Chinaunix首页 | 论坛 | 博客
  • 博客访问: 356612
  • 博文数量: 34
  • 博客积分: 251
  • 博客等级: 二等列兵
  • 技术积分: 419
  • 用 户 组: 普通用户
  • 注册时间: 2012-07-21 15:50
文章分类

全部博文(34)

文章存档

2017年(5)

2016年(19)

2012年(10)

我的朋友

分类: 系统运维

2016-03-11 01:08:47

很久没有做vsftpd的配置了,最近刚好有需要,又重新复习了一遍,写成文档方便自己将来查阅。

参考文档:

1.    FTP原理:

2.    FTP配置:

3.    虚拟用户配置:http://yuanbin.blog.51cto.com/363003/129071

.环境

OS

CentOS6.7 x86_64

网络

Sever192.168.1.254

Client192.168.1.100

安装与配置

1. 安装

使用yum安装即可:yum install vsftpd -y

2. 软件架构

/etc/vsftpd/vsftpd.conf

vsftpd的配置文件,相关参数设定主要在这个文件进行。

/etc/pam.d/vsftpd

vsftpd使用 PAM 模块时的相关配置文件,主要用来作为身份认证之用,还有一些用户身份的抵挡功能, 也是透过这个档案来达成的。

/etc/vsftpd/ftpusers

/etc/pam.d/vsftpd文件有关,也就是 PAM 模块中所指定的那个无法登入的用户配置文件。这个档案的设定简单,只要将“不想让他登入 FTP 的账号”写入这个文件即可。

/etc/vsftpd/user_list

这个文件是否生效与vsftpd.conf内的两个参数有关,分别是“userlist_enable”与“userlist_deny”,会根据vsftpd.conf配置文件内的userlist_deny={YES/NO}不同而不同(设置为YES时,是阻止user_list中的账号登入;设置为NO时,是允许user_list中的账号登入)

/etc/vsftpd/ftpusersPAM模块的安全设定文件,而/etc/vsftpd/user_listvsftpd自定义的安全设定文件。

这个文件与/etc/vsftpd/ftpusers几乎一样,在默认情况下,可以将不希望可登入vsftpd账号写入这里。

/etc/vsftpd/chroot_list

此文件默认是没有的,需要手工建立,主要作用是将某些账号chroot在其家目录。

文件是否生效与vsftpd.conf的“chroot_list_enable”与“chroot_list_file”两个参数有关。

/usr/sbin/vsftpd

vsftpd的执行文件。

/var/ftp/

vsftpd默认匿名账户登入根目录,与ftp账号的家目录有关。

3. 配置文件简介

以下列出主要的一些配置项供参考。

a.服务器环境较相关的设置

connect_from_port_20=YES (NO)

主动式FTP服务器portftp-data的端口。

#主动式ftpserver接到clientftp请求后,由server20端口主动连接client告知的数据接收port,建立数据传输通道;

#被动式ftpserver接到clientftp请求后,随机选取大于1024port告知client,由client主动发起ftp数据通道连接。

#在有ftpserverclient之间有防火墙或nat时,基本只能使用被动式ftp

listen_port=21

vsftpd的命令通道port,如果要使用非正规的端口,在此修改;修改端口号指适合以stand alone方式来启动的vsftpd(对于super daemon 无效)

dirmessage_enable=YES (NO)

ftp用户进入某个目录时,会显示该目录需要注意的内容,显示的档案默认是 .message ,可以使用下面的设定项目来修改显示内容。

message_file=.message

dirmessage_enable=YES时,可以设定这个项目来让vsftpd 寻找该文件来显示信息。

listen=YES (NO)

如果设置为YES,表示vsftpd是以stand alone的方式来启动;设置为NO时,vsftpdsuper daemon方式启动。

pasv_enable=YES (NO)

支持数据流的被动式联机模式(passive mode),请设定为YES

use_localtime=YES (NO)

是否使用本地时间?vsftpd默认使用GMT时间(格林威治),建议设置YES

write_enable=YES (NO)

是否允许用户上传数据。

connect_timeout=60

单位是秒,在数据连接的主动式联机模式下,发出的连接信号在 60 秒内得不到client响应,则不等待并强制断线。

accept_timeout=60

client以被动式PASV进行数据传输时,如果server端启用passive port并等待client超过60秒而无响应,那么就强制断线。这个设置与connect_timeout类似,不过一个是管理主动联机,一个管理被动联机。

data_connection_timeout=300

如果serverclient的数据联机已经成功建立(不论主动还是被动联机),但是可能由于线路问题导致300秒内没有顺利的完成数据传送,那client的联机就会被vsftpd 强制断线。

idle_session_timeout=300

如果client300 秒内都无命令动作,强制断线。

max_clients=0

如果vsftpd stand alone方式启动,那么这个设定值可以设置在同一时间,最多有多少 client可以同时连上vsftpd

max_per_ip=0

max_clients类似,同一个IP同一时间可允许多少联机。

pasv_min_port=0, pasv_max_port=0

passive mode 使用的port有关,如果你想要使用654006541011port来进行被动式联机模式的连接,可以这样设定pasv_max_port=65410以及 pasv_min_port=65400 如果是 0 的话,表示随机取用而不限制。

ftpd_banner=一些文字说明

ftp用户登入时,在 ftp client软件上会显示的说明文字。建议使用下面的banner_file设定值取代这个项目。

banner_file=/path/file

指定某个纯文本文件作为用户登入vsftpd服务器时所显示的欢迎字眼。同时,也可以放置一些让用户知道本服务器的目录结构。

b.与实体用户较相关的设置

guest_enable=YES(NO)

设为YES时,任何实体账户,都会被假设成为guest (所以默认是NO)guestvsftpd 当中,默认取得ftp账户的相关权限,但可以通过 guest_username来修改。

#使用虚拟账户登录FTP时需要设置为YES

guest_username=ftp

guest_enable=YES 时生效,指定guest的身份(虚拟账户统一获得此设置账号的权限)。

local_enable=YES(NO)

此设置值必须要为YES时,在/etc/passwd内的账号才能以实体用户的方式登入vsftpd

local_max_rate=0

实体用户的传输速度限制,单位为bytes/secon0为不限制。

chroot_local_user=YES(NO)

默认情况下,是否要将使用者限制在自己的家目录之内(chroot)。如果是YES代表用户默认就会被chroot;如果是NO,则默认不chroot。实际使用需要与下面两个参数互相参考。为了安全性,建议设置为YES

chroot_list_enable=YES(NO)

是否启用chroot写入列表的功能。与下面的chroot_list_flie有关。此值开启时下面的列表档案才会生效。

chroot_list_file=/etc/vsftpd.chroot_list

如果chroot_list_enable=YES,那么此设置生效。

userlist_enable=YES(NO)

是否借助vsftpd的阻止机制来处理某些不受欢迎的账号,与下面的参数设定有关。

userlist_deny=YES(NO)

userlist_enable=YES时才会生效。若设定为 YES 时,则当用户账号被列入到user_list文档时,在该文档内的账号将不能登入vsftpd 服务器;设置为NO时,则允许user_list中的账号登入。该档案文件名与下列设定项目有关。

userlist_file=/etc/vsftpd/user_list

若上面userlist_deny=YES时,则设置文档生效,在这文件内的账号都无法登录vsftpd

c.匿名用户登入的相关设置

anonymous_enable=YES(NO)

是否允许anonymous登入vsftpd。默认是YES,下面所有相关设置都需要设置为 anonymous_enable=YES 之后才生效。

anon_world_readable_only=YES(NO)

仅允许anonymous 具有下载可读档案的权限,默认是YES

anon_other_write_enable=YES(NO)

是否允许anonymous具有除了写入之外的权限,包括删除与改写服务器上的文件及文件名等权限,默认是NO。如果需要设置为YES,那么开放给anonymous写入的目录需要调整权限,让vsftpdPID 拥有者可以写入才行。

anon_mkdir_write_enable=YES(NO)

是否让anonymous具有建立目录的权限,默认是NO。如果要设置为YES,那么anony_other_write_enable必须设置为YES

anon_upload_enable=YES(NO)

是否让anonymous具有上传数据的功能,默认是NO。如果要设定为 YES ,则 anon_other_write_enable必须设置为YES

deny_email_enable=YES(NO)

禁止某些特殊的email addressanonymous登入。如果以anonymous登入服务器时,要求输入的密码是email address,如果不让某些email address登入,可以使用此设置取消其登入权限,需与下面的设置值配合。

banned_email_file=/etc/vsftpd/banned_emails

如果deny_email_enable=YES时,可以使用此设置文件来规定哪些email address不可登入。

no_anon_password=YES(NO)

当设定为YES时,表示anonymous将会略过密码检验步骤,而直接登入。

non_max_rate=0

单位为bytes/s,限制anonymous的传输速度,如果是0则不限制.

anon_umask=077

限制anonymous上传档案的权限。

d.关于系统安全方面的一些设置

ascii_download_enable=YES(NO)

如果设定为YES,那么client优先(默认)使用ASCII 格式下载文件。

ascii_upload_enable=YES(NO)

使用ASCII 格式上传文件,默认是NO

one_process_model=YES(NO)

此设定值比较危险,当设置为YES时,表示每个建立的session都会有一个守护进程负责,可以增加vsftpd的性能。不过除非你的系统比较安全,而且硬件配备比较高,否则容易耗尽系统资源,一般建议设置为NO

tcp_wrappers=YES(NO)

建议设置为YES

xferlog_enable=YES(NO)

当设定为YES时,用户上传与下载文件都会被纪录起来,记录文件与下面的设置值相关。

xferlog_file=/var/log/xferlog

如果xferlog_enable=YES,这里的设置就有效。

xferlog_std_format=YES(NO)

是否设置为wu ftp相同的登录文件格式,默认是NO,因为登录档会比较容易读。如果有使用wu ftp登录文件的分析软件,这里需要设定为YES

dual_log_enable=YES, vsftpd_log_file=/var/log/vsftpd.log

通常/var/log/xferlog只记录上传与下载,此设置可以开启用户登录日志。

nopriv_user=nobody

vsftpd默认以nobody作为此服务执行者的权限,因为nobody的权限很低,因此即使被入侵,入侵者也仅能取得nobody的权限。

pam_service_name=vsftpd

pam模块,一般放置为/etc/pam.d/vsftpd文件。

4. 必要的安全放行配置

a.SELinux

默认情况下,vsftpd不允许账户登入取得家目录数据(登入使用dir,但不能取得任何数据),主要是由SELinux引起的。如下:

[root@localhost ~]# getsebool -a | grep ftp

allow_ftpd_anon_write --> off

allow_ftpd_full_access --> off

allow_ftpd_use_cifs --> off

allow_ftpd_use_nfs --> off

ftp_home_dir --> off

将“allow_ftpd_full_access”与“ftp_home_dir”设置为“on”即可。

[root@localhost ~]# setsebool -P allow_ftpd_full_access 1

[root@localhost ~]# setsebool -P ftp_home_dir 1

#此两项设置需要一点时间,勿着急。

[root@localhost ~]# getsebool -a | grep ftp

allow_ftpd_anon_write --> off

allow_ftpd_full_access --> on

allow_ftpd_use_cifs --> off

allow_ftpd_use_nfs --> off

ftp_home_dir --> on

b.iptables

FTP使用两个端口,另有随机启用的数据流端口,及被动联机的服务器端口等,大概需要如下规则:

1.    加入iptables的“ip_nat_ftp”与“ip_conntrack_ftp”两个模块;

[root@localhost ~]# vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_conntrack_ftp"

IPTABLES_MODULES="ip_nat_ftp"

#大概在第6行,以上两者顺序不可调换。

2.    开放port 21给访问者使用;

3.    开放随机启动的数据流端口给访问者连接使用;

[root@localhost ~]# vim /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 65401:65410 --sport 1024:65534 -j ACCEPT

#允许client大于1024的随机端口主动发起数据通道连接,server端使用端口65401~65410响应。

4.    重启iptables

service iptables restart

5. 虚拟账户配置

a.添加虚拟用户及口令文件

[root@localhost ~]# vim /etc/vsftpd/vftpuser.txt #新建虚拟用户文件

test1          #用户名

123456        #密码

test2

123456

b.生成虚拟用户口令认证文件

vftpuser.txt虚拟用户口令文件转换成系统可识别的口令认证文件。

1.    查看系统有没有安装生成口令认证文件所需的软件db4-utils,如果没有安装采用rpm或者yum方式安装。

[root@localhost ~]# rpm -qa | grep db4-utils

2.    使用db_load命令生成虚拟用户口令认证文件。

[root@localhost ~]# db_load -T -t hash -f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db

c.编辑vsftpdPAM认证文件

[root@CentOS5 /]#vi /etc/pam.d/vsftpd

将文件中其他行都注释掉,添加下面这两行:

#%PAM-1.0

auth     required     pam_userdb.so db=/etc/vsftpd/vftpuser

account    required     pam_userdb.so db=/etc/vsftpd/vftpuser

#路径为生成的db路径,去掉后缀

#session    optional     pam_keyinit.so    force revoke

#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

#auth       required    pam_shells.so

#auth       include     password-auth

#account    include     password-auth

#session    required     pam_loginuid.so

#session    include     password-auth

d.建立本地映射用户并设置宿主目录权限

所有的虚拟用户需要映射一个系统用户,此系统用户不需要密码,不可登入系统。

[root@localhost ~]# useradd -d /home/vftpsite -s /sbin/nologin vftpuser

[root@localhost ~]# chown -R vftpuser:vftpuser /home/vftpsite

#注意虚拟用户家目录的权限问题,否则可能导致后面登入但无法读写。

e.配置vsftpd.conf(虚拟用户配置项相关)

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

guest_enable=YES #开启虚拟用户

guest_username=vftpuser #FTP虚拟用户对应的系统用户

pam_service_name=vsftpd #PAM认证文件

f.重启vsftpd服务

[root@localhost ~]# service vsftpd restart

g.测试虚拟用户登录

C:\>ftp 192.168.1.254

连接到 192.168.1.254

220 (vsFTPd 2.2.2)

用户(192.168.1.254:(none)): test1

331 Please specify the password.

密码:

230 Login successful.

ftp> dir

200 PORT command successful. Consider using PASV.

150 Here comes the directory listing.

-rw-r--r--    1 0        0               0 Mar 02 21:04 test

226 Directory send OK.

ftp: 收到 62 字节,用时 0.00 62.00千字节/秒。

ftp>

6. 虚拟用户高级设置

a.virtual_use_local_privs参数

virtual_use_local_privs=YES时,虚拟用户与本地用户有相同的权限;

virtual_use_local_privs=NO时,虚拟用户与匿名用户有相同的权限,默认是NO

b.各虚拟用户独立的配置文件(未验证)

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf

添加:user_config_dir=/etc/vsftpd/vftpuser_conf

#在配置文件中指定一个存放各虚拟用户独立配置文件的目录路径

编辑test1的配置文件:

[root@localhost ~]# vim /etc/vsftpd/vftpuser_conf/test1

可针对读//下载/上传等独立配置权限,如:

write_enable=YES #开放写权限

anon_world_readable_only=NO #开放下载权限

anon_upload_enable=YES #开放上传权限

anon_mkdir_write_enable=YES #开放创建目录权限

anon_other_write_enable=YES #开放删除与重命名权限

阅读(2897) | 评论(0) | 转发(0) |
0

上一篇:nginx平滑升级

下一篇:Zabbix部署-LNMP环境

给主人留下些什么吧!~~