Linux下用vsftpd构建FTP服务器.docx
- 文档编号:9479584
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:52
- 大小:40.74KB
Linux下用vsftpd构建FTP服务器.docx
《Linux下用vsftpd构建FTP服务器.docx》由会员分享,可在线阅读,更多相关《Linux下用vsftpd构建FTP服务器.docx(52页珍藏版)》请在冰点文库上搜索。
Linux下用vsftpd构建FTP服务器
在Linux下如何使用vsftpd构建FTP服务器,构建后的FTP服务器有哪些特点?
本文将作详细介绍。
vsftpd是“verysecureFTPdaemon”的缩写,安全性是它的一个最大的特点。
vsftpd是一个UNIX类操作系统上运行的服务器的名字,它可以运行在诸如Linux、BSD、Solaris、HP-UNIX等系统上面,是一个完全免费的、开发源代码的ftp服务器软件,支持很多其他的FTP服务器所不支持的特征。
比如:
非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高等。
本文以RedHatLinux9.0为例介绍一下如何安装和配置vsftpd服务器。
安装服务器程序
程序下载地址:
ftp:
//vsftpd.beasts.org/users/cevans/,目前最新版本为2.0.3,源程序文件名为vsftpd-2.0.3.tar.gz。
1.安装之前的准备:
安装之前我们应该看看用户“nobody”和目录“/usr/share/empty”是否存在,如果不存在需要新建这个用户和目录。
[root@localhostroot]#useraddnobody
[root@localhostroot]#mkdir/usr/share/empty
如果要允许匿名访问,还需要创建ftp用户,并将其主目录设置为/var/ftp。
在RedHatLinux9.0中这些都已默认设置好了,只需要创建一个/var/ftp目录即可。
[root@localhostroot]#mkdir/var/ftp
为了安全,目录“/var/ftp”不应该属于用户“ftp”,也不应该有写权限。
在此,我们做如下设置:
[root@localhostroot]#chownroot.root/var/ftp
[root@localhostroot]#chmod755/var/ftp
2.开始安装:
以管理员身份登录Linux系统,将vsftpd-2.0.3.tar.gz复制到/root目录下。
[root@localhostroot]#tarxzvfvsftpd-2.0.3.tar.gz
[root@localhostroot]#cdvsftpd-2.0.3
[root@localhostvsftpd-2.0.3]#make
[root@localhostvsftpd-2.0.3]#makeinstall
3.安装后续工作
由于采用源代码方式安装,很多必要的配置文件没有复制到系统中,需要手动复制。
复制配置文件:
[root@localhostvsftpd-2.0.3]#cpvsftpd.conf/etc
复制pam验证文件:
(多数使用vsftpd的用户在用源代码安装后都会遇到这样的问题:
匿名用户可以登录,而本地用户无论怎样设置都无法登录,原因就在于vsftpd采用了PAM验证的方式,需要复制一个验证文件本地用户才能访问。
)
[root@localhostvsftpd-2.0.3]#cpRedHat/vsftpd.pam/etc/pam.d/ftp
vsftpd的配置
vsftpd服务器的配置文件为/etc/vsftpd.conf,其配置选项比较多,在此我只选择几个常用的配置选项介绍。
1.禁止匿名用户访问。
anonymous_enable=NO
2.允许本地用户登录并允许其上传文件。
local_enable=YES
write_enable=YES
要使上述选项生效,必须复制一个pam验证文件到/etc/pam.d,并改名为ftp。
当然也可以改为其他名称,但必须修改pam_service_name的值,默认为ftp。
3.将本地用户锁定在主目录中,不允许切换到上一级目录中。
chroot_local_user=YES
4.禁止某些用户通过ftp登录服务器。
如果设置了local_enable=YES,那么所有的用户包括root也能通过ftp登录服务器,出于安全考虑,需要对某些用户进行限制。
在vsftpd.conf中有三个选项控制:
userlist_deny=YES/NO
userlist_enalbe=YES
userlist_file=/etc/vsftpd.user_list
如果userlist_deny=YES,/etc/vsftpd.user_list中列出的用户名就不允许登录ftp服务器;如果userlist_deny=NO,/etc/vsftpd.user_list中列出的用户名允许登录ftp服务器。
我们只要在/etc目录下创建vsftpd.user_list文件,文件内容为允许登录或禁止登录的用户名,每个用户占一行。
5.禁止用户通过FTP修改文件或文件夹的权限。
chmod_enable=NO(默认值为YES)
6.设置本地用户上传的文件或文件夹的umask值。
local_umask=022(默认值为077)
umask的值设为022表示,上传的如果是文件将权限改为644,如果是文件夹将权限改为755。
在上传网页时,如果设置为077,就会出现用户没有权限(Permissiondenied)访问网页的问题,所以建议将umask的值设为022。
7.添加一个只能从ftp登录服务器,而不能从本地登录的用户。
以下创建一个用户ftpuser,不允许从本地登录,并创建该用户的密码。
[root@localhostroot]#useradd–gftp–s/sbin/nologinftpuser
[root@localhostroot]#passwdftpuser
Changingpasswordforuserftpuser.
Newpassword:
Retypenewpassword:
passwd:
allauthenticationtokensupdatedsuccessfully.
8.让vsftp服务器限制总的连接数以及每个IP最大的连接数。
#最多同时允许100个客户连接
max_clients=100
#每个ip地址最多允许开3个线程
max_per_ip=3
vsftpd的配置文件中有很多选项,但个人认为,如果是架设一个简单的ftp服务器,以上选项就足够了。
//------------------------------------------------------------------
vsftp配置大全---超完整版
作者:
haixiaoouyang输出PDF打印E-mail
2006-02-10
环境:
RedHatAS4
说明:
如果不做说明,一般安装命令均使用ROOT权限,用#表示
特别说明:
无
以下文章介绍Liunx环境下vsftpd的三种实现方法
一、软件
ftp:
//vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz,目前已经到2.0.3版本。
假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录
二、代码:
#cd/home/xuchen
#tarxzvfvsftpd-2.0.3.tar.gz//解压缩程序
#cdvsftpd-2.0.3
三、三种方式的实现
1、匿名用户形式实现
#vibuilddefs.h\\\\编辑builddefs.h文件,文件内容如下:
#ifndefVSF_BUILDDEFS_H
#defineVSF_BUILDDEFS_H
#undefVSF_BUILD_TCPWRAPPERS
#defineVSF_BUILD_PAM
#undefVSF_BUILD_SSL
#endif/*VSF_BUILDDEFS_H*/
将以上undef的都改为define,支持tcp_wrappers,支持PAM认证方式,支持SSL
#make//直接在vsftpd-2.0.3里用make编译
#ls-lvsftpd
-rwxr-xr-x1rootroot86088Jun612:
29vsftpd//可执行程序已被编译成功
创建必要的帐号,目录:
#useraddnobody//可能你的系统已经存在此帐号,那就不用建立
#mkdir/usr/share/empty//可能你的系统已经存在此目录,那就不用建立
#mkdir/var/ftp//可能你的系统已经存在此目录,那就不用建立
#useradd-d/var/ftpftp//可能你的系统已经存在此帐号,那就不用建立
#chownroot:
root/var/ftp
#chmodog-w/var/ftp
请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
安装vsftp配置文件,可执行程序,man等:
#install-m755vsftpd/usr/local/sbin/vsftpd-ano
#install-m644vsftpd.8/usr/share/man/man8
#install-m644vsftpd.conf.5/usr/share/man/man5
#install-m644vsftpd.conf/etc/vsftpd-ano.conf
这样就安装完成了,那么我们开始进行简单的配置
#vi/etc/vsftpd-ano.conf,将如下三行加入文件
listen=YES
listen_port=21
tcp_wrappers=YES
anon_root=/var/ftp//设置匿名用户本地目录,和ftp用户目录必须相同
listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制它(vsftpd推荐使用standalone方式)
#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&//以后台方式启动vsftpd
注意:
每行的值都不要有空格,否则启动时会出现错误,举个例子,假如我在listen=YES后多了个空格,那我启动时就出现如下错误:
500OOPS:
badboolvalueinconfigfilefor:
listen
测试搭建好的匿名用户方式
#ftp127.0.0.1
Connectedto127.0.0.1.
220(vsFTPd2.0.3)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(127.0.0.1:
root):
ftp
331Pleasespecifythepassword.
Password:
230Loginsuccessful.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>pwd
257\"/\"
ftp>quit
221Goodbye.
#
OK,已经完成了,verynice.
高级配置
细心的朋友可能已经看出来我们只在默认配置文件增加了四行,就实现了FTP连接(也证明了vsftpd的易用性),那么让我们传个文件吧,呀!
!
传输失败了(见图1)
为什么呢?
因为vsftpd是为了安全需要,/var/ftp目录不能把所有的权限打开,所以我们这时要建一个目录pub,当然也还是需要继续修改配置文件的。
#mkdir/var/ftp/pub
#chmod-R777/var/ftp/pub
为了测试方便,我们先建立一个名为kill-ano的脚本,是为了杀掉FTP程序的
#!
/bin/bash
a=`/bin/ps-A|grepvsftpd-ano|awk\'{print$1}\'`
kill-9$a
那么现在大家看看我的匿名服务器配置文件吧
anonymous_enable=YES//允许匿名访问,这是匿名服务器必须的
write_enable=YES//全局配置可写
no_anon_password=YES//匿名用户login时不询问口令
anon_umask=077//匿名用户上传的文件权限是-rw----
anon_upload_enable=YES//允许匿名用户上传文件
anon_mkdir_write_enable=YES//允许匿名用户建立目录
anon_other_write_enable=YES//允许匿名用户具有建立目录,上传之外的权限,如重命名,删除
dirmessage_enable=YES//当使用者转换目录,则会显示该目录下的.message信息
xferlog_enable=YES//记录使用者所有上传下载信息
xferlog_file=/var/log/vsftpd.log//将上传下载信息记录到/var/log/vsftpd.log中
xferlog_std_format=YES//日志使用标准xferlog格式
idle_session_timeout=600//客户端超过600S没有动作就自动被服务器踢出
data_connection_timeout=120//数据传输时超过120S没有动作被服务器踢出
chown_uploads=YES
chown_username=daemon//上传文件的属主
ftpd_banner=Welcometod-FTPservice.//FTP欢迎信息
anon_max_rate=80000//这是匿名用户的下载速度为80KBytes/s
check_shell=NO//不检测SHELL
现在再测试,先kill掉再启动FTP程序
#./kill-ano
#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&
上传一个文件测试一下,怎么样?
OK了吧,下载刚上传的那个文件,恩?
不行,提示
550Failedtoopenfile.
传输已失败!
传输队列已完成
1个文件传输失败
没有关系,你记得咱们设置了anon_umask=077了吗?
所以你下载不了,如果你到服务器上touch一个文件(644),测试一下,是可以被下载下来的,好了,匿名服务器就说到这里了。
2、本地用户形式实现
#cd/home/xuchen/vsftpd-2.0.3//进入vsftpd-2.0.3的源代码目录
#makeclean//清除编译环境
#vibuilddefs.h\\\\继续编辑builddefs.h文件,文件内容如下:
#ifndefVSF_BUILDDEFS_H
#defineVSF_BUILDDEFS_H
#defineVSF_BUILD_TCPWRAPPERS
#defineVSF_BUILD_PAM
#defineVSF_BUILD_SSL
#endif/*VSF_BUILDDEFS_H*/
将以上defineVSF_BUILD_PAM行的define改为undef,支持tcp_wrappers,不支持PAM认证方式,支持SSL,记住啊,如果支持了PAM认证方式,你本地用户是不能登陆的。
#make//直接在vsftpd-2.0.3里用make编译
#ls-lvsftpd
-rwxr-xr-x1rootroot84712Jun618:
56vsftpd//可执行程序已被编译成功
创建必要的帐号,目录:
#useraddnobody//可能你的系统已经存在此帐号,那就不用建立
#mkdir/usr/share/empty//可能你的系统已经存在此目录,那就不用建立
#mkdir/var/ftp//可能你的系统已经存在此目录,那就不用建立
#useradd-d/var/ftpftp//可能你的系统已经存在此帐号,那就不用建立
#chownroot:
root/var/ftp
#chmodog-w/var/ftp
请记住,如果你不想让用户在本地登陆,那么你需要把他的登陆SHELL设置成/sbin/nologin,比如以上的nobody和ftp我就设置成/sbin/nologin
安装vsftp配置文件,可执行程序,man等:
#install-m755vsftpd/usr/local/sbin/vsftpd-loc
#install-m644vsftpd.8/usr/share/man/man8
#install-m644vsftpd.conf.5/usr/share/man/man5
#install-m644vsftpd.conf/etc/vsftpd-loc.conf
这样就安装完成了,那么我们开始进行简单的配置
#vi/etc/vsftpd-loc.conf,将如下三行加入文件
listen=YES
listen_port=21
tcp_wrappers=YES//支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES的意思是使用standalone启动vsftpd,而不是superdaemon(xinetd)控制它(vsftpd推荐使用standalone方式),注意事项请参看匿名用户的配置。
anonymous_enable=NO
local_enable=YES//这两项配置说不允许匿名用户登陆,允许本地用户登陆
#/usr/local/sbin/vsftpd-loc/etc/vsftpd-loc.conf&//以后台方式启动vsftpd
测试搭建好的匿名用户方式,先测试root用户吧:
)
#ftp127.0.0.1
Connectedto127.0.0.1.
220(vsFTPd2.0.3)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(127.0.0.1:
root):
root
331Pleasespecifythepassword.
Password:
230Loginsuccessful.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>pwd
257\"/root\"
ftp>quit
221Goodbye.
我们看到root用户可以登陆到ftp,他的登陆目录就是自己的主目录。
再测试一个系统用户,那我们先建立一个用户名叫xuchen的
#useraddxuchen
#passwdxuchen
Changingpasswordforuserxuchen.
NewUNIXpassword:
RetypenewUNIXpassword:
passwd:
allauthenticationtokensupdatedsuccessfully.
建立好了,让我们开始测试吧!
!
#ftp127.0.0.1
Connectedto127.0.0.1.
220(vsFTPd2.0.3)
530PleaseloginwithUSERandPASS.
530PleaseloginwithUSERandPASS.
KERBEROS_V4rejectedasanauthenticationtype
Name(127.0.0.1:
root):
xuchen
331Pleasespecifythepassword.
Password:
230Loginsuccessful.
RemotesystemtypeisUNIX.
Usingbinarymodetotransferfiles.
ftp>pwd
257\"/home/xuchen\"
ftp>quit
221Goodbye.
我们看到xuchen用户可以登陆到ftp,他的登陆目录也是自己的主目录。
哈哈,又完成了!
高级配置
细心的朋友可能已经看出来如果我们不支持PAM认证方式,那么本地用户就可以登陆,而默认编译的vsftpd支持PAM认证方式,所以是不支持本地用户登陆的。
恩,从这点说,这也是vsftp安全的一个表现----禁止本地用户登陆。
我们登陆后进行测试,传一个文件上去,得,失败了,那下载个文件下来吧,恩,这是成功的(见图2),而且我们发现我们可以进入到系统根目录(见图3),这样很危险。
那么改配置文件吧,为了测试方便,我们先建立一个名为kill-loc的脚本,也是为了杀掉FTP程序的
#!
/bin/bash
a=`/bin/ps-A|grepvsftpd-loc|awk\'{print$1}\'`
kill-9$a
现在提供我的本地用户验证服务器配置文件吧(在匿名里写过的注释我就不在这里写了)
listen=YES
listen_port=21
tcp_wrappers=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022//本地用户文件上传后的权限是-rw-r-r
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
connect_from_port_20=YES
chroot_local_user=YES//限制用户在自己的主目录
#local_root=/ftp//你可以指定所有本地用户登陆后的目录,如果不设置此项,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux vsftpd 构建 FTP 服务器