VSftp配置(经典)linux

激活vsftpd检查userlist_file指定的用户是否可以 访问vsftpd服务器

userlist_enable=YES
userlist_file的默认值是/etc/ vsftpd.user_list文件。 由于默认情况下， userlist_deny=YES，所以 /etc/vsftpd.user_list文件中所列的用户均不能访问此 vsftpd服务器。


使vsftpd处于独立启动模式

listen=YES Tcp_wrappers=YES

使用 tcp_wrappers作为主机的访问控制方式

2.4 测试vsftpd的默认配置—匿名帐号

在匿名帐号的下载目录/var/ftp/pub目录下，存 放一个测试文件
# echo ―This is a test file‖ > /var/ftp/pub/test_file

3.3 配置基于本地用户的访问控制

使选项userlist_file对应的文件（默认值为 /etc/vsftpd.user_list）中指定的本地用户不能访问， 而其他用户可以访问

userlist_enable=YES userlist_deny=YES

使选项userlist_file对应的文件（默认值为 /etc/vsftpd.user_list）中指定的本地用户可以访问， 而其他用户不可以访问

/etc/ vsftpd.user_list


2.3 vsftpd.conf的一些默认配置选项(1)

首先备份vsftpd.conf文件
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
允许匿名登录

anonymous_enable=YES

虚拟用户


匿名用户


用户在FTP服务器上没有账号 登录目录为/var/ftp
2. RHEL4中vsftp的默认配置




安装并启动vsftpd vsftpd的配置文件 vsftpd.conf的一些默认配置选项 测试vsftpd的默认配置—匿名帐号 测试vsftpd的默认配置—本地帐号 关于vsftpd默认配置的小结

userlist_enable=YES userlist_deny=NO
3.4 配置基于主机的访问控制(独立模式) (1)

Biblioteka Baidu
TCP_wrappers使用/etc/hosts.allow和 /etc/hosts.deny两个配置文件实现访问控制。

在hosts.allow可以使用DENY，通常使用它来实 现访问控制。


查看日志文件/var/log/vsftpd.log

需要打开配置选项xferlog_file=/var/log/vsftpd.log
2.5 测试vsftpd的默认配置—本地帐号

以本地帐号student测试vsftpd服务器
使用root不能登录vsftpd服务器


root用户被写在了/etc/vsftpd.ftpusers文件中



ftp.redhat.com ftp.suse.org ftp.debian.org ftp.gnu.org ftp.kde.org ftp.gnome.org ftp.openbsd.org
1.4 FTP用户

本地用户

用户在FTP服务器上拥有账号，且该账号为为本地用户 的账号 可以通过输入自己的账号和口令进行授权登录 登录目录为自己的home目录($HOME) 用户在FTP服务器上拥有账号，但该账号只能用于文件 传输服务 登录目录为某一指定的目录 通常可以上传和下载
匹配一个域中的所有主机
Network-number
IPAddress/netmask
匹配IP地址的开始部分，不 管使用的网络掩码如何 定义要匹配的网络或子网
配置主机访问控制的例子(1)

要求
拒绝192.168.2.0/24访问 对域smartraining.com和192.168.1.0/24内的所有主机 不作连接数和最大传输速率限制 对其他主机的访问控制限制每IP地址的连接数为1， 最大传输速率限制为10kb/s
第2讲 vsftpd服务器配置与管理
主要内容
1. 2. 3.
Linux环境下的FTP服务器 RHEL4中vsftp的默认配置 常用vsftpd服务器的配置
1. Linux环境下的FTP服务器


常用FTP客户端和服务器 vsftpd服务器的特点 谁在使用vsftpd FTP用户
1.1 常用FTP客户端和服务器

生成目录信息文件/var/ftp/pub/.message
# echo “Welcome to this Directory.” > /var/ftp/pub/.message

使用FTP客户端连接FTP服务器
下载test_file.txt ---- 成功 上传一个文件，例如/root/install.log ---- 失败
2.6 关于vsftpd默认配置的小结




允许匿名用户和本地用户登录。 匿名用户的登录名为ftp或anonymous。 匿名用户不能离开匿名服务器目录/var/ftp，且 只能下载不能上传。 本地用户(vsftpd服务器)的登录名为本地用户名 (FC3)，口令为本地用户的口令(FC3)。 本地用户可以离开其home目录，切换到有权访 问的其他目录，并且在权限允许的情况下进行 上传和下载。 写在文件/etc/vsftpd.ftpusers中的本地用户禁止 登录。

对于vsftpd，hosts.allow中每条记录的语法格 式如下
vsftpd: 主机表: setenv VSFTPD_LOAD_CONF 配置文件 名
选现值
配置vsftpd访问控制时主机表的书写语 法
含义 可解析的主机名
Hostname
IP Address
.domain
点分十进制表示的IP地址
3. 常用vsftpd服务器的配置





允许匿名用户上传 配置基本的性能和安全选项 配置基于本地用户的访问控制 配置基于主机的访问控制 配置vsftpd在非标准端口下提供服务 配置基于IP的虚拟FTP服务器 配置虚拟用户的FTP服务器
3.1 允许匿名用户上传（1）


创建匿名上传目录
# mkdir / var/ftp/imcomming
修改上传目录的权限
# chmod 777 / var/ftp/imcomming
在/etc/vsftpd/vsftpd.conf中激活如下配置选项


允许匿名用户上传（选项write_enable需要为YES） anon_upload_enable=YES anon_umask=022 允许匿名用户创建目录（选项write_enable需要为YES） anon_mkdir_write_enable=YES 允许匿名用户进行写操作（如删除和重命名文件或目录） anon_other_write_enable=YES 匿名用户仅被允许下载对于它可读的文件 anon_world_readable_only=YES
Linux环境 vsftpd FTP服务器 proftpd Windows环境 IIS Serv-U
wu-ftpd
ftp/ncftp/lftp命令行 工具 gftp 浏览器firefox ftp命令行工具 CuteFTPpro 浏览器IE
FTP客户端
1.2 vsftpd服务器的特点


允许本地用户登录

local_enable=YES
write_enable=YES local_umask=022
开放本地用户的写权限

设置本地用户的文件生成掩码

2.3 vsftpd.conf的一些默认配置选项(2)

当切换目录时，显示该目录下的.message隐含文件的 内容

dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES
3.1 允许匿名用户上传（2）

检查配置文件

vsftpd /etc/vsftpd/vsftpd.conf # service vsftpd restart

重新启动vsftpd
3.2 配置基本的性能和安全选项(1)

设置空闲用户会话的中断时间(s)

idle_session_timeout=600 data_connection_timeout=120 max_clients=200 max_per_ip=3 local_max_rate=50000 anon_max_rate=30000

激活上传和下载日志


启用FTP数据端口的连接请求


使用标准的ftpd xferlog日志格式

xferlog_std_format=YES

设置PAM认证服务的配置文件名称，该文件存放在 /etc/pam.d目录下

pam_service_name=vsftpd
2.3 vsftpd.conf的一些默认配置选项(3)

设置空闲的数据连接的中断时间(s)


限制客户连接数


设置最大传输速率限制(B/s)

3.2 配置基本的性能和安全选项(2)

不允许某些用户切换到其home目录以外的其他目录
chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list /etc/vsftpd.chroot_list文件中指定的用户不能访问其home目录 以外的其他目录

安全、高速、稳定 可设定多个基于IP的虚拟FTP server 匿名FTP服务非常容易 匿名FTP的根目录不需要任何特殊的目录结构，或 系统程序或其他系统文件 不执行任何外部程序，从而减少了安全隐患 支持虚拟用户 支持带宽限制 支持inetd启动和独立FTP服务器两种运行方式
1.3 谁在使用vsftpd
vsftpd: .smartraining.com, 192.168.1.0/24: setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd: 192.168.2.0/24: DENY
2.1 安装并启动vsftpd

查看是否安装了vsftpd
# rpm –qa | grep vsftpd

启动vsftpd
# service vsftpd start 或者 # /etc/init.d/vsftpd start

检验vsftpd是否已启动
# pstree | grep vsftpd


不允许所有用户切换到其home目录以外的其他目录

chroot_local_user=YES

仅允许某些用户切换到其home目录以外的其他目录
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list /etc/vsftpd.chroot_list文件中指定的用户能够访问其home目录 外的其他目录


步骤

修改/etc/vsftpd/vsftpd.conf文件，设置如下选项
tcp_wrappers=YES (默认情况) local_max_rate=10000 anon_max_rate=10000 max_per_ip=1

配置主机访问控制的例子(2)

修改/etc/hosts.allow，加入如下配置选项
2.2 vsftpd的配置文件

/etc/vsftpd/vsftpd.conf

主配置文件

/etc/ vsftpd.ftpusers

指定哪些用户不能访问FTP服务器
当在/etc/ vsftpd/vsftpd.conf中设置了 userlist_enable=YES，且 userlist_deny=YES时， vsftpd.user_list中指定的用户不能访问FTP服务器。 当在/etc/ vsftpd/vsftpd.conf中设置了 userlist_enable=YES，且 userlist_deny=NO时，仅仅允许 vsftpd.user_list中指定的用户访问FTP服务器。