Linux 之CentOS7-VSFTP搭建

Posted 2021-01-26 iceblues

• 环境 

1、俩台Linux 虚拟机 Ser 和 Cli

• 安装

[[email protected] ~]# rpm -ivh /mnt/Packages/vsftpd-3.0.2-10.el7.x86_64.rpm   //Ser 上安装

[[email protected] ~]# yum install -y lftp                                     //Cli 上安装Client 端

• 配置

/etc/vsftpd/vsftpd.conf                //主配置文件

/etc/vsftpd/ftpusers                   //黑名单

/etc/vsftpd/user_list                  //白名单

/etc/vsftpd/vsftpd_conf_migrate.sh     //变量和脚本

/var/ftp                               //默认虚拟用户的根目录

[[email protected] ~]# systemctl start vsftpd       //启动服务

[[email protected] ~]# systemctl enable vsftpd      //设置开机自启动

[[email protected] ~]# netstat -antup | grep ftp    //查看FTP端口

[[email protected] ~]# netstat -tlunp | grep 53     //查看端口

[[email protected] ~]# vim /etc/services            // services 文件 ，查看服务端口

[[email protected] ~]# systemctl stop iptables      //关闭 iptables

[[email protected] ~]# chkconfig iptables off       //iptables 开机不启动

[[email protected] ~]# getenforce                   // 临时关闭selinux

[[email protected] ~]# vim /etc/sysconfig/selinux           

           SELINUX=enforcing 改为 SELINUX=disabled  重启reboot       //永久关闭selinux

1、客户端使用

[[email protected] ~]# rpm -ivh /mnt/Packages/lftp-4.4.8-7.el7.x86_64.rpm     //安装客户端

[[email protected] ~]# lftp 192.168.1.10                        //登陆 FTP 服务器

ftp://192.168.1.10/                                   //windows登陆FTP

2、修改配置文件

[[email protected] ~]# cd /etc/vsftpd/  

[[email protected] vsftpd]# cp vsftpd.conf{,.bak}        //使用命令展开式，FTP配置文件备份

[[email protected] vsftpd]# vim /etc/vsftpd/vsftpd.conf  //编辑配置文件

3、允许匿名访问实例

anonymous_enable=YES                //开启允许匿名访问

anon_upload_enable=YES              //开启允许匿名上传

anon_mkdir_write_enable=YES         //开启允许匿名建立文件夹

anon_other_write_enable=YES         //开启允许匿名其他用户写权限（慎用）

[[email protected] vsftpd]# systemctl restart vsftpd       //服务重启配置生效

[[email protected] vsftpd]# chown ftp.ftp /var/ftp/pub/    //修改FTP共享目录的属主属组为 ftp

[[email protected] vsftpd]# chmod 755 /var/ftp/pub/        //默认权限不建议改变

4、用户名密码方式访问FTP

[[email protected] ~]# useradd -s /sbin/nologin edit_A          //编辑用户A禁止登陆系统

[[email protected] ~]# useradd -s /sbin/nologin edit_B          //编辑用户B禁止登陆系统

[[email protected] ~]# echo "123456" | passwd --stdin edit_A    //设置edit_A的密码

[[email protected] ~]# echo "123456" | passwd --stdin edit_B    //设置edit_B的密码

[[email protected] ~]# vim /etc/vsftpd/vsftpd.conf              //编辑配置文件

anonymous_enable=NO                                   //关闭匿名访问

local_enable=YES                                      //允许本地用户登陆

101 local_root=/var/www/html                     //设置FTP的根目录
102 chroot_list_enable=YES                       //开启chroot
103 # (default follows)
104 chroot_list_file=/etc/vsftpd/chroot_list     //设置被锁定用户的列表文件
105 allow_writeable_chroot=YES                   //允许锁定用户有写权限

[[email protected] ~]# touch /etc/vsftpd/chroot_list       //创建锁定用户列表文件

[[email protected] ~]# vim /etc/vsftpd/chroot_list         //编辑并加入用户列表

[[email protected] ~]# ll -d /var/www/html/                //长格式查看目录本身权限（-d表示目录）

[[email protected] ~]# chmod -R o+w /var/www/html/         //-R递归  赋予o（其他用户）+w（写）权限

? 附加ssl加密传输

[[email protected] ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3560             

//------------------------------------------------------------- 

OpenSSL 简单参数解释:

req  #是 X.509 Certificate Signing Request （CSR，证书签名请求）管理的一个命令。

x509 #X.509 证书数据管理。

days #定义证书的有效日期。

newkey #指定证书密钥处理器。

keyout #设置密钥存储文件。

out #设置证书存储文件，注意证书和密钥都保存在一个相同的文件

---------------------------------------------------------------//

[[email protected] ~]# mkdir /etc/vsftpd/.sslkey            //创建隐藏目录存放证书文件

[[email protected] ~]# mv vsftpd.pem /etc/vsftpd/.sslkey    //移动证书文件到.sslkey目录下

[[email protected] ~]# chmod 400 /etc/vsftpd/.sslkey/vsftpd.pem    //赋予证书文件400权限

[[email protected] ~]# vim /etc/vsftpd/vsftpd.conf   

//加入下列

118 # config ssl
119 ssl_enable=YES  -------------//启用
120 allow_anon_ssl=NO  ----------//允许匿名访问ssl=NO
121 force_local_data_ssl=YES  
122 force_local_logins_ssl=YES
123 force_anon_logins_ssl=YES
124 force_anon_data_ssl=YES

//上面四行force 表示强制匿名用户使用加密登陆和数据传输
125 ssl_tlsv1=YES
126 ssl_sslv2=YES
127 ssl_sslv3=YES
128 require_ssl_reuse=NO   //不重用SSL会话，安全配置项
129 ssl_ciphers=HIGH       //允许用于加密 SSL 连接的 SSL 算法
130 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
131 rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem

                           //定义 SSL 证书和密钥文件的位置

注意：上面的配置项不要添加到vsftpd.conf 文件最后,否则启动报错。

[[email protected] ~]# systemctl restart vsftpd           //重启 vsftp

• 测试

登陆测试：

1、[[email protected] ~]# lftp 192.168.1.10 -u edit_A     //登陆FTP

2、配置FileZilla客户端验证    https://filezilla-project.org/download.php?type=client

结束