VSFTPD服务概述

1、1第7章 VSFTPD服务271VSFTPD概述概述711 FTP概述概述1.FTP文件传输协议文件传输协议2. FTP服务在对外提供服务时需要维护两个连接：服务在对外提供服务时需要维护两个连接：（1）一个是）一个是控制连接控制连接，监听，监听TCP 21号端口，号端口，用来传输控制命令；用来传输控制命令；（2）另一个是）另一个是数据连接数据连接，（在主动传输方式下），（在主动传输方式下）监听监听TCP 20端口，用来传输数据。端口，用来传输数据。 33. FTP服务提供了两种常用的传输方式：（1）一是主动传输主动传输方式 控制连接控制连接的发起方是FTP的客户端，而数据数据连接连接的发起方是

2、FTP服务器 （2）二是被动传输被动传输方式 数据连接数据连接的发起方也是FTP客户机 ，与与控制连接控制连接的发起方是相同发起方是相同的 。4 流行的流行的FTP服务器服务器软件有很多种，在Linux环境下常用的有 Wu-ftp Proftp vsftpd等 5712 VSFTPD的特点的特点1）安全性高：安全性高：针对安全性做了严格的、特殊的处理，比其他早期的FTP服务器软件有很大的进步。2）稳定性好：稳定性好：vsftpd的运行更加稳定，处理的并发请求数更多，如，单机可以支持4000个并发连接。3）速度更快：速度更快：在ASCII模式下是Wu-ftpd的两倍。4）匿名匿名FTP更加简单的

3、配置：更加简单的配置：不需要任何特殊的目录结构。5）支持基于支持基于IP的虚拟的虚拟FTP 服务器。服务器。6）支持虚拟用户支持虚拟用户，而且每个虚拟用户可具有独立的配置。7）支持支持PAM认证方式认证方式。8）支持带宽限制。支持带宽限制。9）支持支持tcp_wrappers。6713 VSFTPD的安装的安装可以执行如下指令来进行安装可以执行如下指令来进行安装 ：#rpm ivh vsftpd-2.0.1-5.i386.rpm 7714 VSFTPD的运行的运行 1.vsftpd有两种运行方式两种运行方式：（1）一是作为独立（独立（standalone）的服务进程来运行，即vsftpd独立运

4、行并自己来监听相应的端口；（2）二是由xinetd（超级服务器）来管理，作为作为xinetd所管理的所管理的“小服务小服务”的方式来的方式来运行运行 。2. vsftpd的启动方法启动方法很简单，只需执行以下指令：#service vsftpd start872 VSFTPD的配置文件的配置文件 配置文件名及路径是/etc/vsfptd/vsftpd.conf721 VSFTPD默认的配置指令默认的配置指令（1）指令格式）指令格式每条指令的格式都是每条指令的格式都是“option=value”，例如：，例如：listen=YES（2）写法要求）写法要求在在vsftpd指令的写法上还需要注意以下

5、两项：指令的写法上还需要注意以下两项：1）每条配置指令应该独占一行并且指令之前不能）每条配置指令应该独占一行并且指令之前不能有空格；有空格；2）在）在option、=与与value之间也不能有空格。之间也不能有空格。9vsftpd的默认配置文件 #cat /etc/vsftpd/vsftpd.conf内容如下：anonymous_enable=YES#允许匿名用户登录local_enable=YES#允许本地用户登录write_enable=YES#允许本地用户具有写权限local_umask=022#设置创建文件权限的反掩码，如此处为022，则新建文件的权限为666-022=644#（rw-

6、r-r-）；新建目录的权限为777-022=755（rwxr-xr-x）dirmessage_enable=YES#激活目录显示消息，即每当进入目录时，会显示该目录下的文件.message的内容10 xferlog_enable=YES#激活记录上传、下载的日志connect_from_port_20=YES#设置服务器端数据连接采用端口20 xferlog_std_format=YES#设置日志文件采用标准格式pam_service_name=vsftpd#设置vsftpd服务利用PAM认证时的文件名称是vsftpduserlist_enable=YES#激活用户列表文件来实现对用户的访问控

7、制listen=YES#设置vsftpd为独立运行模式tcp_wrappers=YES#设置采用tcp_wrappers来实现对主机的访问控制11722 测试测试1）利用默认的配置文件来启动）利用默认的配置文件来启动vsftpd服务，执行如下命令：服务，执行如下命令：rootredhat1 # service vsftpd start2）在客户端登录）在客户端登录vsftpd服务。服务。user1redhat1 $ ftp Connected to .220 (vsFTPd 2.0.1)Name (:user1): user13

8、31 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp123）下载文件子命令）下载文件子命令get。ftp get test2local: test2 remote: test2227 Entering Passive Mode (192,168,1,1,96,90)150 Opening BINARY mode data connection for test2 (12 bytes).226 F

9、ile send OK.12 bytes received in 0.031 seconds (0.38 Kbytes/s)ftp4）上传文件子命令）上传文件子命令put。ftp !lsanaconda-ks.cfg initrd myDNS.org testhello.txt myadsl.sh ftp put myadsl.shlocal: myadsl.sh remote: myadsl.sh227 Entering Passive Mode (192,168,1,1,215,243)150 Ok to send data.226 File receive OK.71 bytes sen

10、t in 0.024 seconds (2.9 Kbytes/s)1373 VSFTPD的配置示例的配置示例 VSFTPD支持3类用户：（1）第一类是本地用户本地用户（2）第二类是匿名用户匿名用户，（3）第三类是虚拟用户虚拟用户 这类用户的登录名称一般不不是系统的合法用是系统的合法用户户， 与匿名用户相似之处是全部虚拟用户也仅对应着一个系统账号 但与匿名用户不同之处与匿名用户不同之处是虚拟用户的登录名称可以任意 。14731 匿名匿名FTP服务器服务器1匿名匿名FTP服务器服务器的配置示例 在主机redhat1（）上配置匿名FTP服务器，并允许匿名用户进行如下操作：下载文

11、件、可将文件上传到mypublic目录中并将上传文件的所有者改为ftpmaster、创建子目录、改变文件的名称。15解决方案如下：解决方案如下：（1）创建用户）创建用户ftpmasterrootredhat1 vsftpd# useradd ftpmaster说明：说明：因为需要将匿名用户上传文件的所有者改为ftpmaster，该用户必须是本地用户，所以先创建。（2）创建匿名上传目录）创建匿名上传目录mypublicrootredhat1 vsftpd# mkdir /var/ftp/mypublicrootredhat1 vsftpd# chown ftp.ftp /var/ftp/mypu

12、blicrootredhat1 vsftpd# ls -l /var/ftptotal 24drwxr-xr-x 2 ftp ftp 4096 Jan 5 14:01 mypublic说明：说明：创建用来存放匿名用户上传文件的目录，并将该目录的所有者改为ftp。16（3）编辑）编辑/etc/vsftpd/vsftpd.conf在文件末尾增加如下内容：anon_upload_enable=YES#允许匿名上传文件anon_mkdir_write_enable=YES#允许匿名创建目录anon_world_readable_only=NO#此指令的默认值为YES，表示仅当所有用户对该文件都拥有读权

13、限时，才允许匿名用户下载该文件；此处将其值设为NO，则允许匿名用户下载不具有全部读权限的文件anon_other_write_enable=YES#允许匿名用户改名、删除文件chown_uploads=YES#允许匿名用户上传文件chown_username=ftpmaster#将匿名用户上传文件的所有者改为ftpmaster17（4）测试）测试在windows（或Linux）客户端命令行环境下执行如下指令：C:Documents and SettingsAdministratorftp 10Connected to 10.220 (vsFTPd 2

14、.0.1)User (:(none): anonymous331 Please specify the password.Password:230 Login successful.ftp cd mypublic250 Directory successfully changed.ftp put b.txt#上传文件上传文件b.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 File receive OK.ftp: 7 bytes sent in 0.00Seconds

15、 7000.00Kbytes/sec.ftp mkdir d1#创建目录创建目录d1257 /mypublic/d1 created18ftp dir200 PORT command successful. Consider using PASV.150 Here comes the directory listing.-rw- 1 1049 50 7 Jan 05 07:22 b.txtdrwx- 2 14 50 4096 Jan 05 06:41 d1226 Directory send OK.ftp: 250 bytes received in 0.00Seconds 250000.00

16、Kbytes/sec.观察dir命令的输出可以发现b.txt的所有者的的所有者的ID为为1049，在vsftpd服务器（redhat1）上执行如下命令：rootredhat1 vsftpd# grep ftpmaster /etc/passwdftpmaster:x:1049:1052:/home/ftpmaster:/bin/bash19 继续在客户端测试目录改名：ftp rename d1 d2 #将目录将目录d1改名为改名为d2350 Ready for RNTO.250 Rename successful.ftp 通过以上测试，可以证明功能丰富的通过以上测试，可以证明功能丰富的匿名匿名

17、FTP服务器配置是成功服务器配置是成功的。的。 20732 配置配置chroot VSFTPD提供了chroot指令，可以将用户访问的范围限制在各自的主目录中 。 在具体的实现中，针对本地用户进行chroot可以分为两种两种情况： 一种是针对所有的本地用户都进行所有的本地用户都进行chroot； 另一种是针对指定的用户列表进行指定的用户列表进行chroot。 211对所有本地用户都进行所有本地用户都进行chroot示例 在redhat1（）上配置VSFTPD服务，使得所有本地用户在登录后都限制在各自的主目录中，而不能切换到其他目录。22解决方案如下：解决方案如下：（1）编

18、辑）编辑/etc/vsftpd/vsftpd.conf文件，在该文件末尾增加文件，在该文件末尾增加如下一条指令如下一条指令chroot_local_user=YES（2）重新启动）重新启动VSFTPD服务，进行测试服务，进行测试rootredhat1 # service vsftpd restartrootredhat1 # ftp Connected to .220 (vsFTPd 2.0.1)Name (:root): user1331 Please specify the password.Password:230 Log

19、in successful.Remote system type is UNIX.Using binary mode to transfer files.ftp pwd257 /232针对所有指定的用户进行chroot示例 在redhat1（）上配置VSFTPD服务，使得当本地用户user1、user2、user3在登录VSFTPD服务器之后，都被限制在各自的主目录中，不能切换到其他目录，而其他本地用户则不受此限制其他本地用户则不受此限制。24解决方案如下：解决方案如下：（1）编辑）编辑/etc/vsftpd/vsftpd.conf文件，在该文件末尾增加文件，在该文件末尾

20、增加如下指令：如下指令：chroot_local_user=NO#先禁止所有本地用户执行chrootchroot_list_enable=YES#激活执行chroot的用户列表文件chroot_list_file=/etc/vsftpd.chroot_list#设置执行chroot的用户列表文件名为/etc/vsftpd.chroot_list经过上述3条指令的设置，只有位于/etc/vsftpd.chroot_list文件中的用户登录VSFTPD服务时才执行chroot功能，其他用户不受限制。（2）创建）创建/etc/vsftpd.chroot_list文件：文件：rootredhat1 v

21、sftpd#vi /etc/vsftpd.chroot_list增加以下用户：user1user2user3每个用户独占一行。25（3）测试：）测试：执行如下命令重新启动VSFTPD服务：rootredhat1 vsftpd #service vsftpd restart在本地执行如下指令即可测试：rootredhat1 vsftpd# ftp Connected to .220 (vsFTPd 2.0.1)Name (:root): user1331 Please specify the password.Password:2

22、30 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp pwd257 /ftp26再换一个不在文件不在文件/etc/vsftpd.chroot_list中的用户user4来登录，结果如下：rootredhat1 vsftpd# ftp Connected to .220 (vsFTPd 2.0.1)Name (:root): user4331 Please specify the password.Passwor

23、d:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp pwd257 /home/user4ftp cd .250 Directory successfully changed.ftp pwd257 /home27说明：说明： 实际上指令chroot_local_user的功能很有意思，其默认值为NO，当采用chroot用户列表文件/etc/vsftpd.chroot_list时，列在该列在该文件中的用户都将执行文件中的用户都将执行chroot； 但是如果将chroot_

24、local_user的值设置为YES时，那么位于列表文件/etc/vsftpd.chroot_list中的用户则不执行中的用户则不执行chroot，而其他未列在此文件中的本地用户则要执行chroot。 请自行测试此功能。 28733 主机访问控制主机访问控制 可以利用利用tcp_wrappers实现主机访问实现主机访问控制。控制。 tcp_wrappers的配置文件主要有两个的配置文件主要有两个/etc/hosts.allow和和/etc/hosts.deny。 291VSFTPD主机访问控制示例一主机访问控制示例一 在redhat1（）上配置VSFTPD服务，使得除了除

25、了以外允以外允许许/24网段网段的其他主机访问此FTP服务器；另外允许来自域的主机登录此FTP服务器。 30解决方案如下：解决方案如下：（1）编辑）编辑VSFTPD的主配置文件，以采用的主配置文件，以采用tcp_wrappers提供功能提供功能 在默认配置文件文件中应该有如下指令：tcp_wrappers=YES（2）编辑）编辑/etc/hosts.allow文件，增加如下文件，增加如下内容内容vsftpd::DENYvsftpd:192.168.1., 31（3）测试）测试在redhat2（）上进行测试：

26、rootredhat2 # ftp Connected to .421 Service not available.ftp 除了上述基本的主机访问控制功能外，除了上述基本的主机访问控制功能外，tcp_wrappers还可以为还可以为VSFTPD提供提供额额外的配置文件外的配置文件。322VSFTPD主机访问控制主机访问控制示例二 在redhat1（）上配置VSFTPD服务，针对来自/24网段中的匿名连接，限制其下载的速率限制为5KB/s，而对其他网段中的匿名连接，不做速率限制。33解决方案：解决方案：利用t

27、cp_wrappers提供的特定功能来实现。（1）编辑）编辑VSFTPD的主配置文件的主配置文件/etc/vsftpd/vsftpd.conf，增加如下指令：增加如下指令：anon_max_rate=0 指令anon_max_rate 用来设置匿名用户的最高传输速率，其中值“0”表示不限制，即在主配置文件中没有对匿名用户的传输速率做限制。（2）创建一个新的配置文件）创建一个新的配置文件/etc/vsftpd/vsftpd_other.conf。rootredhat1 vsftpd# vi /etc/vsftpd/vsftpd_other.conf内容如下：anon_max_rate=5000

28、在额外的配置文件vsftpd_other.conf中仅设置了anon_max_rate指令，其目的就是为了与主配置文件中相同的指令产生“矛盾”，可以通过后面的实际测试来进一步说明哪条指令最终有效。34（3）编辑）编辑hosts.allow文件，增加相关指令。文件，增加相关指令。 为了减少干扰，可先去掉上例中关于vsftpd的设置，再增加如下指令：vsftpd: 192.168.1. :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_other.conf 这里用到了特殊的环境变量VSFTPD_LOAD_CONF，利用它可以为VSFTPD提供额外的配置文件。

29、本例的功能本例的功能是：当来自网段的主机访问VSFTPD服务器时，加载额外的配置文件/etc/vsftpd/vsftpd_other.conf。 注意：注意：如果额外的配置文件中相关指令与主配置文件vsftpd.conf中的指令相矛盾，则会覆盖掉主配置文件的值，以额外配置文件的值为准。35（4）测试。）测试。以下步骤是从客户机redhat2（）上登录redhat1（），并下载文件screen.png到本地/tmp目录下的过程：rootredhat2 # ftp Connected to 192.168.1.

30、1.220 (vsFTPd 2.0.1)Name (:root): anonymous331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.36ftp ls227 Entering Passive Mode (192,168,1,1,29,215)150 Here comes the directory listing.drwxr-xr-x 3 0 0 4096 Sep 15 0

31、1:33 pub-rw-r-r- 1 0 0 171370 Jan 11 11:13 screen.pngftp lcd /tmpLocal directory now /tmpftp get screen.pnglocal: screen.png remote: screen.png227 Entering Passive Mode (192,168,1,1,27,71)150 Opening BINARY mode data connection for screen.png (171370 bytes).226 File send OK.171370 bytes received in

32、28 seconds (5.6 Kbytes/s) 从上面输出的最后从上面输出的最后一行可以看出，实一行可以看出，实际下载速率约为际下载速率约为5.6KB/s，这与额外，这与额外配置文件中设置的配置文件中设置的值接近值接近 37734 用户访问控制用户访问控制 VSFTPD的用户访问控制用户访问控制分为两类两类： 第一类是传统用户列表文件传统用户列表文件，在VSFTPD中其文件名是/etc/vsftpd.ftpusers，凡是列在此文件中的用户都没有登录此FTP服务器的权限； 第二类是改进的用户列表文件改进的用户列表文件/etc/vsftpd.user_list，该文件中用户能否登录FTP服务

33、器由另外一条指令userlist_deny来决定，这样做更加灵活。 381配置允许root用户登录FTP服务器示例 在redhat1（）上配置VSFTPD服务，使得可以采用root用户身份成功登录VSFTPD服务器。 在此，首先要说明的是：为了安全起见，一般情况下，各种FTP服务器默认都是拒绝默认都是拒绝采用采用root身份登录身份登录的，VSFTPD服务器更是如此。不过，为了更好地理解用户访问控制的功能，特意采用此示例。 39操作步骤如下操作步骤如下：（1）启动）启动VSFTPD服务服务rootredhat1 # service vsftpd start（2）尝试以）尝

34、试以root身份登录身份登录rootredhat1 # ftp Connected to .220 (vsFTPd 2.0.1)Name (:root): root530 Permission denied.Login failed.ftp很明显，很明显，root用户的登录请求被拒绝用户的登录请求被拒绝了。了。40（3）原因）原因查看文件/etc/vsftpd.ftpusers：rootredhat1 # cat /etc/vsftpd.ftpusers# Users that are not allowed to login

35、via ftprootbinnobody 可以发现此文件中包含root，前面提到过凡是列在此文件中用户都被拒绝登录FTP服务器; 于是，编辑该文件，删除掉删除掉root用户用户或在其行首加上加上“#”；然后，再次尝试以root身份登录，结果仍然不让仍然不让root用户登录用户登录。41查看文件/etc/vsftpd.user_list：rootredhat2 etc# cat /etc/vsftpd.user_list# vsftpd userlist# If userlist_deny=NO, only allow users in this file# If userlist_deny=Y

36、ES (default), never allow users in this file, and# do not even prompt for a password.# Note that the default vsftpd pam config also checks /etc/vsftpd.ftpusers# for users that are denied.rootnobody 原来，在/etc/vsftpd.user_list文件中也包含着也包含着root用户，默认情况下在此文件中的用户也是不让登录的。解决方法仍然是：编辑此文件删除删除root所在行或在该行前加上所在行或在该行

37、前加上“#”。最后，再次尝试以root身份登录，即可以成功登录。422配置/etc/vsftpd.user_list示例 在redhat1（）上配置VSFTPD服务，只允许只允许user1、user2、user3三个用户可以登录此VSFTPD服务器。 43解决方案：解决方案：从前面示例可知，与用户访问控制相关的配置文件有两个：/etc/vsftpd.ftpusers 和/etc/vsftpd.user_list。其中文件/etc/vsftpd.ftpusers的功能是固定的，凡是位于其中的用户肯定是不能访问FTP服务器的，所以该文件中绝不能包含user1、user2、us

38、er3 这三个用户。（1）编辑传统用户列表文件编辑传统用户列表文件/etc/vsftpd.ftpusers 一般情况下，管理员创建的本地用户默认不会包含在/etc/vsftpd.ftpusers文件中，但还是要检查一遍，如果包含这三个用户，请删除相应的行。 44（2）编辑）编辑VSFTPD的主配置文件的主配置文件/etc/vsftpd/vsftpd.conf 在/etc/vsftpd/vsftpd.conf文件中要有以下三行存在：userlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd.user_list45（3）编辑）编辑/et

39、c/vsftpd.user_list文件文件内容如下：user1user2user3（4）测试）测试 分别以user4、user1身份登录，会发现只有user1可以登录，而可以登录，而user4不不能登录能登录，原因是/etc/vsftpd.user_list文件中包含user1，而不含user4。 46735 基于不同基于不同IP地址的虚拟主机地址的虚拟主机 在RHEL 4.0中，配置基于IP地址的虚拟主机的方法很简单，即为不同的虚拟主机编写独立的配置文件，需要注意该配置文件必须以“.conf”结尾，并存放在并存放在/etc/vsftpd目录下目录下即可。471VSFTPD虚拟主机配置示例

40、在redhat1（）上配置VSFTPD虚拟主机服务。解决方案：解决方案：前面提到VSFTPD不支持基于名字的虚拟主机，所以本例中采用基于IP地址的虚拟主机。显然，基于IP地址的虚拟主机是以IP地址为单位的，每个虚拟主机对应监听一个IP地址，因此，需要在在redhat1配置多个配置多个IP地址地址。 48（1）为网卡创建子接口）为网卡创建子接口# ifconfig eth0:1 01 netmask up（2）建立匿名用户）建立匿名用户 为虚拟为虚拟FTP服务器建立匿名用户对应的本地帐号服务器建立匿名用户对应的本地帐号并创建

41、相关目录及设置适当权限，执行如下命令：# mkdir -p /var/myftp/pub功能:创建多级目录/var/myftp/pub# echo hi /var/myftp/welcome.txt功能:创建测试文件welcome.txt# useradd -d /var/myftp -M myftp功能:创建本地帐号myftp，并设置其主目录为/var/myftp49（3）创建虚拟）创建虚拟FTP服务器的配置文件服务器的配置文件 在/etc/vsftpd目录下，创建虚拟FTP服务器的配置文件vsftpd.myftp.conf，并令其监听子接口01。# vi /etc/v

42、sftpd/vsftpd.myftp.conf内容如下：ftpd_banner=Welcome to my virtual ftp server.ftp_username=myftplisten=YESlisten_address=01（4）编辑原来）编辑原来VSFTPD的配置文件的配置文件/etc/vsftpd/vsftpd.conf在/etc/vsftpd/vsftpd.conf文件末尾增加一行：listen_address=50（5）测试）测试首先，执行如下命令来重新启动VSFTPD服务：rootredhat1 vsftpd# service

43、vsftpd restartShutting down vsftpd: OK Starting vsftpd for vsftpd: OK Starting vsftpd for vsftpd.myftp: OK 接下来，查看VSFTPD服务器进程，执行如下命令：rootredhat1 vsftpd# ps aux | grep vsftpdroot 4089 0.0 0.3 5580 988 pts/0 S 10:58 0:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.confroot 4093 0.0 0.3 5256 984 pts/0 S 10:58 0

44、:00 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.myftp.conf51 登录登录VSFTPD虚拟主机虚拟主机01 rootredhat1 vsftpd# ftp 01Connected to 01.220 Welcome to my virtual ftp serverName (01:root): anonymous331 Please specify the password.Password:230 Login successful.Remote system typ

45、e is UNIX.Using binary mode to transfer files.ftp ls227 Entering Passive Mode (192,168,1,101,165,254)150 Here comes the directory listing.drwxr-xr-x 2 0 0 4096 Jan 12 01:58 pub-rw-r-r- 1 0 0 3 Jan 12 01:59 welcome.txt226 Directory send OK.ftp52736 监听非标准端口监听非标准端口1.方法：只需要在配置文件/etc/vsftpd/vsftpd.conf中增加如下一行：listen_port=21212.然后，重新启动VSFTPD服务，进行测试测试：rootredhat1 vsftpd# ftp 2121Connected to .220 (vsFTPd 2.0.1)Name (:root): user1331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using b