Linux：FTP服務器的搭建-有解無憂

FTP服務器的簡介

系統用戶

即系統本機的用戶，Linux一般不會針對物體用戶進行限制，因此物體用戶可以針對整個檔案
系統進行作業，但通常不希望他們通過FTP方式遠程訪問系統，

虛擬用戶

只能采用FTP方式使用系統的用戶，不能直接使用Shell登錄系統，即虛擬用戶，訪問服務器
時需要驗證，大多數FTP用戶是這類用戶，

匿名用戶

對于公共性質的服務器可以提供匿名用戶訪問，用戶名：anonymous，但在使用匿名用戶時，
應對其進行盡可能多的限制，權限較低，如：同時連接的用戶數量受限，訪問的檔案數目受限，
不能上傳檔案，允許操作的指令較少，設定匿用戶同時登入的最大聯機數量等，

FTP服務器的安裝

使用yum安裝vsftpd軟體包

#yum install vsftpd ftp

啟動服務并設定開機自啟

#systemctl start vsftpd.service 
#systemctl enable vsftpd.service

設定防火墻與selinux機制

#firewall-cmd --permanent --zone=public --add-service=ftp
#firewall-cmd --reload
#setenforce 0

配置訪問

配置匿名用戶訪問FTP

ftp的組態檔

ftp的組態檔是：/etc/vsftpd/vsftpd.conf 
設定匿名用戶訪問ftp:
anonymous_enable=YES

設定匿名用戶登錄ftp時不輸入密碼

設定匿名用戶登錄ftp時不輸入密碼：
no_anon_password=YES
ftpd_banner= welcome to our home!   //設定提示內容

設定匿名用戶上傳、新建、洗掉檔案

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=yes

設定檔案權限

chmod 777 pub   不推薦使用

setfacl -m u:ftp:rwx pub   推薦使用

設定匿名用戶上傳或新建檔案的權限

如果使用vsftp的是本地用戶，則要修改組態檔中的 local_umask 的值；

如果使用vsftp的是虛擬用戶，則要修改組態檔中的 anon_umask 的值，

umask = 022 時，新建的目錄 權限是755，檔案的權限是 644；

umask = 077 時，新建的目錄 權限是700，檔案的權限時 600，

設定不允許系統用戶登錄，只能匿名用戶登錄

anonymous_enable=YES

local_enable=no

設定匿名用戶訪問ftp的默認目錄

anon_root=/var/ftp

anon_root=/var/public

      注意：要修改vsftp服務器匿名用戶默認目錄時，不可以將anon_root設定為一個其他賬號已有的家目錄，否則不能實作匿名用戶訪問ftp服務器，

配置系統用戶訪問FTP

設定系統用戶只能訪問自己的主目錄

設定系統用戶只能訪問自己的主目錄并具有所有權限，不允許切換到系統的其他目錄

chroot_local_user=YES   控制用戶訪問路徑訪問自己的主目錄，不能切換到其他目錄

allow_writeable_chroot=YES  允許寫入

ftpd_banner= welcome to our home!

max_clients=30   設定最大連接數

idle_session_timeout=600   設定超時時間

設定系統用戶訪問指定目錄

設定系統用戶訪問指定目錄，不允許切換到系統的其他目錄，并具上傳、下載、新建、洗掉的權限，

local_root=/mnt/public/   設定系統用戶訪問ftp的默認目錄

write_enable=YES          允許寫入

chroot_local_user=YES      控制用戶訪問路徑訪問指定目錄，不能切換到其他目錄

allow_writeable_chroot=YES 允許寫入

修改/mnt/public/目錄下的檔案權限

基于本地用戶的訪問控制

默認情況下

默認情況下，ftp服務器中所有系統用戶都可以訪問ftp,如何來限定只有指定的系統用戶可以訪問呢？vsftp中提供了兩個與系統用戶相關的組態檔：

/etc/vsftpd/ftpusers  提供了一份用于禁止登錄的ftp用戶串列（黑名單）， 
                      此檔案中包含的用戶將被禁止登錄vsftpd服務器，不管該用戶是否在
                      /etc/vfsftpd/user_list中出現，
	
/etc/vsftpd/user_list 提供了一份用于允許登錄的ftp用戶串列（白名單），
                      此檔案中包含的用戶可能被禁止登錄，可能被允許登錄，

具體配置

具體在主組態檔vsftpd.conf中決定：
    當存在userlist_enable=YES時，user_list檔案生效，
    當存在userlist_deny=YES時，則僅禁止串列中的帳戶登錄，
    當存在userlist_deny=NO時，則允許串列中用戶登錄，  
    其中：ftpusers檔案的優先級要高于user_list檔案，即如果一個用戶同時存在
          于兩個檔案中，則被拒絕訪問ftp，
            舉例：只讓ftpuser用戶訪問ftp，那么可以進行如下設定：
                 #vim /etc/vsftpd/vsftpd.conf
                   userlist_enable=YES       啟用userlist用戶串列（系統默認設定）
                   userlist_deny=NO         只允許串列中的用戶登錄    
                #vim/etc/vsftpd/user_list

將允許登錄的用戶添加在最后

將服務重啟后，在客戶端測驗，此時只有ftpuser用戶可以訪問ftp

ftp日志管理

日志檔案

Vsftp軟體搭建的FTP服務器的日志檔案的配置,在/etc/vsftpd.conf中找到：

xferlog_enable=YES   開啟FTP服務器記錄上傳下載的情況

xferlog_std_format=YES    日志格式

xferlog_file=路徑        指定日志檔案

默認為：/var/log/xferlog

日志檔案輸出格式

（1）當前時間（為本地時間），格式為：DDD MMM dd hh:mm:ss YYYY

（2）傳輸時間：傳送檔案所用時間，單位為秒

（3）遠程主機名稱/IP：

（4）檔案大小：傳輸檔案的大小，單位為byte

（5）檔案名：傳輸檔案名，包括路徑

（6）傳輸型別：a--以ASCII傳輸；b--以二進制檔案傳輸

（7）特殊處理標志：
_：不做任何特殊處理
c：檔案是壓縮格式
u：檔案是非壓縮格式
t：檔案時tar格式

（8）傳輸方向：o 從FTP服務器想客戶端傳輸；i 從客戶端向FTP服務器傳輸

（9）訪問模式：a 匿名用戶；g 來賓用戶；r 系統中的用戶

（10）用戶名

（11）服務名：一般為FTP

（12）認證方式：0 無； 1 RFC931認證

（13）認證用戶id：如果使用*，測表示無法獲得該id

（14）完成狀態：i 傳輸未完成；c表示傳輸已完成，

配置虛擬用戶訪問

安裝Vsftpd虛擬用戶需要用到的軟體及認證模塊

yum install pam* libdb-utils libdb* --skip-broken -y

創建虛擬用戶臨時檔案/etc/vsftpd/ftpusers.txt,用戶名密碼格式

xxxxxx
123456
……
……

生成Vsftpd虛擬用戶資料庫認證檔案，設定權限為600

權限為600 表示只有所有者可以訪問
#db_load -T -t hash -f /etc/vsftpd/ftpusers.txt /etc/vsftpd/vsftp_login.db
   #chmod 600 /etc/vsftpd/vsftp_login.db

配置PAM認證檔案：vim /etc/pam.d/vsftpd.vu

配置PAM認證檔案：vim /etc/pam.d/vsftpd.vu

   auth   required   pam_userdb.so   db=/etc/vsftpd/vsftp_login

   account  required  pam_userdb.so  db=/etc/vsftpd/vsftp_login

創建一個系統用戶，用于虛擬用戶映射

#useradd -s /sbin/nologin ftpuser

修改組態檔

修改組態檔：#vim /etc/vsftpd/vsftpd.conf 

   #pam_service_name=vsftpd

   pam_service_name=vsftpd.vu

   guest_enable=YES

   guest_username=ftpuser

   user_config_dir=/etc/vsftpd/vsftpd_user_conf

   virtual_use_local_privs=YES

分別為虛擬用戶創建私有的虛擬目錄與獨立的組態檔

#mkdir /home/ftpuser/techftp

#mkdir /etc/vsftpd/vsftpd_user_conf

#vim techftp
     local_root=/home/ftpuser/techftp
write_enable=YES
anon_world_readable_only=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

#mkdir /home/ftpuser/netftp

#vim netftp
     local_root=/home/ftpuser/netftp
write_enable=YES
virtual_use_local_privs=NO      #不具有可登錄用戶的權限     
anon_world_readable_only=YES             #可瀏覽目錄
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

轉載請註明出處，本文鏈接：https://www.uj5u.com/caozuo/153323.html

標籤：Linux

上一篇：hadoop

下一篇：BootStrap