本文详细介绍如何配置VSFTPD服务器以支持匿名上传、本地用户验证及虚拟用户认证。包括配置项解释、步骤指导及测试方法。
FTP连接方式
控制连接:标准端口为21,用于发送FTP命令信息
数据连接:标准端口为20,用于上传、下载数据
数据连接的建立类型:
主动模式:服务端从20端口主动向客户端发起连接
被动模式:服务端在指定范围内的某个端口被动等待客户端发起连接
FTP传输模式
文本模式:ASCII模式,以文本序列传输数据
二进制模式:Binary模式,以二进制序列传输数据
FTP用户的类型
匿名用户:anonymous或ftp
本地用户:
帐号名称、密码等信息保存在passwd、shadow文件中
虚拟用户:
使用独立的帐号/密码数据文件
常见的FTP服务器程序
IIS、Serv-U
wu-ftpd、Proftpd
vsftpd(Very Secure FTP Daemon)
主配置文件vsftpd.conf
常用的全局配置项
listen=YES:是否以独立运行的方式监听服务
listen_address=192.168.4.1:设置监听的IP地址
listen_port=21:设置监听FTP服务的端口号
write_enable=YES:是否启用写入权限
download_enable=YES:是否允许下载文件
userlist_enable=YES:是否启用user_list列表文件
userlist_deny=YES:是否禁用user_list中的用户
max_clients=0:限制并发客户端连接数
max_per_ip=0:限制同一IP地址的并发连接数
常用的匿名FTP配置项
anonymous_enable=YES:启用匿名访问
anon_umask=022:匿名用户所上传文件的权限掩码
anon_root=/var/ftp:匿名用户的FTP根目录
anon_upload_enable=YES:允许上传文件
anon_mkdir_write_enable=YES:允许创建目录
anon_other_write_enable=YES:开放其他写入权
anon_max_rate=0:限制最大传输速率,单位为字节
常用的本地用户FTP配置项
local_enable=YES:是否启用本地系统用户
local_umask=022:本地用户所上传文件的权限掩码
local_root=/var/ftp:设置本地用户的FTP根目录
chroot_local_user=YES:是否将用户禁锢在主目录
local_max_rate=0:限制最大传输速率(字节/秒)
构建可匿名上传的vsftpd服务器
调整上传目录的属主或权限
确保匿名用户ftp有权写入文件
chown ftp /var/ftp/pub
修改vsftpd.conf主配置文件
vi /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
write_enable=YES
anon_umask=022
anon_mkdir_write_enable=YES
....
启动vsftpd服务:
service vsftpd start
测试
构建本地用户验证的vsftpd服务器
修改vsftpd.conf配置文件
启用本地用户访问
并可以结合user_list文件灵活控制用户访问
vi /etc/vsftpd/vsftpd.conf
local_enable=YES
write_enable=YES
userlist_deny=yes
重新启动vsftpd服务:
service vsftpd restart
构建基于虚拟用户的vsftpd服务器
1.建立虚拟FTP用户的帐号数据库文件
建立虚拟用户的账户名、密码列表
#vi /etc/vsftpd/vusers.list
mike
123
john
456
# cd /etc/vsftpd/
# db_load -T -t hash -f vusers.list vusers.db
# file vusers.db
vusers.db: Berkeley DB (Hash, version 8, native byte-order)
# chown 600 /etc/vsftpd/vusers.*
建立虚拟用户的账户名,密码列表:奇数行为账号名,偶数行为上一行中账号的密码;
转化为Berkeley DB 格式的数据文件:db_load转化工具,需安装db4-utils-4.3.29-9.fc6.i386.rpm软件包
在使用 db_load 命令时,“-f”选项用于指定用户名/密码列表文件,“-T”选项允许非Berkeley DB的应用程序使用从文本格式转换的DB数据文件,“-t hash”选项指定读取数据文件的基本方法。关于db_load命令的详细说明可参阅/usr/share/doc/db4-utils-4.3.29/utility/db_load.html文件
将帐号文件的权限设置为600,可以有效提高安全性
2.创建FTP根目录及虚拟用户映射的系统用户
# mkdir /var/ftproo
# useradd -d /var/ftproot -s /sbin/nologin virtual
# chmod 755 /var/ftproot/
3.建立支持虚拟用户的PAM认证文件
# vi /etc/pam.d/vsftpd.vu
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers
4.在vsftpd.conf文件中添加支持配置
# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_umask=022
guest_enable=YES
guest_username=virtual
pam_service_name=vsftpd.vu
……
5.为个别虚拟用户建立独立的配置文件
在vsftpd.conf文件中添加用户配置目录支持
user_config_dir=/etc/vsftpd/vusers_dir
为用户mike、john建立独立的配置目录及文件
配置文件名与用户名同名
# mkdir /etc/vsftpd/vusers_dir/
# cd /etc/vsftpd/vusers_dir/
# touch mike
# vi john
anon_upload_enable=YES
anon_mkdir_write_enable=YES
6.重新加载vsftpd配置
service vsftpd reload
7.使用虚拟FTP账户访问测试
分别用mike、john用户登录FTP服务器进行下载、上传测试
mike用户可以登录,并可以浏览、下载文件,但无法上传
john用户可以登录,并可以浏览、下载文件,也可以上传
匿名用户或其他系统用户将不能登录
转载于:https://blog.51cto.com/myllinux2010/376832
扫一扫
6897
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
