全面剖析vsftpd服务器的使用

本文涉及的产品
运维安全中心(堡垒机),免费版 6个月
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
简介:

 Vsftpd服务全攻略之常规配置

文章比较长,于是分了三页,一页一个案例!给不给力,你说了算!

1:vsftpd服务软件包

vsftpd-2.2.2-11.el6.i686.rpm

2:vsftpd相关文档

/etc/vsftpd/vsftpd.conf : vsftpd的核心配置文件

/etc/vsftpd/ftpusers : 用于指定哪些用户不能访问FTP服务器

/etc/vsftpd/user_list : 用于允许使用vsftpd的用户列表文件

/etc/vsftpd/vsftpd_conf_migrate.sh : 是vsftpd操作的一些变量和设置脚本

/etc/ftp : 默认情况下匿名用户的根目录

FTP常规配置应用案例1:

需求:

公司开发部准备搭建一台功能简单的FTP服务器,允许所有员工上传和下载文件,并允许创建用户自己的目录。

分析:

允许所有员工上传和下载文件需要设置称匿名用户登录并且需要将尼姆用户上传功能开启,最后anon_mkdir_write_enable字段可以控制是否允许匿名用户创建目录。

解决方案:

(1)     配置vsftpd.conf 主配置文件,(服务器配置支持上传)

允许匿名用户访问

anonymous_enable=YES

允许匿名用户上传文件并可以创建目录

anon_upload_enable=YES

anon_mkdir_write_enable=YES

保存退出

(2)     上传目录ftp用户的写入权限

大家注意,默认匿名用户家目录的权限是755,这个权限是不能改变的。切记!切记!!

下面我们来一步一步的实现,先修改目录权限,创建一个公司上传用的目录,演示需要,交chenyi,分配ftp用户所有,目录权限755

OK了

(3)     修改selinux(selinux支持上传) 既然是模拟真实环境,想了想不去关闭它了!

使用getsebool –a | grep ftp 命令可以查找到ftp的bool值。然后我们来修改      getbool –a

是显示所有的selinux的布尔值,通过管道,查找与ftp相关的!

使用setsebool –P allow_ftpd_anon_write 命令设置布尔值

下面我们准备上下文

然后reboot重新启动服务器

重启就不上图了。 如果你直接关闭了selinux的话 可以不进行重启操作 命令如下
:setenforce 0

(4)     运行级别3开启vsftpd服务

(5)     测试

匿名登录FTP

现在试试匿名上传

现在匿名上传的文件是禁止删除的

这样匿名用的上传就算成功了!

*******************************辰逸技术博客*******************************

FPT常规配置应用案例2:

需求:

公司内部现在有一台FTP和WEB服务器,FTP的功能主要用于维护公司的网站内容,包括上传文件,创建目录,更新网页等, 公司现在有两个部门负责维护任务,他们分别是team1

和team2帐号进行管理。先要求仅允许chenyi1和chenyi2帐号登录FTP服务器,但不能登录本地系统并将这2个帐号根目录限制为/var/www/html,不能进入该目录以外的任何目录。

分析:

将FTP和WEB服务器做在一起是企业经常采用的方法,于是辰逸便取经一番以该案例做为第二案例,这样即方便实现对网站的维护,为了增强安全性,首先需要使用仅允许本地用户访问,并禁止匿名用户,其次使用chroot功能将chenyi1和chenyi2锁定在/var/www/html目录下,如果需要删除文件则还需要注意本地权限,呵呵!

解决方案:

(1)       建立维护网站内容的 ftp 帐号,chenyi1和chenyi2并禁止本地登录,然后设置其密码

useradd –s /sbin/nologin 用户名

(2)       配置vsftpd.conf主配置文件并做相应的修改

vi /etc/vsftpd/vsftpd.conf

anonymous_enable=NO:禁止匿名用户登录

local_enable=YES:允许本地用户登录

local_root=/var/www/html:设置本地用户的根目录为/var/www/html

chroot_list_enable=YES:激活chroot功能

chroot_list_file=/etc/vsftpd/chroot_list:设置锁定用户在根目录的列表文件

保存退出!

(3)       建立/etc/vsftpd/chroot_list文件,添加chenyi1和chenyi2帐号

touch /etc/vsftpd/chroot_list

(4)       开启禁用selinux的FTP传输审核功能

setsebool –P ftpd_disable_trans

如果有,而没禁用selinux的FTP传输审核功能则会出现如下错误:“500 OOPS:无法改变目录”

还需要这条命令setsebool -P allow_ftpd_anon_write 关闭之前开启匿名

这里我就直接关闭selinux了

(5)       重启vsftpd服务使配置生效,service vsftpd restart

(6)修改本地权限

(6)       测试

*******************************辰逸技术博客*******************************

FTP高级配置应用案例1:

企业环境:公司为了宣传最新的产品信息,计划搭建FTP服务器,为客户提供相关文档下载,对所有权互联网开放共享目录,允许下载产品信息,禁止上传,公司的合作单位能够使用FTP服务器进行上传,但不可以删除数据,并且为了保证服务器的稳定性,进行适当的优化~

需求分析:

根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器实现用户的审核,需要考虑到服务器的安全性,所以关闭了实体用户的登录,使用虚拟帐号验证限制,并对虚拟账号设置不同的权限,为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度!

 

解决方案:

1:创建用户数据库

(1)       创建用户文本文件

先建立用户文本文件 chenyi 添加两个虚拟帐号,公共帐号ftp及客户帐号vip

touch /etc/vsftpd/chenyi

vi /etc/vsftpd/chenyi 下图为编辑内容

保存退出

注意:

(2)       修改数据库文件访问权限

生成chenyi.db命令(db_load –T –t hash –f /etc/vsftpd/chenyi.com vsftpd_chenyi.db 生成后可删除原文件不删也行)如果该命令无法执行 报错没有 db_load该命令,请安装 db4这个软件包!如果有问题,问百度和我都可以!

数据库文件中保存着虚拟账号的密码信息,为了防止非法用户盗取,我们可以修改其访问权限,生成的认证文件应该设置为可读可写 即600

chmod 600 /etc/vsf tpd/chenyi.db

2:配置PAM文件

为了使服务器能够使用数据库文件,对客户端进行身份,需要调用系统的PAM模块,PAM(Plugable Authentication Module)可插拔认证模块,不必重新安装应用系统,通过修改指定的配置文件,调整对改程序的认证方式,PAM模块的配置文件路径为/etc/pam.d/目录,此目录下保存着大量与认证有关的配置文件,并以服务名称命名!

修改vsftpd对应的PAM配置文件,/etc/pam.d/vsftpd,将默认配置用用“#”全部注释。添加相应字段即可。

3:创建虚拟帐号对应的的系统用户

对于公共帐号和客户帐号,因为需要配置不同的权限,所以可以将两个帐号的目录进行隔离,控制用户的文件访问,公共帐号ftp对应的系统帐号ftpuser,并指定其家目录为/var/ftp/share,而客户帐号vip对用的系统帐号为ftpvip,并置顶家目录/var/ftp/vip

chmod –R 500 /var/ftp/share :公共帐号ftp只允许下载!

chmod –R 700 /var/ftp/vip :客户帐号VIP只允许上传和下载,所以对vip目录权限设置为rwx,可读可写可执行!

4:建立配置文件

设置多个虚拟帐号的不同权限,若使用一个配置文件无法实现该功能,需要为每个配置文件建立独立的配置文件,并根据需要进行相应的设置。

(1)修改vsftp.conf主配置文件

配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir子段定义虚拟帐号的配置文件目录

禁用匿名帐号登录,启用本地帐号登录设置

anonymous_enable=NO local_enable=YES

将所有本地用户限制在家目录中,NO则不限制

chroot_local_user=YES

必不可少的配置

接着下面的配置!!!!

 

(3)       建立虚拟帐号配置文件

在 user_config_dir 指定的路径下,建议与虚拟目录同名的配置文件,并添加相应的配置字段,首先建立公共帐号ftp的配置文件

建立好后  vi 编辑 ftp 和 vip 2个配置文件

vsftpd的限速不是据对的。例:设置100KB/s则实际速度在80KB/s~120KB/s之间变化

下面是客户帐号的配置文件VIP

5:重启vsftpd使配置生效

6:测试

(1)       公共帐号ftp测试

在公共帐号测试前,我们先写个空文件出来 测试!

公共帐号登录ftp服务器了

使用flash FXP 测试 因为要测试速度,下面的user ftp  足以证明是ftp登录了吧!

事实证明还是比较靠谱的

在回到windows去删除它试试 !没有权限删除

并且没有权限上传

测试客户用户 VIP

同样生成个文件以便测试,步骤参照上面!

限速效果明显

和预设的一样,可以上传文件,但无权删除文件

好了。到了这里就应该让大家自己去亲身体会了!希望大家能获益

 

附原版文档下载

 

 

 www.itchenyi.com










本文转自 lgpqdwjh 51CTO博客,原文链接:http://blog.51cto.com/itchenyi/1050078,如需转载请自行联系原作者
目录
相关文章
|
6月前
|
Web App开发 安全 Unix
Linux 配置FTP服务器 + vsftpd服务安装配置 (Good篇)
Linux 配置FTP服务器 + vsftpd服务安装配置 (Good篇)
176 1
|
SQL jenkins Linux
一篇文章了解开源 FTP 服务器 vsftpd
一篇文章了解开源 FTP 服务器 vsftpd
|
Ubuntu Linux 网络安全
百度搜索:蓝易云【ubuntu系统使用vsftpd搭建FTP服务器。】
现在您已经成功在Ubuntu系统上使用vsftpd搭建了FTP服务器。请注意,这些步骤适用于Ubuntu系统,如果您使用的是其他Linux发行版,请查阅相应的文档或指南进行操作。
270 0
|
Web App开发 弹性计算 缓存
ECS进阶训练营-day1(如何安装vsftpd)
基于ECS搭建FTP服务-新手如何安装vsftpd?
ECS进阶训练营-day1(如何安装vsftpd)
|
Linux
【Linux】【CentOS】【FTP】FTP服务器安装与配置1(vsftpd、lftp)
【Linux】【CentOS】【FTP】FTP服务器安装与配置(vsftpd、lftp)
294 1
【Linux】【CentOS】【FTP】FTP服务器安装与配置1(vsftpd、lftp)
|
Linux 网络安全 开发工具
【Linux】【CentOS】【FTP】FTP服务器安装与配置2(vsftpd、lftp)
【Linux】【CentOS】【FTP】FTP服务器安装与配置(vsftpd、lftp)
395 1
【Linux】【CentOS】【FTP】FTP服务器安装与配置2(vsftpd、lftp)
|
安全 Linux 数据安全/隐私保护
谁再说不会搭建vsftpd,就把这个脚本给他扔过去!——CentOS7下一键脚本搭建虚拟用户模式的vsftpd服务器
谁再说不会搭建vsftpd,就把这个脚本给他扔过去!——CentOS7下一键脚本搭建虚拟用户模式的vsftpd服务器
424 0
谁再说不会搭建vsftpd,就把这个脚本给他扔过去!——CentOS7下一键脚本搭建虚拟用户模式的vsftpd服务器
|
安全 Linux 网络安全
CentOS7下搭建vsftpd服务器(本地用户模式)
CentOS7下搭建vsftpd服务器(本地用户模式)
504 0
CentOS7下搭建vsftpd服务器(本地用户模式)
|
弹性计算 Linux 网络安全
下一篇
无影云桌面