还剩7页未读,继续阅读
文本内容:
Vsftpd服务器配置【基本学问与操作】安装vsftpd:yuminstaIIvsftpd服务名vsftpd默认本地用户不给登陆的文件/etc/vsftpd/ftpusers(在此文件中的用户都不能登录FTP服务器)禁止或允许vsftpd的用户列表文件/etc/vsftpd/user_Iist匿名用户登录的主书目/var/ftp(该文件夹不行以有写权限,否则匿名用户无法登录)匿名用户运用的书目/var/ftp/pub(为了能够让匿名用户上传文件,该文件夹权限为777)vsftpd的日志文件/etc/logrotated/vsftpd.log当遇到500访问错误时运用getsebool-a|grepftp可以查看与FTP服务有关的设置setsebool-Pftp_home_dir=1并查看文件权限问题(不能为满权限,属主不能为ftp)若匿名用户允许上传也开了写权限还是不能上传,则进行如下修改setsebool-PaIIow_ftpd_anon_write=1本地用户无法重命名自己上传的文件:setsebool-Pallow_ftpd_full_access=1设置匿名用户只能上传不能下载chownenabIe=YESchown_username=nobody【服务基本配置】
1、匿名用户设置anonymous_enabIe=YESwirte_enable=YESno_anon_password=YESanon_root=/var/ftpanon_upIoad_enabIe=YES留意是否允许匿名用户登录是否允许本地用户匿名用户写入的权限若是启动这项功能,则运用匿名登入时,不会询问密码设置匿名用户登陆的书目是否允许匿名用户上传文件(须要将wirte_enabIe=yes)vsfptd默认是不给匿名文件赐予w权限的,所以想要以匿名用户上传文件,就须要在匿名用户FTP主书目(/var/ftp)下创建一个新的书目(默认为/var/ftp/pub)赐予777权限就可以了anon_mkdir_wirte_enabIe=YES是否允许匿名用户创建书目anon_other_wirte_enabIe=YES设置匿名用户具有删除或重命名文件或文件夹的权限chown_upIoads=YES设置是否须要变更匿名用户上传文件或书目的的属主(owner)chown_usernamed=xxx将匿名用户上传文件属主设置为xxx与chown_upload配套运用anon_umask=022默认为077为了能够让匿名用户访问自己上传的文件,需设置为
0222、本地用户设置:Iocal_enabIe=YES——是否允许本地用户登录write_enabIe=YES——是否允许登陆用户有写权限local“mask=022——设置本地用户上传文件的权限值,正常设置为
0223、限制用户是否允许切换到上级书目chroot_IocaI_user=YES将本地用户禁锢在自己的主书目,无法切换到上级书目chroot_Iist_enabIe=YESchroot_local_users=YES则允许chroot_list_fiIe文件中的用户切换chroot_IocaI_users=N0或者没有设置,则禁止文件中的用户切换chroot_list_fiIe=/etc/vsftpd/chroot_list该文件中的内容为本地用户名
4、欢迎登陆提示dirmessage_enabIe=YES开启欢迎信息提示(在登陆书目下的.message文件中写入欢迎信息)message_file=.message设置消息书目文件【传输模式及性能设置】3)访问速率设置以及连接相关设置:隐藏文件的所属主和组修改默认端口匿名最大传输速度,单位B/s本地最大传输速度,单位B/svsftpd允许最大连接数设置每个ip允许同时建立个连接数最多失败次数,超过后断开连接开启被动模式客户端连接端口最大为60000客户端连接端口最小为50000【访问限制设置】1)限制主机访问tcp_wrappers=YES打开主机访问限制(在/etc/hosts.allow和/etc/hosts.deny添加)比如要仅允许
192.
168.
0.
1792.
168.
0.254的用户去连接千tp服务器的设置如下vsftpd:
192.
168.
0.格式服务名ip地址网段[:alIow|deny]all:aII[:alIow|deny]2)设置是否允许用户登录userIist_enabIe=YES开启vsftpd的user_list限制功能userIist_fiIe=/etc/vsftpd/user_list默认的用户列表文件,一行一个用户userIist_deny=YES不设置或设置为YES时,userIist文件中的用户不行以登录设置为NO时,只能有userlist文件中的用户可以登录3修改用户登录FTP后的主书目user_config_dir-/etc/vsftpd/userconf指定用户配置文件所在的书目在该书目下,创建以本地用户名为名称的文件,以jack用户为例local_root=/ftp/jack指定jack用户的登录主书目为/ftp/jack【运用虚拟用户】创建虚拟用户,保证FTP平安示例创建虚拟用户vuserl和vuser2密码都为123主书目分别是/myftp/vuserl和/myftp/vuser21创建虚拟用户数据库文件•创建虚拟用户摩本/etc/vsftpd/vusers保存须要创建的虚拟用户名和密码vuserl——奇数行是用户名123——偶数行是密码vuser2123•用db_Ioad吩咐将虚拟账户文件/etc/vsftpd/vusers转换为数据库文件/etc/vsftpd/vusersLIogin.dbdb_load-T-thash-f/etc/vsftpd/vusers/etc/vsftpd/vusersLogin.db2)配置PAM文件/etc/pam.d/vsftpd.pam在文件最上面添加以下两行(本地用户和虚拟用户都可以访问)authsufficientpamuserdb.sodb=/etc/vsftpd/vusersLoginaccountsufficientpam_userdb.sodb=/etc/vsftpd/vusersLogin【留意】假如将上两行配置添加到已有内容的后面,则只有本地用户可以访问(相当于没有设置)假如不希望本地用户访问,则只保留添加的两行,其余注释掉3)在vsftpd.conf文件中进行相关配置添加guest_enabIe=YESguest_username=ftp虚拟用户借用本地用户ftp的名去访问VSFTPD服务器,可改成其他用户pam_service_name=vsftpd.pam要调用的pam文件(/etc/pam.d/vsftpd.pam)默认为vsftpduser_config_div-/etc/vsftpd/userconf对虚拟用户配置主书目(与本地用户配置相同)【增加SSL加密功能】
0、检查vsftpd有无支持SSL模拟Idd${whichvsftpd}/grepssI
1、建立证书数据cd/etc/pki/tIs/certsmakevsftpd.pemcp-avsftpd.pern/etc/vsftpd
2、修改配置文件添加以下配置ssl_enable=YESaIIow_anon_ssI=NOforce_local_data_ssI=YESforce_local_logins_ssI=YESssl_tlsv1=YESssl_tIsv2=N0ssl_tIsv3二NOrsa_cert_fiIe=/etc/vsftpd/vsftpd.pern假如已经启用SSL但客户端不满意要求,则显示如下错误:530Non-anonymoussessionsmustuseencryption。