学习链接:

vsftpd官网:

Filezilla 官方网站:

51cto专题

阿里云栖文档

 

包地址:

一,FTP 的数据链路原理

FTP (File Transfer Protocol) 主要是用来进行文件的传输,数据采用明文传输;

1, FTP 功能简介

(1)不同等级的用户身份:user, guest, anonymous

(2)命令记录与登录文件记录

(3)限制用户活动的目录: (change root, 简称 chroot)

2,FTP主动方式的工作流程

FTP传输使用tcp协议,使用命令信道与数据流通道俩个连接

clipboard.png

上图为默认主动方式工作:

(1)建立命令通道连接

客户端会随机选择一个大于1024以上的端口(port AA)和服务端21端口建立连接

这个为命令通道,可以查询文件名,下载,上传等

(2)通知FTP服务端使用active且上报连接的端口

客户端需要数据传输时,如果时主动式,会随机启用一个端口(port BB),并通过命令通道上报FTP服务端,并等待FTP服务端的连接;

(3)FTP服务端主动向客户端连接

FTP服务端会主动由20端口向客户端的portBB建立连接;

FTP客户端与服务器端共建立俩个连接,分别用于命令下达和数据,FTP默认使用主动方式端口为20

注意:数据通道时有数据传输才建立;

主动方式使用的端口:

命令通道:21

数据通道:20

在主动方式中FTP服务端与客户端之间有防火墙的问题:

clipboard.png

(1) 客户端与服务器间命令信道的建立:

因为NAT 会主动的记录由内部送往外部的连接信息,而由于命令信道的建立是

由客户端向服务器端发起建立连接的,所以这步可以顺利的建立起来的;

(2)客户端与服务器间数据信道建立时的通知:

客户端主机会先启用 port BB ,并通过命令通道上报 FTP 服务器,且等待服务器端的主动连接;

(3)3服务端主动连到 NAT 等待转递至客户端的连接问题:

但是由于通过 NAT 的转换后,FTP 服务器只能得知 NAT 的 IP 而不是客户端的

IP , 因此 FTP 服务器会以 port 20 主动的向 NAT 的 port BB 发送主动建立连接

的要求。 但你的 NAT 并没有启动 port BB 来监听 FTP 服务端的连接

解决方法:

(1)使用 iptables 所提供的 FTP 侦测模块:(使用在21固定端口时)

iptables提供模块,使用modprobe加载ip_conntrack_ftp及ip_nat_ftp等模块。

模块会主动分析目标时port21的连接信息,所以会得到port BB的信息。

(2)客户端选择被动式 (Passive) 连接模式:

3,客户端选择被动式方式

clipboard.png

(1) 客户端与服务器建立命令信道:

客户端会随机选择一个大于1024以上的端口(port AA)和服务端21端口建立连接;

这个为命令通道,可以查询文件名,下载,上传等

(2)客户端发出 PASV 的建立连接请求:

当使用数据信道的指令时,客户端通过命令通道发出 PASV 的被动式要求 (Passive 的缩写), 并等待服务器的回应;

(3)FTP 服务端启动数据端口,并通知客户端建立连接:

如果你的 FTP 服务器是能够处理被动式连接的,此时 FTP 服务器会先启动一个端口在监听。 这个端口可以是随机或者自定义某一范围的端口;然后 FTP 服务端会通过命令通道告知客户端该已经启动的端口,并等待客户端的连接。

(4)客户端随机取用大于 1024 的端口进行连接:

客户端会随机取用一个大于 1024 的端口来对主机的 port PASV建立连接。

4,FTP 的安全性问题与替代方案

FTP为明文传输,可以用sftp-server替代,或者做以下限制

(1)随时更新到最新版本的 FTP 软件,并随时注意漏洞讯息;

(2)善用 iptables 来限制可以使用 FTP 的网段;

(3)善用 TCP_Wrappers 来限制可以登入的网段;

(4) 善用 FTP 软件的设置来限制使用FTP 服务器的使用者的不同权限;

(5)使用 Super daemon 来进阶管理 FTP 服务器;

(6)随时注意用户的家目录、以及匿名用户登入的目录的『档案权限』;

(7)若不对外公开可以修改 FTP 的 port 。

(9)使用 FTPs 这种加密的 FTP 功能

5,开放什么身份的使用者登入

(1)开放实体用户的情况 (Real user):

FTP服务器默认允许实体用户登入,系统并没对实体用户限制,所以他可以对整个文件系统进行任何他具有权限的工作

开放实体用户时建议:

a)使用替代的FTP方案。

b)限制用户权限,如chroot与/sbin/nologin,如vsftpd默认可以通过/etc/vsftpd/ftpusers来禁止登录ftp账号;

(2)访客身份(Guest)

通常会建立 guest 身份的案例当中,大多时由于服务器提供了类似个人 Web 首页的功能给一般身份用户, 使用者需要管理自己的网页空间,这时将使用者的身份压缩成为 guest ,并且将他的可用目录设定好,常见的建议如下:

a)仅提供需要登入的账号,不需要提供系统上面所有人均可登入的环境

b)针对不同的访客给他们不一样的家目录, 并且家目录与用户的权限设定需要相符合;

例如要提供 dmtsai 管理他的网页空间位置/home/dmtsai/www ,那需要将 dmtsai 在 FTP 提供的目录仅有 /home/dmtsai/www 就可以

c)定较多的限制,包括:上下传文件数目与硬盘容量的限制、登入的时间限制、可以使用的指令等

(3)匿名登录使用者 (anonymous)

必须做限制

二,vsftpd(Very Secure FTP Daemon)服务器基础设置

1,为何使用vsftpd?

(1)vsftpd针对操作系统的程序的权限(privilege)

系统上所执行的程序会启动一个程序为PID(Process ID),这个PID在系统上能进行的任务与拥有的权限有关。

(2)vsftpd支持chroot(change root directory)功能 ,root指根目录而非系统管理员。

比如,以匿名身份登入ftp服务器 ,会被限定在 /var/ftp目录下工作,看见的根目录就是/var/ftp

(3)vsftpd服务启动者身份为一般用户,所以对Linux系统权限较低。

(4)任何需要较高执行权限的vsftpd指令会以一支特殊的上层程序所控制。

(5)绝大部分ftp会使用到的额外指令功能,如dir,ls,cd...都已经被整合到vsftpd主程序中

(6)所有来自客户端且想要使用这支上层程序所提供的较高执行权限之vsftpd指令的需求,都被视为不可信任的要求来处理,必需要经过相当程序的身份确认后,才可以利用上层程序的功能,例如chown(),Login的要求等动作

2,所需要的软件以及软件结构

(1)yum安装

yum install vsftpd

(2)安装生成文件

# rpm -ql vsftpd

/etc/logrotate.d/vsftpd    # 日志轮询

/etc/pam.d/vsftpd           # 使用PAM模块时的配置文件

/etc/rc.d/init.d/vsftpd      #

/etc/vsftpd

/etc/vsftpd/ftpusers        # PAM模块指定禁止登入用户的文件

/etc/vsftpd/user_list       # 生效与否,与userlist_enable,userlist_deny有关。

/etc/vsftpd/vsftpd.conf   # 主配置 文件

/etc/vsftpd/vsftpd_conf_migrate.sh

/usr/sbin/vsftpd              # vsftpd的执行文件

/var/ftp                             # vsftpd默认匿名者登入的根目录;

/var/ftp/pub

/etc/vsftpd/chroot_list     # 默认不存在,需要手动创建。可以将账号chroot在家目录下。  

                                      生效与否,与chroot_list_enable, chroot_list_file有关

# /etc/pam.d/vsftpd内容,file后面文件为禁止用户使用vsftpd

# cat /etc/pam.d/vsftpd

#%PAM-1.0

session    optional     pam_keyinit.so    force revoke

auth       required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

auth       required pam_shells.so

auth       include password-auth

account    include password-auth

session    required     pam_loginuid.so

session    include password-auth

# /etc/vsftpd/ftpusers内容,将禁止的账号写入这个文件,一行一个账号

# cat /etc/vsftpd/ftpusers

# Users that are not allowed to login via ftp

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

3,vsftpd.conf配置文件详解 man 5 vsftpd.conf

(1)服务器环境相关的设置

connect_frot_port_20=YES/NO   # 使用20端口进行数据传输

listen_port=21                # 监听端口,也是命令通道端口,仅适合以standalone方式生效(对super daemon无效)

dirmessage_enable=YES/NO #用户进入目录时,显示需要注意的内容,显示内容由message_file指定

message_file=message   # dirmessage_enable=YES时此选项可用,用来存放需要显示的信息

listen=YES/NO          #定义ftp的启动模式YES作为独立的服务启动,NO由xinetd启动

pasv_enable=YES/NO     #是否支持被动模式,一定要设定为YES

use_localtime=YES/NO   #是否实用本地时间取代GMT时间,建议设置为YES

write_enable=YES/NO     #是否允许用户上传数据

connect_timeout=60         #连接超时时间单位s,主动式连接模式时,服务端在60s得不到客户端响应,则强制断线

accept_timeout=60            #使用被动模式进行数据传输时,如果数据传输端口等待时间超过60s则强制断线

data_connection_timeout=300   #数据传输超时时间

idle_session_timeout=300          #空闲会话超时时间

max_clients=0           #如果ftp作为独立的服务,此选项用来设置同一时间最多有多少客户端可以连接

max_per_ip=0           #定义同意ip在同一时间最多可建立多少连接

pasv_min_port=0,pasv_max_port=0   #定义被动模式进行数据传输所使用的端口范围0不限制

ftpd_banner=            #定义用户登录ftp时显示的欢迎信息内容,一般使用banner_file选项设定

banner_file=/PATH/FILE  #同上

(2)真实用户的相关设置

guest_enable=YES/NO  #是否在真实用户登录后被系统识别为guest。具体身份由guest_username指定

guest_username=ftp       #guest_enable=YES生效时,指定识别为系统中的哪个用户

local_enable=YES/NO   #是否允许/etc/passwd内的帐号以真实用户的方式登录ftp服务器

local_max_rate=0           #定义传输速度 单位为bytes/second

chroot_local_user=YES/NO  #是否将用户限制在家目录内,具体设置需配合下面俩个选项使用

chroot_list_enable=YES/NO  #是否启用chroot列表功能

chroot_list_file=/etc/vsftpd/chroot_list    #定义被限制在家目录用户名称存放的文件,

userlist_enable=YES/NO    #是否启用禁止用户登录的功能

userlist_deny=YES/NO  #如果值为YES则存放在user_list文件中的用户无法登录ftp,在userlist_enable=YES时生效

userlist_file=/etc/vsftpd/user_list  # 定义用户名称此选项在userlist_deny=YES时生效

(3)匿名用户的相关设置

anonyous_enable=YES/NO       #是否允许匿名用户登录,后面所有的选项都是在anonyous_enable=YES时才会生效

anon_world_readable_only=YES/NO   #是否允许匿名用下载

anon_other_write_enable=YES/NO    #是否允许匿名用户具有除了写以外的权限,包括删除改名

anon_mkdir_write_enable=YES/NO    #是否允许匿名用户具有建立目录的权限,如果允许则anon_other_write_enable的值必须为YES

anon_upload_enable=YES/NO        #是否允许匿名用户上传资料

deny_email_file=/etc/vsftp/banned_emails     #是否启用阻止某些邮件地址功能来禁止某些匿名用户登录

banned_email_file=/etc/vsftpd/banned_emails # 用来记录存放邮箱地址的文件

no_anon_passwod=YES/NO        #匿名用户登录是否需要密码

anon_max_rate=0                           #匿名用户的传输速度单位bytes/second

anon_umask=077                           #匿名用户上传文件的权限

(4)安全相关设置

ascii_upload_enable=YES/NO       #设置是否启用ASCII 模式上传数据

ascii_download_enable=YES/NO  #设置是否启用ASCII 模式下载数据

one_process_model=YES (NO) #当设为YES时,表示每个建立的连接都会拥有一支process

tcp_wrappers=YES/NO       # 设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用,则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置,来决定请求连接的主机,是否允许访问该FTP服务器。

比如:若要仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器,则在/etc/hosts.allow文件中添加以下内容:

vsftpd:192.168.0. :allow

all:all :deny

xferlog_enable= YES/NO    #是否启用上传/下载日志记录。如果启用,则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。

xferlog_file=/var/log/vsftpd.log   #设置日志文件名和路径

xferlog_std_format=YES/NO    #如果启用,则日志文件将会写成xferlog的标准格式

nopriv_user=nobody     #默认以nobody作为服务执行者权限

pam_service_name=vsftpd      #设置PAM使用的名称

4,vsftpd启动的模式

vsftpd 可以使用 stand alone 或 super daemon 的方式来启动, CentOS 默认是以 stand alone 来启动的。

a)提供给整个因特网来进行大量下载的任务,建议你使用 stand alone 的方式, 服务的速度上会比较好。

b)仅提供给内部人员使用的 FTP 服务器,使用 super daemon 来管理;

(1)利用CentOS提供的script来启动vsftpd(stand alone)

/etc/init.d/vsftpd start

(2)以super daemon来启动

a)更改配置

vim /etc/vsftpd/vsftpd.conf

listen=NO

b)安装配置superdaemon

# 安装xinetd

yum install xinetd

# 编写配置 文件

vim /etc/xinetd.d/vsftpd

service ftp

{

 socket_type = stream

 wait        = no

 user        = root

 server      = /usr/sbin/vsftpd

 server_args = /etc/vsftpd/vsftpd.conf

 log_on_success += DURATION USERID

 log_on_failure += USERID

 disable     = no  

}

# 停止vsftpd服务

/etc/init.d/vsftpd stop

#启动xinetd服务

/etc/init.d/xinetd restart

# 查看开机启动项

chkconfig --list

5,CentOS的vsftpd默认值

# grep -v ^# vsftpd.conf | grep -v ^$

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

功能说明:

a)可以使用 anonymous 匿名账号或其他实体账号 (/etc/passwd) 登入;

b)anonymous 的家目录在 /var/ftp ,且无上传权限,已经被 chroot ;

c)实体用户的家目录参考 /etc/passwd,并没有被 chroot;

d) /etc/vsftpd/ftpusers 内存在的账号都不能使用 vsftpd (PAM);

e)利用 /etc/hosts.{allow|deny} 来作为基础防火墙;

f)当客户端有任何上传/下载信息时,该信息会被纪录到 /var/log/xferlog

g) 主动方式的端口为 port 20;

h) 使用格林威治时间 (GMT)。

6,针对实体用户的设置

如需要达到的功能为:

a)使用本地时间取代 GMT 时间;

b)用户登入时显示一些欢迎信息;

c)系统账号不可登入主机 (即 UID 小于 500 以下的账号);

d)一般实体用户可以进行上传、下载、建立目录及修改文件等动作;

e)用户新增的文件、目录之 umask 设定为 002;

f)其他主机设定值保留默认值。

(1)主配置文件设置

# grep -v ^# vsftpd.conf | grep -v ^$

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

banner_file=/etc/vsftpd/welcome.txt

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd/user_list

tcp_wrappers=YES

use_localtime=YES

(2)建立欢迎信息

# cat /etc/vsftpd/welcome.txt

Hi,welcome my ftp!

(3)建立限制系统账号登入的文件

/etc/vsftpd/ftpusers:就是 /etc/pam.d/vsftpd 设定所影响的;

/etc/vsftpd/user_list:由 vsftpd.conf 的 userlist_file 所设定。

# cat ftpusers

# Users that are not allowed to login via ftp

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

(4)测试

# lftp 47.95.251.172

lftp 47.95.251.172:~> user ftptest passwd

lftp ftptest@47.95.251.172:~> ls

drwxr-xr-x    2 501      501          4096 Dec 05 14:04 a

lftp ftptest@47.95.251.172:~> cd /

cd ok, cwd=/

lftp ftptest@47.95.251.172:/> ls

drwxr-xr-x    2 0        0            4096 Sep 20 15:20 aliyun-bin

dr-xr-xr-x    2 0        0            4096 Aug 24 12:29 bin

dr-xr-xr-x    4 0        0            4096 Aug 24 12:24 boot

drwxr-xr-x    5 0        0            4096 Oct 28 16:15 data0

drwxr-xr-x   18 0        0            3540 Oct 24 23:39 dev

drwxr-xr-x   72 0        0            4096 Dec 05 13:57 etc

(5)SELinux设置

# 查看 selinux设置

getsebool -a | grep ftp

# 设置 selinux

setsebool -P ftp_home_dir=1

(6)对用户 (包括未来新增用户) 进行 chroot

a)增加chroot内容

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

b)建立不被chroot的账号列表,即使没有任何账号,该文件也要存在

vim /etc/vsftpd/chroot_list

testuser1

testuser2

c)重启服务

/etc/init.d/vsftpd restart

(7)限制实体用户的总下载流量(带宽)

a)内容增加

local_max_rate=1000

b)重启服务

/etc/init.d/vsftpd restart

(8)限制最大同时上线人数与同一IP的FTP连接数

a)内容增加

max_client=10

max_per_ip=2

b)重启服务

/etc/init.d/vsftpd restart

(9)建立严格的可使用FTP的账号列表,只许user_list内用户登录

a)修改内容

userlist_enable=YES

userlist_deny=NO

userlist_file=/etc/vsftpd/user_list

b)填写/etc/vsftpd/user_list

# cat /etc/vsftpd/user_list

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers

# for users that are denied.

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

testuser2

c)重启服务

/etc/init.d/vsftpd restart

7,仅有匿名登录的相关设置

功能要求:

a)使用本地的时间,而非 GMT 时间;

b)提供欢迎信息,说明可提供下载的信息;

c)仅开放 anonymous 的登入,且不需要输入密码;

d)文件传输的速限为 1 Mbytes/second;

e)数据连接的过程 (不是命令通道) 只要超过 60 秒没有响应,就强制Client 断线

f)只要 anonymous 超过十分钟没有动作,就强制断线;

g)最大同时上线人数限制为 50 人,且同一 IP 最大在线数量为 5 人

h)默认的 FTP 匿名者的根目录所在: ftp 账号的家目录

(1)匿名用户默认登入的根目录是以ftp这个用户的家目录,查询目录

# finger ftp

Login: ftp             Name: FTP User

Directory: /var/ftp                 Shell: /sbin/nologin

Never logged in.

No mail.

No Plan.

(2)建立浏览 目录

mkdir /var/ftp/{linux,gun}

(3)编写vsftpd.conf配置文件

# grep -v ^# vsftpd.conf | grep -v ^$

anonymous_enable=YES

no_anon_password=YES

anon_max_rate=100000

data_connection_timeout=60

idle_session_timeout=600

max_clients=50

max_per_ip=5

local_enable=NO

dirmessage_enable=YES

banner_file=/etc/vsftpd/welcome.txt

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

tcp_wrappers=YES

use_localtime=YES

(4)让匿名者可上传/下载自己的资料(权限开放最大)

a)增加内容

write_enable=YES

anon_other_write_enable=YES

anon_mkdir_write_enable=YES

anon_upload_enable=YES

b)重启服务

/etc/init.d/vsftpd restart

c)SELinux设置

setsebool -P allow_ftpd_anon_write=1

setsebool -P allow_ftpd_full_access=1

(5)匿名用户只能上传禁止下载

write_enable=YES

anon_mkdir_write_enable=YES

anon_upload_enable=YES

chown_uploads=YES  

chown_username=daemon

(6)固定范围的端口作为FTP被动式 数据通道

a)增加内容

pasv_min_port=65400

pasv_max_port=65410

b)重启服务

/etc/init.d/vsftpd restart

8,防火墙设置

功能:

a)加入 iptables 的 ip_nat_ftp, ip_conntrack_ftp 两个模块

vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"

b)放开 port 21 给因特网使用

iptables -A INPUT -p TCP  --dport 21 --sport 1024:65534 -j ACCEPT

c)放开 port 65400~65410 端口给 Internet 联机用

iptables -A INPUT -p TCP  --dport 65400:65410 --sport 1024:65534 -j ACCEPT

9,常见问题与解决

主要查看日志文件;

/var/log/vsftpd.log

/var/log/messages

/var/log/xferlog

(1)如果在 Client 端上面发现无法联机成功,请检查:

a)iptables 防火墙的规则,是否开放了 port 21 登入;

b)查看 /etc/hosts.deny

c)查看 /etc/xinetd.d/vsftpd

如果 Client 已经连上 vsftpd 服务器,但是却显示『 XXX file can't be opend 』的字样,请检查:

a)最主要的原因是在 vsftpd.conf 设定了检查某个文件,却没创建该文件, 所以,请检查 vsftpd.conf 里面所有设定的文件,使用 touch 创建该文件

如果 Client 已经连上 vsftpd 服务器,却无法使用某个账号登入,请检查:

a)在 vsftpd.conf 里面是否设定了使用 pam 模块来检验账号,以及利用 userlist_file 来管理账号;

b)请检查 /etc/vsftpd/ftpusers 以及 /etc/vsftpd/user_list文件内是否将该账号禁用了;

如果 Client 无法上传文件,该如何是好?

a)最可能发生的原因就是在 vsftpd.conf 里面忘记加上这个设定write_enable=YES这个设定,请加入;

b)是否所要上传的目录权限不对,请以 chmod 或 chown 来修改;

c)是否 anonymous 的设定里面忘记加上了底下三个参数:

     anon_other_write_enable=YES

     anon_mkdir_write_enable=YES

     anon_upload_enable=YES

d)是否因为设定了 email 抵挡机制,又将 email address 写入该文件中了!?请检查!

e)是否设定了不许 ASCII 格式传送,但 Client 端却以 ASCII 传送呢?

请在 client 端以 binary 格式来传送文件!

f)检查一下 /var/log/messages ,是否被 SELinux 所抵挡住了呢?

三,客户端的图形接口 FTP 软件

命令行ftp和lftp俩个指令

图形接口:

1,Filezilla

说明网站:http://filezilla.sourceforge.net/

下载网站:

2,通过浏览器连接FTP

ftp://username@your_ip

ftp://dmtsai:yourpasswd@your_ip

四,vsftpd配置SSL加密功能

1,检查vsftpd是否支持ssl模块

ldd $(which vsftpd) | grep ssl

2,建立vsftpd证书

cd /etc/pki/tls/certs

make vsftpd.pem

cp -a vsftpd.pem /etc/vsftpd/

3,修改vsftpd配置文件

功能:

a)提供实体账号登入,实体账号可上传数据,且 umask 为 002

b)实体账号默认为 chroot 的情况,且全部实体账号可用带宽为1Mbytes/second

c)实体账号的登入与数据传输均需透过 SSL 加密功能传送;

d)提供匿名登录,匿名者仅能下载,不能上传,且使用明码传输 (不透过 SSL)

vim /etc/vsftpd/vsftpd.conf

# user

local_enable=YES

write_enable=YES

local_umask=002

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

local_max_rate=10000000

#anonymout

anonymous_enable=YES

no_anon_password=YES

anon_max_rate=1000000

data_connection_timeout=60

idle_session_timeout=600

# ssl

ssl_enable=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

ssl_tlsv1=YES

ssl_sslv2=NO

ssl_sslv3=NO

rsa_cert_file=/etc/vsftpd/vsftpd.pem

#system

max_clients=50

max_per_ip=5

use_localtime=YES

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

tcp_wrappers=YES

banner_file=/etc/vsftpd/welcome.txt

dual_log_enable=YES

vsftpd_log_file=/var/log/vsftpd.log

pasv_min_port=65400

pasv_max_port=65410

五,实战

1,针对真实用户:

a)使用本地时间取代 GMT 时间;

b)用户登入时显示一些欢迎信息;

c)系统账号不可登入主机 (即 UID 小于 500 以下的账号);

d)一般实体用户可以进行上传、下载、建立目录及修改文件等动作;

e)用户新增的文件、目录之 umask 设定为 002;

f)禁止匿名用户

g)对用户 (包括未来新增用户) 进行 chroot

h)限制实体用户的总下载流量(带宽)

i)限制最大同时上线人数与同一IP的FTP连接数

j)建立严格的可使用FTP的账号列表,只许user_list内用户登录

k)启动主动模式

l)其他主机设定值保留默认值。

(1)yum安装

yum install vsftpd -y

(2)创建配置文件

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

chroot_local_user=YES

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

local_max_rate=1000

max_clients=100

max_per_ip=20

dirmessage_enable=YES

banner_file=/etc/vsftpd/welcome.txt

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

#pasv_enable=NO

port_enable=YES

pam_service_name=vsftpd

userlist_enable=YES

userlist_deny=NO

userlist_file=/etc/vsftpd/user_list

tcp_wrappers=YES

use_localtime=YES

(3)创建白名单用户

# cat user_list

# vsftpd userlist

# If userlist_deny=NO, only allow users in this file

# If userlist_deny=YES (default), never allow users in this file, and

# do not even prompt for a password.

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers

# for users that are denied.

testuser2

(4)创建chroot用户

# cat chroot_list

testuser2

(5)创建欢迎信息文件

# cat welcome.txt

Hi,welcome my ftp!

(6)创建黑名单用户

cat ftpusers

# Users that are not allowed to login via ftp

root

bin

daemon

adm

lp

sync

shutdown

halt

mail

news

uucp

operator

games

nobody

(7)启动服务和设置开机启动项

service vsftpd start

chkconfig vsftpd on

匿名用户:

# grep -v ^# vsftpd.conf | grep -v ^$

anonymous_enable=YES

no_anon_password=YES

anon_max_rate=100000

data_connection_timeout=60

idle_session_timeout=600

max_clients=50

max_per_ip=5

local_enable=NO

dirmessage_enable=YES

banner_file=/etc/vsftpd/welcome.txt

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=YES

pam_service_name=vsftpd

tcp_wrappers=YES

use_localtime=YES

pasv_min_port=65400

pasv_max_port=65410

write_enable=YES

anon_mkdir_write_enable=YES

anon_upload_enable=YES

chown_uploads=YES

chown_username=daemon

1,8UFTP连接失败,linux命令可以,解决办法:

问题追踪

状态:  正在连接 47.95.251.172 ...

状态:  已经连接到 47.95.251.172:0。正在等待欢迎信息...

响应:  220-Hi,welcome my ftp!

响应:  220

命令:  USER anonymous

响应:  230 Login successful.

状态:  连接成功

命令:  OPTS UTF8 OFF

响应:  501 Option not understood.

状态:  正在取得目录列表...

命令:  PWD

响应:  257 "/"

命令:  PASV

响应:  227 Entering Passive Mode (172,17,210,66,255,124).

命令:  TYPE A

响应:  200 Switching to ASCII mode.

命令:  LIST

错误:  无法打开传输通道。原因:由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。

错误:  无法取得目录列表

解决办法:文件--->站点管理器--->高级--->活动模式--->确定

clipboard.png