centos6.5配置FTP服務(wù)器

1、【精品文檔】如有侵權(quán)，請聯(lián)系網(wǎng)站刪除，僅供學(xué)習(xí)與交流centos6.5配置FTP服務(wù)器.精品文檔.Centos 6.5 安裝配置FTP服務(wù)器1、檢查是否已經(jīng)安裝vsftprpm -qa | grep vsftpd出現(xiàn) vsftpd-.-* 說明已經(jīng)安裝安裝vsftpd通過yum安裝： yum -y install vsftpd 通過rpm安裝： rpm -ivh vsftpd-.-*.rpm測試是否安裝成功： service vsftpd start設(shè)置開機啟動： chkconfig vsftpd on關(guān)閉selinux修改配置文件： vim /etc/selinux/config 將SELI

2、NUX=enforcing改為SELINUX=disabled.修改vsftpd配置文件vim /etc/vsftpd/vsftpd.conf找到并修改如下內(nèi)容：anonymous_enable=NO （是否允許匿名）將底下三行#chroot_list_enable=YES# (default follows)#chroot_list_file=/etc/vsftpd.chroot_list改為chroot_list_enable=YES# (default follows)chroot_list_file=/etc/vsftpd/chroot_list保存退出添加FTP用戶新增FTP用戶”f

3、tpuser”: useradd -d /home/ftp -s /sbin/nologin ftpuser -s：禁止登錄SSH權(quán)限設(shè)置用戶”ftpuser”的密碼：passwd ftpuser （根據(jù)提示輸入密碼）編輯文件chroot_list:vi /etc/vsftpd/chroot_list內(nèi)容為ftp用戶名,每個用戶占一行,如：peterjohn添加防火墻規(guī)則vi /etc/sysconfig/iptables1、開放21、20端口# iptables -A INPUT -p tcp -dport 20 -j ACCEPT# iptables -A INPUT -p tcp -dp

4、ort 21 -j ACCEPT如果OUTPUT默認也是DROP，那么還需要添加一下規(guī)則。# iptables -A OUTPUT -p tcp -sport 20 -j ACCEPT2、接受所有狀態(tài)為ESTABLISHED、RELATED的連接# iptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT有關(guān)related狀態(tài)的說明：RELATED狀態(tài)在有雙通道的服務(wù)中會出現(xiàn)的。比如ftp服務(wù)的控制通道和數(shù)據(jù)通道。client發(fā)送syn請求到server的21端口，中間的linux系統(tǒng)變?yōu)镹EW狀態(tài)。server回復(fù)syn+

5、ack應(yīng)答包給client，中間的linux變?yōu)镋STABLISHED狀態(tài)。當ftp的控制通道建立完后，會建立數(shù)據(jù)通道，而數(shù)據(jù)通道的第一個包就是RELATED狀態(tài)，以后的包又變成ESTABLISHED狀態(tài)。3、配置iptables# vi /etc/sysconfig/iptables-config找到IPTABLES_MODULES，取消注釋，添加ip_conntrack_ftp模塊，保存。ip_conntrack_ftp模塊可以讓iptables支持被動模式的ftp連接。IPTABLES_MODULES="ip_conntrack_ftp"4、保存iptables規(guī)則、

6、重啟。service iptables restart重啟vsftpdservice vsftpd restart訪問FTP使用本地PC訪問 ：ftp:/服務(wù)器ip 也可以通過 FileZilla等工具訪問安裝完成vsftpd 文件布局/etc/vsftpd/vsftpd.conf 主配置文件/usr/sbin/vsftpd 主程序/etc/rc.d/init.d/vsftpd 啟動腳本/etc/pam.d/vsftpd PAM認證文件/etc/vsftpd.ftpusers 禁止使用vsftpd的用戶列表文件/etc/vsftpd.user_list 禁止或允許使用vsftpd用戶列表文件/

7、var/ftp 匿名用戶主目錄/var/ftp/pub 匿名用戶下載目錄/etc/logrotate.d/vsftpd.log 日志文件 二.系統(tǒng)帳戶1.建立Vsftpd服務(wù)的宿主用戶：rootlocalhost# adduser -d /data guest -s /sbin/nologin默認的Vsftpd的服務(wù)宿主用戶是root，但是這不符合安全性的需要。這里建立名字為vsftpd的用戶，用他來作為支持Vsftpd的建立Vsftpd虛擬宿主用戶：root nowhere# useradd virtusers -s /sbin/nologin三 、vsftpd的配置#anonymous_e

8、nable=YESanonymous_enable=NO 設(shè)定不允許匿名訪問local_enable=YES 設(shè)定本地用戶可以訪問。注意：如果該項目設(shè)定為NO那么所有虛擬用戶將無法訪問。write_enable=YES 設(shè)定可以進行寫操作。local_umask=022 設(shè)定上傳后文件的權(quán)限掩碼。anon_upload_enable=NO 禁止匿名用戶上傳。anon_mkdir_write_enable=NO 禁止匿名用戶建立目錄。dirmessage_enable=YES 設(shè)定開啟目錄標語功能。xferlog_enable=YES 設(shè)定開啟日志記錄功能。connect_from_port_2

9、0=YES 設(shè)定端口20進行數(shù)據(jù)連接。chown_uploads=NO 設(shè)定禁止上傳文件更改宿主。chroot_local_user=YES 設(shè)定登陸后.只可以訪問自己的屬主目錄.不可訪問上一層目錄文件xferlog_file=/var/log/vsftpd.log 設(shè)定Vsftpd的服務(wù)日志保存路徑。注意，該文件默認不存在。必須要手動touch出來，并且由于這里更改了Vsftpd的服務(wù)宿主用戶為手動建立的Vsftpd。必須注意給與該用戶對日志的寫入權(quán)限，否則服務(wù)將啟動失敗。xferlog_std_format=YES 設(shè)定日志使用標準的記錄格式idle_session_timeout=600

10、 設(shè)定空閑連接超時時間，這里使用默認。data_connection_timeout=120 設(shè)定單次最大連續(xù)傳輸時間，這里使用默認nopriv_user=vsftpd 設(shè)定支撐Vsftpd服務(wù)的宿主用戶為手動建立的Vsftpd用戶。注意，一旦做出更改宿主用戶后，必須注意一起與該服務(wù)相關(guān)的讀寫文件的讀寫賦權(quán)問題 比如日志文件就必須給與該用戶寫入權(quán)限等。async_abor_enable=YES 設(shè)定支持異步傳輸功能。ascii_upload_enable=YESascii_download_enable=YES 設(shè)定支持ASCII模式的上傳和下載功能。ftpd_banner=Welcome t

11、o blah FTP service _ 設(shè)定Vsftpd的登陸標語。chroot_list_enable=NO 禁止用戶登出自己的FTP主目錄。ls_recurse_enable=NO 禁止用戶登陸FTP后使用"ls -R"的命令。該命令會對服務(wù)器性能造成巨大開銷。如果該項被允許，那么擋多用戶同時使用該命 令時將會對該服務(wù)器造成威脅。listen=YES 設(shè)定該Vsftpd服務(wù)工作在StandAlone模式下。pam_service_name=vsftpd 設(shè)定PAM服務(wù)下Vsftpd的驗證配置文件名。userlist_enable=YES 設(shè)定userlist_file

12、中的用戶將不得使用FTP。tcp_wrappers=YES 服務(wù)器使用tcp_wrappers作為主機的訪問控制方式。以下這些是關(guān)于Vsftpd虛擬用戶支持的重要配置項目。默認Vsftpd.conf中不包含這些設(shè)定項目，需要自己手動添加配置。guest_enable=YES 設(shè)定啟用虛擬用戶功能。guest_username=virtusers 指定虛擬用戶的宿主用戶。virtual_use_local_privs=YES 設(shè)定虛擬用戶的權(quán)限符合他們的宿主用戶。user_config_dir=/etc/vsftpd/vconf 設(shè)定虛擬用戶個人Vsftp的配置文件存放路徑。也就是說，這個被指定

13、的目錄里，將存放每個Vsftp虛擬用戶個性的配置文件，一個需要注意的地方就是這些配置文件名必須和虛擬用戶名相同。保存退出。max_clients= 99 服務(wù)器的最大并發(fā)數(shù)max_per_ip=5 用戶最大線程數(shù)anon_max_rate=1000000 設(shè)置本底賬號最大傳輸率為1Mbps禁止某些IP段得主機匿名訪問服務(wù)器tcp_wrappers=YES 編輯 /etc/hosts.allow增加 vsftpd：1：DENY查看ftp日志xferlog_enable=YES 上傳和下載日志文件記錄 /var/log/vsftpd.logxferlog_std_form

14、at=YES 傳輸日志文件將以標準xferlog的格式書寫 /var/log/xferlogxferlog_file= /var/log/xferlogdual_log_enable=YESvsftpd_log_file=/var/log/vsftpd.log通過本底數(shù)據(jù)文件實現(xiàn)虛擬用戶訪問安裝db4-utilsyum install db4-utils創(chuàng)建本地映射用戶，修改本底映射用戶目錄權(quán)限useradd -d /data/ftp/temp -s /sbin/nologin gamechmod o=rwx /data/ftp/temp修改 /etc/vsftpd/vsftpd.confgu

15、est_enable=YESguest_username=zqgamexw生成虛擬用戶文件/etc/vsftpd/vsftpuser.txttest001 虛擬user123456 虛擬passwd生成虛擬用戶數(shù)據(jù)文件db_load -T -t hash -f /etc/vsftpd/vsftpuser.txt /etc/vsftpd/vsftpuser.db修改生成的用戶數(shù)據(jù)文件權(quán)限 chmod 600 /etc/vsftpd/vsftpuser.db修改PAM 認證文件 /etc/pam.d/vsftpd 注銷原有內(nèi)容后添加auth required /lib/security/pam_u

16、serdb.so db=/etc/vsftpd/vsftpuseraccount required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpuse建立Vsftpd的日志文件，并更該屬主為Vsftpd的服務(wù)宿主用戶：rootlocalhost# touch /var/log/vsftpd.logrootlocalhost# chown vsftpd.vsftpd /var/log/vsftpd.log建立虛擬用戶配置文件存放路徑：rootlocalhost# mkdir /etc/vsftpd/vconf/制作虛擬用戶數(shù)據(jù)庫文件先建立虛擬用

17、戶名單文件：rootlocalhost# touch /etc/vsftpd/virtusers建立了一個虛擬用戶名單文件，這個文件就是來記錄vsftpd虛擬用戶的用戶名和口令的數(shù)據(jù)文件，這里給它命名為virtusers。為了避免文件的混亂，我把這個名單文件就放置在/etc/vsftpd/下。編輯虛擬用戶名單文件：rootlocalhost# vi /etc/vsftpd/virtusersftp001123456ftp002123456ftp003123456編輯這個虛擬用戶名單文件，在其中加入用戶的用戶名和口令信息。格式很簡單：“一行用戶名，一行口令”。3.生成虛擬用戶數(shù)據(jù)文件：rootl

18、ocalhost# db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db4.察看生成的虛擬用戶數(shù)據(jù)文件rootlocalhost# ll /etc/vsftpd/virtusers.db-rw-r-r- 1 root root 12288 Sep 16 03:51 /etc/vsftpd/virtusers.db需要特別注意的是，以后再要添加虛擬用戶的時候，只需要按照“一行用戶名，一行口令”的格式將新用戶名和口令添加進虛擬用戶名單文件。但是光這樣做還不夠，不會生效的哦！還要再執(zhí)行一遍“ db_load -T -

19、t hash -f 虛擬用戶名單文件虛擬用戶數(shù)據(jù)庫文件.db ”的命令使其生效才可以！設(shè)定PAM驗證文件，并指定虛擬用戶數(shù)據(jù)庫文件進行讀取1.察看原來的Vsftp的PAM驗證配置文件：rootlocalhost# cat /etc/pam.d/vsftpd#%PAM-1.0session optional pam_keyinit.so force revokeauth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers nerr=succeedauth required pam_shells.soaut

20、h include system-authaccount include system-authsession include system-authsession required pam_loginuid.so2.在編輯前做好備份：rootlocalhost# cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup3.編輯Vsftpd的PAM驗證配置文件rootlocalhost# vi /etc/pam.d/vsftpd#%PAM-1.0auth required /lib/security/pam_userdb.so db=/etc/vsftpd/v

21、irtusersaccount required /lib/security/pam_userdb.so db=/etc/vsftpd/virtusers以上兩條是手動添加的，上面的全部加#注釋了.內(nèi)容是對虛擬用戶的安全和帳戶權(quán)限進行驗證。!這里有個要注意說明的:如果系統(tǒng)是64位系統(tǒng)在這里的所有l(wèi)ib后面要加入64!如下這樣才可以:#%PAM-1.0auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusersaccount required /lib64/security/pam_userdb.so db=/etc/v

22、sftpd/virtusers五.虛擬用戶的配置1.規(guī)劃好虛擬用戶的主路徑：rootlocalhost# mkdir /opt/vsftp/ 2.建立測試用戶的FTP用戶目錄：rootlocalhost# mkdir /opt/vsftp/ftp001 /opt/vsftp/ftp002 /opt/vsftp/ftp0033.建立虛擬用戶配置文件模版： rootlocalhost# cp /etc/vsftpd/vsftpd.conf.backup /etc/vsftpd/vconf/vconf.tMP4.定制虛擬用戶模版配置文件：rootlocalhost# vi /etc/vsftpd/v

23、conf/vconf.tmplocal_root=/opt/vsftp/virtuservirtuser 這個就是以后要指定虛擬的具體主路徑。anonymous_enable=NO設(shè)定不允許匿名用戶訪問。write_enable=YES設(shè)定允許寫操作。local_umask=022設(shè)定上傳文件權(quán)限掩碼。anon_upload_enable=NO設(shè)定不允許匿名用戶上傳。anon_mkdir_write_enable=NO設(shè)定不允許匿名用戶建立目錄。idle_session_timeout=600 (根據(jù)用戶要求.可選)設(shè)定空閑連接超時時間。data_connection_timeout=120設(shè)

24、定單次連續(xù)傳輸最大時間。max_clients=10 (根據(jù)用戶要求.可選)設(shè)定并發(fā)客戶端訪問個數(shù)。max_per_ip=5 (根據(jù)用戶要求.可選)設(shè)定單個客戶端的最大線程數(shù)，這個配置主要來照顧Flashget、迅雷等多線程下載軟件。local_max_rate=50000 (根據(jù)用戶要求.可選)設(shè)定該用戶的最大傳輸速率，單位b/s。pam_service_name=vsftpdchroot_local_user=YES這里將原vsftpd.conf配置文件經(jīng)過簡化后保存作為虛擬用戶配置文件的模版。這里將并不需要指定太多的配置內(nèi)容，主要的框架和限制交由Vsftpd的主配置文件vsftpd.co

25、nf來定義，即虛擬用戶配置文件當中沒有提到的配置項目將參考主配置文件中的設(shè)定。而在這里作為虛擬用戶的配置文件模版只需要留一些和用戶流量控制，訪問方式控制的配置項目就可以了。這里的關(guān)鍵項是local_root這個配置，用來指定這個虛擬用戶的FTP主路徑。5.更改虛擬用戶的主目錄的屬主為虛擬宿主用戶：rootlocalhost# chown -R virtusers.virtusers /opt/vsftp/6.檢查權(quán)限：rootlocalhost# ll /opt/vsftp/total 24drwxr-xr-x 2 overlord overlord 4096 Sep 16 05:14 ftp

26、001drwxr-xr-x 2 overlord overlord 4096 Sep 16 05:00 ftp002drwxr-xr-x 2 overlord overlord 4096 Sep 16 05:00 ftp003.給測試用戶定制：1.從虛擬用戶模版配置文件復(fù)制：rootlocalhost# cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/ftp001 2.針對具體用戶進行定制：rootlocalhost# vi /etc/vsftpd/vconf/ftp001local_root=/opt/vsftp/ftp001 (FTP用戶f

27、tp001 的登陸目錄文件)anonymous_enable=NOwrite_enable=YESlocal_umask=022anon_upload_enable=NOanon_mkdir_write_enable=NOidle_session_timeout=300data_connection_timeout=90max_clients=1max_per_ip=1local_max_rate=25000pam_service_name=vsftpdchroot_local_user=YES七.啟動服務(wù)：rootlocalhost# service vsftpd startStarting

28、 vsftpd for vsftpd: OK 八.測試：1.在虛擬用戶目錄中預(yù)先放入文件：rootlocalhost# touch /opt/vsftp/ftp001/test.txt2.從其他機器作為客戶端登陸FTP：可以IE或FTP客戶端軟直接訪問ie里輸入 (服務(wù)器IP)彈出對話框后.輸入FTP用戶名和密碼注意:在/etc/vsftpd/vsftpd.conf中，local_enable的選項必須打開為Yes，使得虛擬用戶的訪問成為可能，否則會出現(xiàn)以下現(xiàn)象：rootlocalhost# ftpftp> open 2Connecte

29、d to 2.500 OOPS: vsftpd: both local and anonymous access disabled!原因：虛擬用戶再豐富，其實也是基于它們的宿主用戶virtusers的，如果virtusers這個虛擬用戶的宿主被限制住了，那么虛擬用戶也將受到限制。補充：1.要查看服務(wù)器自帶的防火墻有無擋住FTP 21端口 導(dǎo)致不能訪問2.查看 SELinux 禁用沒有.要禁用3.500 OOPS:錯誤 有可能是你的vsftpd.con配置文件中有不能被實別的命令，還有一種可能是命令的YES 或 NO 后面有空格。4.要仔細查看各個用到的文件夾權(quán)限,及用戶屬

30、主權(quán)限等1 如何新加FTP用戶打開密碼文件里加入(一行是用戶.一是密碼.依次類推)#vi /etc/vsftpd/virtusers加入用戶后 保存退出#db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db (然后生成新的虛擬用數(shù)據(jù)文件)#cp /etc/vsftpd/vconf/vconf.tmp d (新建d用戶,用虛擬用戶模板vconf.tmp文件生成d虛擬用戶文件)#vi /etc/vsftpd/vconf/d (打開D虛擬用戶文件.在第一行最后加入該用戶對應(yīng)的FTP目錄)#mkdir /opt/vsf

31、tp/WWW (新建WWW目錄為d FTP用戶登陸目錄)#service vsftpd restart2 如何修改FTP 用戶登陸密碼打開密碼文件里加入(第一行是用戶.第二是密碼.依次類推,只要改對應(yīng)用戶下面的密碼即可)#vi /etc/vsftpd/virtusers #db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db (然后生成新的虛擬用數(shù)據(jù)文件)#service vsftpd restart1 安裝并啟動服務(wù) #rpm qa | grep vsftpd ；查看是否安裝vsft

32、pd服務(wù)#yum install vsftpd ；安裝vsftpd服務(wù)/etc/init.d/vsftpd start ;啟動服務(wù)#chkconfig vsftpd on ;讓系統(tǒng)服務(wù)隨著系統(tǒng)啟動而啟動配置相關(guān)文檔：#vi /etc/vsftpd/vsftpd.conf復(fù)制代碼禁止匿名用戶訪問：anonymous_enable=YES,將YES改為NO在文件末尾加如下的設(shè)置：pasv_enable=YES ;允許被動模式pasv_min_port=10000 ；被動模式使用端口范圍pasv_max_port=1001

33、0local_max_rate=200000 ；用戶寬帶限制chroot_local_user=YES ；禁用戶離開主目錄注意：設(shè)置pasv端口后，需要修改防火墻，如在centOs里，修改如下：iptables -A RH-Firewall-1-INPUT -p tcp -dport 10000:10010 -j ACCEPT2 添加虛擬主機用戶添加用戶edwin, 用戶目錄指定為/var/www/ftp/edwin,且此用戶不能登陸系統(tǒng).#mkdir /var/www/ftp/edwin#useradd s /sbin/nologin -g ftp d /var/www/ftp/edwin

34、edwin注-s /sbin/nologin是讓其不能登陸系統(tǒng)，-d 是指定用戶目錄為/var/#passwd edwin 這是我設(shè)置的密碼#chown R edwin:ftp /var/www/ftp/edwin四， VsFTPd相關(guān)的配置詳解1.匿名用戶相關(guān)設(shè)置anonymous_enable=YES ,將YES改為NO, 禁止匿名用戶登陸#non_mkdir_write_enable=YES ,將#注釋去掉，允許匿名用戶創(chuàng)建目錄#non_upload_enalbe=YES ,將#去掉，允許匿名用戶上傳anon_world_readable_only=YES ,允許匿名用戶下載，默認是禁止

35、的，這個可以自行添加。Anon_other_write_enable=YES ,將其設(shè)為YES的話，就除了上傳和創(chuàng)建目錄外，還可以重命名，刪除文件，默認是NOno_anon_password=NO ,將其設(shè)為YES,匿名用戶不會查詢用戶密碼直接登陸。ftp_username=ftp ,匿名用戶登陸系統(tǒng)的賬號默認為ftp,此項最好不要改，否則設(shè)置不當會給系統(tǒng)的安全帶來威脅。2.FTP服務(wù)端口的指定listen_port=8021 ,指定命令通道為8021,默認為21listen_data_port=8020 ,指定數(shù)據(jù)通道為8020,默認為203.上傳模式的設(shè)置pasv_enable=YES ,是否允使用被動模式，默認是允許的。pasv_min_port=10000