vsftpd服务器设置.doc

1.vsftpd服务软件包vsftpd-2.0.5-10.el5.i386.rpm：vsftpd主程序包2.vsftpd相关文档/etc/vsftpd/vsftpd.conf：vsftpd的核心配置文件/etc/vsftpd/ftpusers：用于指定哪些用户不能访问ftp服务器/etc/vsftpd/user_list：指定允许使用vsftpd的用户列表文件/etc/vsftpd/vsftpd_conf_migrate.sh：是vsftpd操作的一些变量和设置脚本/var/ftp/：默认情况下匿名用户的根目录ftp常规配置应用案例1：需求：公司技术部准备搭建一台功能简单的ftp服务器，允许所有员工上传和下载文件，并允许创建用户自己的目录。分析：允许所有员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用户上传功能开启，最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。解决方案：（1）配置vsftpd.conf主配置文件(服务器配置支持上传)允许匿名用户访问anonymous_enable=yes允许匿名用户上传文件并可以创建目录anon_upload_enable=yes anon_mkdir_write_enable=yes保存退出（2）上传目录ftp用户的写入权限大家注意，默认匿名用户家目录的权限是755，这个权限是不能改变的。切记！切记！下面我们来一步一步的实现,先修改目录权限,创建一个公司上传用的目录，叫companydata,分配ftp用户所有，目录权限是755 ok了（3）修改selinux（selinux支持上传）这个也是很多教程没有的一步 使用getsebool -a | grep ftp 命令可以找到ftp的bool值，然后我们来改 getsebool -a 是显示所有的selinux的布尔值,通过管道，查找与ftp相关的使用setsebool -p allow_ftpd_anon_write .命令设置布尔值 下面我们准备修改上下文 然后reboot重新启动服务器 （4）运行级别3开启vsftpd服务（5）测试匿名登录ftp 现在我们匿名上传 现在匿名上传的文件是禁止删除滴 这样匿名用户的上传就算成功了#michael分割线#ftp常规配置应用案例2：需求：公司内部现在有一台ftp和web服务器，ftp的功能主要用于维护公司的网站内容，包括上传文件、创建目录、更新网页等等哈公司现有两个部 门负责维护任务，他们分别适用team1和team2帐号进行管理。先要求仅允许team1和team2帐号登录ftp服务器，但不能登录本地系统，并将 这两个帐号的根目录限制为/var/www/html，不能进入该目录以外的任何目录。分析：将ftp和web服务器做在一起是企业经常采用的方法，这样方便实现对网站的维护，为了增强安全性，首先需要使用仅允许本地用户访问，并禁止匿 名用户登录。其次使用chroot功能将team1和team2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限哈解决方案：（1）建立维护网站内容的ftp帐号team1和team2并禁止本地登录，然后设置其密码useradd -s /sbin/nologin 用户名 （2）配置vsftpd.conf主配置文件并作相应修改vim /etc/vsftpd/vsftpd.conf anonymous_enable=no：禁止匿名用户登录local_enable=yes：允许本地用户登录local_root=/var/www/html：设置本地用户的根目录为/var/www/html chroot_list_enable=yes：激chroot功能 chroot_list_file=/etc/vsftpd/chroot_list：设置锁定用户在根目录中的列表文件 保存退出哈（3）建立/etc/vsftpd/chroot_list文件，添加team1和team2帐号touch /etc/vsftpd/chroot_list（4）开启禁用selinux的ftp传输审核功能setsebool -p ftpd_disable_trans .on也可以换成1，off为0哈如果不禁用selinux的ftp传输审核功能则会出现如下错误：“500 oops:无法改变目录”哈（5）重启vsftpd服务使配置生效service vsftpd restart（6）修改本地权限（7）测试ok,需求目标全部达成#michael分割线#下季更新rhel5企业级linux服务攻略-第6季 vsftpd服务全攻略之高级配置，敬请期待vsftpd高级配置企业环境公司为了宣传最新的产品信息，计划搭建ftp服务器，为客户提供相关文档的下载。对所有权互联网开放共享目录，允许下载产品信息，禁止上传。公司的合作单位能够使用ftp服务器进行上传和下载，但不可以删除数据。并且保证服务器的稳定性，进行适当优化设置哈需求分析根据企业的需求，对于不同用户进行不同的权限限制，ftp服务器需要实现用户的审核。需考虑到服务器的安全性，所以关闭实体用户登录，使用虚拟帐号验证机制，并对不同虚拟帐号设置不同的权限。为了保证服务器的性能，还需要根据用户的等级，限制客户端的连接数及下载速度。解决方案1、创建用户数据库（1）创建用户文本文件先建立用户文本文件vsftpd_virtualuser.txt，添加两个虚拟帐号，公共帐号ftp及客户帐号viptouch /etc/vsftpd/vsftpd_virtualuser.txtvim /etc/vsftpd/vsftpd_virtualuser.txt格式：虚拟帐号1密码虚拟帐号2密码保存退出哈（2）生成数据库保存虚拟帐号和密码的文本文件无法被系统帐号直接调用哈我们需要使用db_load命令生成db数据库文件db_load -t -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db注意：rhel5默认只安装db4-4.3.29-9.fc6.i386.rpm和db4-devel-4.3.29-9.fc6.i386.rpm，要使用db_load需要将db4-utils-4.3.29-9.fc6.i386.rpm包安装上哈否则会出现下图的错误：找不到db_load命令。（3）修改数据库文件访问权限数据库文件中保存着虚拟帐号的密码信息，为了防止非法用户盗取哈，我们可以修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写，即600chmod 600 /etc/vsftpd/vsftpd_virtualuser2、配置pam文件为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的pam模块.pam(plugable authentication module)为可插拔认证模块，不必重新安装应用系统，通过修改指定的配置文件，调整对该程序的认证方式。pam模块配置文件路径为/etc /pam.d/目录，此目录下保存着大量与认证有关的配置文件，并以服务名称命名。修改vsftpd对应的pam配置文件/etc/pam.d/vsftpd，将默认配置使用“#”全部注释，添加相应字段。修改成下图效果：3、创建虚拟帐号对应的系统用户对于公共帐号和客户帐号，因为需要配置不同的权限，所以可以将两个帐号的目录进行隔离，控制用户的文件访问。公共帐号ftp对应系统帐号 ftpuser，并指定其主目录为/var/ftp/share，而客户帐号vip对应系统帐号ftpvip，指定主目录为/var/ftp/vipchmod -r 500 /var/ftp/share/ ：公共帐号ftp只允许下载，修改share目录其他用户权限为rx可读可执行。 chmod -r 700 /var/ftp/vip/ ：客户帐号vip允许上传和下载，所以对vip目录权限设置为rwx，可读可写可执行。 如果不设置可执行用户登录会出不能更改目录错误。 4、建立配置文件设置多个虚拟帐号的不同权限，若使用一个配置文件无法实现此功能，需要为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置。（1）修改vsftpd.conf主配置文件配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段，定义虚拟帐号的配置文件目录禁用匿名用户登录并启用本地用户登录设置anonymous_enable=no local_enable=yes将所有本地用户限制在家目录中，no则不限制chroot_local_user=yespam_service_name=vsftpd：配置vsftpd使用的pam模块为vsftpd user_config_dir=/etc/vsftpd/vuserconfig：设置虚拟帐号的主目录为/vuserconfig max_clients=300：设置ftp服务器最大接入客户端数为300个 max_per_ip=10：设置每个ip地址最大连接数为10个（2）建立虚拟帐号配置文件在user_config_dir指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段哈首先建立公共帐号ftp的配置文件guest_enable=yes：开启虚拟帐号登录 guest_username=ftpuser：设置ftp对应的系统帐号为ftpuser anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统anon_max_rate=50000：限定传输速率为50kb/s注意：vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈，而是在80%120%之间变化哈比如设置100kb/s则实际是速度在80kb/s120kb/s之间变化哈下面是客户帐号的配置文件vipguest_enable=yes：开启虚拟帐号登录 guest_username=ftpvip：设置ftp对应的系统帐号为ftpvip anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统 write_enable=yes：允许在文件系统写入权限 anon_mkdir_write_enable=yes：允许创建文件夹 anon_upload_enable=yes：开启匿名帐号的上传功