设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 数据 公司
当前位置: 首页 > 服务器 > 安全 > 正文

VSftpd安装和配置FTP虚拟用户实践

发布时间:2021-01-08 15:10 所属栏目:53 来源:网络整理
导读:《VSftpd安装和配置FTP虚拟用户实践》要点: 本文介绍了VSftpd安装和配置FTP虚拟用户实践,希望对您有用。如果有疑问,可以联系我们。 VSftpd英文全称(Very Secure File Transfer Protocol Deamon),正如VSftpd官方宣传中所说 Probably the most secure and f

《VSftpd安装和配置FTP虚拟用户实践》要点:
本文介绍了VSftpd安装和配置FTP虚拟用户实践,希望对您有用。如果有疑问,可以联系我们。

VSftpd英文全称(Very Secure File Transfer Protocol Deamon),正如VSftpd官方宣传中所说Probably the most secure and fastest FTP server for UNIX-like systems.我相信这是大多数人选择VSftpd来搭建Linux的FTP服务器的原因,当然ProFTPD用的人应该也不在少数.本文将以清晰直观的方式介绍安装VSftpd以及配置FTP虚拟用户的过程,希望对大家有帮助.

安装VSftpd及相关组件

$ yum -y install vsftpd* pam* db4* ftp

修改FTP相关帐户

  • VSftpd服务的宿主用户

$ useradd vsftpd -s /sbin/nologin

默认的VSftpd的服务宿主用户是root,但是这不符合安全性的需要.这里建立名字为vsftpd的用户,用他来作为支持VSftpd的服务宿主用户.由于该用户仅用来支持VSftpd服务用,因此没有许可他登陆系统的必要,并设定他为不能登陆系统的用户.

  • VSftpd的虚拟宿主用户

$ useradd virtual -d /home/ftpdata/ -s /sbin/nologin
$ chown -R virtual:virtual /home/ftpdata/

VSftpd的虚拟用户并不是系统用户,也就是说这些FTP的用户在系统中是不存在的.他们的总体权限其实是集中寄托在一个在系统中的某一个用户身上的,所谓VSftpd的虚拟宿主用户,就是这样一个支持着所有虚拟用户的宿主用户.由于他支撑了FTP的所有虚拟的用户,那么他本身的权限将会影响着这些虚拟的用户,因此出于安全性的考虑,也要非常注意对该用户的权限的控制,该用户也绝对没有登陆系统的必要,这里也设定他为不能登陆系统的用户.

vsftpd.conf基本配置

  • 一些基本配置选项说明

anonymous_enable=YES|NO 
控制是否允许匿名用户登录,YES允许,NO不允许,默认值为YES. 

ftp_username= username
匿名用户所使用的系统用户名.默认下,此参数在配置文件中不出现,值为ftp

no_anon_password=YES|NO 
控制匿名用户登入时是否需要密码,YES不需要,NO需要.默认值为NO. 

anon_root=path
设定匿名用户的根目录,即匿名用户登入后,被定位到此目录下.主配置文件中默认无此项,默认值为/var/ftp/. 

anon_world_readable_only=YES|NO
控制是否只允许匿名用户下载可阅读文档.YES,只允许匿名用户下载可阅读的文件.NO,允许匿名用户浏览整个服务器的文件系统.默认值为YES. 

anon_upload_enable=YES|NO 
控制是否允许匿名用户上传文件,默认是不设值,即为NO.除了这个参数外,匿名用户要能上传文件,还需要两个条件:一,write_enable参数为YES;二,在文件系统上,FTP匿名用户对某个目录有写权限. 
anon_mkdir_write_enable=YES|NO 
控制是否允许匿名用户创建新目录,即为NO.当然在文件系统上,FTP匿名用户必需对新目录的上层目录拥有写权限. 

anon_other_write_enable=YES|NO 
控制匿名用户是否拥有除了上传和新建目录之外的其他权限,如删除、更名等.YES拥有,NO不拥有,默认值为NO. 

chown_uploads=YES|NO 
是否修改匿名用户所上传文件的所有权.YES,匿名用户所上传的文件的所有权将改为另外一个不同的用户所有,用户由chown_username参数指定.此选项默认值为NO. 

chown_username=whoever
指定拥有匿名用户上传文件所有权的用户

local_enable=YES|NO 
控制vsftpd所在的系统的用户是否可以登录vsftpd.默认值为YES. 

local_root= 
定义所有本地用户的根目录.当本地用户登入时,将被更换到此目录下.默认值为无. 

user_config_dir= 
定义用户个人配置文件所在的目录.用户的个人配置文件为该目录下的同名文件

chroot_list_enable=YES|NO 
锁定某些用户在自家目录中.即当这些用户登录后,不可以转到系统的其他目录,只能在自家目录(及其子目录)下.具体的用户在chroot_list_file参数所指定的文件中列出.默认值为NO. 

chroot_list_file=/etc/vsftpd/chroot_list 
指出被锁定在自家目录中的用户的列表文件.文件格式为一行一用户.通常该文件是/etc/vsftpd/chroot_list.此选项默认不设置. 

chroot_local_users=YES|NO 
将本地用户锁定在自家目录中.当此项被激活时,chroot_list_enable和chroot_local_users参数的作用将发生变化,chroot_list_file所指定文件中的用户将不被锁定在自家目录.本参数被激活后,可能带来安全上的冲突,特别是当用户拥有上传、shell访问等权限时.因此,只有在确实了解的情况下,才可以打开此参数.默认值为NO. 

passwd_chroot_enable =YES|NO
当此选项激活时,与chroot_local_user选项配合,chroot()容器的位置可以在每个用户的基础上指定.每个用户的容器来源于/etc/passwd中每个用户的自家目录字段.默认值为NO.

listen_address=ip address 
定义了在主机的哪个IP地址上监听FTP请求

listen_port=port_value ?
指定FTP服务器监听的端口号(控制端口),默认值为21.此选项在standalone模式下生效

port_enable=YES|NO
指定数据连接时模式,默认值为YES(PORT模式,NO为PASV模式)

connect_from_port_20=YES|NO
控制以PORT模式进行数据传输时是否使用20端口(ftp-data)

ftp_data_port=port number 
设定ftp数据传输端口(ftp-data)值.默认值为20.此参数用于PORT FTP模式. 

pasv_enable=YES|NO
YES,允许数据传输时使用PASV模式.NO,不允许使用PASV模式.默认值为YES.

pasv_min_port=port number
pasv_max_port=port number
设定在PASV模式下,建立数据传输所可以使用port范围的下界和上界,0 表 ? ?示任意.默认值为0.把端口范围设在比较高的一段范围内,比如50000-60000,将有助于安全性的提高

pasv_address= ip address
此选项为一个数字IP地址,作为PASV命令的响应.默认值为none,即地址是从呼入的连接套接字(incoming connectd socket)中获取.

ascii_upload_enable=YES|NO
控制是否允许使用ascii模式上传文件,默认为NO 

ascii_download_enable=YES|NO
控制是否允许使用ascii模式下载文件,默认为NO.

idle_session_timeout= numerical value
空闲用户会话的超时时间,若是超出这时间没有数据的传送或是指令的输入,则会强迫断线.单位为秒,默认值为300.

data_connection_timeout= numerical value
空闲的数据连接的超时时间.默认值为300 秒.

accept_timeout=numerical value 
接受建立联机的超时设定,单位为秒.默认值为60.

connect_timeout=numerical value
响应PORT方式的数据联机的超时设定,单位为秒.默认值为60

max_clients=numerical value 
此参数在VSFTPD使用单独(standalone)模式下有效.此参数定义了FTP服务器最大的并发连接数,当超过此连接数时,服务器拒绝客户端连接.默认值为0,表示不限最大连接数.

max_per_ip=numerical value 
此参数在VSFTPD使用单独(standalone)模式下有效.此参数定义每个IP地址最大的并发连接数目.超过这个数目将会拒绝连接.此选项的设置将影响到象网际快车这类的多进程下载软件.默认值为0,表示不限制. 

anon_max_rate=value 
设定匿名用户的最大数据传输速度value,以Bytes/s为单位.默认无. 

local_max_rate=value 
设定用户的最大数据传输速度value,以Bytes/s为单位.默认无.

write_enable=YES
设定允许进行写操作(上传、删除),默认为YES,可选值【yes,no】

local_umask=022
设定权限掩码,默认022,对应的文件上传权限644、目录权限755

dirmessage_enable=YES
设定开启目录标语功能

xferlog_enable=YES
设定开启日志记录功能

xferlog_file=/var/log/ftp/vsftpd.log
设置日志目录

xferlog_std_format=YES
设定日志使用标准的记录格式

nopriv_user=vsftpd
设定支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户.注意,一旦做出更改宿主用户后,必须注意一起与该服务相关的读写文件的读写赋权问题.比如日志文件就必须给与该用户写入权限等.

async_abor_enable=YES
设定支持异步传输功能.

ftpd_banner=This Vsftp server supports virtual users ^_^
设定Vsftpd的登陆标语.

deny_email_enable=YES
可将某些特殊的 email address 抵挡住.如果以anonymous 登录服务器时,会要求输入密码,也就是您的email address,如果很讨厌某些email address,就可以使用此设定来取消他的登录权限,但必须与下面的设置项配合

banned_email_file=/etc/vsftpd/banned_emails
当上面的 deny_email_enable=YES 时,可以利用这个设定项来规定那个email address 不可登录vsftpd 服务器,此文件需用户自己创建,一行一个email address 即可!

ls_recurse_enable=YES
是否允许递归查询,大型站点的 FTP 服务器启用此项可以方便远程用户查询

chroot_local_user=YES

listen=YES
如果设置为 YES,则 vsftpd 将以独立模式运行,由vsftpd 自己监听和处理连接请求

listen_ipv6=YES
设定是否支持IPV6

pam_service_name=vsftpd
设置 PAM 外挂模块提供的认证服务所使用的配置文件名,即/etc/pam.d/vsftpd 文件,此文件中file=/etc/vsftpd/ftpusers 字段,说明了PAM 模块能抵挡的帐号内容来自文件/etc/vsftpd/ftpusers 中

userlist_enable=YES/NO
此选项默认值为NO,此时ftpusers 文件中的用户禁止登录FTP 服务器;若此项设为YES,则 user_list 文件中的用户允许登录 FTP 服务器,而如果同时设置了 userlist_deny=YES,则 user_list 文件中的用户将不允许登录FTP 服务器,甚至连输入密码提示信息都没有,直接被FTP 服务器拒绝

userlist_deny=YES/NO
此项默认为YES,设置是否阻扯user_list 文件中的用户登录FTP 服务器

tcp_wrappers=YES
表明服务器使用 tcp_wrappers 作为主机访问控制方式,tcp_wrappers 可以实现linux 系统中网络服务的基于主机地址的访问控制,在/etc 目录中的hosts.allow 和hosts.deny 两个文件用于设置tcp_wrappers 的访问控制,前者设置允许访问记录,后者设置拒绝访问记录.例如想限制某些主机对FTP 服务器192.168.57.2 的匿名访问,编缉/etc/hosts.allow 文件,如在下面增加两行命令:vsftpd:192.168.57.1:DENY 和vsftpd:192.168.57.9:DENY 表明限制IP 为192.168.57.1/192.168.57.9 主机访问IP 为192.168.57.2 的FTP 服务器,此时FTP 服务器虽可以PING 通,但无法连接
  • 关于userlist_enable、userlist_deny的设置,ftpusers和user_list文件的区别

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读