Vsftpd在centos6.4的尝试

twerer

1 安装软件
可以去官网下载，我直接yum安装了，版本为vsftpd.x86_64 0:2.2.2-14.el6   ，我的测试都比较简单，大家可以照着做一下。
2文件服务器的三种登录方式
①匿名登录
vsftpd.conf默认是开启匿名登录的，不信你看
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
如果没开启请把注释取消

默认情况下，匿名的家目录在/var/ftp/pub目录下
在windows宿主测试，发现如何都是未连接，后来发现时iptables on了
最终可以登录，也可以下载

在图形界面也是ok的
不过你可能想到，不能上传文件，原因是未开启权限

解决办法是在vsftpd.conf添加几行，顺便咱们修改下家目录
#ano's directory
anon_root=/var/liuliancao
把如下功能打开，也可以自己写哈
anon_upload_enable=YES
anon_mkdir_write_enable=YES

可以上传

可以创建文件夹

删除就不行，当然也用不到，毕竟不是一个安全的配置。
②使用本地用户登录
此时就建议禁用anonymous了，一般公司肯定不会开启anonymous
所以在vsftpd.conf的anonymous_enable=YES改为NO，此时即关闭了匿名

默认情况下是允许所有本地用户登录，当要分别考虑授权的时候，就得启动ftp_users（你可以看看里面的内容）文件
默认情况：
使用本地用户可以在外网登录，root除外，这个通常是由列表确定
默认情况下，
在配置文件的结尾有这行
userlist_enable=YES    #使用userlist，且userlist上的全部不给登录
userlist_deny=YES       #在使用userlist情况下，列表中的用户被拒绝
如果
userlist_deny=NO
则userlist指定的是允许的用户，当然如果你不想考虑这些，那么就把你讨厌的人拉入ftpusers这个黑名单吧
我建议使用userlist_enable=YES  userlist_deny=NO组合，这样，ftpusers放黑名单，userlist放白名单，这样更安全点
当我在ftpusers放置liuliancao时，对于liuliancao和lqx两个用户


而此时进入的是用户的家目录，由于刚建的用户没有文件，所以这样，不信可以试下，但是此时用户可以cd到根，显然不符合安全性，所以这里建议要设置chroot，把用户绑定在其家目录下
所以修改如下几行，先别改，咱们分析下
chroot_local_user=YES
这里的YES指的是什么呢？
首先是启用一个特殊的列表，其次是默认所有用户都限制在家目录中，但列表时特殊名单，不被限制
如果是NO呢
也启用那个特殊的列表，但是默认所有用户不限制在家目录中，

那思考下，此时我有两个用户，一个liuliancao,一个lqx,我把chroot_local_user设为NO，那个特殊的列表中有liuliancao，没有lqx，此时谁会被限制在家目录中？
肯定是黑名单liuliancao会被限制，^_^
测试下，我修改了下这几行文件
chroot_local_user=NO
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list

在chroot_list增加了liuliancao

结果为：


一般情况肯定设置chroot为YES哦，毕竟为了安全着想啊
另外可以通过增加一条
local_root=/var/liuliancao来指定本地用户连接ftp的默认家目录

③虚拟用户设置
第一步，创建txt列表，记录虚拟用户
Tec为普通用户，可以下载
Ball为vip 可以下载，上传，创建目录
# cat /etc/vsftpd/vuser.txt   #奇数行用户名，偶数行密码哦
Tec
Tec
Ball
Ball

第二步，使用db_load命令生成db数据库（我的centos6.4最小安装没有，没有请yum -y install db4)

这个命令想来也挺好记
db_load -T  -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db
-T:让程序把非数据库的文本转换为数据库db型
-t hash:转换为hash数据库
-f file：txt文件位置，即源文件
最后参数：目标文件

然后记得修改下数据库的权限
# chmod 600 /etc/vsftpd/vuser.db   #bash中，最后一个参数可以使用esc+.（centos支持）或者alt+.调出来，很方便

顺便添加以下系统用户，即虚拟用户对应的系统用户，Tec是普通ftp用户，只允许下载，Ball允许上传下载

第三步，为vsftpd添加pam认证,64位和32位肯定不一样，db不用加db
# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       requiredpam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       requiredpam_shells.so
#auth       includepassword-auth
#account    includepassword-auth
#session    required     pam_loginuid.so
#session    includepassword-auth
auth     required    /lib64/security/pam_userdb.so     db=/etc/vsftpd/vuser       #64位是这样,vuser不用写db
account        required    /lib64/security/pam_userdb.so  db=/etc/vsftpd/vuser

第四步，为用户设置家目录，提供权限访问,这里的用户可以不同名，我只是为了方便点，所以建议同名
# useradd -d /var/ftp/Tec/   Tec
# useradd -d /var/ftp/Ball/   Ball
# chmod 500 /var/ftp/Tec
# chmod 700 /var/ftp/Ball

第五步，修改主配置文件
pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vuserconfig   #自己等会创建的配置文件目录
max_clients=300
max_per_ip=10;
userlist_enable=YES
tcp_wrappers=YES

第六步，修改用户配置文件

对于普通用户Tec有：
# cat  /etc/vsftpd/vuserconfig/Tec
guest_enable=YES            #允许虚拟用户登录
write_enable=NO            #不准写入，即上传等写操作
gues_username=Tec     #指定guest用户名
anon_world_readable_only=no #这里指定
anon_max_rate=50000   指定最大下载速率#

对于特权用户Ball来说：

# cat /etc/vsftpd/vuserconfig/Ball
guest_enable=YES
guest_username=Ball
write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES
anon_world_readable_only=NO
anon_max_rate=100000

登录发现报错
在网上看到这篇博文，挺好的，http://www.it165.net/admin/html/201305/1296.html，当然我建议你要检查你的user_list究竟是允许还是不允许用户登录，最好的办法就是控制变量

结果我重新生成了以下就行了，然后接着报错

看来我输错了

修改下配置文件
就好了

但是不可以dir

发现我的Tec家目录居然是root创建的，所以修改家目录属主就好了
# chown Tec:Tec /var/ftp/Tec

下面测试下功能是否完整
Tec：
可以下载

不可以上传和创建目录


对于Ball:
可上传，下载，创建目录
此时我的配置文件为下面的，仅供参考
# Make sure PORT transfer connectionsoriginate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploadedanonymous files to be owned by
# a different user. Note! Using"root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# The name of log file whenxferlog_enable=YES and xferlog_std_format=YES
# WARNING - changing this filename affects/etc/logrotate.d/vsftpd.log
xferlog_file=/var/log/vsftpd.log
#
# Switches between logging into vsftpd_log_fileand xferlog_file files.
# NO writes to vsftpd_log_file, YES toxferlog_file
xferlog_std_format=YES
#
# You may change the default value fortiming out an idle session.
#idle_session_timeout=600
#
# You may change the default value fortiming out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on yoursystem a unique user which the
# ftp server can use as a totally isolatedand unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recogniseasynchronous ABOR requests. Not
# recommended for security (the code isnon-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend toallow ASCII mode but in fact ignore
# the request. Turn on the below options tohave the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCIIsupport allows a denial of service
# attack (DoS) via the command "SIZE/big/file" in ASCII mode. vsftpd
# predicted this attack and has always beensafe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature ofthe protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login bannerstring:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowedanonymous e-mail addresses. Apparently
# useful for combatting certain DoSattacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of localusers to chroot() to their home
# directory. If chroot_local_user is YES,then this list becomes a list of
# users to NOT chroot().
chroot_local_user=NO
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R"option to the builtin ls. This is disabled by
# default to avoid remote users being ableto cause excessive I/O on large
# sites. However, some broken FTP clientssuch as "ncftp" and "mirror" assume
# the presence of the "-R"option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive isenabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directivecannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES
#
# This directive enables listening on IPv6sockets. To listen on IPv4 and IPv6
# sockets, you must run two copies ofvsftpd with two configuration files.
# Make sure, that one of the listen optionsis commented !!
#listen_ipv6=YES

pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/vuserconfig
max_clients=300
max_per_ip=10
userlist_enable=YES
userlist_deny=NO
tcp_wrappers=YES
由于db的操作比较简单，如果用户多可以使用脚本，所以我觉得mysql可能就没必要了。
最后还发现一个问题：
资源管理器默认不会提示登录，反而会提示无法访问，最后通过
考虑原因可能是默认不允许匿名登录，所以只要在输入ftp://Tec@108.108.108.31即可，即添加好用户名的方式，最终可以登录