如何借助vsftpd在Linux上构建安全的FTP服务 如何借助vsftpd在Linux上构建安全的FTP服务
\u5982\u4f55\u501f\u52a9vsftpd\u5728Linux\u4e0a\u6784\u5efa\u5b89\u5168\u7684FTP\u670d\u52a11.\u5148\u6302\u88c5\u5149\u76d8 mount /dev/cdrom /media
2.\u7136\u540e\u5207\u6362\u5230media\u76ee\u5f55\u4e0b cd /media/Server
3.\u5b89\u88c5 vsftpd \u8f6f\u4ef6 rpm -ivh vsftpd*.rpm
4.\u5b89\u88c5\u5b8c\u4ee5\u540e\u901a\u8fc7\u914d\u7f6e /etc/vsftpd/vsftpd.conf \u6587\u4ef6\u6765\u51b3\u5b9aftp\u662f\u533f\u540d\u7684\u8fd8\u662f\u672c\u5730\u7684
vsftpd\u542f\u7528root\u8d26\u6237
yum -y install vsftpd
sed -i 's/root/#root/' /etc/vsftpd/ftpusers
sed -i 's/root/#root/' /etc/vsftpd/user_list
/etc/init.d/vsftpd restart
vsftpd 守护程序的安装相当简单,在每个主要发行版中都可以找到vsftpd的RPM包,很多情况下,它已经被装上了。如果没有的话,源代码可以在网站http://vsftpd.beasts.org/上找到,下载后执行手工安装。目前最新的版本为:vsftpd2.0.3。
得到源代码并解开tar包后,进入新建的目录,并运行make。下面是进行手工安装的示例:
# tar xzvf vsftpd-2.0.3.tar.gz
# cd vsftpd-2.0.3
# make
这之前我们应该看看用户“nobody”和目录“/usr/share/empty”是否存在,如果需要的话我们就新建这一对用户和目录。如果我们允许用户匿名访问,用户“ftp”和目录“var/ftp”也需要创建。使用如下两个命令完成:
# mkdir /var/ftp
# useradd -d /var/ftp ftp
由于安全原因,目录 “/var/ftp” 不应该属于用户 “ftp”,也不应该有写权限。如果用户已经存在的话,用下面的两个命令,我们可以改变目录的所有者并去掉其他用户的写权限:
# chown root.root /var/ftp
# chmod og-w /var/ftp
达到了所有的先决条件后,我们可以安装 vsftp-daemon 了。
# make install
这样,就完成了vsftpd的安装,当然,这个安装过程比较复杂,在我们现在使用的Linux系统当中,很多都是使用RPM包来安装的,这样简单快捷,下面介绍如何通过使用RPM包来安装vsftpd。
在RedHat Linux9中自带了vsftpd,下面是安装的步骤:
1. 首先查看是否安装了vsftpd,如果已经安装,则可以直接使用。
# rpm - q|grep vsftpd
2. 没有安装的话,将下载来的vsftpd-1.1.3-8.i386.rpm的RPM包进行安装。
# rpm - vh vsftpd-1.1.3-8.i386.rpm
通过以上两步,就能顺利地完成安装过程。
配置文件介绍
配置文件的路径为 /etc/vsftpd.conf。和Linux系统中的大多数配置文件一样,vsftpd的配置文件中以#开始注释,下面对配置文件的重要内容选项进行详细的介绍,合理的使用配置文件是保证FTP安全传输的前提。
查看配置文件:
#vi /etc/vsftpd.conf
设置是否允许匿名访问:
# Anonymus FTP-access permitted? YES/NO
anonymous_enable=NO
设置是否允许匿名上传文件:
# Permit anonymus upload? YES/NO
anon_upload_enable=NO
设置是否运允许匿名建立目录:
# Permission for anonymus users to make new directories? YES/NO
anon_mkdir_write_enable=NO
设置是否允许匿名用户进行删除或者改名等操作:
# Permission for anonymus users to do other write operations - like renaming or deleting? YES/NO
anon_other_write_enable=NO
设置是否允许本地用户登录:
# Log on by local users permitted? YES/NO
local_enable=YES
设置是否将本地用户锁定在主目录:
# Shall local users be locked into their home directory? YES/NO
chroot_local_user=YES
设置最高传输速度:
# Highest permitted data transfer rate in bytes per second for local logged on users. Default = 0 (unlimited)
local_max_rate=7200
设置是否允许通常的写操作:
# General write permission? YES/NO
write_enable=YES
设置是否在改变目录后发送消息:
# Enable messages when changing directories? YES/NO
dirmessage_enable=YES
设置服务器向登录客户端发送的欢迎信息:
# Welcome banner at users logon.
ftpd_banner="Welcome to neo5k's FTP service."
设置是否激活日志功能:
# Activate logging? YES/NO
xferlog_enable=YES
设置是否对所有的FTP操作作日志,如果设置是,则可能产生巨大的数据:
# Logging of all FTP activities? YES/NO
# Careful! This can generate large quantities of data.
log_ftp_protocol=NO
设置是否只允许在端口20建立连接:
# Confirm connections are established on port 20 (ftp data) only. YES/NO
connect_from_port_20=YES
设置无任何操作的超时时间:
# Timeout during idle sessions
idle_session_timeout=600
设置数据连接的超时时间:
# Data connection timeout
data_connection_timeout=120
设置访问所使用的PAM:
# Access through Pluggable Authentication Modules (PAM)
pam_service_name=vsftpd
设置工作模式是否为独立模式:
# Standalone operation? YES/NO - depending on operation mode (inetd, xinetd, Standalone)
# The author's FTP service is being startet with xinetd, therefore the value here is NO.
listen=YES
设置是否使用tcp_wrappers作为主机访问控制方式:
tcp_wrappers =YES
启动 FTP 服务
启动vsftpd可以采用三种方式:inetd、xinetd和standalone(独立)工作模式。由于目前使用的xinetd扩展了inetd,它比inetd更加高效和实用,包括诸如请求记录、访问控制、将业务与网络接口绑定等改进,所以通常使用xinetd,本文将介绍xinetd以及standalone两种启动方式。
1. xinetd方式启动
使用该启动方式,在上述的配置文件当中,应该将listen=YES设为list=NO,并且将tcp_wrappers=YES设为tcp_wrappers=NO,并且使用如下命令将vsftpd的文档目录拷贝到/etc/xinetd.d目录下:
# cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd
# vi /etc/xinetd.d/vsftpd
将disable=yes设为disable=no即可。一个关于该启动方式的的配置文件如下所示:
# cat /etc/xinetd.d/vsftpd
# default: on
# description: The vsftpd FTP server serves FTP connections. It uses
# normal, unencrypted usernames and passwords for authentication.
service ftp
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
nice = 10
disable = no
flags = IPv4
}
现在,就可以使用如下命令来启动vsftpd了。
停止独立运行的vsftpd:
# service vsftpd stop
重新启动xinetd守护进程:
# service xinetd restart
另外一点需要说明的是:如果想在系统启动时就自动运行该服务,那么需要使用setup命令,在网络服务配置的项目中,选中vsftpd守护进程即可。
2. 独立工作模式启动
vsftpd也可以工作在独立工作模式下。这样,我们需要再次打开“/etc/vsftpd.conf”做如下修改:
# Shall the vsftp daemon run in standalone operation? YES/NO
listen=YES
在这项设置之后,守护进程可以用如下方式启动:
# service vsftpd start
同样地,在独立工作模式下,我们必须保证vsftpd没有被xinetd启动,这个可以使用如下命令来进行检查:
# pstree|grep vsftpd
测试运行
在成功地安装和配置之后,我们将对该FTP服务器进行简单的测试运行,示例如下:
# ftp liyang
Connected to liyang.
220 (vsFTPd 1.1.3)
Name (liyang:root): anonymous
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls -l
229 Entering Extended Passive Mode
150 Here comes the directory listing
drwxr-xr-x 20 500 100 400 Jun 04 16:14 mp3
drwxr-xr-x 3 500 100 464 Feb 09 21:28 test
drwxr-xr-x 57 500 100 5143 Jun 15 19:23 working
226 Directory send OK.
上述过程测试了FTP服务器的成功运行,并且浏览了服务器上的几个文件夹。
绛旓細鍦╨inux涓瀹夎vsftp缁勪欢鎸夌収濡備笅姝ラ锛屽嵆鍙畨瑁呮垚鍔 瀹夎vsftpd缁勪欢 瀹夎瀹屽悗锛屾湁/etc/vsftpd/vsftpd.conf鏂囦欢锛屾槸vsftp鐨勯厤缃枃浠躲俒root@bogon ~]# yum -y install vsftpd 2.娣诲姞涓涓猣tp鐢ㄦ埛 姝ょ敤鎴峰氨鏄敤鏉ョ櫥褰昮tp鏈嶅姟鍣ㄧ敤鐨勩俒root@bogon ~]# useradd ftpuser 杩欐牱涓涓敤鎴峰缓瀹岋紝鍙互鐢ㄨ繖涓櫥褰...
绛旓細linux娴忚鍣ㄦ庝箞ftp鏂囦欢锛熷彲浠鍦╨inux娴忚鍣ㄧ殑鍦板潃鏍忚緭鍏TP鍦板潃鍗冲彲銆傛眰鍔linux鎬庝箞鏌ョ湅FTP鐨勭敤鎴峰悕鍜屽瘑鐮侊紵涓銆佸惎鍔vsftpd鏈嶅姟1銆佸惎鍔╒SFTP鏈嶅姟鍣ˋ:cenos涓嬭繍琛:yuminstallvsftpdB.鐧诲綍Linux涓绘満鍚庯紝杩愯鍛戒护锛氣漵ervicevsftpdstart鈥滳.瑕佽FTP姣忔寮鏈鸿嚜鍔ㄥ惎鍔紝杩愯鍛戒护:鈥渃hkconfig--level35vsftpdon鈥濅簩銆...
绛旓細涓銆佸畨瑁卾sftp 瀹夎锛歽um install vsftpd 浜屻佸惎鍔ㄣ佸仠姝侀噸鍚痸sftp 鍚姩vsftp:service vsftpd start 鎴栨寚瀹氳矾寰(娉ㄦ剰锛/etc/init.d/璺緞鍙兘涓嶅悓)锛/etc/init.d/vsftpd start 閲嶅惎 service vsftpd restart 鍋滄vsftp锛歴ervice vsftpd stop 涓夈佸垱寤篺tp鐢ㄦ埛缁勫拰鐩綍 1銆佸垱寤篎TP鐢ㄦ埛缁刦tp-users groupadd...
绛旓細FTP鏈嶅姟鍙互鏍规嵁鏈嶅姟瀵硅薄鐨勪笉鍚屽垎涓轰袱绫:涓绫绘槸绯荤粺FTP鏈嶅姟鍣,瀹冨彧鍏佽绯荤粺涓婄殑鍚堟硶鐢ㄦ埛浣跨敤;鍙︿竴绫绘槸鍖垮悕FTP鏈嶅姟鍣,Anonymous FTP Server,瀹冧娇鐢ㄤ换浣曚汉閮藉彲浠ョ櫥褰鍒FTP鏈嶅姟鍣ㄤ笂鍘昏幏鍙栨枃浠躲 5.1 閫夋嫨鍜屽畨瑁匜TP鏈嶅姟鍣ㄨ蒋浠 濡傛灉浣犲湪瀹夎LINUX绯荤粺鐨勬椂鍊,鍦ㄩ夋嫨鍚姩杩涚▼鐨勬椂鍊欓夋嫨浜嗏渇tpd鈥濊繖涓椤圭殑璇,瀹夎瀹孡INUX绯荤粺...
绛旓細vsftpd鏄竴娆鍦↙inux鍙戣鐗堜腑鏈鍙楁帹宕囩殑FTP鏈嶅姟鍣ㄧ▼搴忋傜壒鐐规槸灏忓阀杞诲揩锛屽畨鍏ㄦ槗鐢ㄣ傚苟涓旀槸涓涓畬鍏ㄥ厤璐瑰紑鏀炬簮鐮佺殑ftp杞欢 鏂规硶/姝ラ 1銆佺敤鍦ㄧ嚎瀹夎 yum install vsftpd pam* db4*锛峺 浣跨敤鍛戒护灏唙sftp閰嶇疆涓虹郴缁熸湇鍔 chkconfig --level 35 vsftpd on 2銆侀厤缃畍sftpd鏈嶅姟鐨勫涓 useradd vsftpdadmin -s ...
绛旓細linux浜洪兘鐭ラ亾 vsftpd鐨勯厤缃 鍏朵腑vsftpd鐨勪富閰嶇疆鏂囦欢鍦 /usr/sbin/vsftpd鐢ㄦ埛鎺у埗鍒楄〃鏂囦欢:/etc/vsftpd/ftpusers 绂佹鐧婚檰鐨刦tp 鐢ㄦ埛鍒楄〃/etc/viftpd/user_list 浠呮彁渚涗竴浠絝tp鐢ㄦ埛鍒楄〃,鏄惁绂佹鐧婚檰鍙栧喅浜庝富閰嶇疆鏂囦欢涓殑璁剧疆涓嬮潰鎴戜滑浠嬬粛涓涓嬫瀯寤哄熀浜庤櫄鎷熺敤鎴风殑vsftpd鏈嶅姟鍣 瀹冨ぇ浣撳垎涓7閮1.寤虹珛铏氭嫙FTP鐢ㄦ埛鐨勫笎鍙锋暟鎹...
绛旓細3銆佺劧鍚庡畨瑁協tp銆倅um install vsftpd 4銆佺劧鍚庤緭鍏tp鍚庯紝灏藉彲浠ヨ繘鍏tp鐨勬帶鍒剁晫闈5銆佺幇鍦ㄥ鏋滀綘鎯崇櫥闄嗕竴涓狥TP,灏卞彲浠ラ氳繃open鎸囦护鍘昏繘鍏ヨFTP銆備緥濡傦細open 127.0.0.0 濡傛灉FTP璁剧疆鏉冮檺锛屽彲鑳藉湪杈撳叆鍚庨渶瑕佽緭鍏ョ敤鎴峰悕鍜屽瘑鐮併傝繖鏍峰氨鍙互鐩存帴杩涘叆FTP鍘绘搷浣滀簡銆傛搷浣滄寚浠 1銆丗TP鐨勬搷浣滄寚浠ゅ叾瀹炲拰Linux寰堢浉浼...
绛旓細3 鐒跺悗瀹夎ftp銆倅um install vsftpd 4 鐒跺悗杈撳叆ftp鍚庯紝灏藉彲浠ヨ繘鍏tp鐨勬帶鍒剁晫闈5 鐜板湪濡傛灉浣犳兂鐧婚檰涓涓狥TP,灏卞彲浠ラ氳繃open鎸囦护鍘昏繘鍏ヨFTP銆備緥濡傦細open 127.0.0.0 濡傛灉FTP璁剧疆鏉冮檺锛屽彲鑳藉湪杈撳叆鍚庨渶瑕佽緭鍏ョ敤鎴峰悕鍜屽瘑鐮併傝繖鏍峰氨鍙互鐩存帴杩涘叆FTP鍘绘搷浣滀簡銆侲ND 鎿嶄綔鎸囦护 FTP鐨勬搷浣滄寚浠ゅ叾瀹炲拰Linux寰堢浉浼...
绛旓細ftp> ls 500 OOPS: child died Connection closed by remote host. 瑙e喅鏂规硶: setsebool ftpd_disable_trans 1 service vsftpd restart 灏監K浜嗭紒 杩欐槸SELinux鐨勮缃懡浠,鍦ㄤ笉鐔熸倝SELnux鍓嶏紝鎶奡ELinux鍏虫帀涔熷彲浠ョ殑銆8. 姘镐箙寮鍚紝鍗硂s閲嶅惎鍚庤嚜鍔ㄥ紑鍚痜tp鏈嶅姟 鏂规硶涓锛...
绛旓細SELINUXTYPE=targeted[root@singledb ~]#淇濆瓨閫鍑哄苟閲嶅惎绯荤粺reboot涓. FTP閰嶇疆鏂囦欢FTP 瀹夎濂戒箣鍚,鍦/etc/vsftpd/鐩綍涓嬩細鏈夊涓嬫枃浠:[root@singledb ~]# cd /etc/vsftpd/[root@singledb vsftpd]# lsftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh[root@singledb vsftpd]#vsftpd.conf: 涓婚厤缃枃浠...
