在centos7安装ftp服务
yum install -y vsftpd
启动服务
systemctl start vsftpd
自启动
systemctl enable vsftpd
查看端口
注意关闭SELinux和本地防火墙,否则不能正常操作
重要文件
/var/ftp/pub/ 默认共享目录
/etc/vsftpd/vsftpd.conf 主配置文件
/etc/vsftpd/user_list 黑名单,可修改成白名单
/etc/vsftpd/ftpusers 黑名单
FTP相关用户
匿名用户
anonymous或ftp
本地用户
Linux系统用户
虚拟用户
管理员自定义用户
配置文件/etc/vsftpd/vsftpd.conf
anonymous_enable=YES ### 允许匿名登录,建议关闭 local_enable=YES ### 允许本地用户登录 write_enable=YES ### 允许对文件系统做改动的 FTP 命令 local_umask=022 ### 本地用户创建文件所用的 umask 值 dirmessage_enable=YES ### 当用户首次进入一个新目录时显示一个消息 xferlog_enable=YES ### 用于记录上传、下载细节的日志文件 connect_from_port_20=YES ### 主动模式数据传输接口 xferlog_std_format=YES ### 使用标准的ftp日志格式 listen=NO ### 不要让 vsftpd 运行在独立模式 listen_ipv6=YES ### vsftpd 将监听 IPv6 而不是 IPv4 pam_service_name=vsftpd ### vsftpd 使用的 PAM 服务名 userlist_enable=YES ### 用户登入限制 tcp_wrappers=YES ### 使用 tcp wrappers
匿名用户登入
在默认情况下,ftp可以用匿名用户登入,登入的目录为/var/ftp/
用户名为anonymous或ftp,密码为空,建议关闭
默认情况下,只能在对应的目录下进行下载文件,不能上传文件
可以修改对应的配置文件,允许匿名用户进行文件上传和建立目录的权限
配置文件/etc/vsftpd/vsftpd.conf中将以下两行注释去掉即可
anon_upload_enable=YES #允许上传文件
anon_mkdir_write_enable=YES #允许建立目录
重启服务,同时还需要让ftp作为/var/ftp/pub的所有者
chown ftp pub/
重新用匿名用户登入ftp就可以在pub/上传文件和建立目录
系统用户登入
采用Linux的系统用户作为ftp服务的用户进行登入,但是因为ftp是明文传递,如果被人截获数据包,就相当于获得Linux的用户和密码,因此建议关闭
默认情况下,采用系统用户登入,可以进行上传下载,目录为用户的家目录
可以修改配置文件更换系统用户的登入位置,在/etc/vsftpd/vsftpd.conf添加
local_root=/tmp/test_home/
然后建立对应的目录 mkdir /tmp/test_home,重启服务
再次登入ftp,目录为/tmp/test_home,其他Linux用户登入ftp服务也是在这个目录(注意系统的目录权限)
但是用系统用户登入ftp存在一个缺陷,即可以切换到根目录,可以窃取其他目录的信息,所以我们需要把系统用户禁锢在家目录下
进入配置文件,把这句话前面的注释去掉,然后重启服务,即把所有的系统用户限制在家目录下
chroot_local_user=YES
chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list
假如我们在/etc/vsftpd/chroot_list添加一个系统用户test2,那么这个系统用户登入ftp服务器,则可以访问根目录,也可以访问其他目录
/etc/vsftpd/ftpusers和 /etc/vsftpd/user_list默认情况下都是黑名单,但是/etc/vsftpd/user_list可以通过配置文件修改成白名单
在/etc/vsftpd/vsftpd.conf配置文件中
userlist_enable=YES #在这句下面添加以下两句,将user_list反转成白名单 userlist_deny=NO userlist_file=/etc/vsftpd/user_list
注意黑名单的权限比白名单大,即同时存在与黑名单和白名单,依旧被禁用
虚拟用户登入
比较安全和常见的登入方式为虚拟用户登入,即只能登入ftp服务器
1、添加一个虚拟用户口令文件
vim /etc/vsftpd/vuser.txt
在里面输入虚拟用户和密码
vtest #账户
test #密码
vtest2 #账户
test2 #密码
2、生成认证文件
db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db
如果没有安装口令认证文件先安装
yum -y install db4-utils
3、编辑pam认证文件
进入 /etc/pam.d/vsftpd,注释掉原来的内容,因为系统登入依赖这个文件
在后面添加两行
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
4、建立本地映射用户
useradd -d /home/vftproot -s /sbin/nologin vuser chmod 755 /home/vftproot
5、修改配置文件
在/etc/vsftpd/vsftpd.conf下面添加
guest_enable=YES guest_username=vuser
user_config_dir=/etc/vsftpd/vuser_conf
然后重启服务,就可以进行虚拟用户登入,记得删除原来的vuser.txt文件
虚拟用户进行目录分配
mkdir /etc/vsftpd/vuser_conf
在这个目录下创建文件,文件名为虚拟用户名,在里面指定权限和目录,没有设置的虚拟用户则根据主配置文件
vim /etc/vsftpd/vuser_conf/vtest2
anon_upload_enable=YES anon_mkdir_write_enable=YES local_root=/tmp/vtest2
mkdir /tmp/vtest2
chown vuser vtest2/
并在配置文件中添加
allow_writeable_chroot=YES
重启服务,再次登入,可以正常使用
