RedHat Enterprise Linux 53建立vsftpd 服務(wù)器總結(jié)

1、RedHat Enterprise Linux 5.3建立vsftpd 服務(wù)器作者：李志兵一、Vsftp服務(wù)器概述Vsftp(Very Secure FTP)是一種在Unix/Linux中非常安全且快速穩(wěn)定的FTP服務(wù)器，目前已經(jīng)被許多大型站點(diǎn)所采用，如,,.等。Vsftpd的實(shí)現(xiàn)有三種方式：n 匿名用戶形式：在默認(rèn)安裝的情況下，系統(tǒng)只提供匿名用戶訪問；n 本地用戶形式：以/etc/passwd中的用戶名為認(rèn)證方式；n 虛擬用戶形式：支持將用戶名和口令保存在數(shù)據(jù)庫文件或數(shù)據(jù)庫服務(wù)器中。相對于FTP的本地用戶形式來說，虛擬用戶只是FTP服務(wù)器的專有

2、用戶，虛擬用戶只能訪問FTP服務(wù)器所提供的資源，這大大增強(qiáng)系統(tǒng)本身的安全性。相對于匿名用戶而言，虛擬用戶需要用戶名和密碼才能獲取FTP服務(wù)器中的文件，增加了對用戶和下載的可管理性。對于需要提供下載服務(wù)，但又不希望所有人都可以匿名下載；既需要對下載用戶進(jìn)行管理，又考慮到主機(jī)安全和管理方便的FTP站點(diǎn)來說，虛擬用戶是一種極好的解決方案。一、安裝vsftpd1.1確認(rèn)redhat enterprise linux 5.3是否安裝vsftpdRedhat Enterprise Linux5.3系統(tǒng)光盤自帶vsftpd-2.0.5，如果在安裝系統(tǒng)時，沒有安裝vsftpd，我們可以通過光盤里的rpm包。1

3、.2以rpm安裝vsftpd-2.0.5-10.el5.i386.rpm包1.3 vsftpd安裝后的文件位置vsftpd安裝后的配置文件和路徑說明如下：/etc/vsftpd/vsftpd.confvsftpd的主配置文件/usr/sbin/vsftpdvsftpd的主程序/etc/init.d/rc.d/vsftpdvsftpd的啟動腳本/etc/pam.d/vsftpdPAM認(rèn)證文件(此文件中file=/etc/vsftpd/ftpusers字段，指明阻止訪問的用戶來自/etc/vsftpd/ftpusers文件中的用戶)/etc/vsftpd/ftpusers禁止使用vsftpd的用戶

4、列表文件。記錄不允許訪問FTP服務(wù)器的用戶名單，管理員可以把一些對系統(tǒng)安全有威脅的用戶賬號記錄在此文件中，以免用戶從FTP登錄后獲得大于上傳下載操作的權(quán)利，而對系統(tǒng)造成損壞/etc/vsftpd/user_list禁止或允許使用vsftpd的用戶列表文件。這個文件中指定的用戶缺省情況（即在/etc/vsftpd/vsftpd.conf中設(shè)置userlist_deny=YES）下也不能訪問FTP服務(wù)器，在設(shè)置了userlist_deny=NO時,僅允許user_list中指定的用戶訪問FTP服務(wù)器。/var/ftp1)匿名用戶主目錄；2)本地用戶主目錄為：/home/用戶主目錄，即登錄后進(jìn)入自己

5、家目錄。/var/ftp/pub匿名用戶的下載目錄，此目錄需賦權(quán)根chmod 1777 pub（1為特殊權(quán)限，使上載后無法刪除）。1.4 vsftpd啟動與關(guān)閉啟動vsftpd服務(wù)或停止vsftpd服務(wù)或重新啟動vsftpd或查看vsftpd服務(wù)狀態(tài)rootlocalhost # /etc/init.d/vsftpd status或rootlocalhost # service vsftpd stauts設(shè)置vsftpd服務(wù)開機(jī)自動加載rootlocalhost # ntsysv或rootlocalhost # chkconfig level 35 vsftpd on 二、設(shè)置匿名用戶應(yīng)用匿名

6、用戶是名為anonymous或ftp的FTP用戶，匿名FTP用戶登錄后將FTP服務(wù)器中的/var/ftp作為FTP根目錄。匿名用戶通常用于提供公共文件的下載，如架設(shè)公共軟件下載的FTP服務(wù)器，所有人都可以使用匿名用戶進(jìn)行軟件下載。設(shè)置匿名用戶訪問、上傳和下載文件。默認(rèn)情況下，vsftpd安裝后，啟動vsftpd服務(wù)，匿名用戶ftp(或anonymous)就可以匿名瀏覽、下載文件。下面配置匿名用戶可以上傳文件。匿名用戶的主目錄是/var/ftp。/var/ftp/pub目錄是匿名用戶上傳、下載文件的目錄。2.1配置vsftpd.conf文件，設(shè)置匿名用戶上傳權(quán)限設(shè)置以下行，去掉前面的#號anon

7、ymous_enable=YESwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESxferlog_file=/var/log/vsftpd.logxferlog_std_format=YESlisten=YESpam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YES這樣，設(shè)置完后，匿名用戶登錄ftp后仍無法上傳。這是由于/var/ftp/pub目錄權(quán)限的問題。如下圖所示，提示“553 Could not

8、 create file”2.2設(shè)置匿名用戶目錄的權(quán)限r(nóng)ootlocalhost # chmod -R 777 /var/ftp/pub重新啟動vsftpd這樣，匿名用戶就可以上傳文件了。注意：1) Redhat Linux 5防火墻開放ftp；2）關(guān)閉SELinux安全策略修改/etc/selinux/config文件中的SELINUX="" 為 disabled ，然后重啟。/etc/selinux/config文件內(nèi)容如下：# SELINUX= can take one of these three values:# enforcing - SELinux secur

9、ity policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - SELinux is fully disabled.SELINUX=disabled如果不想重啟系統(tǒng)，使用命令setenforce 0setenforce 1 設(shè)置SELinux 成為enforcing模式setenforce 0 設(shè)置SELinux 成為permissive模式在lilo或者grub的啟動參數(shù)中增加：selinux=0,也可以關(guān)閉selinux。setsebool ftpd_disabl

10、e_trans 1三、設(shè)置本地用戶應(yīng)用本地用戶賬號是FTP服務(wù)器中的系統(tǒng)用戶賬號，使用FTP本地用戶賬號登錄FTP服務(wù)器后，登錄目錄為本地用戶的宿主目錄。本地FTP用戶賬號通常和Web服務(wù)器一起提供虛擬主機(jī)服務(wù)，作為網(wǎng)頁虛擬主機(jī)更新網(wǎng)頁的途徑。3.1創(chuàng)建本地用戶和目錄添加本地用戶test1及目錄/home/ftpdir1添加本地用戶test2及目錄/home/ftpdir23.2配置vsftpd.conf文件rootlocalhost # vi /etc/vsftpd/vsftpd.conf在上述匿名用戶配置的基礎(chǔ)上增加以下配置，去掉以下行的#號local_enable=YESlocal_um

11、ask=022chroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list：x保存退出。修改后的vsftpd.conf配置文件如下：anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022anon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESxferlog_enable=YESxferlog_file=/var/log/vsftpd.logxferlog_s

12、td_format=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listlisten=YESpam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YES如果不允許匿名用戶登錄匿名用戶的主目錄，我們可以設(shè)置anonymous相關(guān)項(xiàng)為NOanonymous_enable=NOanon_upload_enable=NOanon_mkdir_write_enable=NO配置文件中的解釋anonymous_enable=YES開啟匿名用戶登錄local_enable=Y

13、ES開啟本地用戶登錄write_enable=YES開啟寫權(quán)限以便上傳local_umask=022設(shè)置上傳后文件為user=rwx, group=, other= ，這樣，用戶上傳文件后，是不能刪除和修改了。因?yàn)橛脩魧儆趃roup組。解決方法是，設(shè)置local_umask=002。最終文件權(quán)限是777-文件夾掩碼-local_umask掩碼。anon_upload_enable=YES開啟匿名用戶上傳權(quán)限chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list設(shè)定chroot配置，禁止chroot_list文件中的用戶訪問

14、上一級目錄；userlist_enable=YES這個選項(xiàng)如果是YES，那/etc/vsftpd/user_list中的用戶將被禁止訪問ftp。如果是NO，則只有user_list里面的用戶才能訪問ftp。3.3創(chuàng)建chroot_list文件rootlocalhost # touch /etc/vsftpd/chroot_listrootlocalhost # vi /etc/vsftpd/chroot_list在chroot_list添加本地用戶test1,test2，注意一行一個。重新啟動vsftpd啟動成功后，test1，test2就可以訪問ftp服務(wù)了。例如：test1用戶登錄192.

15、168.1.11服務(wù)器，如下圖所示，在/home/ftpdir1目錄，創(chuàng)建aaa目錄，上傳test.txt文件。如果只允許本地用戶訪問ftp，而不允許登錄linux，我們按以下方式增加ftp用戶。例如，test3用戶只能訪問ftp的/home/ftpdir3目錄，而不能在linux登錄。rootlocalhost # useradd -d /home/ftpdir3 -s /sbin/nologin test3rootlocalhost # vi /etc/vsftpd/chroot_listrootlocalhost # service vsftpd restart四、設(shè)置虛擬用戶應(yīng)用虛擬用

16、戶賬號是為了保證FTP服務(wù)器的安全性，由vsftpd服務(wù)器提供的非系統(tǒng)用戶賬號。虛擬用戶FTP登錄后將把指定的目錄作為FTP根目錄。虛擬用戶與本地用戶具有類似的功能，由于虛擬用戶相對安全，因此正逐步替代本地用戶賬號。由于虛擬用戶賬號具有較高的安全性，可以替代本地用戶賬號使用，下面是vsftpd虛擬用戶賬號設(shè)置的幾個步驟：n 生成虛擬用戶口令庫文件n 配置生成Vsftpd的認(rèn)證文件n 建立虛擬用戶所要訪問的目錄并設(shè)置相應(yīng)的權(quán)限n 建立配置文件4.1創(chuàng)建虛擬用戶口令文件1生成虛擬用戶口令庫文件，為了建立口令庫文件，首先我們要在/etc/vsftpd/生成一個口令的logins.txt文本文件，如下

17、圖所示：或者 注意：logins.txt文件的奇數(shù)行為用戶名，偶數(shù)行為口令，即用戶jack的口令為jack123。2接下來我們使用db_load 命令生成口令庫文件。在此之前首先要確認(rèn)db4-utils-4.3.29-9.fc6.i386.rpm,db4-4.3.29-9.fc6.i386.rpm,兩個軟件包是被安裝的。如果沒有安裝，請先安裝這兩個軟件包。如下圖所示，使用rpm qa|grep db4確認(rèn)兩個軟件包是否被安裝。如果沒有安裝，從Redhat Enterprise Linux 5.3光盤的Server目錄安裝這兩個包。1）安裝db4-utils-4.3.29-9.fc6.i386.

18、rpm 2）安裝db4-4.3.29-9.fc6.i386.rpm3.執(zhí)行db_load命令，生成虛擬口令庫文件vsftpd_login.db文件，如下圖所示：4. 編輯生成虛擬用戶所需的PAM配置文件。 vi /etc/pam.d/vsftpd.vu文件，插入以下兩行4.2創(chuàng)建虛擬用戶訪問的目錄并設(shè)置權(quán)限建立vsftpd虛擬用戶所需的系統(tǒng)用戶帳號，賬號名為virtual，指定用戶的宿主目錄是/home/ftpvdir,設(shè)置宿主目錄的權(quán)限為700。這樣vsftpd服務(wù)器中的所有虛擬用戶賬號登錄后都將在/home/ftpvdir目錄中。4.3設(shè)置vsftpd.conf文件1編輯vsftpd.co

19、nf文件，增加虛擬用戶的配置項(xiàng)在對vsftpd.conf配置文件進(jìn)行修改之前，應(yīng)先將原有的文件進(jìn)行備份，以便出現(xiàn)配置錯誤時可進(jìn)行恢復(fù)。rootlocalhost /# cd /etc/vsftpdrootlocalhost vsfptd# cp vsftpd.conf vsftpd.conf.bak編輯/etc/vsftpd/vsftpd.conf文件，在vsftpd.conf配置文件中添加虛擬用戶的配置項(xiàng)，內(nèi)容如下：guest_enable=YES guest_username=virtualpam_service_name=vsftpd.vu2重新啟動vsftpd服務(wù)程序在對vsftpd.

20、conf配置文件進(jìn)行了任何修改后都需要重新啟動vsftpd服務(wù)，以便配置生效： 3測試vsftpd中的虛擬用戶賬號測試vsftpd中的虛擬用戶賬號jack，密碼jack123,在測試前可以先在/home/ftpsite目錄中建立測試文件，用于測試時進(jìn)行下載，并設(shè)置該文件的屬主和屬組為virtual.也可以用下面這個命令，生成test.txt測試文件。rootlocalhost vsfptd# #su virtual c “echo hello>/home/ftpvdirte/test.txt”使用ftp命令登錄vsftpd服務(wù)器，并使用已配置的虛擬用戶帳號jack，密碼jack123進(jìn)行

21、登錄,如下圖所示：在完成虛擬用戶的FTP登錄后，可使用get命令下載測試文件，測試文件會保存到用戶的當(dāng)前目錄中。4.虛擬配置成功后的vsftpd.conf文件的配置anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022anon_upload_enable=YESanon_mkdir_write_enable=YESdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_file=/var/log/vsftpd.logchroot_

22、list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listlisten=YESguest_enable=YESguest_username=virtualpam_service_name=vsftpd.vuuserlist_enable=YEStcp_wrappers=YES4.4對不同的虛擬用戶設(shè)置不同的權(quán)限vsftpd服務(wù)器中的虛擬用戶可以靈活的針對不同的用戶賬號設(shè)置不同的用戶權(quán)限，配置的步驟如下：1設(shè)置主配置文件在vsftpd.conf配置文件中添加user_config_dir配置項(xiàng)，并設(shè)置用戶配置文件的保存目錄。user_confi

23、g_dir=/etc/vsftpd_user_conf在上面的配置實(shí)例中，設(shè)置在/etc/vsftpd_user_conf目錄中保存虛擬用戶的配置文件。例如，在/etc/vsftpd.conf文件中，增加虛擬用戶的配置項(xiàng)：2建立用戶配置文件目錄使用mkdir命令建立虛擬用戶配置文件的保存目錄#mkdir  /etc/vsftpd_user_conf3.為虛擬用戶建立單獨(dú)的配置文件在/etc/vsftpd_user_conf/目錄中可以為每個虛擬用戶建立獨(dú)立的配置文件，配置文件名稱和用戶名相同。例如，為用戶jack建立配置文件jack ,并將anon_world_readable_on

24、ly設(shè)置為NO，表示用戶具有瀏覽和下載的權(quán)限。 為用戶tom建立配置文件tom，并設(shè)置該用戶具有瀏覽，下載，上傳，改名，刪除文件，建立和刪除的權(quán)限。 #cat  tomanon_world_readable_only=NO   -表示用戶可以瀏覽FTP目錄和下載文件anon_upload_enable=YES        -表示用戶可以上傳文件anon_mkdir_write_enable=YES   -表示用戶具有建立和刪除目錄的權(quán)利anon_other_write_en

25、able=YES   -表示用戶具有文件改名和刪除文件的權(quán)限通過對以上配置項(xiàng)的組合設(shè)置，vsftpd可以為每個虛擬用戶配置不同的FTP權(quán)限，用戶配置文件中沒有的配置項(xiàng)將按照vsftpd.conf配置文件中的內(nèi)容設(shè)置。五、vsftpd服務(wù)器的其它主要設(shè)置：5.1最大傳輸速率設(shè)置設(shè)置匿名用戶的最大傳輸率為20Kbps,修改/etc/vsftpd/vsftpd.conf添加語句：anon_max_rate=20000設(shè)置本地帳號最大傳輸率為1Mbps，修改/etc/vsftpd/vsftpd.conf添加語句：local_max_rate=10000005.2服務(wù)器最大并發(fā)數(shù)和用

26、戶最大線程數(shù)設(shè)置    例如設(shè)置服務(wù)器允許的最大并發(fā)數(shù)為99，而每個用戶同一時段的最大并發(fā)線程數(shù)為5，修改/etc/vsftpd/vsftpd.conf添加兩行語句：max_clients=99 和 max_per_ip=5.5.3修改默認(rèn)端口     默認(rèn)FTP服務(wù)器端口號是21，出于安全目的，有時需修改默認(rèn)端口號，修改/etc/vsftpd/vsftpd.conf,添加語句(例)：listen_port=4449 該語句指定了修改后FTP服務(wù)器的端口號，應(yīng)盡量大于4000，修改后訪問。    #ftp

27、 4449(需加上正確的端口號了，否則不能正常連接)5.4設(shè)置用戶組，增強(qiáng)FTP服務(wù)器安全性舉例：#mkdir p /home/try  遞歸創(chuàng)建新目錄#groupadd try        新建組#useradd g try d /home/try try1 新建用戶try1并指定家目錄和屬組#useradd g try d /home/try try2 新建用戶try2并指定家目錄和屬組#useradd g try d /home/try try3 新建用戶try3并指定家目錄和屬組

28、#passwd try1  為新用戶設(shè)密碼#passwd try2  為新用戶設(shè)密碼#passwd try3  為新用戶設(shè)密碼#chown try1 /home/try 設(shè)置目錄屬主為用戶try1#chown .try /home/try 設(shè)置目錄屬組為組try#chmod 750 /home/try  設(shè)置目錄訪問權(quán)限try1為讀，寫，執(zhí)行；try2，try3為讀，執(zhí)行由于本地用戶登錄FTP服務(wù)器后進(jìn)入自己主目錄，而try1,try2 try3對主目錄/home/try分配的權(quán)限不同，所以通過FTP訪問的權(quán)限也不同，try1訪問權(quán)限為：上傳，下載，建目

29、錄 ;try2ty3訪問權(quán)限為下載，瀏覽，不能建目錄和上傳。實(shí)現(xiàn)了群組中用戶不同訪問級別，加強(qiáng)了對FTP服務(wù)器的分級安全管理。5.5常見的vsftpd日志解決方案如下xferlog_enable=YES (表明FTP服務(wù)器記錄上傳下載的情況)xferlog_std_format=YES （表明將記錄的上傳下載情況寫在xferlog_file所指定的文件中，即xferlog_file選項(xiàng)指定的/var/log/xferlog文件中）xferlog_file=/var/log/xferlog dual_log_enable=YES （表明啟用了雙份日志，在用xferlog文件記錄服務(wù)器上傳下載情況

30、的同時，vsftpd_log_file所指定的文件，即/var/log/vsftpd.log也將用來記錄服務(wù)器的傳輸情況）vsftpd_log_file=/var/log/vsftpd.logvsftpdr的兩個日志文件分析如下：/var/log/xferlog 記錄內(nèi)容舉例Thu Sep 6 09:07:48 2007 7 4323279 /home/student/phpMyadmin-2.11.0-all-languages.tar.gz b i r student ftp 0 * c /var/log/vsftpd.log 記錄內(nèi)容舉例Tue Sep 11 1

31、4:59:03 2007 pid 3460    CONNECT: Client “”Tue Sep 11 14:59:24 2007 pid 3459 ftp OK LOGIN;Client “” ,anon password ”?”/var/log/xferlog日志文件中數(shù)據(jù)的分析和參數(shù)說明記錄數(shù)據(jù)參數(shù)名稱參數(shù)說明Thu Sep 6 09:07:48 2007當(dāng)前時間當(dāng)前服務(wù)器本地時間，格式為： DDD MMM dd hh:mm:ss YYY7傳輸時間傳送文件所用時間，單位為秒遠(yuǎn)程主機(jī)名稱/IP遠(yuǎn)程主機(jī)名稱/

32、IP4323279文件大小傳送文件的大小，單位為byte/home/student/phpMyadmin-2.11.0-all-languages.tar.gz文件名傳輸文件名，包括路徑b傳輸類型傳輸方式的類型，包括兩種：a以ASCII傳輸 b以二進(jìn)制文件傳輸特殊處理標(biāo)志特殊處理的標(biāo)志位，可能的值包括：_ 不做任何特殊處理C 文件是壓縮格式U 文件是非壓縮格式T 文件是tar格式i傳輸方向文件傳輸方向，包括兩種：o 從FTP服務(wù)器向客戶端傳輸i 從客戶端向FTP服務(wù)器傳輸r訪問模式用戶訪問模式，包括：a 匿名用戶g 來賓用戶r 真實(shí)用戶，即系統(tǒng)中的用戶student用戶名用戶名稱ftp服務(wù)名所

33、使用的服務(wù)名稱，一般為FTP0認(rèn)證方式認(rèn)證方式，包括：0 無1 RFC931認(rèn)證*認(rèn)證用戶id認(rèn)證用戶的id，如果使用*，則表示無法獲得該idc完成狀態(tài)傳輸?shù)臓顟B(tài)：c 表示傳輸已完成i 表示傳輸示完成5.6匿名FTP設(shè)置方法通常在登錄FTP服務(wù)器的用戶不確定的情況下，應(yīng)將FTP服務(wù)器設(shè)置為允許匿名賬號登錄的FTP服務(wù)器.1啟用匿名帳號  anonymous_enable=YES  local_enable=YES  write_enable=YES  listen=YES設(shè)置完成后，重啟vsftd.將允許匿名賬號和本地賬號登錄FTP服務(wù)器，同時允許匿名用

34、戶具有對FTP服務(wù)器文件的寫權(quán)限，并且只能下載文件而不能上傳，不允許匿名賬號創(chuàng)建文件夾，匿名用戶的口令為一個E-mail地址。2允許匿名賬號上傳文件anon_upload_enable=YESanon_mkdir_write_enable=YES將#去掉即可，重啟vsftpd.將允許匿名賬號上傳文件，也就是具有在FTP服務(wù)器的本地目錄中新建文件和文件夾的功能.3僅允許匿名用戶訪問#local_enable=YES#write_enable=YES在前面加上#，即限制本地賬號訪問，僅允許匿名用戶訪問.4禁止匿名訪問，允許本地賬號訪問anonymous_enable=NO  local_

35、enable=YES  write_enable=YES5常見FTP命令及其功能FTP命令功能FTP命令功能ls顯示服務(wù)器上的目錄ls remote-dirlocal-file顯示遠(yuǎn)程目錄remote-dir，并存入本地文件local-fileget remote-file local-file從服務(wù)器下載指定文件到客戶端 mget remote-files下載多個遠(yuǎn)程文件(mget命令允許用通配符下載多個文件)put local-file remote-file從客戶端上傳指定文件到服務(wù)器mput local-file將多個文件上傳至遠(yuǎn)程主機(jī)(mput命令允許用通配符上傳多個文件)

36、open連接FTP服務(wù)器mdelete remote-file刪除遠(yuǎn)程主機(jī)文件close中斷與遠(yuǎn)程服務(wù)器的ftp會話（與open對應(yīng)）mkdir dir-name在遠(yuǎn)程主機(jī)中創(chuàng)建目錄open hostport建立指定的ftp服務(wù)器連接，可指定連接端口newer file-name如果遠(yuǎn)程主機(jī)中file-name的修改時間比本地硬盤同名文件的時間更近，則重傳該文件cd directory改變服務(wù)器的工作目錄rename fromto更改遠(yuǎn)程主機(jī)的文件名lcd directory在客戶端上(本地)改變工作目錄pwd顯示遠(yuǎn)程主機(jī)的當(dāng)前工作目錄bye退出FTP命令狀態(tài)quit同bye,退出ftp會話ascii設(shè)置文件傳輸方式為ASCII模式reget remote-file local-file類似于get,但若local-file存在，則從上次傳輸中斷處續(xù)傳binary設(shè)置文件傳輸方式為二進(jìn)制模式rhelp cmd-name請求獲得遠(yuǎn)程主機(jī)的幫助!cmd args在本地