vsftp配置详解

07008

vsftp配置详解

FTP:文件传输协议（File Transfer Protocol）

    是用于在网络上进行文件传输的一套标准协议。它属于网络传输协议的应用层。

FTP服务一般运行在20和21两个端口

    20用于在客户端和服务器之间传输数据流（主动模式时使用）
     21用于传输控制流，并且是命令通向ftp服务器的进口。

FTP两种使用模式：

    主动PORT模式：PORT模式 由FTP服务器端发起，FTP服务器使用20端口连接客户端的某一个大于1023的随机端口。

    被动PASV模式：PASV模式 由FTP客户端发起的，使用一个大于1024的端口连接服务器上大于1023的随机端口。

数据传输模式：

    ASCII：文本格式

    BINARY：二进制格式

vsftp：very secure FTP

主配置文件：/etc/vsftpd/vsftpd.conf

anonymous_enable=YES    允许匿名用户登录
local_enable=YES    允许本地用户登录
write_enable=YES    允许用户上传
local_umask=022     本地用户上传后的权限mask
anon_upload_enable=NO   匿名用户上传控制

#anon_mkdir_write_enable=YES    匿名用户创建目录

dirmessage_enable=YES   显示目录注释
xferlog_enable=YES      开启日志
connect_from_port_20=YES    主动连接使用的数据通道

#chown_uploads=YES      
#chown_username=whoever

xferlog_std_format=YES  与wu-ftp相同的日志文件格式

#idle_session_timeout=600
#data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#ascii_upload_enable=YES
#ascii_download_enable=YES
#ftpd_banner=Welcome to blah FTP service.
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd/banned_emails

#chroot_local_user=NO   若开启，则本地用户默认使用chroot()
#chroot_list_enable=NO  如果开启，需提供文件指定生效用户，如果chroot_local_user设置为Yes，则这个列表为不生效用户，默认列表文件是/etc/vsftpd.chroot_list，可通过chroot_list_file参数制定文件
#chroot_list_file=/etc/vsftpd/chroot_list

ls_recurse_enable=NO     是否允许用户使用'ls -R'命令，递归显示目录
listen=YES  以stand alone的方式启动(值为NO时，super daemon方式启动)

#listen_ipv6=YES

pam_service_name=vsftpd     vsftpd服务中PAM验证模块的名称
userlist_enable=YES     使用user_list文件控制用户登录（配合userlist_deny）
#userlist_deny=YES
tcp_wrappers=YES    采用tcp_wrappers进行控制访问

匿名用户相关配置：

anonymous_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

系统用户相关：

local_enable=YES
write_enable=YES

辅助认证配置文件/etc/vsftpd/ftpusers
pam认证的配置文件：/etc/pam.d/vsftpd

chroot_local_users=YES
禁锢所有的本地用户于自己的家目录中；需移除用户对家目录写权限；

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
禁锢指定的文件中的用户于自己的家目录中；需移除用户对家目录写权限；

数据传输日志：

xferlog_std_format=YES
xferlog_enable=YES
xferlog_file=/var/log/xferlog

控制可登录vsftpd服务的用户列表：

userlist_enable=YES
userlist_deny={YES|NO}
如果userlist_deny=NO, 只允许user_list文件中的用户
如果userlist_deny=YES (默认), 不允许user_list文件中的用户, 输入密码前就会报错

vsftpd配置实例：
Centos 7

    禁锢系统用户于家目录；

    基于mysql进行用户认证；

    不同的虚拟用户拥有不同的权限设定；

安装vsftp、mysql及pam-mysql模块，用于pam连接mysql存储密码:

]# yum isntall vsftpd mariadb-server mariadb-devel pam-devel
]# wget http://prdownloads.sourceforge.n ... mysql-0.7RC1.tar.gz

]# tar xvf pam_mysql-0.7RC1.tar.gz
]# cd pam_mysql-0.7RC1
]# ./configure --with-pam=/usr --with-mysql=/usr --with-pam-mods-dir=/usr/lib64/security
]# make
]# make install

准备mairadb数据库：

]# mysql_install_db  --user=mysql   初始化数据库
]# systemctl start mariadb  启动mariadb
]# mysql_secure_installation    安全设置
]# mysql -p     输入密码登陆数据库
> create database vsftpd;   创建vsftpd数据库

插入虚拟用户信息：
> insert into vsftpd.users (name,password) values ('rick',PASSWORD('222222')),('morty',PASSWORD('222222'));

授权：
> grant all on vsftpd.* to 'vuser'@'localhost' identified by '333333';
> grant all on vsftpd.* to 'vuser'@'127.0.0.1' identified by '333333';
> flush privileges;

配置vsftpd通过pam_mysql进行认证

]# vi /etc/vsftpd/vsftpd.conf
#listen_ipv6=YES    注释该行
pam_service_name=vsftpd.mysql
guest_enable=YES
guest_username=vuser

模块认证配置文件：

]# vi /etc/pam.d/vsftpd.mysql   添加两行
auth required /usr/lib64/security/pam_mysql.so user=vuser passwd=333333 host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /usr/lib64/security/pam_mysql.so user=vuser passwd=333333 host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

创建映射的系统用户账号：

]# mkdir vpub
]# useradd -d /vpub vuser
]# mkdir /vpub/{pub,upload}
]# chmod u-w /vpub
]# setfacl -m u:vuser:rwx /vpub/upload

设置各虚拟用户的权限

]# vi /etc/vsftpd/vsftpd.conf   添加一行指定虚拟用户权限目录
user_config_dir=/etc/vsftpd/users_conf

]# mkdir users_conf
]# vi rick  虚拟用户的权限都用匿名指令指定
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

]# vi morty 该用户无上传权限
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

测试成功：

lftp rick@10.1.235.7:/upload> put issue
59 bytes transferred

lftp morty@10.1.235.7:/upload> put centos-release
put: Access failed: 550 Permission denied. (centos-release)