说明:VSFTPD这款软件,网上和书里有很多配置文章,但不一定适用于您的主机,不同版本默认值不一样,我现在使用的是vsftpd-2.0.5-12.el5_3.1。
千万记住:修改配置文件后,必须重新启动服务!!!
登录FTP有三种方式,匿名登录、本地用户登录和虚拟用户登录。
匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。
本地用户登录:使用系统用户登录,在/etc/passwd中。
虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户登录FTP,只能访问FTP服务器提供的资源,大大增强了系统的安全。
1、允许匿名上传:
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
可见,几乎没有对默认值作任何改动,就是打开了anon_upload_enable=YES
这是成功的第一步,接下来,必须要注意:
在pub下新建一个目录mypub
chmod o+w mypub
注意,目录必须other可以w,尤其是必须有可写和可执行权限,否则进不到目录中,原因在于目录和文件的权限意义不同。这方面的内容请参考基础知识。
如不能上传,请将防火墙和SELinux关闭即可。
这样就能够匿名访问,并上传文件了,此外还能够创建文件夹。
2、允许匿名上传、下载:
加入:
anon_umask=022,
这样上传的文件才能是-rw-r--r-- ,而非-rw-------。这很重要。
于是就能下载-rw-r--r--属性的文件了。
但是,刚才有的-rw-------属性的文件怎么办呢?能不能改成-rw-r--r--呢?其实是可以的,只能靠主服务器用户更改了,尤其是root。在ftp里是改不了的。
但是不是什么都不能改,比如加入:
anon_other_write_enable=YES
现在用ftp对服务器上的文件进行删除、更名就可以了。
3、本地账号登录:
首先,禁用匿名登录,修改配置文件,注释掉所有的anon行。
#anonymous_enable=YES
#anon_world_readable_only=YES
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_umask=022
#anon_other_write_enable=YES
其次,准备开放指定用户
该步骤就是向系统说明那些用户可以登录,那些则不能登录。
/etc/vsftpd/ftpusers 是禁止登录的用户文件
/etc/vsftpd/user_list 是允许登录的用户文件
在/etc/vsftpd/vsftpd.conf配置文件中进行修改,
userlist_enable=NO
然后,创建jinzhi写入ftpuser创建keyi写入user_list,创建yiban,不用做任何事情,但它们当然要设置密码了。
重启vsftp服务。
此时,jinzhi不能登录,是到输入密码后拒绝的。使用keyi和一般用户yiban都能正常进入。
注意:这里面说个细节,如果服务已经在运行,修改配置文件后,只有restart才能重新读取新值,重新执行start是不能的。当然也可以先stop,再start,这是可以的,如果你不嫌麻烦的话。
接着进行如下设置:
userlist_enable=YES
userlist_deny=NO
这里,local_enable=YES必须打开,PAM方式要求。否则会出现both local and anonymous access disabled!错误。
这时用jinzhi和yiban都不能登录,甚至连输入密码的地方都到不了就拒绝了。用keyi就能正常登录。
附带的说一下,如果把这两项都禁止,
#userlist_enable=YES
#userlist_deny=NO
效果和userlist_enable=NO是一样的。也就是说上两个的默认值是也。
如果:
userlist_enable=NO
#userlist_deny=NO
jinzhi到了输入密码后被拒绝,keyi、yiban却能正常登录。
所以应该这样理解,ftpuser文件不论什么情况下都是不能登录用户的名单。
现在又设置成:
userlist_enable=YES
userlist_deny=YES
jinzhi和keyi都不能登录,jinzhi到输入密码被拒,keyi连密码都不能输入就被拒了。而yiban能够登录成功。
回想
userlist_enable=YES
userlist_deny=NO
这种配置时,jinzhi和yiban都没到输入密码就拒了,keyi能够正常访问。
可以看出,userlist_deny控制的是user_list中以及一般用户的访问限制,它是一个两项AB开关,选择关B,则A开,把A关上,则B开。如果否决user_list访问,也即userlist_deny=YES,keyi则不能登录,一般的开关打开。如果开放userlist_deny=NO,则keyi能访问,而yiban被拒。
userlist_enable=NO
userlist_deny=NO
这时jinzhi不能进入,keyi和yiban都能登录。
userlist_enable=NO
userlist_deny=YES
和上面一样,jinzhi不能进入,keyi和yiban都能登录。
可见,只要是userlist_enable=NO,deny的值是没用的。这时只要不是在ftpusers里的用户都能访问。把enable开成YES,则deny开关才有用,而且只有deny才是真正控制访问的开关了。
现在到了开始总结的时候了:
1、不论何时,ftpusers里的清单都是绝对不能访问的,它是vsftpd的第一道关,即便是你把ftpusers里的人名放到了可访问的user_list中也是不行的,因为他没有过ftpusers,和ftpusers最大,有冲突得听它的。
2、和ftpusers没有冲突的,就是说不在ftpusers里的人名,分为两种:一个是user_list,一个是系统里别的用户名。和ftpusers没有冲突的这个大项的开关是userlist_enable,设为NO,就是不考虑user_list文件,就是不考虑细分,就是同时开放这两种小类型,说明只要不在黑名单里的人都能访问。
3、如果你又想细分,则打开开关userlist_enable=YES,在这个前提下,用单极开关userlist_deny控制user_list名单启用与否,deny=YES,则禁止user_list名单而开放系统其他用户,deny=NO,则开放user_list名单,而禁止系统其他用户。
4、所以,userlist_enable是“细不细分开关”,而userlist_deny是“如何细分开关”
现在大家能明白了吧?
1、允许匿名上传:
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
可见,几乎没有对默认值作任何改动,就是打开了anon_upload_enable=YES
这是成功的第一步,接下来,必须要注意:
在pub下新建一个目录mypub
chmod o+w mypub
注意,目录必须other可以w,尤其是必须有可写和可执行权限,否则进不到目录中,原因在于目录和文件的权限意义不同。这方面的内容请参考基础知识。
如不能上传,请将防火墙和SELinux关闭即可。
这样就能够匿名访问,并上传文件了,此外还能够创建文件夹。
2、允许匿名上传、下载:
加入:
anon_umask=022,
这样上传的文件才能是-rw-r--r-- ,而非-rw-------。这很重要。
于是就能下载-rw-r--r--属性的文件了。
但是,刚才有的-rw-------属性的文件怎么办呢?能不能改成-rw-r--r--呢?其实是可以的,只能靠主服务器用户更改了,尤其是root。在ftp里是改不了的。
但是不是什么都不能改,比如加入:
anon_other_write_enable=YES
现在用ftp对服务器上的文件进行删除、更名就可以了。
3、本地账号登录:
首先,禁用匿名登录,修改配置文件,注释掉所有的anon行。
#anonymous_enable=YES
#anon_world_readable_only=YES
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_umask=022
#anon_other_write_enable=YES
其次,准备开放指定用户
该步骤就是向系统说明那些用户可以登录,那些则不能登录。
/etc/vsftpd/ftpusers 是禁止登录的用户文件
/etc/vsftpd/user_list 是允许登录的用户文件
在/etc/vsftpd/vsftpd.conf配置文件中进行修改,
userlist_enable=NO
然后,创建jinzhi写入ftpuser创建keyi写入user_list,创建yiban,不用做任何事情,但它们当然要设置密码了。
重启vsftp服务。
此时,jinzhi不能登录,是到输入密码后拒绝的。使用keyi和一般用户yiban都能正常进入。
注意:这里面说个细节,如果服务已经在运行,修改配置文件后,只有restart才能重新读取新值,重新执行start是不能的。当然也可以先stop,再start,这是可以的,如果你不嫌麻烦的话。
接着进行如下设置:
userlist_enable=YES
userlist_deny=NO
这里,local_enable=YES必须打开,PAM方式要求。否则会出现both local and anonymous access disabled!错误。
这时用jinzhi和yiban都不能登录,甚至连输入密码的地方都到不了就拒绝了。用keyi就能正常登录。
附带的说一下,如果把这两项都禁止,
#userlist_enable=YES
#userlist_deny=NO
效果和userlist_enable=NO是一样的。也就是说上两个的默认值是也。
如果:
userlist_enable=NO
#userlist_deny=NO
jinzhi到了输入密码后被拒绝,keyi、yiban却能正常登录。
所以应该这样理解,ftpuser文件不论什么情况下都是不能登录用户的名单。
现在又设置成:
userlist_enable=YES
userlist_deny=YES
jinzhi和keyi都不能登录,jinzhi到输入密码被拒,keyi连密码都不能输入就被拒了。而yiban能够登录成功。
回想
userlist_enable=YES
userlist_deny=NO
这种配置时,jinzhi和yiban都没到输入密码就拒了,keyi能够正常访问。
可以看出,userlist_deny控制的是user_list中以及一般用户的访问限制,它是一个两项AB开关,选择关B,则A开,把A关上,则B开。如果否决user_list访问,也即userlist_deny=YES,keyi则不能登录,一般的开关打开。如果开放userlist_deny=NO,则keyi能访问,而yiban被拒。
userlist_enable=NO
userlist_deny=NO
这时jinzhi不能进入,keyi和yiban都能登录。
userlist_enable=NO
userlist_deny=YES
和上面一样,jinzhi不能进入,keyi和yiban都能登录。
可见,只要是userlist_enable=NO,deny的值是没用的。这时只要不是在ftpusers里的用户都能访问。把enable开成YES,则deny开关才有用,而且只有deny才是真正控制访问的开关了。
现在到了开始总结的时候了:
1、不论何时,ftpusers里的清单都是绝对不能访问的,它是vsftpd的第一道关,即便是你把ftpusers里的人名放到了可访问的user_list中也是不行的,因为他没有过ftpusers,和ftpusers最大,有冲突得听它的。
2、和ftpusers没有冲突的,就是说不在ftpusers里的人名,分为两种:一个是user_list,一个是系统里别的用户名。和ftpusers没有冲突的这个大项的开关是userlist_enable,设为NO,就是不考虑user_list文件,就是不考虑细分,就是同时开放这两种小类型,说明只要不在黑名单里的人都能访问。
3、如果你又想细分,则打开开关userlist_enable=YES,在这个前提下,用单极开关userlist_deny控制user_list名单启用与否,deny=YES,则禁止user_list名单而开放系统其他用户,deny=NO,则开放user_list名单,而禁止系统其他用户。
4、所以,userlist_enable是“细不细分开关”,而userlist_deny是“如何细分开关”
现在大家能明白了吧?
此外,这时用户可以查看系统下的任意目录,非常不安全。怎么控制用户不能随意访问其它目录呢?
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
取消这两项前的#号,新建文件 vi /etc/vsftpd/chroot_list
写入两行,每行一个人名
keyi
yiban
保存,退出vi。重启服务,就可以了。
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
取消这两项前的#号,新建文件 vi /etc/vsftpd/chroot_list
写入两行,每行一个人名
keyi
yiban
保存,退出vi。重启服务,就可以了。
4、限制用户上传速度:
a、限制匿名上传:anon_max_rate=4000
b、限制本地帐号上传速度:local_max_rate=5000
4000和5000指4K和5k
c、针对不同用户设置不同速度:
编辑vsftp.conf增加 user_config_dir=/etc/vsftpd/userconf
再创建目录mkdir /etc/vsftpd/userconf
新建文件,并写入内容vi /etc/vsftpd/userconf/keyi
local_max_rate=30000
5、显示欢迎词
如果是单行很简短的话则很简单,在配置文件中设置ftpd_banner行即可
ftpd_banner=欢迎来到刘凯主机ftp
如果想显示多行,则加入
banner_file=/etc/vsftpd/banner_file,接着新建文件/etc/vsftpd/banner_file,写入你想说的话,重启服务即可,注意banner_file和ftpd_banner只显示其一,优先显示文件的。
我们可以在/var/ftp下的各个目录(包括/var/ftp)下建立.message文件,这样用户进入这个目录时vsftpd将显示.message的内容,你可以在这里面写上欢迎信息或者注意事项等等,让你的ftp更加个性化。
首先可以在公共目录/var/ftp/pub下建立一个.message文件,写入"你好",再将其拷贝至/home/keyi和/home/yiban下。将/home/yiban/.message改成“你不好”,于是当大家进入pub目录时提示“你好”,或当keyi进入自己目录时,提示“你好”,但yiban进入自己目录却提示“你不好”。
你想让谁登陆成功后在哪显示什么提示信息,就把.message文件放到什么目录下就OK了。
6、限定服务器的载荷量
首先是同一时刻总的联机数,使用max_clients设置,比如:max_clients = 1000,则当前最多处理1000个联机量。默认值为0,表示不限。
此外,有的人用个人PC大量恶意访问FTP服务器,使FTP服务器负载过重,这时使用max_per_ip选项就能解决。如设置max_per_ip = 1,则表示一个IP只能开一个访问。默认值为0,表示不限制,看来默认值是比较宽松的。
7、虚拟ftp用户设置
1. 添加虚拟用户口令文件vi /etc/vsftpd/login.txt
添加虚拟用户名和密码,一行用户名,一行密码,以此类推。奇数行为用户名,偶数行为密码。
laoda #用户名
11111 #密码
laoer #用户名
222222 #密码
2. 生成虚拟用户口令认证文件
将刚添加的login.txt虚拟用户口令文件转换成系统识别的口令认证文件。
默认没有安装db4-utils软件,用命令yum install db4-utils,安装完成后
cd /etc/vsftpd
使用db_load命令生成虚拟用户口令认证文件:
db_load -T -t hash -f login.txt login.db
3. 编辑vsftpd的PAM认证文件
在/etc/pam.d目录下,vi /etc/pam.d/vsftpd
将里面其他的都注释掉,添加下面这两行:
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/login
注意:它们中间的不是空格,都是一个tab。
4. 建立本地映射用户并设置宿主目录权限
所有的FTP虚拟用户需要使用一个系统用户,这个系统用户不需要密码。
useradd –d /home/vftpsite –s /sbin/nologin vftpuser
chmod 700 /home/vftpsite
5. 配置vsftpd.conf(设置虚拟用户配置项)
vi /etc/vsftpd/vsftpd.conf,增加:
guest_enable=YES #开启虚拟用户
guest_username=vftpuser #FTP虚拟用户对应的系统用户
pam_service_name=vsftpd #PAM认证文件
重启服务,就可以用虚拟用户登陆了。
8、使用quota为ftpuser加入磁盘限额,避免恶意垃圾数据塞满硬盘(略)
9、练习
练习一:
创建两个本地用户进行登录,zhangsan(123456)、lisi(654321,写入userlist中),进一步设定完成两种状态:zhangsan能登陆,lisi不行,限定zhangsan上传速度为3000;zhangsan和lisi都可以登录,限定lisi上传速度为4000。
练习二:
创建虚拟用户zhangsan(123456)、lisi(654321),使用虚拟用户进行登录,登录后显示提示:
“Attention
cognitive
concentrating
on one aspect of the environment”,设定每台电脑最多只能开2个访问,FTP主机同时最多处理100个并发访问。
9、练习
练习一:
创建两个本地用户进行登录,zhangsan(123456)、lisi(654321,写入userlist中),进一步设定完成两种状态:zhangsan能登陆,lisi不行,限定zhangsan上传速度为3000;zhangsan和lisi都可以登录,限定lisi上传速度为4000。
练习二:
创建虚拟用户zhangsan(123456)、lisi(654321),使用虚拟用户进行登录,登录后显示提示:
“Attention
cognitive
concentrating
on one aspect of the environment”,设定每台电脑最多只能开2个访问,FTP主机同时最多处理100个并发访问。