FTP是安装各种环境前的预备环节,因为我们要把下载好的安装包上传上去。
其次,在一个团队中,FTP服务器为多用户提供了一个文件储存场所,总之是一个非常实用的工具。
1.安装vsftpd
# 首先要查看你是否安装vsftpd rpm -qa | grep vsftpd vsftpd-3.0.2-10.el7.x86_64 # 显示也就安装成功了!直接进入下一环节吧 # 安装vsftpd yum install -y vsftpd
2.配置介绍
这里其实就已经安装完了,但是,它的默认配置并不能满足我们的需求。所以我们要进行个性化的配置。
2.1)用户类型
- 本地用户(local):用户在FTP服务器拥有账号,且该账号为本地用户的账号,可以通过自己的账号和口令进行授权登录,登录目录为自己的home目录$HOME
- 虚拟用户(guest):用户在FTP服务器上拥有账号,但该账号只能用于文件传输服务。登录目录为某一特定的目录,通常可以上传和下载
- 匿名用户(anonymous):用户在FTP服务器上没有账号,登录目录为/var/ftp
对于vsftpd默认配置是开启了本地用户和匿名用户,可以直接登录的。
2.2)连接模式
FTP的连接一般是有两个连接的,一个是客户程和服务器传输命令的,另一个是数据传送的连接。FTP服务程序一般会支持两种不同的模式,一种是主动(Port)模式,一种是被动(Passive)模式(又称Pasv Mode),我先说说这两种不同模式连接方式的分别。
先假设客户端为C,服务端为S。
- 主动(Port)模式:
当客户端C向服务端S连接后,使用的是Port模式,那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接),当服务端S收到这个Port命令后 就会向客户端打开的那个端口N进行连接,这种数据连接就生成了。
- 被动(Pasv)模式:
当客户端C向服务端S连接后,服务端S会发信息给客户端C,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端C收到这个信息后,就可以向服务端S的M端口进行连接,连接成功后,数据连接也建立了。
从上面的解释中,大家可以看到两种模式主要的不同是数据连接建立的不同,对于Port模式,是客户端C在本地打开一个端口等服务端S去连接建立数据连接;而Pasv模式就是服务端S打开一个端口等待客户端C去建立一个数据连接。
2.3)防火墙管理
对于CentOS 7 它的默认防火墙已改为FireWall进行管理,但还是有用iptables的,以及SELinux。
- firewall能够允许哪些服务可用,那些端口可用…. 属于更高一层的防火墙。
firewall的底层是使用iptables进行数据过滤,建立在iptables之上。
firewall是动态防火墙,使用了D-BUS方式,修改配置不会破坏已有的数据链接。
- iptables用于过滤数据包,属于网络层防火墙.
在设置iptables后需要重启iptables,会重新加载防火墙模块,而模块的装载将会破坏状态防火墙和确立的连接。会破坏已经对外提供数据链接的程序。可能需要重启程序。
- SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。它不是用来防火墙设置的。但它对Linux系统的安全很有用。Linux内核(Kernel)从2.6就有了SELinux。
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNⅨ权限更好的访问控制。
3.配置vsftpd
// 首先我们先看一下本身的vsftpd有什么属性吧 cat /etc/vsftpd/vsftpd.conf | grep -v "#" | more // 打开vsftpd配置文件 vim /etc/vsftpd/vsftpd.conf // 基本配置 # 开启匿名登录 anonymous_enable=YES # 允许使用本地帐户进行FTP用户登录验证 local_enable=YES # 允许写 write_enable=YES # 设置本地用户默认文件掩码022 local_umask=022 # 允许匿名上传 anon_upload_enable=YES # 允许匿名创建新目录 anon_mkdir_write_enable=YES # 同时开放其它权限 anon_other_write_enable=YES # 可以发送消息当访问某个目录时 dirmessage_enable=YES # 开启上传下载记录 xferlog_enable=YES # 数据链通过20端口建立 connect_from_port_20=YES # 允许其它用户上传匿名文件 #chown_uploads=YES # 所有用户 #chown_username=whoever # 日志保存到 #xferlog_file=/var/log/xferlog # 日志标准输出 xferlog_std_format=YES # 空闲会话时间 #idle_session_timeout=600 # 数据连接超时时间 #data_connection_timeout=120 # 隔离的安全用户 #nopriv_user=ftpsecure # 开启异步数据线程 #async_abor_enable=YES # 开启ASCII协议上传 ascii_upload_enable=YES # 开启ASCII协议下载 ascii_download_enable=YES # 开启邮箱验证 #deny_email_enable=YES # 拒绝的邮箱列表 #banned_email_file=/etc/vsftpd/banned_emails # 是否允许直接获取子目录信息 #ls_recurse_enable=YES # 监听IPv4 listen=NO # 监听IPv6和监听IPv4 listen_ipv6=YES # 虚拟用户启用pam认证 pam_service_name=vsftpd # 用户组管理 userlist_enable=YES # 访问控制 tcp_wrappers=YES # 允使用被动模式 pasv_enable=YES # 指定使用被动模式时打开端口的最小值 pasv_min_port=10060 # 指定使用被动模式时打开端口的最大值。 pasv_max_port=10090 # 用户宽带限制200kps #local_max_rate=200000 # 登录后欢迎内容 ftpd_banner=Welcome to My FTP service. # ---------开启虚拟用户组参数-------- # 开启虚拟用户 guest_enable=YES # 主虚拟用户名vsftpd,等下会建立 guest_username=vsftpd # 虚拟用户配置(可以对每一个虚拟用户进行单独的权限配置) user_config_dir=/etc/vsftpd/vconf # 启用限定用户在其主目录下 chroot_local_user=YES # 开启用户列表chroot管理 chroot_list_enable=YES # chroot管理的用户列表(一行一用户,虚拟用户都要添加进去) # 当设置用户只能在登录目录时,chroot管理的用户为不受限制,否则相反 chroot_list_file=/etc/vsftpd/chroot_list # 允许chroot管理用户进行写操作 allow_writeable_chroot=YES # ---------虚拟用户高级参数(请选择一组)-------- # 虚拟用户和本地用户有相同的权限 virtual_use_local_privs=YES # 虚拟用户和匿名用户有相同的权限,默认是NO virtual_use_local_privs=NO # 虚拟用户具有写权限(上传、下载、删除、重命名) virtual_use_local_privs=YES write_enable=YES # 虚拟用户不能浏览目录,只能上传文件,无其他权限 virtual_use_local_privs=NO write_enable=YES anon_world_readable_only=YES anon_upload_enable=YES # 虚拟用户只能下载文件,无其他权限 virtual_use_local_privs=NO write_enable=YES anon_world_readable_only=NO anon_upload_enable=NO # 虚拟用户只能上传和下载文件,无其他权限 virtual_use_local_privs=NO write_enable=YES anon_world_readable_only=NO anon_upload_enable=YES # 虚拟用户只能下载文件和创建文件夹,无其他权限 virtual_use_local_privs=NO write_enable=YES anon_world_readable_only=NO anon_mkdir_write_enable=YES # 虚拟用户只能下载、删除和重命名文件,无其他权限 virtual_use_local_privs=NO write_enable=YES anon_world_readable_only=NO anon_other_write_enable=YES
假如你开启了匿名用户,则需要重新修改权限
将匿名目录下的 pub 文件夹 赋予匿名用户管理权限:chown ftp /var/ftp/pub
4.虚拟用户的建立和配置(可选)
对于虚拟用户,它需要一个宿主用户,所以这里需要建立一个新用户,并取消登录系统,只用于登录ftp。
4.1)新建宿主用户(虚拟用户需要映射到一个系统用户)
# 假如宿主用户为vsftpd useradd -s /sbin/nologin vsftpd
4.2)建立虚拟用户账号列表
# 编辑虚拟用户名单文件: #(第一行账号,第二行密码,注意:不能使用root做用户名,系统保留) vim /etc/vsftpd/virtusers # 编辑内容,下面是 virtusers 内容 test 123456 # 添加到chroot管理列表 vim /etc/vsftpd/chroot_list # 用户列表 test
4.3)生成虚拟用户数据文件
可能你没有安装db工具包,所以先查找一下。
rpm -qa | grep db # 确实没安装,就查下yum可提供的版本 yum search db4 # 安装(或者安装libdb-utils.x86_64) yum install-y compat-db47.x86_64
利用db_load命令生成数据文件
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db # 设定PAM验证文件,并指定对虚拟用户数据库文件进行读取(权限r,w即可) chmod 600 /etc/vsftpd/virtusers.db
4.4)添加vsftpd的虚拟用户的验证
vim /etc/pam.d/vsftpd # -------------内容如下----------------- #%PAM-1.0 auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers session optional pam_keyinit.so force revoke auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed auth required pam_shells.so auth include password-auth account include password-auth session required pam_loginuid.so session include password-auth
4.5)创建虚拟用户个人配置文件
# 建立虚拟用户个人vsftp的配置文件 mkdir -p /etc/vsftpd/vconf # 进入目录 cd /etc/vsftpd/vconf # 创建并编辑用户的配置文件 vim test # 用户 test 配置目录 local_root=/home/vsftpd/test # 允许本地用户对FTP服务器文件具有写权限 write_enable=YES anon_world_readable_only=NO # 允许匿名用户上传文件(须将全局的write_enable=YES,默认YES) anon_upload_enable=YES # 允许匿名用户创建目录 anon_mkdir_write_enable=YES # 允许匿名用户删除和重命名权限(自行添加) anon_other_write_enable=YES
# 创建用户目录 mkdir -p /home/vsftpd/test
5.收尾操作
// 权限设置 chown -R vsftpd:vsftpd /home/vsftpd // 防火墙设置 firewall-cmd --permanent --zone=public --add-service=ftp firewall-cmd --zone=public --add-port=30060-30090/tcp --permanent firewall-cmd --reload // 设置SELinux getsebool -a | grep ftp setsebool -P ftpd_full_access on // 设置开机自启 systemctl enable vsftpd // 服务操作 systemctl restart vsftpd.service # 重启服务 systemctl start vsftpd.service # 启动服务 systemctl status vsftpd.service # 服务状态查看