如何搭建一个 FTP 服务器(环境:linux centos 6.6 vsftpd)
引用百度百科的名词解释->
vsftpd 是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX 等系统上面,是一个完全免费的、开放源代码的 ftp 服务器软件,支持很多其他的 FTP 服务器所不支持的特征。比如:非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持 IPv6、速率高等。
vsftpd 是一款在 Linux 发行版中最受推崇的 FTP 服务器程序。特点是小巧轻快,安全易用。
今天就来在 linux 上搭建一个简单易用的 ftp 服务器
第一步,安装 vsftpd
一般 centos 系统都自带了 vsftpd 这个软件,如果没有,我们就用 yum 来安装它
yum install vsftpd
第二步,配置 vsftpd
安装完成之后,我们就去配置它吧,配置文件在 /etc/vsftpd 这个目录下
[root@localhost ~]# cd /etc/vsftpd/ [root@localhost vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh
我们知道 ftp 所需要的端口是 20 与 21,所以在使用之前需要将防火墙的 20 与 21 端口打开
iptables -I INPUT 1 -p tcp --dport 20:21 -j ACCEPT #将防火墙规则保存下来 service iptables save
接下来我们来启动 vsftpd
service vsftpd start
我们来用 vim 编辑 vsftpd.conf
# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# The target log file can be vsftpd_log_file or xferlog_file.
# This depends on setting xferlog_std_format parameter
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# The name of log file when xferlog_enable=YES and xferlog_std_format=YES
# WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log
#xferlog_file=/var/log/xferlog
#
# Switches between logging into vsftpd_log_file and xferlog_file files.
# NO writes to vsftpd_log_file, YES to xferlog_file
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_local_user=YES
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES
#
# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6
# sockets, you must run two copies of vsftpd with two configuration files.
# Make sure, that one of the listen options is commented !!
#listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
anonymous_enable=YES
是否匿名访问 ftp,如果为 yes 我们可以使用用户名为 ftp 端口 21 来访问
如果为 false 那么就只能通过用户名与密码访问了
目录为/var/ftp 该目录下默认有一个 pub 目录
local_enable=YES
是否允许本地用户登录
何为本地用户呢?就是 linux 下创建的普通用户,不包括 root 用户
既然这样,我们就用本地用户 tom 登录一下,发现登录错误
以下是登录错误信息
[R] 331 Please specify the password. [R] PASS (hidden) [R] 500 OOPS: cannot change directory:/home/tom
错误信息大意是指 ftp 不能访问到 /home/tom 这个目录(tom 用户的家目录)
实际上这是 setenforce 的问题
只要将 setenforce 关掉就能登录了
setenforce 0
我们先把 setenforce 打开
我们再来看一下 ftp 的 getsebool
[root@localhost vsftpd]# setenforce 1 [root@localhost vsftpd]# getsebool -a | grep ftp allow_ftpd_anon_write --> off allow_ftpd_full_access --> off allow_ftpd_use_cifs --> off allow_ftpd_use_nfs --> off ftp_home_dir --> off #通过 ftp 登录到用户家目录 ftpd_connect_db --> off ftpd_use_fusefs --> off ftpd_use_passive_mode --> off httpd_enable_ftp_server --> off tftp_anon_write --> off tftp_use_cifs --> off tftp_use_nfs --> off
那么我们将之打开
setsebool -P ftp_home_dir on #加上-P 意思是开机之后生效,否则重启之后依然是关闭状态
然后我们重新使用 tom 用户登录,是成功的!
write_enable=YES
是否设置本地用户可写,默认是可以写的
local_umask=022
local_umask 决定本地用户创建目录和文件时得到的初始权限
意思是指本地用户创建文件获得的权限为该用户的权限-022,例如该用户权限为 777,减去 022 则为 755
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
这两个意思为使用匿名用户写,匿名用户上传文件,默认是不允许的
那么我们将前面 2 个注释去掉,再使用匿名用户访问,发现仍然不能上传文件
这个原因是匿名用户登录的目录为 /var/ftp 目录
[root@localhost vsftpd]# ls -ld /var/ftp/ drwxr-xr-x. 3 root root 4096 3 月 6 07:07 /var/ftp/
发现这个目录的 orther 权限是 x 没有写权限
那么就给个写权限
chmod 777 /var/ftp
然后重新使用匿名用户提交,发现还是不能上传,
其实还是 selinux 的问题
allow_ftpd_anon_write --> off #代表允许匿名用户写 默认是 off 的 allow_ftpd_full_access --> off
我们将它打开
setsebool -P allow_ftpd_anon_write on setsebool -P allow_ftpd_full_access on
这样就可以使用匿名用户上传与写文件了(慎用!)
dirmessage_enable=YES
这个意思是指设置一句欢迎语
使用 ftp 登录某个目录时,系统会默认将该目录下的.message 文件的内容作为欢迎语展示出来
xferlog_enable=YES
是否启用日志,默认是启用的
日志目录默认在以下目录中,也是可以更改的
#xferlog_file=/var/log/xferlog
xferlog_std_format=YES
日志是否以标准格式记录
connect_from_port_20=YES
链接时是否启用 20 端口进行链接
#chown_uploads=YES
#chown_username=whoever
这两个配置是指是否改变匿名用户上传文件的用户所属
如果不打开,默认上传的文件用户是 ftp
#idle_session_timeout=600
这个是指超时时间,600 秒中没有做任何事情则会自动断开
#ftpd_banner=Welcome to blah FTP service.
这个也是设置欢迎语的,链接之后会显示
以下 3 个是非常重要的配置
<mark>#chroot_local_user=YES #chroot_list_enable=YES # (default follows) #chroot_list_file=/etc/vsftpd/chroot_list
#chroot_local_user=YES
这句代表本地用户登录是否启用 chroot 即不允许用户向上跳目录
去掉注释后会将所有本地用户的目录做 chroot
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd/chroot_list
这两句意思是指指定用户,将列表中的用户做 chroot 处理
pam_service_name=vsftpd
这句是指是否受到 pam 的管理,默认是肯定的
文件在 /etc/pam.d/vsftpd
tcp_wrappers=YES
这句是指 vsftpd 是否受到 tcp_wrappers 的管理,默认的 yes
userlist_enable=YES
这句代表是否启用用户列表,用户列表需要自己指定
那我们在下面指定一下
userlist_deny=YES userlist_file=/etc/vsftpd/user_list
userlist_deny=YES
userlist_deny 为 yes 则代表出现在 user_list 文件里的用户都不能登录,没有出现的则可以登录
如果为 no,则代表出现在 user_list 文件里的用户都可以登录,没有出现的则不可以登录,正好取反
我们发现在目录下还有个文件 ftpusers
[root@localhost vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh
意思是指,出现在这个文件中的用户,是不能登录 ftp 的
vsftpd 的一些其他功能选项 (vsftpd.conf 中没有出现的)
如果我们不希望用户上传一些类似于.sh 这类可执行文件,那么我们可以使用以下配置
deny_file={*.sh,*.exe} #禁止以.sh 与.exe 的文件上传
还有更多隐藏配置,有时间再研究咯,欢迎大家关注!
