linux配置vsftp及用户权限高级管理解读

1、常用FTP服务器,Linux环境: vsftpdVery Secure FTP proftpdProfessional FTP daemon是针对Wu- FTP的弱项而开发. wu-ftpd较早之前使用. Windows环境: IIS Serv-U,FTP客户端,Linux环境: ftp、ncftp、lftp命令行工具 gftp 浏览器firefox Windows环境: ftp命令行工具 CuteFTPpro 浏览器IE,vsftpd服务器的特点,安全、高速、稳定 可设定多个基于IP的虚拟FTP server 匿名FTP服务非常容易 匿名FTP的根目录不需要任何特殊的目录结构，或系统程序或其

2、他系统文件 不执行任何外部程序，从而减少了安全隐患 支持虚拟用户 支持带宽限制 支持xinetd启动和独立FTP服务器两种运行方式,谁在使用vsftpd, ,用户类型,本地用户 用户在FTP服务器上拥有账号，且该账号为为本地用户的账号. 可以通过输入自己的账号和口令进行授权登录. 登录目录为自己的home目录($HOME) 虚拟用户 用户在FTP服务器上拥有账号，但该账号只能用于文件传输服务. 登录目录为某一指定的目录. 通常可以上传

3、和下载. 匿名用户 用户在FTP服务器上没有账号. 登录目录为/var/ftp.,vsftp的基本使用,安装并启动vsftpd vsftpd的配置文件 vsftpd.conf的一些默认配置选项 测试vsftpd的默认配置匿名帐号 测试vsftpd的默认配置本地帐号,查看和服务管理,查看是否安装了vsftpd rpm qa | grep vsftpd 启动vsftpd service vsftpd start 或者 /etc/init.d/vsftpd start 检验vsftpd是否已启动 pstree | grep vsftpd,vsftpd的配置文件,/etc/vsftpd/vsftpd.

4、conf 主配置文件 /etc/ vsftpd.ftpusers 指定哪些用户不能访问FTP服务器 /etc/ vsftpd.user_list 当在/etc/ vsftpd/vsftpd.conf中设置了 userlist_enable=YES，且 userlist_deny=YES时， vsftpd.user_list中指定的用户不能访问FTP服务器. 当在/etc/ vsftpd/vsftpd.conf中设置了 userlist_enable=YES，且 userlist_deny=NO时，仅仅允许 vsftpd.user_list中指定的用户访问FTP服务器.,vsftpd.conf默

5、认配置选项,首先备份vsftpd.conf文件 cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak 允许匿名登录 anonymous_enable=YES 允许本地用户登录 local_enable=YES 开放本地用户的写权限 write_enable=YES 设置本地用户的文件生成掩码 local_umask=022,vsftpd.conf默认配置选项,显示隐含文件 dirmessage_enable=YES 激活上传和下载日志 xferlog_enable=YES 启用FTP数据端口的连接请求 connect_from_port_

6、20=YES 使用标准的ftpd xferlog日志格式 xferlog_std_format=YES 设置PAM认证服务的配置文件名称pam_service_name=vsftpd,vsftpd.conf默认配置选项,激活vsftpd.user_list指定的用户是否可以访问vsftpd userlist_enable=YES userlist_file的默认值是/etc/ vsftpd.user_list文件. 由于默认情况下， userlist_deny=YES. 使vsftpd处于独立启动模式 listen=YES 使用 tcp_wrappers作为主机的访问控制方式 Tcp_wrap

7、pers=YES,测试匿名帐号,在匿名帐号的下载目录/var/ftp/pub目录下，存放一个测试文件 echo “This is a test file” /var/ftp/pub/test.txt 生成目录信息文件/var/ftp/pub/.message echo Welcome to this Directory. /var/ftp/pub/.message 使用FTP客户端连接FTP服务器 下载test.txt - 成功 上传一个文件，例如upload.txt - 失败 查看日志文件/var/log/vsftpd.log 需要配置选项xferlog_file=/var/log/vsft

8、pd.log,测试本地帐号,以本地帐号oracle测试vsftpd服务器 使用root不能登录vsftpd服务器 root用户被写在/etc/vsftpd.ftpusers文件中,小结,允许匿名用户和本地用户登录. 匿名用户的登录名为ftp或anonymous. 匿名用户不能离开匿名服务器目录/var/ftp，且只能下载不能上传. 本地用户(vsftpd服务器)的登录名为本地用户名Oracle，口令为本地用户的口令123 本地用户可以离开其home目录，切换到有权访问的其他目录，并且在权限允许的情况下进行上传和下载. 写在文件/etc/vsftpd.ftpusers中的本地用户禁止登录.,常用

9、vsftpd服务器的配置,允许匿名用户上传 配置基本的性能和安全选项 配置基于本地用户的访问控制 配置基于主机的访问控制 配置vsftpd在非标准端口下提供服务 配置基于IP的虚拟FTP服务器 配置虚拟用户的FTP服务器,允许匿名用户上传,在/etc/vsftpd/vsftpd.conf中激活如下配置选 允许匿名用户上传 write_enable=YES anon_upload_enable=YES anon_umask=022 允许匿名用户创建目录 anon_mkdir_write_enable=YES 允许匿名用户进行写操作,如删除和重命名文件或目录anon_other_write_ena

10、ble=YES 匿名用户仅被允许下载对于它可读的文件anon_world_readable_only=YES,性能和安全选项,设置空闲用户会话的中断时间(s) idle_session_timeout=600 设置空闲的数据连接的中断时间(s) data_connection_timeout=120 限制客户连接数 max_clients=200 max_per_ip=3 设置最大传输速率限制(B/s) local_max_rate=50000 anon_max_rate=30000,安全选项,不允许某些用户切换到其home目录以外的其他目录 chroot_list_enable=YES ch

11、root_list_file=/etc/vsftpd.chroot_list /etc/vsftpd.chroot_list文件中指定的用户不能访问其home目录以外的其他目录 不允许所有用户切换到其home目录以外的其他目录 chroot_local_user=YES 仅允许某些用户切换到其home目录以外的其他目录 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list /etc/vsftpd.chroot_list文件中指定的用户能够访问其home目录外的其他目录,本地用户

12、的访问控制,使选项userlist_file对应的文件,默认值为: /etc/vsftpd.user_list 指定的本地用户不能访问 userlist_enable=YES userlist_deny=YES 指定的本地用户可以访问 userlist_enable=YES userlist_deny=NO,配置虚拟用户,生成虚拟用户口令库文件 建立一个文本文件，存储虚拟用户名和口令 vi logins.txt 使用 db_load生成口令库文件 db_load T t hash f /logins.txt /etc/vsftpd/vsftpd_login.db 修改口令库文件的权限 chmo

13、d 600 /etc/vsftpd/vsftpd_login.db,配置虚拟用户PAM,配置生成vsftpd的认证文件: PAM配置文件 vi /etc/pam.d/vsftp.vu 插入如下的两行 auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login,配置虚拟用户,建立虚拟用户所要访问的目录并设置相应权限 建立虚拟用户要访问的目录，并设置仅virutal用户访问的权限: useradd d /home/ftpsite virtual chmod 700 /home/ftpsite,配置虚拟用户,由备份的配置文件/etc/vsftpd/vsftpd.conf.bak生成新的主配置文件 独立运行且匿名下载 cp /etc/vsftpd/vsftpd.conf.bak /etc