RedHat7使用vsftpd架设FTP服务器.doc

RedHat7使用vsftpd架设FTP服务器实验要求采用vsftpd搭建一台ftp服务器（28）。实验准备默认实验环境已经安装好RedHat6操作系统和Redhat7操作系统，配置完网卡，配置完yum库。这个实验其实跟Redhat6还是Redhat7没有关系。服务器端使用vsftpd，客户端使用lftpRedhat6安装vsftpd# yum install vsftpdRedhat7安装lftp# yum install lftp实验过程Redhat6主机启动vsftpd服务# service vsftpd start在Redhat7上做测试测试一、上传下载在Rathat7主机上使用lftp连接FTP主机# lftp 28lftp 28: cd pub出现cd ok, cwd=/pub表示匿名用户连接成功。可以进入pub目录。执行命令lftp 28:/pub get file1匿名用户可以下载，下载的文件可以在本地家目录下找到。lftp 28:/pub put putfileput: Access failed: 550 Permission denied. (putfile)说明匿名用户无法上传文件lftp 28:/pub mkdir abc mkdir: Access failed: 550 Permission denied. (abc)说明匿名用户无法创建目录测试二、开通匿名用户权限权限有4部分：防火墙，selinux，目录权限，ftp匿名用户权限这里只谈FTP，因此不讨论防火墙和selinux。将这两个软件关闭。开通目录权限Vsftpd默认匿名用户在/var/ftp/pub下，因此要将此目录给other用户加rwx权限。特别注意，这里不能给/var/ftp/直接加o+rwx权限，如果加了将报500权限失败的错误。# chmod o+rwx R /var/ftp/pub开通FTP匿名用户权限编辑文件/etc/vsftpd/vsftpd.conf# vim /etc/vsftpd/vsftpd.conf确保以下配置正确：anonymous_enable=YES /12行，允许匿名访问anon_upload_enable=YES /27行，允许匿名上传anon_mkdir_write_enable=YES /31行，允许匿名创建目录重启服务器上FTP服务# service vsftpd restart客户端匿名用户访问# lftp 28lftp 28:/ cd pub上传文件，成功lftp 28:/pub put getfile创建目录，成功lftp 28:/pub mkdir abcmkdir ok, abc created显示目录下内容lftp 28:/pub lsdrwx- 2 14 50 4096 Nov 02 05:51 abc-rw- 1 14 50 0 Nov 02 05:51 getfile-rw-r-rw- 1 0 0 0 Nov 02 05:41 putfile刚刚创建的文件和目录都已成功lftp 28:/pub rm abcrm: Access failed: 550 Permission denied. (abc)删除目录失败lftp 28:/pub rm putfilerm: Access failed: 550 Permission denied. (putfile)lftp 28:/pub rm getfilerm: Access failed: 550 Permission denied. (getfile)删除文件失败lftp 28:/ cd /lftp 28:/ lsdrwxr-xrwx 2 0 0 4096 Nov 02 05:41 pub希望进入系统根目录访问，失败。匿名用户只能在/var/ftp目录下游荡。测试三、使用linux下客户访问客户端使用lftp访问登录用户# lftp Jiane28Password:lftp Jiane28:下载文件成功lftp Jiane28: get Jiane6 bytes transferred上传文件成功lftp Jiane28: put putJiane6 bytes transferred创建目录成功lftp Jiane28: mkdir abcmkdir ok, abc created显示如下，说明创建目录和上传文件成功lftp Jiane28: ls-rw-rw-r- 1 500 500 6 Nov 02 07:16 Jianedrwxr-xr-x 2 500 500 4096 Nov 02 07:18 abc-rw-r-r- 1 500 500 6 Nov 02 07:18 putJiane删除文件成功lftp Jiane28: rm Jianerm ok, Jiane removedlftp Jiane28: rm putJianerm ok, putJiane removed删除目录成功lftp Jiane28: rm -fr abcrm ok, abc removed显示没有文件lftp Jiane28: ls可以在任意目录里面游荡lftp Jiane28: cd /tmpcd ok, cwd=/tmplftp Jiane28:/tmp lsdrwxrwxrwt 2 0 0 4096 Nov 01 01:26 VMwareDnDdrwx- 2 42 42 4096 Nov 02 04:37 orbit-gdmdrwx- 2 0 0 4096 Nov 01 00:45 pulse-dKiUJVHwp5gidrwx- 2 42 42 4096 Nov 02 04:37 pulse-jMfmTL64uZ9d-rw-r-r- 1 0 0 5278 Nov 02 04:37 vgauthsvclog.txt.0drwx- 2 0 0 4096 Nov 02 04:37 vmware-root根据实验得知，linux用户登录FTP是进入用户的家目录，并且可以在任何目录里面游荡。匿名用户登录只能在/var/ftp目录下，并且只能在该目录中工作。默认情况下所有linux的用户都可以在任何目录下游荡，这个不安全。因此需要限制。确保只有部分用户可以，其他用户不可以。chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list# cat /etc/vsftpd/chroot_listJiane以上命令确保了系统里只有Jiane这个用户可以用ftp方式登录服务器，并且在里面任意游荡，其他用户不行。登录用户Jiane# lftp Jiane28Password:切换到其他目录，成功lftp Jiane28: cd /tmpcd ok, cwd=/tmplftp Jiane28:/tmp lsdrwxrwxrwt 2 0 0 4096 Nov 01 01:26 VMwareDnDdrwx- 2 42 42 4096 Nov 02 04:37 orbit-gdmdrwx- 2 0 0 4096 Nov 01 00:45 pulse-dKiUJVHwp5gidrwx- 2 42 42 4096 Nov 02 04:37 pulse-jMfmTL64uZ9d-rw-r-r- 1 0 0 5278 Nov 02 04:37 vgauthsvclog.txt.0drwx- 2 0 0 4096 Nov 02 04:37 vmware-rootlftp Jiane28:/tmp exit登录用户abc# lftp abc28Password:lftp abc28: ls切换到其他目录，失败lftp abc28:/ cd /tmpcd: Access failed: 550 Failed to change directory. (/tmp)显示其他目录内容，失败lftp abc28:/ ls /tmp测试四、白名单和黑名单设置可以访问FTP的白名单和黑名单。首先/etc/vsftpd/ftpusers为一个黑名单，它不受任何配置影响，总是有效。而/etc/vsftpd/user_list与/etc/vsftpd/vsftpd.conf中的userlist_enable和userlist_deny密切相关。它可以有效，也可以无效，可以是黑名单，也可以是白名单。userin在/etc/vsftpd/user_list里面，userout不在/etc/vsftpd/user_list里面Userlist_enable=YESUserlist_deny=noUserlist_enable=noUserlist_deny=yesUserlist_enable=YESUserlist_deny=yesUserlist_enable=noUserlist_deny=nouserin能登录能登录不能登录能登录userout不能登录能登录能登录能登录结论：1 userlist_enable表示该表启用与否，yes表示启用user_list文件，no表示不启用user_list文件。2 Userlist_deny是在userlist_enable启用的状态下，表示user_list中的用户是被允许还是被拒绝。测试四、创建虚拟用户访问创建宿主用户名# useradd vftp -s /bin/false该用于将被写入/etc/vsftpd/vsftpd.conf作为虚拟用户登录的宿主用户创建虚拟用户# vim /etc/vsftpd/vftpuser# cat /etc/vsftpd/vftpuserchen1chen1chen2chen2# db_load -T -t hash -f /etc/vsftpd/vftpuser /etc/vsftpd/vftpuser.db/etc/vsftpd/vsftpuser.db 将被写入/etc/pam.d/vsftpd作为用户登录的凭证修改/etc/pam.d/vsftpd文件# cat /etc/pam.d/vsftpd #%PAM-1.0#session optional pam_keyinit.so force revoke#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed#auth required pam_shells.so#auth include password-auth#account include password-auth#session required pam_loginuid.so#session include password-authauth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vftpuseraccount sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vftpuser在/etc/pam.d/vsftpd里面配置登录用户认证方式为每一个用户创建一个目录# mkdir -p /ftproot/chen1.2# touch /ftproot/chen1/chen1# touch /ftproot/chen2/chen2为每一个用户创建一个目录。修改/etc/vsftpd/vsftpd.conf文件# cat /etc/vsftpd/vsftpd.conf|grep #anonymous_enable=NO /禁止匿名用户访问local_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESchroot_local_user=YES /禁止用户访问其他目录listen=YESguest_enable=yes /启用客户访问guest_username=vftp /客户放我采用vftp用户user_config_dir=/etc/vsftpd/vftp.conf/客户访问配置文件放在/