迎话语
若是我们希望使用者在登入时,能够看到欢迎话语,可能包括对该主机的
说明,或是目录的介绍,可参考以下步骤。
首先确定在/etc/vsftpd/vsftpd.conf 当中是否有底下这一行
dirmessage_enable=YES
RedHat9 的默认值是有上面这行的。
接着,在各目录之中,新增名为.message 的档案,再这边假设有一个使用
者test1,且此使用者的根目录下有个目录名为abc,那首先我们在/home/test1
之下新增.message,内容如下:
Hello~ Welcome to the home directory
This is for test only...
接着,在/home/test1/abc 的目录下新增.message,内容如下:
Welcome to abc's directory
This is subdir...
那么,当使用者test1 登入时,会看到以下讯息:
230- Hello~ Welcome to the home directory
230-
230- This is for test only...
230-
若是切换到abc 的目录,则会出现以下讯息:
250- Welcome to abc's directory
250-
250- This is subdir ...
3.2.6. 对于每一个联机,以独立的process 来运作
一般启动vsftp 时,我们只会看到一个名为vsftpd 的process 在运作,但若
是读者希望每一个联机,都能以独立的process 来呈现,则可执行以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
setproctitle_enable=YES
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
使用ps -ef 的指令,可以看告不同使用者联机的情形,如下图所示:
[root@home vsftpd]# ps -ef|grep ftp
root 2090 1 0 16:41 pts/0 00:00:00 vsftpd: LISTENER
nobody 2120 2090 0 17:18 ? 00:00:00 vsftpd: 192.168.10.244:
connected
test1 2122 2120 0 17:18 ? 00:00:00 vsftpd: 192.168.10.244/test1:
IDLE
nobody 2124 2090 0 17:19 ? 00:00:00 vsftpd: 192.168.10.244:
connected
test2 2126 2124 0 17:19 ? 00:00:00 vsftpd: 192.168.10.244/test2:
IDLE
root 2129 1343 0 17:20 pts/0 00:00:00 grep ftp
[root@home vsftpd]#
3.2.7. 限制传输档案的速度:本机的使用者最高速度为200KBytes/s,匿名登入
者所能使用的最高速度为50KBytes/s
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下两行
anon_max_rate=50000
local_max_rate=200000
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边速度的单位为Bytes/s,其中anon_max_rate 所限制的是匿名登入的
使用者,而local_max_rate 所限制的是本机的使用者。VSFTPD 对于速度的限
制,范围大概在80%到120%之间,也就是我们限制最高速度为100KBytes/s,
但实际的速度可能在80KBytes/s 到120KBytes/s 之间,当然,若是频宽不足
时,数值会低于此限制。
3.2.8. 针对不同的使用者限制不同的速度:假设test1 所能使用的最高速度为
250KBytes/s,test2 所能使用的最高速度为500KBytes/s。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
user_config_dir=/etc/vsftpd/userconf
Step2. 新增一个目录:/etc/vsftpd/userconf
mkdir /etc/vsftpd/userconf
Step3. 在/etc/vsftpd/userconf 之下新增一个名为test1 的档案
内容增加一行:
local_max_rate=250000
Step4. 在/etc/vsftpd/userconf 之下新增一个名为test2 的档案
内容增加一行:
local_max_rate=500000
Step5. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.9-1. 建置一个防火墙下的ftp server,使用PORT FTP mode:预设的ftp
port:21 以及ftp data port:20
启动VSFTPD 之后执行以下两行指令,只允许port 21 以及port 20 开放,
其它关闭。
iptables -A INPUT -p tcp -m multiport --dport 21,20 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
3.2.9-2. 建置一个防火墙下的ftp server,使用PORT FTP mode:ftp port:2121
以及ftp data port:2020
Step1. 执行以下两行指令,只允许port 2121 以及port 2020 开放,其它关闭。
iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
Step2. 修改/etc/vsftpd/vsftpd.conf
新增底下两行
listen_port=2121
ftp_data_port=2020
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边要注意,8、9 两个例子中,ftp client(如cuteftp)的联机方式不能
够选择passive mode,否则无法建立数据的联机。也就是读者可以连上ftp
server,但是执行ls、get 等等的指令时,便无法运作。
3.2.10. 建置一个防火墙下的ftp server,使用PASS FTP mode:ftp port:2121
以及ftp data port 从9981 到9986。
Step1. 执行以下两行指令,只允许port 2121 以及port 9981-9990 开放,其它关
闭。
iptables -A INPUT -p tcp -m multiport --dport
2121,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
Step2. 修改/etc/vsftpd/vsftpd.conf
新增底下四行
listen_port=2121
pasv_enable=YES
pasv_min_port=9981
pasv_max_port=9986
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边要注意,在10 这个例子中,ftp client(如cuteftp)的联机方式必须
选择passive mode,否则无法建立数据的联机。也就是读者可以连上ftp
server,但是执行ls,get 等等的指令时,便无法运作。
8.2.11. 将vsftpd 与TCP_wrapper 结合
若是读者希望直接在/etc/hosts.allow 之中定义允许或是拒绝的来源地址,
可执行以下步骤。这是简易的防火墙设定。
Step1. 确定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的设定为YES,如下图所
示:
tcp_wrappers=YES
这是RedHat9 的默认值,基本上不需修改。
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
Step3. 设定/etc/hosts.allow,譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254
连
线,则可做下图之设定:
vsftpd : 111.22.33.4 10.1.1. : allow
ALL : ALL : DENY
8.2.12. 将vsftpd 并入XINETD
若是读者希望将vsftpd 并入XINETD 之中,也就是7.x 版的预设设定,那
么读者可以执行以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将
listen=YES
改为
listen=NO
Step2. 新增一个档案: /etc/xinetd.d/vsftpd
内容如下:
service vsftpd
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
port = 21
log_on_success += PID HOST DURATION
log_on_failure += HOST
}
Step3. 重新启动xinetd
[root@home vsftpd]# /sbin/service xinetd restart
Stopping xinetd: OK ]
Starting xinetd: OK ]
3.2.3 设定档说明
在范例中,有些省略的设定可以在这边找到,譬如联机的总数、同一个位
址的联机数、显示档案拥有者的名称等等,希望读者细读后,可以做出最适合
自己的设定。
格式
vsftpd.conf 的内容非常单纯,每一行即为一项设定。若是空白行或是开头为#的一
行,
将会被忽略。内容的格式只有一种,如下所示
option=value
要注意的是,等号两边不能加空白,不然是不正确的设定。
===ascii 设定=====================
ascii_download_enable
管控是否可用ASCII 模式下载。默认值为NO。
ascii_upload_enable
管控是否可用ASCII 模式上传。默认值为NO。
===个别使用者设定===================
chroot_list_enable
如果启动这项功能,则所有的本机使用者登入均可进到根目录之外的数据夹,除了列
在/etc/vsftpd.chroot_list 之中的使用者之外。默认值为NO。
userlist_enable
用法:YES/NO
若是启动此功能,则会读取/etc/vsftpd.user_list 当中的使用者名称。此项功能可
以在询
问密码前就出现失败讯息,而不需要检验密码的程序。默认值为关闭。
userlist_deny
用法:YES/NO
这个选项只有在userlist_enable 启动时才会被检验。如果将这个选项设为YES,则
在
/etc/vsftpd.user_list 中的使用者将无法登入﹔ 若设为NO , 则只有在
/etc/vsftpd.user_list 中的使用者才能登入。而且此项功能可以在询问密码前就出
现错误
讯息,而不需要检验密码的程序。
user_config_dir
定义个别使用者设定文件所在的目录,例如定义
user_config_dir=/etc/vsftpd/userconf,
且主机上有使用者test1,test2,那我们可以在user_config_dir 的目录新增文件名
为
test1 以及test2。若是test1 登入,则会读取user_config_dir 下的test1 这个档
案内的设
定。默认值为无。
===欢迎语设定=====================
dirmessage_enable
如果启动这个选项,使用者第一次进入一个目录时,会检查该目录下是否有.message
这个档案,若是有,则会出现此档案的内容,通常这个档案会放置欢迎话语,或是对
该目录的说明。默认值为开启。
banner_file
当使用者登入时,会显示此设定所在的档案内容,通常为欢迎话语或是说明。默认值
为无。
ftpd_banner
这边可定义欢迎话语的字符串,相较于banner_file 是档案的形式,而ftpd_banner
是字
串的格式。预设为无。
===特殊安全设定====================
chroot_local_user
如果设定为YES,那么所有的本机的使用者都可以切换到根目录以外的数据夹。预设
值为NO。
hide_ids
如果启动这项功能,所有档案的拥有者与群组都为ftp,也就是使用者登入使用ls -
al
之类的指令,所看到的档案拥有者跟群组均为ftp。默认值为关闭。
ls_recurse_enable
若是启动此功能,则允许登入者使用ls -R 这个指令。默认值为NO。
write_enable
用法:YES/NO
这个选项可以控制FTP 的指令是否允许更改file system,譬如STOR、DELE、
RNFR、RNTO、MKD、RMD、APPE 以及SITE。预设是关闭。
setproctitle_enable
用法:YES/NO
启动这项功能,vsftpd 会将所有联机的状况已不同的process 呈现出来,换句话说
,使
用ps -ef 这类的指令就可以看到联机的状态。默认值为关闭。
tcp_wrappers
用法:YES/NO
如果启动,则会将vsftpd 与tcp wrapper 结合,也就是可以在/etc/hosts.allow 与
/etc/hosts.deny 中定义可联机或是拒绝的来源地址。
pam_service_name
这边定义PAM 所使用的名称,预设为vsftpd。
secure_chroot_dir
这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限,当vsftpd 不
需
要file system 的权限时,就会将使用者限制在此数据夹中。默认值
为/usr/share/empty
===纪录文件设定=====================
xferlog_enable
用法:YES/NO
如果启动,上传与下载的信息将被完整纪录在底下xferlog_file 所定义的档案中。
预设
为开启。
xferlog_file
这个选项可设定纪录文件所在的位置,默认值为/var/log/vsftpd.log。
xferlog_std_format
如果启动,则纪录文件将会写为xferlog 的标准格式,如同wu-ftpd 一般。默认值为
关
闭。
===逾时设定======================
accept_timeout
接受建立联机的逾时设定,单位为秒。默认值为60。
connect_timeout
响应PORT 方式的数据联机的逾时设定,单位为秒。默认值为60。
data_connection_timeout
建立数据联机的逾时设定。默认值为300 秒。
idle_session_timeout
发呆的逾时设定,若是超出这时间没有数据的传送或是指令的输入,则会强迫断线,
单位为秒。默认值为300。
===速率限制======================
anon_max_rate
匿名登入所能使用的最大传输速度,单位为每秒多少bytes,0 表示不限速度。默认
值
为0。
local_max_rate
本机使用者所能使用的最大传输速度,单位为每秒多少bytes,0 表示不限速度。预
设
值为0。
===新增档案权限设定==================
anon_umask
匿名登入者新增档案时的umask 数值。默认值为077。
file_open_mode
上传档案的权限,与chmod 所使用的数值相同。默认值为0666。
local_umask
本机登入者新增档案时的umask 数值。默认值为077。
===port 设定======================
connect_from_port_20
用法:YES/NO
若设为YES,则强迫ftp-data 的数据传送使用port 20。默认值为YES。
ftp_data_port
设定ftp 数据联机所使用的port。默认值为20。
listen_port
FTP server 所使用的port。默认值为21。
pasv_max_port
建立资料联机所可以使用port 范围的上界,0 表示任意。默认值为0。
pasv_min_port
建立资料联机所可以使用port 范围的下界,0 表示任意。默认值为0。
===其它========================
anon_root
使用匿名登入时,所登入的目录。默认值为无。
local_enable
用法:YES/NO
启动此功能则允许本机使用者登入。默认值为YES。
local_root
本机使用者登入时,将被更换到定义的目录下。默认值为无。
text_userdb_names
用法:YES/NO
当使用者登入后使用ls -al 之类的指令查询该档案的管理权时,预设会出现拥有者
的
UID,而不是该档案拥有者的名称。若是希望出现拥有者的名称,则将此功能开启。
默认值为NO。
pasv_enable
若是设为NO,则不允许使用PASV 的模式建立数据的联机。默认值为开启。
===更换档案所有权===================
chown_uploads
用法:YES/NO
若是启动,所有匿名上传数据的拥有者将被更换为chown_username 当中所设定的使
用者。这样的选项对于安全及管理,是很有用的。默认值为NO。
chown_username
这里可以定义当匿名登入者上传档案时,该档案的拥有者将被置换的使用者名称。预
设值为root。
===guest 设定=====================
guest_enable
用法:YES/NO
若是启动这项功能,所有的非匿名登入者都视为guest。默认值为关闭。
guest_username
这里将定义guest 的使用者名称。默认值为ftp。
===anonymous 设定==================
anonymous_enable
用法:YES/NO
管控使否允许匿名登入,YES 为允许匿名登入,NO 为不允许。默认值为YES。
no_anon_password
若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO。
anon_mkdir_write_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许新增目录,当然,匿名使用者必须要有对上层目
录的写入权。默认值为NO。
anon_other_write_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许更多于上传与建立目录之外的权限,譬如删除或
是更名。默认值为NO。
anon_upload_enable
用法:YES/NO
如果设为YES,匿名登入者会被允许上传目录的权限,当然,匿名使用者必须要有对
上层目录的写入权。默认值为NO。
anon_world_readable_only
用法:YES/NO
如果设为YES,匿名登入者会被允许下载可阅读的档案。默认值为YES。
ftp_username
定义匿名登入的使用者名称。默认值为ftp。
deny_email_enable
若是启动这项功能,则必须提供一个档案/etc/vsftpd.banner_emails,内容为email
address。若是使用匿名登入,则会要求输入email address,若输入的email
address 在
此档案内,则不允许联机。默认值为NO。
===Standalone 选项==================
listen
用法:YES/NO
若是启动,则vsftpd 将会以独立运作的方式执行,若是vsftpd 独立执行,如
RedHat9
的默认值,则必须启动﹔若是vsftpd 包含在xinetd 之中,则必须关闭此功能,如
RedHat8。在RedHat9 的默认值为YES。
listen_address
若是vsftpd 使用standalone 的模式,可使用这个参数定义使用哪个IP address 提
供这
项服务,若是主机上只有定义一个IP address,则此选项不需使用,若是有多个IP
address,可定义在哪个IP address 上提供ftp 服务。若是不设定,则所有的IP
address
均会提供此服务。默认值为无。
max_clients
若是vsftpd 使用standalone 的模式,可使用这个参数定义最大的总联机数。超过这
个
数目将会拒绝联机,0 表示不限。默认值为0。
max_per_ip
若是vsftpd 使用standalone 的模式,可使用这个参数定义每个ip address 所可以
联机
的数目。超过这个数目将会拒绝联机,0 表示不限。默认值为0。
=============================
3.2.4 FTP 数字代码的意义
110 重新启动标记应答。
120 服务在多久时间内ready。
125 数据链路埠开启,准备传送。
150 文件状态正常,开启数据连接端口。
200 命令执行成功。
202 命令执行失败。
211 系统状态或是系统求助响应。
212 目录的状态。
213 文件的状态。
214 求助的讯息。
215 名称系统类型。
220 新的联机服务ready。
221 服务的控制连接埠关闭,可以注销。
225 数据连结开启,但无传输动作。
226 关闭数据连接端口,请求的文件操作成功。
227 进入passive mode。
230 使用者登入。
250 请求的文件操作完成。
257 显示目前的路径名称。
331 用户名称正确,需要密码。
332 登入时需要账号信息。
350 请求的操作需要进一部的命令。
421 无法提供服务,关闭控制连结。
425 无法开启数据链路。
426 关闭联机,终止传输。
450 请求的操作未执行。
451 命令终止:有本地的错误。
452 未执行命令:磁盘空间不足。
500 格式错误,无法识别命令。
501 参数语法错误。
502 命令执行失败。
503 命令顺序错误。
504 命令所接的参数不正确。
530 未登入。
532 储存文件需要账户登入。
550 未执行请求的操作。
551 请求的命令终止,类型未知。
552 请求的文件终止,储存位溢出。
553 未执行请求的的命令,名称不正确。
__________________
架设FTP服务器
架设FTP服务器 来源:天津热线[转帖] 在Internet上FTP(File Transfer
Protocol,文件传输协议)扮演着十分重要的角色。我们可以通过FTP与远程机器传
输交换文件数据,下载或上传最新的软件。基本的FTP服务器根据服务的对象可以分
为两种,一种是Unix(当然也包括Linux)系统基本的FTP服务器,使用者是服务器上
合法的用户;而另一种是匿名FTP服务器(Anonmous
FTP Service),任何人只要使用anonmous或ftp帐号并提供电子邮件地址作为口令就
可以使用FTP服务。
对于系统中合法的用户,其登录目录为他们的home目录;如果是匿名用户登录的话,
登录后会到/home/ftp这个目录中,该除非我们在该目录中存放下载文件,否则匿名
FTP使用者将不能做任何事情。在本章,我们将详细地介绍FTP服务器的安装、配置以
及服务器的维护。
安装FTP服务器 在Linux的发行套件中都有FTP服务器的软件包wu-ftpd(Washington
University FTP
server),这是目前最流行的一种免费FTP服务器软件,目前绝大多数的FTP站点都是
由wu-ftpd来架设的,而wu-ftp如此流行的原因是因为它强大的功能,例如:
·可控制不同网域的机器对 FTP服务器的存取权限和访问时段。
·使用者在下载文件时,可自动对文件进行压缩或解压缩工作。
·可以记录文件上传或下载的过程。
·可以限制最高访问人数,以维持系统的最佳运行效率。
·可显示相关的信息,以便用户了解当前的接收状态。
·可暂时关闭FTP服务器,以便系统维护。
在安装系统时如果选择了wu-ftpd软件包,就会自动安装。但如果我们想要使用最新
的FTP软件包的话,可以到全世界各大FTP站点下载。目前最新的版本是wu-ftpd-
2.5.0,得到了wu-ftpd-2.5.0.tar.gz后,请按照我们下面的步骤进行安装。
1.将wu-ftpd-2.5.0.tar.gz复制到临时目录中并解压缩:
# tar zxvf wu-ftpd-2.5.0.tar.gz
进入解压缩产生的目录wu-ftpd-2.5.0中,在开始安装之前请仔细阅读里面的README
、INSTALL等文件,以便了解安装需要注意的事项。
2.执行命令“bulid lnx”,编译wu-ftpd-2.5.0的源程序。
# ./bulid lnx
这条命令将编译Linux系统使用wu-ftpd所需的服务程序,如果一切正常的话,将产生
如下几个可执行文件:
ftpd FTP服务程序
ftpshut 关闭FTP服务的程序
ftpcount 显示FTP 服务器目前连接的人数的程序
ftpwho 查看目前使用者
3.执行安装命令“make install”,将编译生成的可执行文件和man pages安装到系
统中。
# make install
4. 修改/etc/inetd.conf文件,加入如下一行:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l –a
如果系统中以前安装有wu-ftpd的话,这一步可以略去不做,安装安装程序会自动更
新/etc/inetd.conf文件有关ftp的记录项。
5.如果想为FTP用户提供压缩解压缩的功能,我们还需要将tar、gzip、compress、
cpio、sh等可执行文件复制到/home/ftp/bin目录下。此外,还需要将ls命令复制
到/home/ftp/bin中,以便使用者查看目录。
因为我们复制到/home/ftp/bin目录下的程序有可能是动态链接的,所以它们运行时
还需要共享函数库,我们要将他们运行时需要用到的共享库复制到/home/frp/lib目
录中。检查这些命令所需要的共享库可以使用“ldd”命令。例如对于“ls”命令,
我们使用“ldd
/usr/bin/ls”命令就可以得到如下的输出:
# ldd /usr/bin/ls
libc.so.6 = > /lib/libc.so.6 ( 0x40003000 )
/lib/ld-linux.so.2 = > /lib/ld-linux.so.2 ( 0x00000000 )
这样,我们就需要将/lib/libc.so.6和/lib/ld-linux.so.2复制到/home/ftp/lib目
录中。其它命令所需的共享库您也可以参照上面的方法找出并复制到/home/etc/lib
目录中。
接下来复制/etc/passwd和/etc/group文件到/home/ftp/etc,并删除其中任何个人用
户和个人用户组的信息。基本上应该按照下面的例子修改:
#/home/ftp/etc/passwd文件
root:*:0:0:::
bin:*:1:1:::
operator:*:11:0:::
nobody:*:99:99:::
ftp:*:1000:1000:::
# /home/ftp/etc/group文件
root::0:
bin::1:
daemon::2:
sys::3:
adm::4:
ftp::1000:
6.为了确保提供FTP服务不会给我们的系统带来安全隐患,我们还需要采取以下措施
:
# chmod 0555 /home/ftp
# chmod 0111 /home/ftp/bin/*
# chmod 0555 /home/ftp/lib/*
# chmid 0444 /home/ftp/etc/*
配置FTP服务器在安装好wu-ftpd之后,我们还需要定制FTP服务器,使之实现我们上
一节中提到的各种功能。为了使我们的FTP服务器实现这些功能,我们需要修改
ftpusers、ftpaccess、ftpconversions、xferlog、ftpgroups、ftphosts等系统配
置文件。下面我们就来看一看这些文件的功能以及配置它们的方法。
各配置文件的功能在开始配置FTP服务器的配置文件之前,我们先来简要地介绍一下
各个文件的功能。在开包后的wu-ftpd-2.5.0目录中的doc/examples目录下,我们可
以找到以下这些文件的示例。
/etc/ftpaccess
一般情况下,我们最为重视的配置文件应该是“ftpaccess”,因为该文件决定着我
们FTP服务器是否能够正常工作。此外,我们还可以在这个系统参数文件中设置多项
有关使用权限记录,以及与信息有关的文件名称及路径。
/etc/ftpusers 决定哪些人不可以执行ftp命令来传输文件,这些帐号通常是root、
bin、news以及guest等有特殊用途的帐户。
/etc/ftpconversions 配置该文件可以实现用户在通过FTP传输文件的同时,对文件
进行压缩打包等处理。
/etc/ftphosts 决定哪些网络中的主机或某些用户不能访问FTP服务器的文件。
/etc/ftpgroups 该文件不是决定哪些用户组不能够访问FTP服务器,它只有在使用
SITE GROUP功能时才有用。
/var/log/xferlog FTP日志文件。该文件将记录使用匿名帐户的用户所上传或下载的
过的文件,该文件只是记录FTP信息,我们不需要对它进行配置。
大致了解了各个设置文件的功能以后,我们就来为您介绍这些文件中的内容以及学习
如何配置。
配置/etc/ftpaccess文件我们前面介绍的wu-ftpd的大多数功能都是在ftpaccess文件
中设置的。我们无须自己编写该文件,doc/examples/ftpaccess.heavy是一个稍微修
改一下就能适用于大多数FTP服务器的例子,所以下面我们将以这个示例文件为例为
您介绍ftpaccess文件的配置。
# wu-ftpd-2.5.0的/etc/ftpaccess示例文件ftpaccess.heavy
#
# 设置用户登录FTP服务器时,允许输错密码的次数。
# loginfails 2表示允许用户输错两次密码,如果两次都输入
# 错误的话,FTP服务器打印“repeated login failures”的信息
# 并退出FTP会话过程。如不设置,则缺省值是5。
#
loginfails 2
#
# class是用来定义用户级别的命令,它的格式为
# class
[ ….]
# FTP服务器上有三种类型的使用者,分别是“real”——表示
# 在该FTP服务器上有合法帐