linux課堂筆記5--vsftpd服務器的配置

1、linux 課堂筆記 5-vsftpd服務器的配置一般而言，用戶必須經過身份驗證才能登錄Vsftpd 服務器，然后才能訪問和傳輸服務器上的文件。Vsftpd 服務器的用戶分為兩類：本地用戶和匿名用戶。本地用戶是在Vsftpd服務器上擁有賬號的用戶。本地用戶輸入自己的用戶名和口令后可登錄 Vsftpd 服務器，并且直接進入該用戶的主目錄。FTP步驟一、檢查所需的RPM 包是否已經安裝在系統(tǒng)中，方法是：rpm qa |grep vsftpd檢查是否已安裝vsftpd 軟件包步驟二、安裝所需的RPM 包若在步驟一中發(fā)現所需的 RPM 包沒有安裝，則需使用下面的命令來安裝軟件包，否則請轉入第三步。mo

2、unt/media/cdrom/- 掛載光驅rpm-ivh/media/cdrom/RedHat/RPMS/vsftpd-*- 其中的 * 號可以按 TAB鍵自動補齊步驟三、配置匿名vsftpd 服務器vsftpd服務器最重要的是主配置文件vsftpd.conf 。 vsftpd 守護進程運行時首先從vsftpd.conf 文件獲取配置文件的信息，然后配合ftpusers 和 userlist 文件決定可訪問的用戶。下表列出了與 vsftpd 服務器相關的目錄和文件。文件 /目錄名說明/etc/vsftpd/vsftpd.confVsftpd 服務器的主配置文件/etc/vsftpd/ftpu

3、sers禁止訪問 vsftpd 服務器的用戶列表（只能做黑名單）/etc/vsftpd/user_list根據 vsftpd.conf 許可或禁者訪問vsftpd 服務器的用戶列表文件（可做白名單和黑名單）/var/ftp匿名用戶的默認文件目錄下表列出了 vsftpd.conf 文件中比較常用的部分配置參數。參數名說明anonymouse_enable指定是否允許匿名登錄，默認為YESlocal_enable指定是否允許本地用戶登錄，默認為YESwrite_enable指定是否開放寫權限，默認為YESlocal_umask指定文件創(chuàng)建的初始權限dirmessage_enable指定是否能瀏覽目

4、錄內信息anon_upload_enable指定是否讓匿名用戶上傳文件anon_mkdir_write_enable指定是否讓匿名用戶創(chuàng)建文件夾xferlog_enable指定是否啟用日志功能xferlog_std_format指定采用何種日志格式xferlog_fileconnect_from_port_20idle_session_timeout指定日志文件的存放路徑指定是否啟用20 端口進行數據連接指定用戶會話空閑多少時間（秒）后自動斷開data_connection_timeout指定數據連接空閑多少時間（秒）后自動斷開ftpd_banner指定登錄時的歡迎信息banner_file歡

5、迎信息較長時可以使用某個文件內容作為歡迎信息，此參數指定該文件的路徑ascii_upload_enable指定是否允許使用ASCII 格式上傳文件asii_download_enable指定是否允許使用ASCII 格式下載文件listen指定 vsftpd 服務器的運行方式，默認為YES以獨立方式運行pam_service_name指定驗證方式（默認為vsftpd ）tcp_wrappers指定是否啟用防火墻chroot_list_enable指定是否啟用鎖定在主目錄中的用戶的列表chroot_list_file鎖定在主目錄中的用戶列表文件的路徑chroot_local_user鎖定本地用戶在

6、自己的根目錄中userlist_enable指定是否啟用user_list 文件userlist_file指定黑名單或者白名單的文件路徑userlist_deny指定名單是黑名單還是白名單（YES 或 NO）vsftpd 服務器的默認設置是允許本地用戶和匿名用戶登錄，本地用戶默認進入其個人主目錄(/home/ 賬戶名 )，并可以切換到其他有權訪問的目錄，還可以上傳和下載文件。匿名用戶只能下載 /var/ftp/ 目錄下的文件。默認情況下/var/ftp/ 目錄下沒有任何文件。我們現在將 vsftpd 服務器配置為專用的匿名FTP 服務器，僅允許匿名用戶登錄。匿名用戶可在 /var/ftp/pu

7、b 目錄中新建目錄、上傳和下載文件。輸入以下命令：cd/etc/vsftpdcpvsftpd.confvsftpd.conf.bak- 對原始文件進行備份lsvivsftpd.conf-確認如下參數的值anonymous_enable=yeslocal_enable=nowrite_enable=yesanon_upload_enable=yesanon_mkdir_write_enable=yesconnect_from_port_20=yeslisten=yestcp_wrappers=yes保存退出。輸入以下命令：chmod o+w /var/ftp/pub -修改 /var/ftp/p

8、ub 目錄的權限允許其他用戶寫入文件 ll /var/ftp確認自己的IP 地址：ifconfig eth0setupservice network restartservice vsftpdstart-啟動 vsftpd 服務步驟四、測試匿名vsftpd 服務器（ 1）在 windows 計算機上，運行菜單項中輸入：CMD（ 2）進入字符界面下，輸入： ftp （ 3）連接到 vsftpd 服務器后，輸入服務用戶名，如： “tom ”（本用戶是本地用戶） 。屏幕會提示“ 530 This FTPserver is anonymous only. login faile

9、d ”。（ 4）待屏幕出現 ftp 提示符“ ftp> ”時，先輸入“ close”命令斷開這次連接，然后輸入“ open ”命令，再次連接到 vsftpd 服務器。輸入匿名用戶名“ anonymous”，并在“ Password：”后輸入口令（郵件地址）或不輸入口令直接回車，即可登錄到服務器。（ 5）在“ ftp> ”提示符后輸入命令：cd pub-切換到匿名用戶專用目錄 /var/ftp/pubmkdirmydir- 新建一個 mydir 的目錄putabc.txt- 上傳 abc.txt 文件getabc.txt- 下載 abc.txt 文件bye-

10、關閉 FTP 命令行工具步驟五、配置用戶專用的vsftpd 服務器將 vsftpd 服務器配置成僅 Linux 用戶可以使用的 FTP 服務器，用戶只能操作其主目錄，不能切換到其他目錄。輸入如下命令：vi vsftpd.conf- 確認如下參數的值anonymouse_enable=nolocal_enable=yeswrite_enable=yesconnect_from_port_20=yeslisten=yestcp_wrappers=yespam_service_name=vsftpduserlist_enable=yeschroot_local_user=yesuserlist_fi

11、le=/etc/vsftpd/user_listuserlist_deny=yes-不允許 vsftpd/user_list列表中的用戶登錄FTP 服務器保存退出。注意：限制某些本地用戶登錄服務器有多種方法：（ 1） 直接編輯 vsftpd/ftpusers 文件，將禁止登錄的用戶名寫入該文件中；（ 2） 直接編輯 vsftpd/user_list 文件，將禁止登錄的用戶名寫入該文件中，此時在vsftpd.conf文件中應設置“userlist_enable=yes”和“ userlist_deny=yes ”語句，則 vsftpd/user_list 文件中指定的用戶不能訪問FTP 服務器。

12、（ 3）直接編輯 vsftpd/user_list 文件，將允許登錄的用戶名寫入該文件中，此時在vsftpd.conf 文件中應設置“ userlist_enable=yes”和“ userlist_deny=no ”語句，則只允許 vsftpd/user_list 文件中指定的用戶訪問FTP 服務器。如果某用戶同時出現在 vsftpd/ftpusers 和 vsftpd/user_list 文件中，那么該用戶將不允許登錄。這是因為 vsftpd 總是先執(zhí)行 vsftpd/user_list ，再執(zhí)行 vsftpd/ftpusers 文件。編輯 vsftpd/user_list 文件，確認不允

13、許登錄的用戶名單。vi/etc/vsftpd/user_list請注意添加2 用戶帳戶！useraddaaapasswdaaa修改密碼重啟 vsftpd 服務： service vsftpdrestart步驟六、測試用戶專用vsftpd 服務器（ 1）在 windows 計算機上，運行菜單項中輸入：CMD（ 2）進入字符界面下，輸入： ftp （ 3）連接到 vsftpd 服務器后，輸入服務用戶名，如： “ anonymous”。屏幕會提示“ 530 Login incorrect. login failed ”。（ 4）待屏幕出現 ftp 提示符“ ftp> ”

14、時，先輸入“ close”命令斷開這次連接，然后輸入“ open ”命令，再次連接到 vsftpd 服務器。輸入用戶名 “ tom”，并在“ Password：”后輸入口令后按回車，即可登錄到服務器。（ 5）在“ ftp> ”提示符后輸入命令： pwd - 查看用戶主目錄cd /etc-屏幕會提示用戶無權操作mkdirmydir- 新建一個 mydir 的目錄putabc.txt- 上傳 abc.txt 文件getabc.txt- 下載 abc.txt 文件bye-關閉 FTP 命令行工具步驟七、配置虛擬賬號vsftpd 服務器VSFTPD 服務器提供了對虛擬用

15、戶的支持，它采用PAM 認證機制實現了虛擬用戶的功能。所謂虛擬用戶， 是指用戶本身不是系統(tǒng)本地用戶（即該用戶賬號信息不存在于/etc/passwd文件中），也不是匿名用戶（因為匿名用戶登錄時都采用統(tǒng)一的用戶名anonymous 或 ftp ），每個虛擬用戶都可以有自己特定的用戶名稱，且虛擬用戶名稱都存放于獨立的賬號數據庫中。在驗證時， VSFTPD 需要一個系統(tǒng)用戶的身份來讀取數據庫文件或數據庫服務器以完成驗證過程，這就是VSFTPD 的 guest 用戶。正如匿名用戶也需要一個系統(tǒng)用戶ftp 一樣，也可以把 guest 用戶看成是虛擬用戶在系統(tǒng)中的代表。（ 1） 首先我們創(chuàng)建虛擬用戶數據庫文

16、件Vi /etc/virtuserdb.txt virtuser1 user001virtuser2user002virtuser3user003保存退出。該文件的奇數行為虛擬用戶名，偶數行為相應的口令。然后執(zhí)行如下命令生成虛擬用戶數據庫文件，并改變虛擬用戶數據庫文件的權限。db_load-T-t hash-f /etc/virtuserdb.txt/etc/vsftpd/vsftpd.dbchmod600/etc/vsftpd/vsftpd.db（ 2）創(chuàng)建 PAM 認證文件，創(chuàng)建虛擬用戶使用的PAM 論證文件。Vi /etc/pam.d/vsftpd.virtualauthrequired

17、/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpdaccountrequired/lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd該 PAM 認證配置文件中有兩條規(guī)則：第一條規(guī)則的功能是設置利用 pam_userdb.so 模塊來進行身份認證，主要是接受用戶名和口令，進而對該用戶的口令進行認證，并負責設置用戶的一些秘密信息。其中采用的數據庫是/etc/vsftpd/vsftpd.db文件（此處省略了文件名后面的“.db”）；第二條規(guī)則的功能是檢查賬戶是否被允許登錄系統(tǒng)，賬號是否已經過期，賬號的登錄是

18、否有時間限制等，設置在進行賬號授權時采用的數據庫也是/etc/vsftpd/vsftpd.db 文件（ 3）創(chuàng)建虛擬用戶所對應的真實賬號及其所登錄的目錄，并設置相應的權限。useradd-d/var/virtuservirtuserchmod744/var/virtuser（ 4） 編輯 /etc/vsftpd/vsftpd.conf 文件，增加或修改的內容如下：Vi/etc/vsftpd/vsftpd.confguest_enable=YES .激活虛擬用戶登錄功能guest_username=virtuser 指定虛擬用戶所對應的真實用戶 pam_service_name=vsftpd.virtual .修改原文件中的 pam_service_name 值，設置 PAM 認證時所采用的文件名稱。保存退出。步驟八、測試虛擬賬戶vsftpd 服務器（ 1）在 windows 計算機上，運行菜單項中輸入：CMD（ 2）進入字符界面下，輸入： ftp （ 3）連接到 vsftpd 服務器后，輸入服務用戶名，如： “ virtuser ”