Vsftp的安装部署

Posted 2020-07-04

工作模式

  ftp有2种工作模式: 主动和被动

主动模式:
  1、客户端从大于1024端口到服务器的21端口
 2、服务器的21端口到客户端大于1024的端口
  3、FTP服务器的20端口到大于1024的端口    
  4、客户端大于1024端口到FTP服务器的20端口
被动模式:
 1. 客户端从任何大于1024的端口到服务器的21端口 
 2. 服务器的21端口到客户端任何大于1024的端口 
 3. 客户端从任何大于1024端口到服务器的大于1024端口  
 4. 服务器的大于1024端口到远程的大于1024的端口

登录方式

  vsftp允许三种用户登录:

    本地用户（系统中的用户）
    匿名用户（anonymous免密码登录）
    虚拟用户（基于本地用户）

  虚拟用户以本地用户为宿主（一般是不能登录系统的本地用户），仅仅用于登录vsftp，无法登陆系统；

  可以建立多个虚拟用户，设置各自的密码，并且根据其用途设置相应的配置，能适应多种情况。

 

• Vsftpd的安装

安装环境说明:

  Centos release 6.4 (Final): 2.6.32-358.el6.x86_64
  Vsftp 安装版本: vsftpd-2.2.2-14.el6_7.1.x86_64
  mysql Ver 14.14 Distrib 5.1.73

 

使用yum的方式安装vsftpd

yum install –y vsftpd

2、   一般默认的目录、文件说明

/etc/rc.d/init.d/vsftpd   # 启动脚本
/etc/vsftpd/vsftpd.conf  # 主配置文件
/etc/pam.d/vsftpd      #  PAM认证文件
/etc/vsftpd/ftpusers     # 禁止使用vsftpd用户列表文件
/etc/vsftpd/user_list     # 如vsftpd.conf的userlist_deny=NO则次文件为可以允许登录用户文件，反之不允许登录文件
/etc/vsftpd/chroot_list   # 不能离开主目录的用户列表
/var/ftp               # 匿名用户主目录
/var/ftp/pub        # 匿名用户的下载目录

3、   主配置文件 /etc/vsftpd/vsftpd.conf

anonymous_enable=NO      # 不允许匿名登录
local_enable=YES         # 设定本地用户可以访问。注：如使用虚拟宿主用户，在该项目设定为NO的情况下所有虚拟用户将无法访问
write_enable=YES         
local_umask=022          
anon_upload_enable=NO       # 禁止匿名用户上传
anon_mkdir_write_enable=NO  # 禁止匿名用户创建目录
dirmessage_enable=YES       # 进入目录时可以显示一些设定的信息，可以通过message_file=.message来设置
xferlog_enable=YES          # 开启日志
connect_from_port_20=YES    # 主动连接的端口号
xferlog_file=/var/log/vsftpd.log # 启用日志记录
xferlog_std_format=YES        # 日志格式
nopriv_user=vsftpd     # 启动用户
chown_uploads=NO       # 设定禁止上传文件更改宿主
ascii_upload_enable=YES       # 设定支持ASCII模式的上传和下载功能
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service  # 登陆欢迎语
chroot_local_enable=YES 
chroot_list_enable=YES   # 使用户不能离开主目录
chroot_list_file=/etc/vsftpd/chroot_list  # 不能离开主目录的用户列表
listen=YES               # 以standalone方式来启动
pam_service_name=vsftpd  # PAM认证文件名。PAM将根据/etc/pam.d/vsftpd进行认证
userlist_enable=YES      # 在/etc/vsftpd/user_list中的用户将不得使用FTP
tcp_wrappers=YES         # 支援 TCP Wrappers 的防火墙机制
# 以下内容是默认没有的，按需添加
### 开启虚拟用户
guest_enable=YES         # 启用虚拟用户功能
guest_username=ftp       # 将虚拟用户映射为本地ftp用户(指定虚拟用户的宿主用户)。Centos默认有ftp用户
virtual_use_local_privs=YES  # 虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vuser_conf  # 虚拟用户个人vsftpd的配置文件存放路径。注意：配置文件名必须和虚拟用户名相同 
### 开启PASV模式(被动模式)
pasv_enable=YES  
pasv_min_port=40000  # 最小端口号
pasv_max_port=40100  # 最大端口号
pasv_promiscuous=YES
### 会话限制(全局),同时可以在用户的权限文件里面设置
idle_session_timeout=600     # 用户会话空闲后10分钟
data_connection_timeout=120  # 将数据连接空闲2分钟断
max_clients=10               # 最大客户端连接数
max_per_ip=5                 # 每个ip最大连接数
local_max_rate=0             # 限制上传速率，0为无限制

 

二、 虚拟用户账号密码设置

  虚拟账号有2中保存方法，db4和MySQL数据库

  1、使用db4数据库保存ftp虚拟账号密码

yum install -y db4 db4-utils
a) 自定义创建用户密码文件 /etc/vsftpd/vuser_passwd.txt ，注意奇行是用户名，偶行是密码（一行是账号一行是密码
cat /etc/vsftpd/vuser_passwd.txt
   admin     # 账号
   123456  # 密码
b) 生成虚拟用户认证的db文件,将文本内的帐号及密码添加到db4的数据库文件内
db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt/etc/vsftpd/vuser_passwd.db
c) 编辑认证文件/etc/pam.d/vsftpd，全部注释掉原来语句，再增加以下两句：
 authrequired pam_userdb.so db=/etc/vsftpd/vuser_passwd
 account required pam_userdb.sodb=/etc/vsftpd/vuser_passwd
 anon_other_write_enable=YES  # 其他权限(删除，重命名)
 download_enable=YES

2、使用MySQL数据保存ftp虚拟账号密码

a）建立一个库并设置相应权限
# mysql –uroot -p
mysql>create database vsftp;
mysql>use vsftp;
mysql>create table users (id INT NOT NULL AUTO_INCREMENT PRIMARYKEY,name CHAR(20) NOT NULL UNIQUE KEY,password CHAR(48) NOT NULL);
mysql>insert into users (name,passwd) values (‘ admin ‘,‘123456‘);
mysql>insert into users (name,passwd) values (‘test‘,‘123456‘);
mysql>grant select on vsftp.users to [email protected] identifiedby ‘123456‘;
mysql>flush privileges;
mysql>quit
b）下载libpam-mysql进行安装编译
下载地址如下：
http://nchc.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz
tar xzvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1
./configure --with-openssl
make && make install
cp /lib/security/pam_mysql.* /lib64/security/
c）建立PAM认证信息
# cat /etc/pam.d/vsftpd ,原来的都注释掉，添加内容如下
auth required /lib64/security/pam_mysql.so user=vsftp passwd=123456host=localhost db=vsftp table=users usercolumn=name passwdcolumn=passwordcrypt=0
account required /lib64/security/pam_mysql.so user=vsftppasswd=123456 host=localhost db=vsftp table=users usercolumn=namepasswdcolumn=password crypt=0
# user,passwd 用户名密码对应上面的MySQL授权账号
# usercolumn   对应ftp用户
# passwdcolumn 对应ftp用户密码
# crypt=0: 明文密码
# crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt()，encrypt()随机产生salt)
# crypt=2: 使用MYSQL中的password()函数加密
# crypt=3：表示使用md5的散列方式

可以看出，和前面的用db库来验证没有多大区别，其实就是一个东西，一个用mysql来验证，一个用db库

/etc/init.d/vsftpd restart # 重启

 

三、虚拟用户权限文件设置

1、置文件vsftpd.conf中指定虚拟用户的权限目录

user_config_dir=/etc/vsftpd/vuser_conf

  2、创建虚拟用户配置文件

mkdir-pv /etc/vsftpd/vuser_conf
cat /etc/vsftpd/vuser_conf/admin  #文件名等于vuser_passwd.txt里面的账户名，否则下面设置无效
local_root=/data/ftp/www   # 虚拟用户根目录,根据实际情况修改
write_enable=YES          # 可写
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES  # 新建文件、目录

3、新建虚拟用户admin 权限文件

 

cat/etc/vsftpd/vuser_conf/admin
local_root=/data/ftp/zztm/admin  #虚拟用户根目录,根据实际情况修改
write_enable=YES        # 写权限（上传、下载、删除、重命名）
anon_world_readable_only=NO  # 下载权限（只能下载）。注意这个地方千万不能写成YES，否则用户将不能列出文件和目录
download_enable=YES       # 下载
upload_enable=YES       # 上传权限
anon_mkdir_write_enable=YES  # 创建文件权限
anon_other_write_enable=YES  # 删除和重命名文件
 
只能上传，新建文件，不能下载、修改、重命名文件的权限设置如下
 write_enable=YES
 anon_world_readable_only=NO
 anon_upload_enable=YES    # 上传
 anon_mkdir_write_enable=YES  # 新建文件
 anon_other_write_enable=NO
  download_enable=NO

 

iptables添加

-A INPUT -m state--state NEW -m tcp -p tcp --dport 21 -j ACCEPT

-A INPUT -m state--state NEW -m tcp -p tcp --dport 40000:40100 -j ACCEPT

 

# service iptables restart 重启iptables

# /etc/init.d/vsftpd start 启动ftp服务

# ps –ef| grep vsftp 查看进程是否启动

本文出自 “行 者--->” 博客，请务必保留此出处http://liumissyou.blog.51cto.com/4828343/1760565