I. Введение
FTP (File Transfer Protocol) означает: Очень Secure FTP Server. Vsftpd является FTP серверное программное обеспечение работает на Linux-подобных операционных систем.
vsftp посадка предлагает три способа: 1. 2. анонимного входа локального пользователя для входа 3. Виртуального Пользователя Вход
Vsftpd особенность: высокая безопасность ограничение спроса пропускной способности 2. 3. Создание поддержки виртуальной пользовательского 4. Поддержки 6. Производительность может быть выделена на виртуальной срединной IPV6 5. Высокоскоростной IP-7.
Когда сеанс FTP с использованием двух каналов:
Канал управления: канал для связи с сервером инструкция Ftp, Ftp ссылки посылается по каналу управления FTP выполнен.
Каналы передачи данных: канал и канал данных сервер Ftp или список передачи файлов
Во-вторых, принцип
Управляющие соединения Протокол Ftp инициируется клиентом, и соединение данных работает в двух режимах: Port и PASV путь
Режим порта (активный режим) -> по умолчанию
Когда Ftp клиент первый и TCP сервер Ftp установить порт 21 подключен, посылая команды через этот канал, клиент хочет получить данные, передаваемые команды порта на этом канале, команда Порт содержит клиенту, какой порт (более чем 1024 порта ) принимать данные, в момент передачи данных, сервер передает данные через свой собственный порт TCP 20. Это соединение данных в реальном времени, чтобы установить соединение с клиентом с сервера.
Процесс взаимодействия Порт:
на стороне клиента: клиент-сервер ссылку 21-порт и посылает имя пользователя и пароль на произвольный порт и порт 1024 на команду сервера, показывают, что использование активного режима, а также открытие случайного порта.
на стороне сервера: сервер получает клиент послал в Порт активного режима командного порта 20 будет проходить после того, как его порт подключен к клиенту, что случайный порт, передачи данных.
Режим PASV (пассивный режим)
Порт канал установить режим управления и т.п., когда передается через этот канал клиент команда PASV, сервер Ftp открывает случайный порт расположен между 1024 и 5000 и извещают клиентские запросы на передачу данных через этот порт, то сервер Ftp передавать данные через этот порт. Это соединение данных в реальном времени, чтобы установить соединение с сервером от клиента.
ПАСВ поток взаимодействия
Clietn: клиент подключения порт 21 сервера и отправляет имя пользователя и пароль команду PASV на сервере, это указывает на то, что пассивный режим.
Сервер: После того, как сервер получает клиент послал комманд ПАСВ пассивный режим, рандомизированное, открытое в 1024 году на порту сообщил клиента, данные о клиентах, а затем передавать свои собственные 20 после того, как случайный порт и порт сервера для подключения.
Если C / S модели этой точки зрения, PORT для сервера OUTBOUND, но режим PASV для сервера въездного, пожалуйста, обратите особое внимание на этот момент, особенно при использовании брандмауэра на предприятии, это очень важно, если вы неправильно набор , то клиент не будет соединяться.
В-третьих, и соответствующее программное обеспечение для установки Vsftpd
ням -y установить VSFTPD * П * DB4 *
Vsftpd: FTP программного обеспечения РАМ: аутентификация Модуль DB4: файл база данных Поддержка
Четыре, Vsftpd управления пользователями:
Сервер управления пользователями FTP, регистр по умолчанию является «Configuration / и т.д. / пароль пользователя файловой системы» и «/ и т.д. / группа файловой системы конфигурации группы пользователей», чтобы настроить.
В FTP-сервере, имя пользователя и пароль анонимного пользователя является FTP, пользователь может на вашу операционную систему / и т.д. / пароль в Nengzhaodedao, такие как:
FTP: х: 14: 50: FTP пользователей: / вар / FTP: / SBIN / NOLOGIN
в строевых пользователей FTP, мы видим семь полей, с каждым полем между полем записи: номер подкласса;
1.ftp имя пользователя
2.x этого поле пароля, скрытое
3.14 поле пользователя UID, установить для себя, а не к другим пользователям одного и того же UID, в противном случае это приведет систему к вопросам безопасности;
4,50 с группами пользователей GID, могут установить свои собственные, не разделяют GID FTP и других групп пользователей, что приведет всю проблему всей системы;
5.FTP Пользователь поле описания пользователя
6./var/ftp является домашний каталог FTP пользователя, вы можете определить свои собственные
7./sbin/nologin Это пользователь Войти SHELL, это также может быть определено, / SBIN / NOLOGIN, что они не могут войти в систему, виртуальную системную учетную запись (также известный как псевдо-пользователей), как правило, таким образом установить. Например, мы помещаем пользователя FTP / SBIN / NOLOGIN изменен / бен / Баш, так фтп пользователей через локальный или удаленный SSH инструмент или телнет к истинной идентичности пользователя, вошедшего в систему. Это система не является безопасной, если вы считаете, что пользователь не так много нужно войти в систему, вы можете только дать ему разрешения на FTP счет, который только дал ему разрешения на FTP, чтобы не превратить его при условии, SHELL / бен / Баш и т.д.
Anonymous является группа пользователей: / и т.д. / группа
FTP: х: 50:
первое поле: FTP: группа пользователей, второе поле: х: сегмент кода, третье поле: 50: GID
Может знаете ли принадлежность в соответствии со сравнительными профилей пользователей и профилей групп пользователей UID.
Пять, конфигурация Vsftpd
) Поскольку пользователь хоста Vsftpd по умолчанию является корневой, не отвечают требованиям безопасности, так что пользователь будет проходить службу VSFTPD вновь созданной оболочки было изменено на «/ SBIN / NOLOGIN среднелогарифмическое запрет»: useradd Vsftpd -s / SBIN / NOLOGIN
2) устанавливают Vsftpd виртуального пользователя хоста: useradd -s virtusers / SBIN / NOLOGIN
Это вводит виртуальные пользователи, виртуальные пользователи в системе, как следует из названия нечисто, и они все вместе в руках пользователя «virtusers» только что создали, то пользователь эквивалентно виртуальной группы пользователей, так как это будет влиять на права доступа пользователя после виртуального пользователя упоминалось.
3) настройки файла конфигурации Vsftpd (перед редактированием конфигурационного файла все лучшие привычки для резервного копирования)
ф /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.backup.conf
ВИМ /etc/vsftpd/vsftpd.conf
Скопировать код
# установлено в NO не допускает анонимный представитель
anonymous_enable = YES
# набора локального доступа пользователя может, пользователь в основном виртуальный хост, при желании виртуального набора на NO , то пользователи не может получить доступ.
= YES local_enable
операция # записи может быть осуществлен
write_enable = YES
# набор для загрузки файлов разрешение маски
local_umask = 022
# запретить анонимным пользователям загружать
anon_upload_enable = NO
# запретить анонимным пользователям создавать каталоги
anon_mkdir_write_enable = NO
# слоганы набор для функции открыть каталог
dirmessage_enable = YES
# протоколирования устанавливается на открытом
xferlog_enable = YES
# установить порт 20 для подключения к данным
connect_from_port_20 = YES
# закачивать файлы в настройках изменения запретить хост
chown_uploads = NO
журнал # набор Vsftpd службы сохраненную Road King. Примечание: изменение файлов по умолчанию нечистых на и из - за это изменение служба Vsftpd пользователь хоста создан вручную VSFTPD, конечно , в необходимости вручную прикосновение,
следует отметить , что пользователь дает доступ к чтению журналов или службе не удалось запустить.
= Xferlog_file / вар / журнал / vsftpd.log
# установка стандартный формат записи , используемый журнал
xferlog_std_format = ДА
# Установка таймаута ссылки тайм - аут, где по умолчанию / сек.
idle_session_timeout = 600 #
# Установить максимальное время передачи соединения, по умолчанию используется здесь, конкретные числовые значения остаются разработать для каждого конкретного пользователя, по умолчанию 120 / сек
data_connection_timeout = 3600
VSFTPD службы поддержки пользователей Vsftpd набор # хоста пользователя создан вручную. Примечание: После того, как изменения к пользователю хоста, вы должны читать и читать записи и файлы записи , связанные с обслуживанием , а также расширение возможностей
nopriv_user = Vsftpd
# набор для поддержки асинхронных функций передачи
# async_abor_enable = YES
# Set Vsftpd посадки лозунг
ftpd_banner = привет Добро пожаловать
# Отключить журналы пользователей из их FTP домашнего каталога
chroot_list_enable = NO
# Ls -R команды , чтобы запретить пользователь с помощью логина FTP. Эта команда вызовет огромную накладные производительности сервера, если запустить , когда несколько пользователей используют сервер команды будет представлять угрозу.
= НЕТ ls_recurse_enable
# Vsftpd набор службы , работающий в автономном режиме. Так называемый автономный режим , что служба имеет свой собственный демон, его можно увидеть в имени п.с. -A Vsftpd демона. Если вы
не хотите работать в автономном режиме, вы можете выбрать режим супердемона, вы можете закомментировать в этом режиме, Vsftpd не будет иметь свой собственный демон, но супер - демоном XINETD единственного агента,> В то же время, многие из особенностей VSFTPD услуг , не будут реализованы.
= YES прослушивания
# userlist_file набор пользователей не будут использовать FTP
ДА = userlist_enable
# сервис VSFTPD установлен на аутентификации РАМ имени профиля. Соответственно, РАМ проверки /etc/pam.d/ Vsftpd конфигурации опорного файла.
= Vsftpd pam_service_name
# набор поддержки TCPWrappers
tcp_wrappers = ДА
####################################### ########## следующие важные пункты конфигурации поддержки виртуальных пользователей, добавить файл конфигурации в .conf по умолчанию не содержит эти проекты нужно вручную.
# Включение функции виртуального пользователя
guest_enable = YES
# указать виртуальный хост пользователя
guest_username = virtusers
# устанавливать привилегии пользователей в своих виртуальных пользователей хоста
virtual_use_local_privs = YES
# Установка до персональных конфигурационных файлов виртуальных пользователей в vsftp Road King. Указанный каталог, будет храниться в каждом из виртуальных личностных профилей пользователей, локальное примечание: имя файла конфигурации должно быть
и то же имя виртуального пользователя.
= User_config_dir / и т.д. / Vsftpd / VCONF
# запретить обратный DNS, если не добавить этот аргумент может показаться медленным логин пользователя, или не на FTP - клиент ссылки явление
reverse_lookup_enable = NO
Скопировать код
4) установить Vsftpd файл журнала и изменить пользователь хоста является службой Господа VSFTPD
потрогать /var/log/vsftpd.log
Чаун vsftpd.vsftpd /var/log/vsftpd.log
В-шестых, настройка виртуального пользователя
1) установить путь для хранения пользовательских профилей виртуальных
MkDir / и т.д. / Vsftpd / vconf /
2) создать виртуальный файл список пользователей, используемый для записи учетной записи виртуального пользователя и пароля в формате: один для имени пользователя, пароля и его партии.
ВИМ / Opt / vsftp / пароль
Тест
123456
test1
654321
3.) формирует файл данных виртуального пользователя
db_load -T -t хэш -f / Opt / vsftp / пароль /opt/vsftp/passwd.db
Следует отметить, что после добавления виртуальных пользователей нужно сделать после того, как снова завершения вышеуказанной команды, он генерирует новый файл данных.
Семь, установить файлы аутентификации PAM, а также разработать виртуальный файл базы данных пользователей для чтения
После проверки исходного файла резервной копии, чтобы внести изменения: ср /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup
кот /etc/pam.d/vsftpd
Скопировать код
# 1.0% , то PAM-
##### 32-разрядная конфигурацию системы
#auth Достаточного /lib/security/pam_userdb.so DB = / и т.д. / The Vsftpd / xnpasswd
#Account Достаточного /lib/security/pam_userdb.so DB = / и т.д. / The Vsftpd / xnpasswd
конфигурация ##### 64-битная система
аутентификация Достаточной /lib64/security/pam_userdb.so DB = / неавтоматическая / The vsftp / с PASSWD
счета Достаточной /lib64/security/pam_userdb.so DB = / опт / The vsftp / в PASSWD
# Выше два добавляются вручную, защиты контента и разрешение виртуального учетных записей пользователей для проверки подлинности.
# Auth здесь относится к имени пользователя , пароля пользователя для проверки подлинности.
# Сведенью здесь относится к тому , что доступ к учетной записи пользователя, чтобы проверить , какие ограничения.
= Пользователь товар требуется pam_listfile.so в AUTH = Sense File = запрещающий / и т.д. / Vsftpd / ftpusers onerr = Преуспеть
в AUTH требуемую pam_shells.so
в AUTH включаемого в Auth-System
Систему-на счета AUTH включаемого
сеанс систему компьютера включает авторизацию
сеанс , необходимый pam_loginuid.so
дублированного кода
Восемь, профиль виртуального пользователя
1.) файл пользовательского пользователя конфигурация виртуального шаблона (имя виртуального профиля пользователя и виртуальные пользователи нуждаются в последовательном, идти загрузить соответствующий файл конфигурации на основе имени, потому что ввести соответствующее имя пользователя при входе FTP позже)
ВИМ / и т.д. / Vsftpd / vconf / испытание
Скопируйте код
local_root = / Opt / vsftp / File
# указать виртуальный репозиторий пользователя с путем
anonymous_enable = NO
# настройкой не позволяет анонимный доступ
write_enable = YES
# позволяют операция записи
local_umask = 022
# загрузить права доступа к файлам маска
anon_upload_enable = NO
# не разрешать анонимные загрузки
anon_mkdir_write_enable = NO
# не позволяет анонимным пользователям создавать каталоги
idle_session_timeout = 300
# установить неработающие ссылки тайм - аут
data_connection_timeout = 1000
# установите один максимум времени передачи
MAX_CLIENTS = 0 ,
число одновременных клиентского доступа # набор
max_per_ip = 0
# установка клиента максимальное количество нитей
local_max_rate = 0
# максимальной скорость передачи заданного пользователя в б / с
дублированным кодом
2) пользователь создать виртуальный каталог репозитория и изменить права доступа соответствующего владельца / группу и дает
MkDir -p / Opt / Vsftpd / файл
Чаун virtusers: virtusers / Opt / Vsftpd / файл
CHMOD 755 / Opt / Vsftpd / файл
3.) только файлы сборка легко обнаружить, была ли установка успешного последующей деятельности: сенсорный / Opt / Vsftpd / файл / а
Девять, режим пуска
Ftp режим запуска демона, есть два автономных и (Xinetd / Inetd)
1.) Режим Xinetd: Большинство современных систем используют XINETD супер демон службы, это Inetd (Интернет демон) альтернативы. Некоторые из основных услуг не в Linux, а не как отдельный демона запускаются во время загрузки, но их прослушивание порта в отдельный процессе XINETD централизованного мониторинга, после получения запроса клиента, xinted процесса на временном запустить сервер и соответствующий порт передал в соответствующую службу, после того, как клиент отключается, конец соответствующего процесса обслуживания, XINETD продолжить прослушивание.
В некоторых системах может потребоваться установка Xinetd: ням установить XINETD
Если Vsftpd нет необходимости создавать и добавлять следующее к /etc/xinetd.d/ в:
Скопируйте код
-Service FTP
{
socket_type = поток
ожидание = нет
пользователя = корень
сервера = / USR / SBIN / VSFTPD
хорошего = 10
отключить = нет
}
Скопировать код
закомментировать «/etc/vsftpd.conf» в слушать = YES после перезагрузки запустить /etc/rc.d/init.d/xinetd рестарт Xinetd
2.) автономный режим: во время работы остается в памяти резидентен для быстрого ответа сигнала доступа, но занимает больше системных ресурсов, поэтому часто используется для повышения спроса на услуги.
автономный режим FTP:
Это РАМ облегчить режим проверки, этот режим будет введен первый поворот от VSFTPD, при условии, под XINETD «отключить = да», или в соответствующей строке /etc/initd.conf закомментировать, а затем отменить / и т.д. / Vsftpd / Vsftpd .conf комментарии в слушать = YES является.
Начало: перезапуск службы Vsftpd
X. испытания других машин посадки FTP
SELinux рекомендуется отключить IPTables и протестирована.
# Нужно скачать клиент ни -y установить FTP
Имя (192.168.1.67:root):test
331 Пожалуйста , введите пароль.
Пароль:
230 Войти успешно.
Разнесенного типа системы UNIX.
Использование двоичного режима передачи файлов.
FTP> Ls
227 Ввод пассивный режим (192,168,1,67,23,40).
150 А вот список каталогов.
-rwxr-хт-х 2 500 500 4096. 5 мая 3:53 абв
226 Справочник отправить OK.
Ошибка может произойти:
1.) 500 OOPS: Ошибка
Там может быть ваш vsftpd.con конфигурационный файл не может быть реальным и другие заказы, есть возможность ДА или НЕТ командуют пространство позади
2.) Если оперативные проблемы разрешения, обнаружение и правильное применение файла конфигурации: setsebool -P ftp_home_dir = 1
Vsftpd не разрешение строгих требований для указанного пользователя Vsftpd FTP хоста только необходимо иметь разрешения на файлы журналов, другие части по умолчанию и виртуальный хост потребность пользователей, чтобы иметь права, связанные виртуальный пользователь путь к репозиторию, и новое по версии склада для родительского каталога, казалось бы, не 777 может быть 755