工作模式
ftp有2种工作模式: 主动和被动
1
2
3
4
5
6
7
8
9
10
| 主动模式:
1、客户端从大于1024端口到服务器的21端口
2、服务器的21端口到客户端大于1024的端口
3、FTP服务器的20端口到大于1024的端口
4、客户端大于1024端口到FTP服务器的20端口
被动模式:
1. 客户端从任何大于1024的端口到服务器的21端口
2. 服务器的21端口到客户端任何大于1024的端口
3. 客户端从任何大于1024端口到服务器的大于1024端口
4. 服务器的大于1024端口到远程的大于1024的端口
|
登录方式
vsftp允许三种用户登录:
1
2
3
| 本地用户(系统中的用户)
匿名用户(anonymous免密码登录)
虚拟用户(基于本地用户)
|
虚拟用户以本地用户为宿主(一般是不能登录系统的本地用户),仅仅用于登录vsftp,无法登陆系统;
可以建立多个虚拟用户,设置各自的密码,并且根据其用途设置相应的配置,能适应多种情况。
安装环境说明:
1
2
3
| Centos release 6.4 (Final): 2.6.32-358.el6.x86_64
Vsftp 安装版本: vsftpd-2.2.2-14.el6_7.1.x86_64
mysql Ver 14.14 Distrib 5.1.73
|
使用yum的方式安装vsftpd
2、 一般默认的目录、文件说明
1
2
3
4
5
6
7
8
| /etc/rc.d/init.d/vsftpd # 启动脚本
/etc/vsftpd/vsftpd.conf # 主配置文件
/etc/pam.d/vsftpd # PAM认证文件
/etc/vsftpd/ftpusers # 禁止使用vsftpd用户列表文件
/etc/vsftpd/user_list # 如vsftpd.conf的userlist_deny=NO则次文件为可以允许登录用户文件,反之不允许登录文件
/etc/vsftpd/chroot_list # 不能离开主目录的用户列表
/var/ftp # 匿名用户主目录
/var/ftp/pub # 匿名用户的下载目录
|
3、 主配置文件 /etc/vsftpd/vsftpd.conf
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
| anonymous_enable=NO # 不允许匿名登录
local_enable=YES # 设定本地用户可以访问。注:如使用虚拟宿主用户,在该项目设定为NO的情况下所有虚拟用户将无法访问
write_enable=YES
local_umask=022
anon_upload_enable=NO # 禁止匿名用户上传
anon_mkdir_write_enable=NO # 禁止匿名用户创建目录
dirmessage_enable=YES # 进入目录时可以显示一些设定的信息,可以通过message_file=.message来设置
xferlog_enable=YES # 开启日志
connect_from_port_20=YES # 主动连接的端口号
xferlog_file=/var/log/vsftpd.log # 启用日志记录
xferlog_std_format=YES # 日志格式
nopriv_user=vsftpd # 启动用户
chown_uploads=NO # 设定禁止上传文件更改宿主
ascii_upload_enable=YES # 设定支持ASCII模式的上传和下载功能
ascii_download_enable=YES
ftpd_banner=Welcome to blah FTP service # 登陆欢迎语
chroot_local_enable=YES
chroot_list_enable=YES # 使用户不能离开主目录
chroot_list_file=/etc/vsftpd/chroot_list # 不能离开主目录的用户列表
listen=YES # 以standalone方式来启动
pam_service_name=vsftpd # PAM认证文件名。PAM将根据/etc/pam.d/vsftpd进行认证
userlist_enable=YES # 在/etc/vsftpd/user_list中的用户将不得使用FTP
tcp_wrappers=YES # 支援 TCP Wrappers 的防火墙机制
# 以下内容是默认没有的,按需添加
### 开启虚拟用户
guest_enable=YES # 启用虚拟用户功能
guest_username=ftp # 将虚拟用户映射为本地ftp用户(指定虚拟用户的宿主用户)。Centos默认有ftp用户
virtual_use_local_privs=YES # 虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vuser_conf # 虚拟用户个人vsftpd的配置文件存放路径。注意:配置文件名必须和虚拟用户名相同
### 开启PASV模式(被动模式)
pasv_enable=YES
pasv_min_port=40000 # 最小端口号
pasv_max_port=40100 # 最大端口号
pasv_promiscuous=YES
### 会话限制(全局),同时可以在用户的权限文件里面设置
idle_session_timeout=600 # 用户会话空闲后10分钟
data_connection_timeout=120 # 将数据连接空闲2分钟断
max_clients=10 # 最大客户端连接数
max_per_ip=5 # 每个ip最大连接数
local_max_rate=0 # 限制上传速率,0为无限制
|
二、 虚拟用户账号密码设置
虚拟账号有2中保存方法,db4和MySQL数据库
1、使用db4数据库保存ftp虚拟账号密码
1
2
3
4
5
6
7
8
9
10
11
12
| yum install -y db4 db4-utils
a) 自定义创建用户密码文件 /etc/vsftpd/vuser_passwd.txt ,注意奇行是用户名,偶行是密码(一行是账号一行是密码
cat /etc/vsftpd/vuser_passwd.txt
admin # 账号
123456 # 密码
b) 生成虚拟用户认证的db文件,将文本内的帐号及密码添加到db4的数据库文件内
db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt/etc/vsftpd/vuser_passwd.db
c) 编辑认证文件/etc/pam.d/vsftpd,全部注释掉原来语句,再增加以下两句:
authrequired pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.sodb=/etc/vsftpd/vuser_passwd
anon_other_write_enable=YES # 其他权限(删除,重命名)
download_enable=YES
|
2、使用MySQL数据保存ftp虚拟账号密码 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
| a)建立一个库并设置相应权限
# mysql –uroot -p
mysql>create database vsftp;
mysql>use vsftp;
mysql>create table users (id INT NOT NULL AUTO_INCREMENT PRIMARYKEY,name CHAR(20) NOT NULL UNIQUE KEY,password CHAR(48) NOT NULL);
mysql>insert into users (name,passwd) values (' admin ','123456');
mysql>insert into users (name,passwd) values ('test','123456');
mysql>grant select on vsftp.users to vsftp@localhost identifiedby '123456';
mysql>flush privileges;
mysql>quit
b)下载libpam-mysql进行安装编译
下载地址如下:
http://nchc.dl.sourceforge.net/p ... mysql-0.7RC1.tar.gz
tar xzvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1
./configure --with-openssl
make && make install
cp /lib/security/pam_mysql.* /lib64/security/
c)建立PAM认证信息
# cat /etc/pam.d/vsftpd ,原来的都注释掉,添加内容如下
auth required /lib64/security/pam_mysql.so user=vsftp passwd=123456host=localhost db=vsftp table=users usercolumn=name passwdcolumn=passwordcrypt=0
account required /lib64/security/pam_mysql.so user=vsftppasswd=123456 host=localhost db=vsftp table=users usercolumn=namepasswdcolumn=password crypt=0
# user,passwd 用户名密码对应上面的MySQL授权账号
# usercolumn 对应ftp用户
# passwdcolumn 对应ftp用户密码
# crypt=0: 明文密码
# crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt(),encrypt()随机产生salt)
# crypt=2: 使用MYSQL中的password()函数加密
# crypt=3:表示使用md5的散列方式
|
可以看出,和前面的用db库来验证没有多大区别,其实就是一个东西,一个用mysql来验证,一个用db库 /etc/init.d/vsftpd restart # 重启
三、虚拟用户权限文件设置 1、置文件vsftpd.conf中指定虚拟用户的权限目录 user_config_dir=/etc/vsftpd/vuser_conf 2、创建虚拟用户配置文件
1
2
3
4
5
6
7
8
| mkdir-pv /etc/vsftpd/vuser_conf
cat /etc/vsftpd/vuser_conf/admin #文件名等于vuser_passwd.txt里面的账户名,否则下面设置无效
local_root=/data/ftp/www # 虚拟用户根目录,根据实际情况修改
write_enable=YES # 可写
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES # 新建文件、目录
|
3、新建虚拟用户admin 权限文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| cat/etc/vsftpd/vuser_conf/admin
local_root=/data/ftp/zztm/admin #虚拟用户根目录,根据实际情况修改
write_enable=YES # 写权限(上传、下载、删除、重命名)
anon_world_readable_only=NO # 下载权限(只能下载)。注意这个地方千万不能写成YES,否则用户将不能列出文件和目录
download_enable=YES # 下载
upload_enable=YES # 上传权限
anon_mkdir_write_enable=YES # 创建文件权限
anon_other_write_enable=YES # 删除和重命名文件
只能上传,新建文件,不能下载、修改、重命名文件的权限设置如下
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES # 上传
anon_mkdir_write_enable=YES # 新建文件
anon_other_write_enable=NO
download_enable=NO
|
iptables添加
-A INPUT -m state--state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A INPUT -m state--state NEW -m tcp -p tcp --dport 40000:40100 -j ACCEPT
# service iptables restart 重启iptables
# /etc/init.d/vsftpd start 启动ftp服务
# ps –ef| grep vsftp 查看进程是否启动
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2016-4-6 09:02:31
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡