linux下ftp软件很多,大体特色:
wu-ftp:比较老牌,但针对它的攻击比较多,设置比较麻烦,但功能比较强大。
ProFTPD:能实现wu-ftp以及server-U的全部功能。安全性也较高,但比起vsftpd配置稍显复杂。
vsftpd:功能强大,配置也比较简单linux
选vsftpd是由于它安全、速度快。
选ProFTPD偶尔看到webmin支持他,因此就用了,由于方便。
选Serv-U理由windows广泛,Serv-U方便,但最大问题是盗版,因此如今不大用了。web
1、安装
# yum install vsftpdwindows
2、安装db4包,使能db_load
# yum install db4.i386
# yum install db4-utils.i386安全
3、vsftpd文件说明
/etc/vsftpd/vsftpd.conf 主配置文件
/usr/sbin/vsftpd Vsftpd的主程序
/etc/rc.d/init.d/vsftpd 启动脚本
/etc/pam.d/vsftpd PAM认证文件(此文件中file=/etc/vsftpd/ftpusers字段,指明阻止访问的用户来自/etc/vsftpd/ftpusers文件中的用户)
/etc/vsftpd/ftpusers 禁止使用vsftpd的用户列表文件。记录不容许访问FTP服务器的用户名单,管理员能够把一些对系统安全有威胁的用户帐号记录在此文件中,以避免用户从FTP登陆后得到大于上传下载操做的权利,而对系统形成损坏。(注意:linux-4中此文件在/etc/目录下)
/etc/vsftpd/user_list 禁止或容许使用vsftpd的用户列表文件。这个文件中指定的用户缺省状况(即在/etc/vsftpd/vsftpd.conf中设置userlist_deny=YES)下也不能访问FTP服务器,在设置了userlist_deny=NO时,仅容许user_list中指定的用户访问FTP服务器。(注意:linux-4中此文件在/etc/目录下)
/var/ftp 匿名用户主目录;本地用户主目录为:/home/用户主目录,即登陆后进入本身家目录
/var/ftp/pub 匿名用户的下载目录,此目录需赋权根chmod 1777 pub(1为特殊权限,使上载后没法删除)
/etc/logrotate.d/vsftpd.log 日志文件服务器
4、关闭防火墙
# service iptables stoptcp
5、关闭SELinux
方法有多个
一、暂时关闭(不须要重启)
# setenforce 0 (关闭)
# setenforce 1 (启用)
# getenforce (查看状态)ide
二、编辑配置文件(永久关闭须要重启)
# vi /etc/selinux/config
将SELINUX=enforcing改成:SELINUX=disabled测试
6、配置匿名用户访问
0、备份配置文件:
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak字体
一、vsftpd安装后,其配置文件所在目录为:/etc/vsftpd/;匿名用户的主目录为:/var/ftp
二、 配置vsftpd.conf主配置文件(服务器配置支持上传)
# vi /etc/vsftpd/vsftpd.conf
ui
三、建立上传目录及配置目录权限(注意:匿名用户的主目录/var/ftp权限是755,这个权限不能随意改变,不然客户端没法链接)
# mkdir /var/ftp/homework/
# chown ftp /var/ftp/homework/
# ls -Zd /var/ftp/homework/ (查看上下文)
drwxrwxr-x ftp ftp user_u:object_r:public_content_t /var/ftp/homework/
# chcon -t public_content_rw_t /var/ftp/homework/ (修改上下文,使可写)
# ls -Zd /var/ftp/homework/ (查看确认上下文)
drwxrwxr-x ftp ftp user_u:object_r:public_content_rw_t /var/ftp/homework/
(若未关闭SELinux,还需如下步骤)
# getsebool -a | grep ftp (查找与ftp相关的 SELinux bool值)
# setsebool -P allow_ftpd_anon_write 1 (设置SELinux bool值, 容许ftpd写, -P选项表示写入配置文件并永久生效)
四、重启服务
# service vsftpd restart
五、客户端链接测试
(1) 客户端匿名用户可从pub下载文件
(2) 客户端匿名用户上传文件至homework, 上传文件的默认权限属性为600(配置文件中anon_umask=077),没法下载、删除或覆盖的。
7、配置虚拟用户访问
一、创建虚拟用户口令库文件, 文件中奇数行设置虚拟用户的用户名,偶数行设置用户的口令。
# vi /etc/vsftpd/vuser.txt
teacher (奇数行设置虚拟用户名)
123456 (偶数行设置用户口令)
student
123456
二、生成vsftpd 的认证文件
# db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db (生成认证文件)
# file /etc/vsftpd/vuser.db (查看文件类型)
/etc/vsftpd/vuser.db:Berkeley DB (Hash,version 8 , native byte-order)
# chmod 600 /etc/vsftpd/vuser.db (生成的认证文件的权限应设置为只对root用户可读可写)
三、创建虚拟用户所需的PAM配置文件
# vi /etc/pam.d/vsftpd
四、创建vsftpd虚拟用户所需的系统用户帐号并设置相应的权限, 全部虚拟用户帐号登陆后都将在/var/ftp目录
五、设置vsftpd.conf主配置文件
# vi /etc/vsftpd/vsftpd.conf
local_enable=YES
guest_enable=YES
guest_username=vuser
pam_service_name=vsftpd (vsftpd意指:/etc/pam.d/目录下的vsftpd文件)
(如下为可选项)
local_umask=022 (虚拟用户上传文件的掩码)
anon_umask=077 (匿名用户上传文件的掩码)
chown_uploads=YES (容许改变上传文件的属主)
chown_username=vuser (改变上传文件的属主为vuser)
六、重启vsftpd服务
# service vsftpd restart
七、测试vsftpd中的虚拟用户帐号teacher
#ftp 127.0.0.1
name (localhost:root):teacher
password:
ftp>
八、对不一样的虚拟用户设置不一样的权限
(1).设置主配置文件
# mkdir /etc/vsftpd/vuser_conf (创建用户配置文件的保存目录)
# vi /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vuser_conf (设置用户配置文件的保存目录)
(2). 为虚拟用户创建单独的配置文件,配置文件名称和用户名相同。用户配置文件中没有的配置项将按照vsftpd.conf配置文件中的内容设置。
# vi /etc/vsftpd/vuser_conf/teacher
(3) 重启服务
# service vsftpd restart
8、配置并启动防火墙
一、设置被动模式及使用的端口号
# vi /etc/vsftpd/vsftpd.con
二、添加容许的端口
三、重启服务
9、常见错误及解决方法
一、vsftpd: refusing to run with writable root inside chroot()
-> 缘由:vsftpd升级了安全性验证, 即若是开启了chroot来控制用户路径,则用户不能再具备根目录的写权限。
-> 解决:# chmod u-w /var/ftp/
二、cannot change directory:/var/ftp
-> 缘由:SELinux阻止访问
-> 解决:
# setsebool -P ftpd_disable_trans 1
# service vsftpd restart
三、上传文件的中文文件名乱码
-> 缘由:字符集问题
-> 解决:
(1) # vi /etc/sysconfig/i18n
LANG="zh_CN.GB18030"
(2) 客户端软件设置字体为中文字体,链接字符集为GBxxx或cp936
四、提示只容许匿名用户登陆-> 解决:在vsftpd.conf中设置local_enable=YES