vsftpd 服务器的搭建及详解

43trnb

Vsftpd1.  Vsftpd文件共享

1.1简介

Vsftpd是“very secure FTP daemon”的缩写，是一款非常安全的FTP软件。支持IPv6以及SSL加密。Vsftpd的安全性主要体现三个方面：进程分离，处理不同任务的进程彼此是独立运行的；进程运行均以最小权限运行；多数进程都使用chroot进行了禁锢，防止客户访问非法共享目录。端口号为21端口

1.2特点

         1.它是一个安全、高速、稳定的FTP服务器；可以做基于多个IP的虚拟FTP主机服务器

2.vsftpd是以一般身份启动服务，并且用chroot进行改换根目录；匿名服务设置方便，根目录不需要特殊的目录结构、系统程序或系统文件

              3.任何需要具有个较高权限的vsftpd指令均以一支特殊的上层程序（parent process）所控制，并且该上层程序享有的较高执行权限功能已经被限制的相当低。
              3.所有的客户端，想要使用这只上层程序所提供的较高执行权限之vsftpd指令的需求，均被视为不可信任的要求来处理，必须要经过相当程度的身份确认后方可利用该上层程序的功能。例如chown、login的要求等等
              4.上层程序中依然使用chroot的功能来限制使用者的权限

　           5.不执行任何外部程序，从而减少了安全隐患；

　　       6.支持虚拟用户，并且每个虚拟用户可以具有独立的属性配置；

　　       7.可以设置从inetd中启动，或者独立的FTP服务器两种运行方式；

　           8.支持两种认证方式：PAP或tcp_wrappers；

　    　    9.支持带宽限制

       1.3 性能

安全性方面：vsftpd服务只需一般用户身份启动，相对 Linux 系统的使用权限较低。且任何来自想使用vsftpd较高执行权限的指令请求， 均被视为不可信任的请求，需经过一定身份认证后方可使用。同时，vsftpd 整合了大部分ftp会使用到的额外指令，因此减少了对系统功能的依赖。且应用 chroot限定了使用者根目录，限制使用者的执行权限。

速度方面： 使用ASCII代码的模式下载数据时，VSFTP的速度是Wu-FTP的两倍。如果Linux主机使用2.4的内核，在千兆以太网上的下载速度可达86MB/S。

稳定方面：VSFTP在单机（非集群）上支持4000个以上的并发用户同时连接，根据Red Hat的Ftp服务器(ftp.redhat.com)的数据，VSFTP服务器可以支持15000个并发用户。

1.4 缺点

     vsftp 没有处理文件编码转换，从windows客户端访问时有乱码现象。可以转换服务器目录文件编码或者使用FTP客户端工具来访问服务器解决乱码现象。

2.  FTP工作方式

    2.1主动FTP工作模式

        主动FTP模式的工作步骤如下：

        a.    客户端随机开启大于1024的X端口与服务器21端口建立连接通道，通道建立后，客户端随时可以通过该通道发送上传或者下载命令。
        b.    当客户端需要与服务器进行数据传输时，客户端回再开启一个大于1024的随机端口Y，并将Y端口号通过之前的命令通道传送给服务器的21端口
        c.     服务器获取到客户端的第二个端口后会主动连接客户端的该端口，通过三次握手后，完成服务器与客户端数据通道的建立，所有的数据均通过该数据通道进行传输。

2.2被动FTP工作模式

         被动FTP模式的工作过程如下：

        a.    客户端你随意开启大于1024的X端口与服务器的21端口建立连接通道
        b.    当客户端需要与服务器进行数据传输时，客户端从命令通道发送数据请求要求上传或下载数据
        c.     服务器收到数据请求后会随机开启一个端口Y，并通过命令通道将该端口信息传送给客户端
        d.    客户端在收到服务器发送过来的数据端口Y的信息后，将在客户端本地开启一个随机端口Z，此时客户端再主动通过本机的Z端口与服务器的    Y端口进行连接，通过三次握手连接完成后，即可进行数据传输。
3.  配置文件解析

账户类型	设置参数	功能
全局设置	lsten=YES	是否监听端口
	lsten_port=21	监听端口号
	write_enable=YES	是否允许写操作
	download_enable=YES	是否允许用户下载
	dirmessage_enable	进入目录是否显示消息
	xferlog_enable=YES	是否开启xferlog日志功能
	xerlog_std_format=YES	xferlog日志文件格式
	connect_from_port_20=YES	使用主动模式连接，端口20
	pasv_enable=YES	是否启用被动模式连接，默认为被动模式
	pasv_max_port=24600	被动模式连接的最大端口号
	pasv_min_port=24500	被动模式连接的最小端口号
	userlist_enable=YES	是否启用userlist用户列表
	userlist_deny=YES	是否禁用userlist文件中额账户访问FTP
	max_clents=2000	最大允许同事2000客户端连接，0代表无限制
	max_per_ip=0	每个客户端的最大连接限制，0代表无限制
	tcp_wrappers=YES	是否启用tcp_wrappers
	guest_enable=YES	所有的非匿名登录都映射为guest_username指定的账户
	guest_username=ftp anonymous_enable=YES 是否开启匿名访问功能，默认开启	设定来宾用户
	user_config_dir=/etc/vsftpd/conf	指定用户设置独立配置文件与选项的目录
	dual_log_enable=NO	是否启用双日志功能，生成两个日志文件
	anonymous_enable=YES	是否开启匿名访问功能，默认开启
匿名账户	anon_max_rate=0	匿名数据传输率（B/s）
	anon_root=/var/ftp	匿名访问FTP根目录
	anon_upload_enbale=YES	是否允许匿名账户上传，默认禁止
	anon_mkdir_write_enable=YES	是否允许匿名账户创建目录，默认禁止
	anon_other_write_enable=YES	是否允许匿名账户进行其他的所有写操作
	anon_umask=077	匿名上传权限掩码
本地账户	local_enable=YES	是否启用本机账户FTP功能
	local_max_rate=0	本地账户数据传输率（B/s）
	local_umask=077	本地账户权限掩码
	chroot_local_user=YES	是否禁锢本地账户根目录，默认为NO
	local_root=/ftp/common	本地账户访问FTP根路径

1.  Vsftpd案例

4.1本地账户FTP

     案例背景：一公司搭建本地FTP服务器为公司员工使用，初定3位员工：Tom、Jack、Mary

    (1)  安装vsftpd

    [iyunv@vsftpd /]# yum -y install vsftpd

    [iyunv@vsftpd /]# service vsftpd start

    [iyunv@vsftpd /]# chkconfig vsftpd on

    (2)  修改配置文件（注意一下配置文件每行最后不能有一个空格多不然会报错）

[iyunv@vsftpdetc]# vim vsftpd/vsftpd.conf

anonymous_enable=NO  #是否允许匿名访问     

local_enable=YES     #是否启用本机账户FTP功能

write_enable=YES     #是否允许写操作                  

local_umask=022     #本地账户权限umask         

dirmessage_enable=YES#用户进入目录是否显示信息

xferlog_enable=YES    #是否开启xferlog日志功能

xferlog_std_format=YES #xferlog日志格式            

listen=YES                         #是否开启监听                  

pam_service_name=vsftpd # 指定pam的配置文件为vsftpd

userlist_enable=YES     #启用userlist用户文件列表

tcp_wrappers=YES      #是否启用tcp_wrappers      

    (3)  创建系统账户与测试文件     

[iyunv@vsftpd /]# useradd -s/sbin/nologin Tom

[iyunv@vsftpd /]# useradd -s/sbin/nologin Jack

                 [iyunv@vsftpd /]# useradd -s/sbin/nologin Mary

                 [iyunv@vsftpd /]# touch/home/{Tom,Jack,Mary}/test.txt

            (4)  关闭防火墙SELINUX和设置自启动

        [iyunv@vsftpd /]# setenforce 0

        [iyunv@vsftpd /]# service iptables stop

        [iyunv@vsftpd /]# service vsftpd start

        [iyunv@vsftpd /]# chkconfig vsftpd on

            (5)  访问ftp客户端

       在访问客户端之前需要修改下用户的密码(这是必须滴，养成习惯)

       [iyunv@vsftpd /]# passwd Tom

       [iyunv@vsftpd /]# passwd Jack

       [iyunv@vsftpd /]# passwd Mary

       在浏览器中输入 ftp://ip就成功了。。。

4.2虚拟账户FTP

          案例背景：满足大量的账户访问需求

    (1)  创建虚拟用户数据库

    创建明文密码文件：明文文件奇数行为用户名，偶数行为密码。

    使用db_load工具将其转换为数据库文件

    db_load是通过安装db4-utils获得

               [iyunv@vsftpd ~]# yum -yinstall db4-utils   
                  [iyunv@vsftpd ~]# vim /etc/vsftpd/vlogin
                         tomcat
                         123456
                         jerry
                         654321
                         [iyunv@vsftpd~]# db_load –T –t hash –f /etc/vsftpd/vlogin /etc/vsftpd/vlogin.db
                         [iyunv@vsftpd~]# chmod 600 /etc/vsftpd/{vlogin,vlogin.db}
    (2)  创建PAM文件，这是虚拟账户验证

    Linux一般通过PAM文件设置账户验证机制，通过创建新的PAM文件，使用新的数据文件进行登录验证

    PAM文件中的db选项于指定并验证账户和密码的数据库文件，数据库文件无需.db的名称后缀

    authrequired /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin

    account required /lib64/security/pam_userdb.sodb=/etc/vsftpd/vlogin

    (3)  设置虚拟账户共享目录

    [iyunv@vsftpd~]# useradd -s /sbin/nologin -d /home/ftp virtual

    [iyunv@vsftpd ~]# cp /etc/redhat-release/home/ftp

    (4)  修改主配置文件（注意一下配置文件每行最后不能有一个空格多不然会报错）

    [iyunv@vsftpd /]# vim/etc/vsftpd/vsftpd.conf

    anonymous_enable=NO              #是否开启开启匿名访问功能
    local_enable=YES                                   #是否开启本机账户FTP功能
    write_enable=YES                                 #是否允许写操作            
    anon_upload_enable=YES            #是否允许默认上传功能     
    anon_mkdir_write_enable=NO        #是否允许匿名账户创建目录功能
    anon_other_write_enable=NO        #是否允许匿名账户其他写入功能
    chroot_local_user=YES                #是否禁锢本地账户根目录     
    guest_enable=YES                                 #启用则所有非匿名登录都映射为guest_username指定的账户
    guest_username=virtual                       #指定来宾用户
    listen=YES                                                 #是否监听端口
    listen_port=21                                             #监听端口为21端口
    pasv_enable=YES                                         #是否启用被动连接模式
    pasv_min_port=30000                                #被动连接最小端口号
    pasv_max_port=30999                               #被动连接最大端口号
    pam_service_name=vsftpd.pam                #指定PAN验证机制的配置文件
    user_config_dir=/etc/vsftpd_user_conf    #用户配置文件和选项所在目录

    user_sub_token=$USER                 #为每个虚拟用户创建家目录                                 

    (5)  为每个用户设置独立的共享路径
    [iyunv@vsftpd/]# mkdir /etc/vsftpd_user_conf
    [iyunv@vsftpd/]# mkdir -p /home/ftp/tomcat

    [iyunv@vsftpd /]# service vsftpd restart

    (6)  客户端访问

    在浏览器中输入 ftp://ip就成功了。。。

2.  常见问题分析
    1.  提示错误代码： 530 Login incorrect

以上错误说明登录验证账户失败。可能是使用64位系统，而pam文件中库文件使用的是/lib/ 而不是/lib64/ 还有可能是用户名和密码输入错误

也可能是vsftpd主配置文件中设置的pam_servcie_name设置的pam文件名称和/etc/pam.d中创建的pam文件名称不一致导致无法验证成功。

    2.  提示错误代码： 500 OOPS: cannot changedirectory: /home/ftp/$USER

该提示代表目录不存在或无权限导致无法切换至目录，也可能是由于SELinux导致无法共享账户家目录，默认SELinux不允许共享家目录

    3.  登录后无法上传数据

匿名账户和虚拟账户检查以anon_开头的权限设置，本地账户检查以local_开头的权限设置，并且要确保全局write_enable设置为YES

另外，文件系统目录的权限也需要修改，确保客户端账户有权限访问该目录。

    4.  启动服务时报错: 500 OPPS: bad bool valueconfig file

Vsftpd配置文件设置错误，检查配置文件。配置文件要求每个设置项占用独立的一行，并且不可以有多余的空格