�8�3 非常高的安全性需求
�8�3 带宽限制
�8�3 良好的可伸缩性
�8�3 创建虚拟用户的可能性
�8�3 分配虚拟IP地址的可能性
一、vsftpd的启动
#service vsftpd start
如果允许用户匿名访问,需创建用户ftp和目录/var/ftp
# mkdir /var/ftp
# useradd –d /var/ftp ftp
二、vsftpd的配置
Vsftpd的配置文件存放在/etc/vsftpd/vsftpdconf 我们可根据实际数要对如下信息进行配置:
1 连接选项
☆监听地址和控制端口
(1) listen_address=ip address
定义主机在哪个IP 地址上监听FTP请求。即在哪个IP地址上提供FTP服务。
(2) listen_port=port_value
指定FTP服务器监听的端口号。默认值为21。
2 性能与负载控制
☆超时选项
(1) idle_session_timeout=
空闲用户会话的超时时间,若是超过这段时间没有数据的传送或是指令的输入,则会被迫断线。默认值是300s
(2) accept_timeout=numerical value
接受建立联机的超时设定。默认值为60s
☆负载选项
(1) max_clients= numerical value
定义FTP服务器最大的兵法连接数。当超过此连接数时,服务器拒绝客户端连接。默认值为0,表示不限最大连接数。
(2) max_per_ip= numerical value
定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将会影响到网际快车、迅雷之类的多线程下载软件。默认值为0,表示不限制。
(3) anon_max_rate=value
设定匿名用户的最大数据传输速度,以B/s为单位。默认无。
(4) local_max_rate=value
设定用户的最大数据传输速度。以B/s为单位。默认无。此选项对所有的用户都生效。
3 用户选项
vsftpd的用户分为3类:匿名用户、本地用户(local user)及虚拟用户(guest)
☆ 匿名用户
(1) anonymous_enable=YES|NO
控制是否允许匿名用户登录
(2) ftp_username=
匿名用户使用的系统用户名。默认情况下,值为ftp
(3) no_anon_password= YES|NO
控制匿名用户登录时是否需要密码。
(4) anon_root=
设定匿名用户的根目录,即匿名用户登录后,被定位到此目录下。主配置文件中默认无此项,默认值为/var/ftp/
(5) anon_world_readable_only= YES|NO
控制是否只允许匿名用户下载可阅读的文档。YES,只允许匿名用户下载可阅读的文件。NO,允许匿名用户浏览整个服务器的文件系统。
(6) anon_upload_enable= YES|NO
控制是否允许匿名用户上传文件。除了这个参数外,匿名用户要能上传文件,还需要两个条件,write_enable参数为YES;在文件系统上,FTP匿名用户对某个目录有写权限。
(7) anon_mkdir_wirte_enable= YES|NO
控制是否允许匿名用户创建新目录。在文件系统上,FTP匿名用户必须对新目录的上层目录拥有写权限。
(8) anon_other_write_enbale= YES|NO
控制匿名用户是否拥有除了上传和新建目录之外的其他权限。如删除、更名等。
(9) chown_uploads= YES|NO
是否修改匿名用户所上传文件的所有权。YES,匿名用户上传得文件所有权改为另一个不同的用户所有,用户由chown_username参数指定。
(10) chown_username=whoever
指定拥有匿名用户上传文件所有权的用户。
☆本地用户
(1) local_enable= YES|NO
控制vsftpd所在的系统的用户是否可以登录vsftpd。
(2) local_root=
定义本地用户的根目录。当本地用户登录时,将被更换到此目录下。
☆虚拟用户
(1) guest_enable= YES|NO
启动此功能将所有匿名登入者都视为guest
(2) guest_username=
定义vsftpd的guest用户在系统中的用户名。
4 安全措施
☆用户登录控制
(1) /etc/vsftpdftpusers
Vsftpd禁止列在此文件中的用户登录FTP服务器。此机制是默认设置的。
(2) userlist_enable= YES|NO
此选项激活后,vsftpd将读取userlist_file参数所指定的文件中的用户列表。
(3) userlist_file=/etc/vsftpduser_list
指出userlist_enable选项生效后,被读取的包含用户列表的文件。默认值是/etc/vsftpduser_list
(4) userlist_deny= YES|NO
决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。userlist_enable选项启动后才能生效。默认值为YES,禁止文中的用户登录,同时不向这些用户发出输入口令的指令。NO,只允许在文中的用户登录FTP服务器。
☆目录访问控制
(1) chroot_list_enable= YES|NO
锁定某些用户在自己的目录中,而不可以转到系统的其他目录。
(2) chroot_list_file=/etc/vsftpd/chroot_list
指定被锁定在主目录的用户的列表文件。
(3) chroot_local_users= YES|NO
将本地用户锁定在主目中。
三、vsftpd服务器的配置实例:
基于IP的虚拟FTP服务器配置
假设服务器有两个IP地址,1921681199和1921681200。vsftpd是建立在1921681199上的。现在在1921681200上再提供一个虚拟FTP服务器。
☆创建虚拟FTP服务器根目录
# mkdir –p /var/ftp2/pub
确保/var/ftp2和/var/ftp2/pub目录的所有者和组均为root,掩码为755
# chmod 755 /var/ftp2 # chmod 755 /var/ftp2/pub
# chown –R root /var/ftp2 # chown –R : root /var/ftp2
☆ 增加虚拟FTP服务器的匿名用户帐号ftp2
# useradd –d /var/ftp2 –M ftp2
☆ 创建虚拟FTP服务器的配置文件
复制原来的vsftpdconf作为虚拟FTP服务器的配置文件,并修改相关参数
# cp /etc/vsftpd/vsftpdconf /etc/vsftpd/vsftpd2conf
# vi /etc/vsftpd/vsftpd2conf
添加或修改参数:
Listen=YES
Listen_address=1921681200
ftp_username=ftp2
anon_root=/var/ftp2
并可参考vsftpd的配置部分的说明做其他配置,如:
�6�1允许匿名用户上传文件
Write_enable=YES
Anon_world_readable_only=NO
Anon_upload_enable=YES
Anon_mkdir_write_enable=YES
创建匿名用户上传文件的目录,并设置权限:
# mkdir /var/ftp/incoming # chmod o+w /var/ftp/incoming
�6�1取消写权限
Write_enable=NO
Anon_upload_enable=NO
Anon_mkdir_write_enable=NO
Anon_other_write_enable=NO
�6�1限制下载速度为80KB/s
Anon_max_rate=8000
�6�1控制并发数,以及每个IP地址的并发数
Max_clients=100
Max_per_ip=3
☆启动虚拟FTP服务器
# /usr/sbin/vsftpd /etc/vsftpd/vsftpd2comf &
# 匿名用户配置
anonymous_enable=YES # 是否允许匿名ftp,如否则选择NO
anon_upload_enable=YES # 匿名用户是否能上传
anon_mkdir_write_enable=YES # 匿名用户是否能创建目录
anon_other_write_enable=YES # 修改文件名和删除文件
# 本地用户配置
local_enable=YES # 是否允许本地用户登录
local_umask=022 # umask 默认755
write_enable=YES
chroot_local_user=YES # 本地用户禁锢在宿主目录中
chroot_list_enable=YES # 是否将系统用户限止在自己的home目录下
chroot_list_file=/etc/vsftpdchroot_list # 列出的是不chroot的用户的列表
chown_upload=YES # 是否改变上传文件的属主
chown_username=username # 如果是需要输入一个系统用户名
userlist_enable=YES
userlist_deny=NO
deny_email_enable=YES # 是否允许禁止匿名用户使用某些邮件地址
banned_email_file=/etc/vsftpdbanned_emails # 禁止邮件地址的文件路径
ftpd_banner=Welcome to chenlf FTP service # 定制欢迎信息
dirmessage_enable=YES # 是否显示目录说明文件, 需要收工创建message文件
message_file= # 设置访问一个目录时获得的目录信息文件的文件名,默认是message
xferlog_enable=YES # 是否记录ftp传输过程
xferlog_file=/var/log/vsftpdlog # ftp传输日志的路径和名字
xferlog_std_format=YES # 是否使用标准的ftp xferlog模式
ascii_upload_enable=YES # 是否使用ascii码方式上传文件
ascii_download_enable=YES # 是否使用ascii码方式下载文件
connect_from_port_20=YES # 是否确信端口传输来自20(ftp-data)
nopriv_user=ftpsecure # 运行vsftpd需要的非特权系统用户默认是nobody
async_abor_enable=YES # 是否允许运行特殊的ftp命令async ABOR
# FTP服务器的资源限制
idle_session_timeout=600 # 设置session超时时间
data_connection_timeout=120 # 设置数据传输超时时间
max_clients=50 # 用户最大连接数 默认是0不限止
max_per_ip=5 # 每个IP地址最大连接数
anon_max_rate=102400 # 匿名的下载速度 KB
local_max_rate=102400 # 普通用户的下载速度 KB
登录到要设置成 NFS 服务的那个服务器上
设置 NFS 要共享的目录,在命令行输入 vi /etc/exports 后回车
进入 vi 的文件编辑窗口,按 i 键切换到编辑模式,输入你想设置的目录位置和权限,如:/var/ftp (rw,no_root_squash) ;说明:/var/ftp 为共享的目录位置; (rw,no_root_squash) 为任意IP都可以访问 rw为可进行读写访问 no_root_squash 为拥有这个目录所有者的权限。
确认输入正确后,按 Esc 键,回到 vi 的命令模式,依次按 : (冒号) wq 键后回车保存并退出编辑。
使用 service nfs start 命令启动 NFS 服务(在对 /etc/exports 做了任何修改后都需要重启 NFS 服务,才可以使修改生效,重启命令 service nfs restart)
至此,服务器上面的设置完成了。
开始使用NFS服务的客户端设置,首先还是先使用 PuTTY 登录到要使用 NFS 的电脑上。(为了方便,我都是在一台电脑上 *** 作的)
建立 NFS 要挂载位置的目录(如果目录已经存在忽略此步骤),加入我想挂载到 /var/ftp 这个目录下,那么我先用命令 mkdir /nfs/ftp 创建目录,之后使用 ls /var -l 命令查看
挂载 NFS 共享,使用 mount -t nfs -o rw 192168109130:/nfs/ftp /var/ftp 命令完成挂载
要想每次启动机器的时候自动挂载,可使用命令 vi /etc/fstab 编辑,在最后面加上 192168109130:/var/ftp /nfs/ftp nfs defaults 0 0 ,保存退出。这样在每次启动的时候就会自动挂载 192168109130:/var/ftp 这个NFS 共享了。在vsftpdconf这个文件里面的,local_enable=yes,首先要开启这个,然后用user add命令新建本地用户,然后把自家目录由/home,改为其他,要修改这个文件,/etc/passwd:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
desktop:x:80:80:desktop:/var/lib/menu/kde:/sbin/nologin
mengqc:x:500:500:mengqc:/home/mengqc:/bin/bash
如上所显示,找到你的本地用户,然后把/home后面的路径改了就可以,记得保存这个文件。这样FTP用户就可以用本地用户登录了,不改路径的话需要另外开启/home的访问权限,由于这个是敏感目录,所以个人并不推荐开启。配置ftp有三种模式,但是这里字数有限,下面这个是匿名的。详细的你可以看下最后那个连接
vsftpd服务程序中匿名开放是一种最不安全的验证模式,任何人都可以无需密码验证就登陆到FTP服务端主机,这种模式一般只用来保存不重要的公开文件,尤其是在生产环境中更要注意不放敏感文件,当然也非常推荐用咱们第八章中学习的防火墙管理工具(例如Tcp_wrappers)将vsftpd服务程序的允许访问主机范围设置为企业内网,这样还算能够保证基本的安全性。
vsftpd服务程序默认已经开启了匿名访问模式,咱们需要做的就是进一步允许匿名用户的上传、下载文件的权限,以及让匿名用户能够创建、删除、更名文件的权限,这些权限对于匿名用户来讲非常的危险,咱们只是为了练习Linux系统中vsftpd服务程序的配置能力,十分不推荐在生产环境中使用,匿名用户的权限参数及介绍:
参数
作用
anonymous_enable=YES
允许匿名访问模式。
anon_umask=022
匿名用户上传文件的umask值。
anon_upload_enable=YES
允许匿名用户上传文件
anon_mkdir_write_enable=YES
允许匿名用户创建目录
anon_other_write_enable=YES
允许匿名用户修改目录名或删除目录
[root@linuxprobe ~]# vim /etc/vsftpd/vsftpdconf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
确认参数填写正确后保存并退出vsftpd服务程序的主配置文件,还需要重启vsftpd服务程序来让新的配置服务参数生效,并且同学们在生产环境中或者红帽RHCSA、RHCE、RHCA认证考试中也请记得一定要把配置过的服务程序加入到开机启动项中,以保证下次服务器重启后依然能够为用户正常提供ftp文件传输服务:
[root@linuxprobe ~]# systemctl restart vsftpd
[root@linuxprobe ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpdservice' '/etc/systemd/system/multi-usertargetwants/vsftpdservice
这样咱们就可以在客户端上面使用ftp命令连接到远程的FTP服务器上面了,FTP服务的匿名开放模式的帐号统一为anonymous,密码为空。匿名模式登陆到FTP服务器后默认所在位置为/var/ftp目录,咱们可以切换至里面的pub目录中,然后尝试创建一个新的目录文件来检验是否已经有了写入权限:
[root@linuxprobe ~]# ftp 1921681010
Connected to 1921681010 (1921681010)
220 (vsFTPd 302)
Name (1921681010:root): anonymous
331 Please specify the password
Password:此处敲击回车即可
230 Login successful
Remote system type is UNIX
Using binary mode to transfer files
ftp> cd pub
250 Directory successfully changed
ftp> mkdir files
550 Permission denied
刚刚咱们已经把iptables防火墙策略清空,而且也在vsftpd服务程序的主配置文件中添加了允许匿名用户创建目录和写入文件的权限,那么为什么还会被拒绝呢?建议同学们先不要往下面看,思考后用自己的方法尝试解决下这个问题,长期这样您的Linux系统排错能力就一定会练出来的。
回想起前面 *** 作的细节,咱们FTP服务的匿名开放模式是默认登陆到了/var/ftp目录中,查看下这个目录的权限后才发现原来只有root管理员用户才有写入权限的,怪不得会提示写入出错呢,咱们只需要把目录的所有者身份改成系统帐户ftp即可,这样就应该可以了吧~
[root@linuxprobe ~]# ls -ld /var/ftp/pub
drwxr-xr-x 3 root root 16 Jul 13 14:38 /var/ftp/pub
[root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub
[root@linuxprobe ~]# ls -ld /var/ftp/pub
drwxr-xr-x 3 ftp root 16 Jul 13 14:38 /var/ftp/pub
[root@linuxprobe ~]# ftp 1921681010
Connected to 1921681010 (1921681010)
220 (vsFTPd 302)
Name (1921681010:root): anonymous
331 Please specify the password
Password:此处敲击回车即可
230 Login successful
Remote system type is UNIX
Using binary mode to transfer files
ftp> cd pub
250 Directory successfully changed
ftp> mkdir files
550 Create directory operation failed
又报错了!!此时再次使用ftp命令登入到FTP服务器主机后依然会提示写入 *** 作失败,但细心的同学一定发现报错信息已经产生了变化,在刚刚没有写入权限的时候提示说权限拒绝(Permission denied)所以咱们怀疑是权限的问题,但现在是提示创建目录的 *** 作失败(Create directory operation failed)那么咱们同学应该也能马上意识到是SELinux服务在限制这个 *** 作了吧,查看下所有与ftp相关的SELinux域策略有那些吧:
[root@linuxprobe ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
>那就可以重新生成配置文件,可以用yum源 yum remove vsftp -y 卸载后,重新在安装一下,就可以了
下面是:Linux FTP配置文件说明
一vsftpd说明:
LINUX下实现FTP服务的软件很多,最常见的有vsftpd,Wu-ftpd和Proftp等Red Hat Enterprise Linux中默认安装的是vsftpd
访问FTP服务器时需要经过验证,只有经过了FTP服务器的相关验证,用户才能访问和传输文件vsftpd提供了3种ftp登录形式:
(1)anonymous(匿名帐号)
使用anonymous是应用广泛的一种FTP服务器如果用户在FTP服务器上没有帐号,那么用户可以以anonymous为用户名,以自己的电子邮件地址为密码进行登录当匿名用户登录FTP服务器后,其登录目录为匿名FTP服务器的根目录/var/ftp为了减轻FTP服务器的负载,一般情况下,应关闭匿名帐号的上传功能
(2)real(真实帐号)
real也称为本地帐号,就是以真实的用户名和密码进行登录,但前提条件是用户在FTP服务器上拥有自己的帐号用真实帐号登录后,其登录的目录为用户自己的目录,该目录在系统建立帐号时系统就自动创建
(3)guest(虚拟帐号)
如果用户在FTP服务器上拥有帐号,但此帐号只能用于文件传输服务,那么该帐号就是guest,guest是真实帐号的一种形式,它们的不同之处在于,geust登录FTP服务器后,不能访问除宿主目录以外的内容
二FTP相关配置文件说明
其相关配置文件有/etc/vsftpd/vsftpdconf, /etc/vsftpdftpusers, /etc/vsftpduser_list,在配置FTP服务器时,主要是修改这些文件中的相关语句
1vsftpdconf文件说明
# Example config file /etc/vsftpd/vsftpdconf
#
# The default compiled in settings are fairly paranoid This sample file
# loosens things up a bit, to make the ftp daemon more usable
# Please see vsftpdconf5 for all compiled in defaults
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options
# Please read the vsftpdconf5 manual page to get a full idea of vsftpd's
# capabilities
#
# Allow anonymous FTP (Beware - allowed by default if you comment this out)
anonymous_enable=YES //是否允许anonymous登录FTP服务器,默认是允许的
#
# Uncomment this to allow local users to log in
local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许
#
# Uncomment this to enable any form of FTP write command
write_enable=YES //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许
#
# Default umask for local users is 077 You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022 //设置本地用户的文件生成掩码为022,默认是077
#
# Uncomment this to allow the anonymous FTP user to upload files This only
# has an effect if the above global write enable is activated Also, you will
# obviously need to create a directory writable by the FTP user
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories
#anon_mkdir_write_enable=YES //是否允许匿名账户在FTP服务器中创建目录
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
#
# Activate logging of uploads/downloads
xferlog_enable=YES //启用上传和下载日志功能
#
# Make sure PORT transfer connections originate from port 20 (ftp-data)
connect_from_port_20=YES //启用FTP数据端口的连接请求
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like The default is shown
# below
#xferlog_file=/var/log/vsftpdlog //设置日志文件的文件名和存储路径,这是默认的
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=YES//是否使用标准的ftpd xferlog日志文件格式
#
# You may change the default value for timing out an idle session
#idle_session_timeout=600 //设置空闲的用户会话中断时间,默认是10分钟
#
# You may change the default value for timing out a data connection
#data_connection_timeout=120//设置数据连接超时时间,默认是120秒
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests Not
# recommended for security (the code is non-trivial) Not enabling it,
# however, may confuse older FTP clients
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode
# Beware that turning on ascii_download_enable enables malicious remote parties
# to consume your I/O resources, by issuing the command "SIZE /big/file" in
# ASCII mode
# These ASCII options are split into upload and download because you may wish
# to enable ASCII uploads (to prevent uploaded scripts etc from breaking),
# without the DoS risk of SIZE and ASCII downloads ASCII mangling should be
# on the client anyway
#ascii_upload_enable=YES
#ascii_download_enable=YES //是否允许使用ASCII格式来上传和下载文件
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service//在FTP服务器中设置欢迎登录的信息
#
# You may specify a file of disallowed anonymous e-mail addresses Apparently
# useful for combatting certain DoS attacks
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpdbanned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot()
#chroot_list_enable=YES //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项,如果设置chroot_list_enable=YES,那么只允许/etc/vsftpdchroot_list中列出的用户具有该功能如果希望所有的本地用户都执行者chroot,可以增加一行:chroot_local_user=YES
# (default follows)
#chroot_list_file=/etc/vsftpdchroot_list
#
# You may activate the "-R" option to the builtin ls This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it
#ls_recurse_enable=YES
pam_service_name=vsftpd //设置PAM认证服务的配置文件名称,该文件存放在/etc/pamd/目录下
userlist_enable=YES //用户列表中的用户是否允许登录FTP服务器,默认是不允许
#enable for standalone mode
listen=YES //使vsftpd 处于独立启动模式
tcp_wrappers=YES //使用tcp_wrqppers作为主机访问控制方式
2vsftpdftpusers文件说明
这个文件是用来记录"不允许"登录到FTP服务器的用户,通常是一些系统默认的用户
下面是该文件中默认的不允许登录的名单:
# Users that are not allowed to login via ftp
root //默认情况下,root和它以下的用户是不允许登录FTP服务器的可以将不允许登录的用户添加到这里来但切记每个用户都要单独占用一行
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
3vsftpduser_list文件说明
其实它的内容跟上面那个文件内容一样,只是在系统对文件vsftpdconf 进行检测时,会检测到"userlist_deny=YES",因此这个文件必须存在下面是这个文件的内容
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password
# Note that the default vsftpd pam config also checks /etc/vsftpdftpusers
# for users that are denied
root
bin
daemon
adm
lp
sync
shutdown
halt
news
uucp
operator
games
nobody
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)