ftp一些概念了解
-
1、安装 yum -y install vsftpd
-
2、FTP主动模式与FTP被动模式
-
3、防火墙开启21端口
- 文中是使用
iptables开启的
- 现在
centos7.2版本默认是防火墙,开启方法为:
永久开启ftp服务,ftp服务默认端口为21
firewall-cmd --add-service=ftp --permanent
firewall-cmd --reload
复制代码
-
4.1、匿名登录(了解)
-
4.2、本地用户登录(了解)
-
4.3、虚拟用户登录(了解)
-
5、修改selinux
-
6、设置开机启动vsftpd服务
systemctl enable vsftpd.service
复制代码
/etc/vsftpd目录下配置文件讲解
ftp服务安装完后
以下是一些文件的位置约定:
/usr/sbin/vsftpd ---- VSFTPD的主程序
/etc/rc.d/init.d/vsftpd ---- 启动脚本
/etc/vsftpd/vsftpd.conf ---- 主配置文件
/etc/pam.d/vsftpd ---- PAM认证文件
/etc/vsftpd.ftpusers ---- 禁止使用VSFTPD的用户列表文件
/etc/vsftpd.user_list ---- 禁止或允许使用VSFTPD的用户列表文件
/var/ftp ---- 匿名用户主目录
/var/ftp/pub ---- 匿名用户的下载目录
复制代码
/etc/vsftpd目录下配置文件讲解
1、ftpusers
#这里设置黑名单 加入这里的用户都无法访问
复制代码
2、user_list
#控制配置,这个既可以是黑名单,也可以是白名单
当vsftpd.conf中 userlist_enable=YES 时,为黑名单,加入这里的用户无法访问
当vsftpd.conf中 userlist_enable=NO 时,为白名单,加入这里的用户才能访问
复制代码
3、vsftpd.conf 配置文件
重要,太多了,自己搜
复制代码
vsftpd 配置:chroot_local_user与chroot_list_enable详解
了解
复制代码
4、chroot_list
为VSFTP用户指定登录后的目录
重要,下面步骤用到
复制代码
当搭建完vsftpd服务后,要进行用户登录访问ftp测试(可在window cmd下测试,但是注意Windows cmd下ftp只能使用主动模式进行连接哦)。
如果有错误,使用cmd命令可以返回详细错误信息
(如我遇到的错误提示[vsftpd:500 OOPS: vsftpd: ...](https://www.cnblogs.com/zuikeol/p/9647048.html))
用网页、文件夹登录不给相关错误信息
复制代码
Linux搭建vsftpd服务步骤
需求
搭建ftp服务,并分发用户。
上传用户uploadexample : 可创建文件夹,上传文件,查看文件,不可删除文件
下载用户downloadexample : 可查看文件,下载文件,不可删除文件
搭建
方式一:本地用户
在服务器B搭建ftp服务,并开通用户 uploadexample ,并配置只能操作指定文件夹/home/uploadexample,进行上传资源操作。
1、yum安装好ftp服务
yum -y install vsftpd
systemctl start vsftpd.service
此时匿名用户登录等应该都能登录
systemctl enable vsftpd.service #在开机时启用服务
复制代码
2、/etc/vsftpd目录下修改vsftpd.conf 配置文件
anonymous_enable=NO #关闭匿名登录
#打开注释
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
#添加下面
#https://www.cnblogs.com/zuikeol/p/9647048.html
allow_writeable_chroot=YES
#添加读取用户配置目录(注:本行配置默认没有需要手动输入)
user_config_dir=/etc/vsftpd/userconf
#开启被动模式及设置端口段
pasv_enable=YES
pasv_min_port=6990
pasv_max_port=7000
#开启防火墙对应端口 -- 这一步先不做,视情况而定
cd /usr/lib/firewalld/services/
cp mysql.xml ftp-PassiveMode.xml
vi ftp-PassiveMode.xml #手动配置服务管理端口
#修改内容后如下:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>ftp Passive Mode</short>
<description>ftp Server Passive Mode </description>
<port protocol="tcp" port="6990"/>
<port protocol="tcp" port="6991"/>
<port protocol="tcp" port="6992"/>
<port protocol="tcp" port="6993"/>
<port protocol="tcp" port="6994"/>
<port protocol="tcp" port="6995"/>
<port protocol="tcp" port="6996"/>
<port protocol="tcp" port="6997"/>
<port protocol="tcp" port="6998"/>
<port protocol="tcp" port="6999"/>
<port protocol="tcp" port="7000"/>
</service>
firewall-cmd --reload #刷新
firewall-cmd --get-services | grep ftp-PassiveMode #确认一下
firewall-cmd --permanent --add-service=ftp-PassiveMode #加载服务,开启端口
复制代码
3、添加用户
为了安全,FTP用户一般是不能登录系统的。
在系统中,没有权限登录系统的用户一般也被称之为虚拟用户;虚拟用户也是要写进/etc
/passwd中;这只是一种虚拟用户的方法,但说实在的并不是真正的虚拟用户,只是把他登录SHELL的权限去掉了,所以他没有能力登录系统;
所以应该如下操作
新建用户:
# adduser -d /home/uploadexample -g ftp -s /sbin/nologin uploadexample //新建用户
# passwd uploadexample //给用户设置密码
如果现存用户不用新建,另外要确定不在黑名单ftpusers(user_list-yes)中,
并且usermod命令设置这个用户不能登录系统
最后,确认一下配置文件vsftpd.conf ,以确保本地虚拟用户能有读写权限:
local_enable=YES
write_enable=YES
local_umask=022
复制代码
4、用户ftp相关权限设置
chroot_list文件内容添加上用户uploadexample,一行一个用户,保存
# vi /etc/vsftpd/chroot_list
建立用户配置目录
# mkdir /etc/vsftpd/userconf
建立用户登陆后的目录,也就是允许用户操作的目录 若存在不用创建
# mkdir /home/uploadexample
添加用户配置文件
注:有很多用户时,需要建每个用户相对应的文件
# vi /etc/vsftpd/userconf/uploadexample
添加内容FTP用户登陆后指定的目录:
local_root=/home/uploadexample
复制代码
5、配置成功 重启ftp服务,并测试。
-
553 Could not create file.错误的解决
selinux打开的状态下,vsftp会出现本地用户无法上传的问题(可能是本地用户的home目录,或者是整个目录)
错误信息为:
553 Could not create file.
要解决这个问题只要:
1. setsebool -P ftpd_disable_trans 1
2. systemctl restart vsftpd.service
就可以了
复制代码
方式二:虚拟用户登录
目的:设置用户的上传、下载、删除权限
首先需要建立一个文本格式的用户名/密码列表文件,奇数行为用户名,偶数行为上一行中用户名所对应的密码。
#vi /etc/vsftpd/logins.txt
saupload
daka123
sadownload
daka456
saadmin
daka789
复制代码
生成数据库
# cd /etc/vsftpd (option)
# yum -y install db4* (option)
# db_load -T -t hash -f logins.txt vsftpd_login.db
# file vsftpd_login.db #查看转换后的文件类型
vsftpd_login.db: Berkeley DB (Hash, version 9, native byte-order)
# chmod 600 vsftpd_login.db #修改数据文件访问权限
复制代码
查看vsftp登录认证数据库db文件内容的方法 /usr/bin/db_dump -d a /etc/vsftpd/vsftpd_login.db
另外,如果新增用户,重新新建包含新用户数据的txt文件,并运行db_load命令,就会将新用户数据加入搭配db文件中。删除数据未试。
新建pam:
# vi /etc/pam.d/vsftpd_login.pam //为虚拟用户创建PAM认证文件,文件名为vsftpd_login.pam
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
//下面的vsftpd.conf中配置:
//pam_service_name=vsftpd_login.pam //指定新的PAM认证文件
或在默认文件中修改
# vi /etc/pam.d/vsftpd
//将里面其他的都注释掉,添加下面这两行:
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
//下面的vsftpd.conf中配置:
//pam_service_name=vsftpd(指定PAM配置文件为在/etc/pam.d/下的vsftpd)
复制代码
# useradd -d /home/ftpexample -s /sbin/nologin ftpexample
//添加用户ftpexample,指定到新建的家目录,将虚拟用户对应到这个系统账号上,这个
账号无需设置密码及登录Shell (另外 如果用其他本地用户,那么该本地用户不能再用原来的账号密码登录了)
# chmod 755 /home/ftpexample/
//调整权限以允许浏览目录
//下面的vsftpd.conf中配置:
//guest_username=ftpexample //指定映射的系统用户名称
复制代码
# vi /etc/vsftpd/vsftpd.conf
anonymous_enable=no#禁用匿名用户登录
(anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_umask=022 //指定上传权限掩码)(option)
allow_writeable_chroot=YES#https://www.cnblogs.com/zuikeol/p/9647048.html
local_enable=YES#需映射本地用户,所以启用些项
write_enable=YES#启用上传写入支持
chroot_local_user=YES
#将所有本地用户限制在家目录中,新建的用户必须设置家目录,example:adduser -d /home/uploadexample...
#(或按照方式一种第二步设置相关用户限制目录:)
guest_enable=YES#启用映射功能
guest_username=ftpexample#指定映射的系统用户名称
pam_service_name=vsftpd_login.pam#指定新的PAM认证文件
user_config_dir=/etc/vsftpd/userconf#(自建配置)用户配置文件夹,需要创建
max_clients=300#(自建配置)设置FTP服务器最大接入客户端数为300个
max_per_ip=10#(自建配置)设置每个IP地址最大连接数为10个
pasv_enable=YES# //(自建配置)允许PASV模式进行数据传输
pasv_min_port=65341# //(自建配置)PASV模式下数据传输所使用port范围下界
pasv_max_port=65351# //(自建配置)PASV模式下数据传输所使用port范围上界
...
复制代码
# mkdir /etc/vsftpd/userconf (option)
# cd /etc/vsftpd/userconf
创建相关用户配置文件
# touch saupload
# touch sadownload
# touch saadmin
配置文件内容,设置具体的权限:
write_enable=YES 允许写入
download_enable=NO 是否能下载
anon_world_readable_only=NO 允许浏览FTP目录和下载
anon_upload_enable=YES 允许虚拟用户上传文件
anon_mkdir_write_enable=YES 允许虚拟用户创建目录
anon_other_write_enable=YES 允许虚拟用户执行其他操作(如改名、删除)
anon_umask=022 上传文件的掩码,如022时,上传目录权限为755,文件权限为644(例如供http访问)
local_root=/ftproot/admin 指定虚拟用户的虚拟目录(虚拟用户登录后的主目录)
# vi saupload
//可以:上传,创建文件夹, 查看下载文件 不能:删除,重命名
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
//可以:上传,创建文件夹, 查看 不能:删除,重命名,下载文件
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
download_enable=NO
# vi sadownload
//只能查看下载文件
anon_world_readable_only=NO
# vi saadmin
//所有权限:上传,创建文件夹 查看下载文件 重命名 删除
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
复制代码
作者:safiri
链接:https://juejin.cn/post/6844903940262199309
来源:掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
