Linuxvsftp配置大全超完整版RHEL5通过.docx

Linuxvsftp配置大全超完整版RHEL5通过.docx

《Linuxvsftp配置大全超完整版RHEL5通过.docx》由会员分享，可在线阅读，更多相关《Linuxvsftp配置大全超完整版RHEL5通过.docx（30页珍藏版）》请在冰豆网上搜索。

Linuxvsftp配置大全超完整版RHEL5通过

说明：

如果不做说明，一般安装命令均使用ROOT权限，用#表示

特别说明：

无

以下文章介绍Liunx环境下vsftpd的三种实现方法

一、前言

Vsftp（VerySecureFTP）是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用，如,ftp.kde.org,ftp.gnome.org.等。

Vsftpd的实现有三种方式

1、匿名用户形式：

在默认安装的情况下，系统只提供匿名用户访问

2、本地用户形式：

以/etc/passwd中的用户名为认证方式

3、虚拟用户形式：

支持将用户名和口令保存在数据库文件或数据库服务器中。

相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。

相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了对用户和下载的可管理性。

对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来说，虚拟用户是一种极好的解决方案。

[b:

76578f24b7]二、获取最新版的Vsftp程序[/b:

76578f24b7][/size:

76578f24b7]

Vsftp官方下载：

ftp:

//vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz"TARGET=_blank>ftp:

//vsftpd.beasts.org/users/cevans/vsftpd-2.0.3.tar.gz，目前已经到2.0.3版本。

假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录

[code:

1:

76578f24b7]#cd/home/xuchen

#tarxzvfvsftpd-2.0.3.tar.gz//解压缩程序

#cdvsftpd-2.0.3[/code:

1:

76578f24b7]

初学vb回复于：

2005-06-1313:

30:

17

三、三种方式的实现                   

1、匿名用户形式实现

#vibuilddefs.h \\编辑builddefs.h文件，文件内容如下：

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#undefVSF_BUILD_TCPWRAPPERS

#defineVSF_BUILD_PAM

#undefVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上undef的都改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL

#make //直接在vsftpd-2.0.3里用make编译

#ls-lvsftpd

-rwxr-xr-x 1rootroot86088Jun 612:

29vsftpd //可执行程序已被编译成功

创建必要的帐号，目录：

#useraddnobody //可能你的系统已经存在此帐号，那就不用建立

#mkdir/usr/share/empty //可能你的系统已经存在此目录，那就不用建立

#mkdir/var/ftp //可能你的系统已经存在此目录，那就不用建立

#useradd-d/var/ftpftp //可能你的系统已经存在此帐号，那就不用建立

#chownroot:

root/var/ftp

#chmodog-w/var/ftp

请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:

#install-m755vsftpd/usr/local/sbin/vsftpd-ano

#install-m644vsftpd.8/usr/share/man/man8

#install-m644vsftpd.conf.5/usr/share/man/man5

#install-m644vsftpd.conf/etc/vsftpd-ano.conf

这样就安装完成了，那么我们开始进行简单的配置

#vi/etc/vsftpd-ano.conf,将如下三行加入文件

listen=YES

listen_port=21

tcp_wrappers=YES

anon_root=/var/ftp//设置匿名用户本地目录，和ftp用户目录必须相同

listen=YES的意思是使用standalone启动vsftpd，而不是superdaemon（xinetd）控制它（vsftpd推荐使用standalone方式）

#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf& //以后台方式启动vsftpd

注意：

每行的值都不要有空格，否则启动时会出现错误，举个例子，假如我在listen=YES后多了个空格，那我启动时就出现如下错误：

500OOPS:

badboolvalueinconfigfilefor:

listen

测试搭建好的匿名用户方式

#ftp127.0.0.1

Connectedto127.0.0.1.

220（vsFTPd2.0.3）

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name（127.0.0.1:

root）:

ftp

331Pleasespecifythepassword.

Password:

230Loginsuccessful.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>pwd

257"/"

ftp>quit

221Goodbye.

#

OK，已经完成了，verynice.

高级配置

细心的朋友可能已经看出来我们只在默认配置文件增加了四行，就实现了FTP连接（也证明了vsftpd的易用性），那么让我们传个文件吧，呀！

！

传输失败了（见图1）

为什么呢？

因为vsftpd是为了安全需要，/var/ftp目录不能把所有的权限打开，所以我们这时要建一个目录pub，当然也还是需要继续修改配置文件的。

#mkdir/var/ftp/pub

#chmod-R777/var/ftp/pub

为了测试方便，我们先建立一个名为kill-ano的脚本，是为了杀掉FTP程序的

#!

/bin/bash

a=`/bin/ps-A|grepvsftpd-ano|awk'{print$1}'`

kill-9$a

那么现在大家看看我的匿名服务器配置文件吧

anonymous_enable=YES //允许匿名访问，这是匿名服务器必须的

write_enable=YES //全局配置可写

no_anon_password=YES//匿名用户login时不询问口令

anon_umask=077 //匿名用户上传的文件权限是-rw----

anon_upload_enable=YES //允许匿名用户上传文件

anon_mkdir_write_enable=YES //允许匿名用户建立目录

anon_other_write_enable=YES //允许匿名用户具有建立目录，上传之外的权限，如重命名，删除

dirmessage_enable=YES //当使用者转换目录,则会显示该目录下的.message信息

xferlog_enable=YES //记录使用者所有上传下载信息

xferlog_file=/var/log/vsftpd.log //将上传下载信息记录到/var/log/vsftpd.log中

xferlog_std_format=YES //日志使用标准xferlog格式

idle_session_timeout=600 //客户端超过600S没有动作就自动被服务器踢出

data_connection_timeout=120 //数据传输时超过120S没有动作被服务器踢出

chown_uploads=YES

chown_username=daemon //上传文件的属主

ftpd_banner=Welcometod-FTPservice. //FTP欢迎信息

anon_max_rate=80000 //这是匿名用户的下载速度为80KBytes/s

check_shell=NO //不检测SHELL

现在再测试，先kill掉再启动FTP程序

#./kill-ano

#/usr/local/sbin/vsftpd-ano/etc/vsftpd-ano.conf&

上传一个文件测试一下，怎么样？

OK了吧，下载刚上传的那个文件，恩？

不行，提示

550Failedtoopenfile.

传输已失败！

传输队列已完成

1个文件传输失败

没有关系，你记得咱们设置了anon_umask=077了吗？

所以你下载不了，如果你到服务器上touch一个文件（644），测试一下，是可以被下载下来的，好了，匿名服务器就说到这里了。

2、本地用户形式实现

#cd/home/xuchen/vsftpd-2.0.3 //进入vsftpd-2.0.3的源代码目录

#makeclean //清除编译环境

#vibuilddefs.h \\继续编辑builddefs.h文件，文件内容如下：

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#defineVSF_BUILD_TCPWRAPPERS

#defineVSF_BUILD_PAM

#defineVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上defineVSF_BUILD_PAM行的define改为undef，支持tcp_wrappers，不支持PAM认证方式，支持SSL，记住啊，如果支持了PAM认证方式，你本地用户是不能登陆的。

#make //直接在vsftpd-2.0.3里用make编译

#ls-lvsftpd

-rwxr-xr-x 1rootroot84712Jun 618:

56vsftpd //可执行程序已被编译成功

创建必要的帐号，目录：

#useraddnobody //可能你的系统已经存在此帐号，那就不用建立

#mkdir/usr/share/empty //可能你的系统已经存在此目录，那就不用建立

#mkdir/var/ftp //可能你的系统已经存在此目录，那就不用建立

#useradd-d/var/ftpftp //可能你的系统已经存在此帐号，那就不用建立

#chownroot:

root/var/ftp

#chmodog-w/var/ftp

请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:

#install-m755vsftpd/usr/local/sbin/vsftpd-loc

#install-m644vsftpd.8/usr/share/man/man8

#install-m644vsftpd.conf.5/usr/share/man/man5

#install-m644vsftpd.conf/etc/vsftpd-loc.conf

这样就安装完成了，那么我们开始进行简单的配置

#vi/etc/vsftpd-loc.conf,将如下三行加入文件

listen=YES

listen_port=21

tcp_wrappers=YES//支持tcp_wrappers,限制访问（/etc/hosts.allow,/etc/hosts.deny）

listen=YES的意思是使用standalone启动vsftpd，而不是superdaemon（xinetd）控制它（vsftpd推荐使用standalone方式），注意事项请参看匿名用户的配置。

anonymous_enable=NO

local_enable=YES //这两项配置说不允许匿名用户登陆，允许本地用户登陆

#/usr/local/sbin/vsftpd-loc/etc/vsftpd-loc.conf& //以后台方式启动vsftpd

测试搭建好的匿名用户方式，先测试root用户吧：

）

#ftp127.0.0.1

Connectedto127.0.0.1.

220（vsFTPd2.0.3）

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name（127.0.0.1:

root）:

root

331Pleasespecifythepassword.

Password:

230Loginsuccessful.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>pwd

257"/root"

ftp>quit

221Goodbye.

我们看到root用户可以登陆到ftp，他的登陆目录就是自己的主目录。

再测试一个系统用户，那我们先建立一个用户名叫xuchen的

#useraddxuchen

#passwdxuchen

Changingpasswordforuserxuchen.

NewUNIXpassword:

RetypenewUNIXpassword:

passwd:

allauthenticationtokensupdatedsuccessfully.

建立好了，让我们开始测试吧！

！

#ftp127.0.0.1

Connectedto127.0.0.1.

220（vsFTPd2.0.3）

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name（127.0.0.1:

root）:

xuchen

331Pleasespecifythepassword.

Password:

230Loginsuccessful.

RemotesystemtypeisUNIX.

Usingbinarymodetotransferfiles.

ftp>pwd

257"/home/xuchen"

ftp>quit

221Goodbye.

我们看到xuchen用户可以登陆到ftp，他的登陆目录也是自己的主目录。

哈哈，又完成了！

高级配置

细心的朋友可能已经看出来如果我们不支持PAM认证方式，那么本地用户就可以登陆，而默认编译的vsftpd支持PAM认证方式，所以是不支持本地用户登陆的。

恩，从这点说，这也是vsftp安全的一个表现----禁止本地用户登陆。

我们登陆后进行测试，传一个文件上去，得，失败了，那下载个文件下来吧，恩，这是成功的（见图2），而且我们发现我们可以进入到系统根目录（见图3），这样很危险。

那么改配置文件吧，为了测试方便，我们先建立一个名为kill-loc的脚本，也是为了杀掉FTP程序的

#!

/bin/bash

a=`/bin/ps-A|grepvsftpd-loc|awk'{print$1}'`

kill-9$a

现在提供我的本地用户验证服务器配置文件吧（在匿名里写过的注释我就不在这里写了）

listen=YES

listen_port=21

tcp_wrappers=YES

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022 //本地用户文件上传后的权限是-rw-r-r

anon_upload_enable=NO

anon_mkdir_write_enable=NO

dirmessage_enable=YES

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

connect_from_port_20=YES

chroot_local_user=YES//限制用户在自己的主目录

#local_root=/ftp //你可以指定所有本地用户登陆后的目录,如果不设置此项，用户都会登陆于自己的主目录，就跟咱们前面测试的结果是一样的

local_max_rate=500000 //本地用户的下载速度为500KBytes/s

idle_session_timeout=600

data_connection_timeout=120

nopriv_user=nobody //设定服务执行者为nobody,vsftpd推荐使用一个权限很低的用户，最好是没有家目录（/dev/null），没有登陆shell（/sbin/nologin）,系统会更安全

ftpd_banner=Welcometod-FTPservice.

check_shell=NO

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd.denyuser

以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里，那么登陆时会出现如下错误：

#ftp127.0.0.1

Connectedto127.0.0.1.

220Welcometod-FTPservice.

530PleaseloginwithUSERandPASS.

530PleaseloginwithUSERandPASS.

KERBEROS_V4rejectedasanauthenticationtype

Name（127.0.0.1:

root）:

xuchen

530Permissiondenied.

Loginfailed.

呵呵，有意思吧，自己测试吧，本地用户登陆方式就介绍到这里吧！

3、虚拟用户形式实现（db及mysql形式）

#cd/home/xuchen/vsftpd-2.0.3 //进入vsftpd-2.0.3的源代码目录

#makeclean //清除编译环境

#vibuilddefs.h \\继续编辑builddefs.h文件，文件内容如下：

#ifndefVSF_BUILDDEFS_H

#defineVSF_BUILDDEFS_H

#defineVSF_BUILD_TCPWRAPPERS

#undefVSF_BUILD_PAM

#defineVSF_BUILD_SSL

#endif/*VSF_BUILDDEFS_H*/

将以上defineVSF_BUILD_PAM行的undef改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL，和匿名用户形式是一样的。

#make //直接在vsftpd-2.0.3里用make编译

#ls-lvsftpd

-rwxr-xr-x 1rootroot86088Jun 622:

26vsftpd //可执行程序已被编译成功

创建必要的帐号，目录：

#useraddnobody //可能你的系统已经存在此帐号，那就不用建立

#mkdir/usr/share/empty //可能你的系统已经存在此目录，那就不用建立

#mkdir/var/ftp //可能你的系统已经存在此目录，那就不用建立

#useradd-d/var/ftpftp //可能你的系统已经存在此帐号，那就不用建立

#chownroot:

root/var/ftp

#chmodog-w/var/ftp

请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:

#install-m755vsftpd/usr/local/sbin/vsftpd-pam

#install-m644vsftpd.8/usr/share/man/man8

#install-m644vsftpd.conf.5/usr/share/man/man5

#install-m644vsftpd.conf/etc/vsftpd-pam.conf

这样就安装完成了，那么我们开始进行简单的配置

对于用DB库存储用户名及密码的方式来说：

（1）查看系统是否有相应软件包

#rpm–qa|grepdb4

db4-devel-4.2.52-7.1

db4-4.2.52-7.1

db4-utils-4.2.52-7.1

（2）建立一个logins.txt的文件，单行为用户