vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。vsftpd 的名字代表"very secure FTP daemon", 安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候,高安全性就是一个目标。vsftpd - 特点
①vsftpd 是以一般身份启动服务,所以对于 Linux 系统的使用权限较低,对于Linux 系统的危害就相对的减低了。此外, vsftpd 亦利用 chroot() 这个函式进行改换根目录的动作,使得系统工具不会被vsftpd 这支服务所误用;
②任何需要具有较高执行权限的 vsftpd 指令均以一支特殊的上层程序( parent process ) 所控制 ,该上层程序享有的较高执行权限功能已经被限制的相当的低,并以不影响Linux 本身的系统为准;
③所有来自 clients 端,想要使用这支上层程序所提供的较高执行权限之vsftpd 指令的需求,均被视为『不可信任的要求』来处理,必需要经过相当程度的身份确认后,方可利用该上层程序的功能。例如chown(), Login 的要求等等动作;
④此外,上面提到的上层程序中,依然使用 chroot() 的功能来限制使用者的执行权限。
ubuntu系统如下 sudo apt-get install vsftpd
centos系统如下 yum -y install vsftpd
这里我就安装RPM包了,其它的安装方法就不提了,,不懂的可以查阅相关资料
如果没安装,使用RPM包进行安装
建立ftp用户及其主目录,若本来就存在ftp用户,则不需要新建 我的已经建好了,具体创建方法如下:
建立vsftp需要的特殊目录:
Mkdir -p /usr/share/empty
如果想要移除vsftp 时,可以这样做
rm /usr/sbin/vsftpd 或是 rm /usr/local/sbin/vsftpd
rm /usr/local/man/man5/vsftpd.conf.5
rm /usr/local/man/man8/vsftpd.8
rm /etc/xinetd.d/vsftpd
rm /etc/vsftpd.conf 或是rm /etc/vsftpd/vsftpd.conf
因为刚刚安装只有安装这几个档案文件而已,所以,vsftpd 真的是挺安全的说!
启动和关闭vsftpd
启动vsftp 可以采用3中方式:inetd、xinetd和standalone(独立)工作模式,由于目前使用的xinetd扩展了inetd,它比inetd更加高效和实用,所以主要以xinetd以及standalone两种启动方式
编辑vsftpd启动配置文件 将disable = yes 该为 disable = no
确认xinetd.d没有问题 重启vsftpd
还没有配置/etc/vsftpd/vsftpd.conf 所以无法登陆还
Vsftpd的包结构 (企业版的RedHat 不同的版本可能有所不通)
/etc/vsftpd/vsftpd.conf 主配置文件
/etc/vsftpd/banner_emails 该文件与匿名登录有关
/usr/sbin/vsftpd/ 这是vsftpd的主要执行文件
/etc/vsftpd/user_list 文件中指定的用户是否可以访问ftp服务器由vsftpd.conf文件中userlist_deny的取值决定的
/etc/vsftpd/ftpusers 设置不允许登陆的用户
/etc/pam.d/vsftpd 利用pam模块来进行身份确认的动作 看/etc/pam.d/vsftpd的内容即可知道是否使用/etc/vsftpd.ftpusers或/etc/vsftpd/ftpusers
带红色下划线的就是限制用户无法使用vsftpd的主配置文件
Vsftpd.conf设置说明
connect_from_port_20=YES(NO)
该设置项是在启动主动连接的端口20
listen_port=21
使用的 vsftpd命令通道的 port number 设定,如果您想要使用非正规的 ftpport,在这个设定项目修改。
dirmessage_enable=YES(NO)
当使用者进入某个目录时,会显示该目录需要注意的内容,显示的文件是.message ,当然也可以使用下面的设定项目来修该。
message_file=.message
当 dirmessage_enable=YES时,可以设定这个项目来让 vsftpd寻找该文件来显示信息,也可以设定其他文件名
listen=YES(NO)
若设定为YES 表示 vsftpd 是以 standalone 的方式来启动的!
pasv_enable=YES(NO)
启动被动式连接(passivemode),一定要设定为 YES !
use_localtime=YES(NO)
是否使用主机的时间?!预设使用GMT 时间(格林威治),会比北京时间晚8小时,一般来说,建议设定为 YES 吧!
write_enable=YES(NO)
是否允许使用者具有写入的权限?!这包括删除与修改等功能喔!
connect_timeout=60
单位是秒(s),如果client 尝试连接我们的 vsftpd 命令通道超过 60 秒,则不等待,强制断线咯。
accept_timeout=60
当使用者以被动式PASV 来进行数据传输时,如果主机启用 passive port并等待 client超过60 秒,那么就给他强制断线!可以修改数值 60 。
data_connection_timeout=300
如果 client与 Server 间的数据传送在 300 秒内都无法传送成功,那 Client的联机就会被我们的 vsftpd 强制切断!
idle_session_timeout=300
如果使用者在300 秒内都没有任何命令动作,强制离线!
max_clients=0
如果 vsftpd是以 stand alone 方式启动的,那么这个设定项目可以设定同一时间,最多有多少client 可以同时连上 vsftpd 哩!?
max_per_ip=0
与上面 max_clients类似,这里是同一个 IP 同一时间可允许多少联机?
pasv_max_port=0
pasv_min_port=0
上面两个是与passive mode 使用的端口号有关,如果您想要使用65400 到65410 这 11 个 port 来进行被动式数据的连接,可以这样设定pasv_max_port=65410以及 pasv_min_port=65400
ftpd_banner=一些文字说明
当使用者无法顺利连上我们的主机,例如联机数量已经超过max_clients
的设定了,那么client 的画面就会显示『一些文字说明』的字样,你可以根据需要修改
guest_enable=YES(NO)
若这个值设定为YES 时,那么任何非 anonymous 登入的账号,均会被假设成为guest (访问者)。
local_enable=YES(NO)
这个设定值必须要为YES 时,在 /etc/passwd 内的账号才能以实体用户的方式登入我们的vsftpd 主机!
local_max_rate=0
实体用户的传输速度限制,单位为bytes/second, 0 为不限制。
chroot_local_user=YES(NO)
将使用者限制在自己的家目录之内(chroot)!这个设定在vsftpd当中预设是NO,因为有底下两个设定项!所以不需要启动他!
chroot_list_enable=YES(NO)
是否启用将某些实体用户限制在他们的家目录内?!预设是NO ,不过,如果您想要让某些使用者无法离开他们的家目录时,可以考虑将这个设定为YES ,并且规划下个设定值
chroot_list_file=/etc/vsftpd.chroot_list
如果 chroot_list_enable=YES那么就可以设定这个项目了!他里面可以规定
那一个实体用户会被限制在自己的家目录内而无法离开!(chroot) 一行一个账号即可!
userlist_deny=YES(NO)
若此设定值为YES 时,则当使用者账号被列入到某个档案时,在该档案内的使用者将无法登入vsftpd 服务器!该档案文件名与下列设定项目有关。
userlist_file=/etc/vsftpd/user_list
若上面 userlist_deny=YES时,在这个文件内的账号都无法使用vsftpd !
关于匿名者登入的设定值
anonymous_enable=YES(NO)
设定为允许anonymous 登入我们的 vsftpd 主机!默认是 YES ,下面的所有相关设定都需要将这个设定为anonymous_enable=YES 之后才会生效!
anon_world_readable_only=YES(NO)
仅允许 anonymous具有下载可读文件的权限,默认是 YES。
anon_other_write_enable=YES(NO)
是否允许anonymous 具有写入的权限?预设是 NO!如果要设定为 YES,那么开放给anonymous 写入的目录亦需要调整权限,让 vsftpd 的 PID拥有者可以写入才行!
anon_mkdir_write_enable=YES(NO)
是否让anonymous 具有建立目录的权限?默认值是 NO!如果要设定为 YES,那么 anony_other_write_enable必须设定为 YES !
anon_upload_enable=YES(NO)
是否让anonymous 具有上传数据的功能,预设是 NO,如果要设定为 YES ,则 anon_other_write_enable=YES必须设定。
deny_email_enable=YES(NO)
拒绝某些特殊的email address ,不让那些 anonymous 登入!如果以 anonymous登入主机时,就会要求输入您的email address ,如果你很讨厌某些 email address ,就可以使用这个设定来将他取消登入的权限!需与下个设定项目配合:
banned_email_file=/etc/vsftpd.banned_emails
如果 deny_email_enable=YES时,可以利用这个设定项目来规定那个email address不可登入我们的 vsftpd 喔!在上面设定的档案内,一行输入一个email address 即可!
no_anon_password=YES(NO)
当设定为YES 时,表示 anonymous 将会略过密码检验步骤,而直接进入vsftpd 服务器内喔!所以一般预设都是 NO 的!
anon_max_rate=0
这个设定值后面接的数值单位为bytes/秒 ,限制 anonymous 的传输速度,如果是 0则不限制(由最大频宽所限制),如果您想让 anonymous 仅有30 KB/s 的速度,可以设定『anon_max_rate=30000』
anon_umask=077
限制 anonymous的权限!如果是 077 则 anonymous 传送过来的档案权限会是-rw------- !
关于系统安全的设定值:
ascii_download_enable=YES(NO)
如果设定为YES ,那么 client 就可以使用 ASCII 格式下载档案。一般来说,由于启动了这个设定项目可能会导致DoS 的攻击,因此预设是NO。
ascii_upload_enable=YES(NO)
与上一个设定类似的,只是这个设定针对上传而言!预设是NO。
async_abor_enable=YES(NO)
如果您的FTP client 会下达 "async ABOR" 这个指令时,这个设定才需要启用一般来说,由于这个设定并不安全,所以通常都是将他取消的!
check_shell=YES(NO)
如果您想让拥有任何特殊的shell 的使用者(在 /etc/passwd 的 shell 字段)可以使用vsftpd 的话,这个设定可以设定为 NO !
one_process_model=YES(NO)
这个设定项目比较危险一点~当设定为YES 时,表示每个建立的联机都会拥有一支process 在负责,可以增加 vsftpd 的效能。不过,除非您的系统比较安全,而且硬件配备比较高,否则容易耗尽系统资源!一般建议设定为NO 的。
tcp_wrappers=YES(NO)
我们都习惯支持TCP Wrappers !所以设置为 YES!
xferlog_enable=YES(NO)
当设定为YES 时,使用者上传与下载文件都会被纪录起来。记录文件与下一个设定项目有关:
xferlog_file=/var/log/vsftpd.log
这是日志的文件名如果上一个xferlog_enable=YES 的话,这里就可以设置。
xferlog_std_format=YES(NO)
是否设定为wu ftp 相同的日志文件格式。默认为 NO ,因为日志文件比较容易读!不过,如果您有使用wu ftp 登录文件的分析软件,这里才需要设定为 YES
nopriv_user=nobody
vsftpd默认以 nobody 作为此服务执行者的权限。因为 nobody 的权限相当的低,因此即使被入侵,入侵者仅能取得nobody 的权限!
pam_service_name=vsftpd
这个是 pam模块的名称,我们放置在 /etc/pam.d/vsftpd 即是这个!
上面的这些都是很常见的vsftpd的设置参数,还有很多没有列出来,你可以使用man 5 vsftpd.conf 查阅 。。。不过,以上这些参数基本上已经够我们设置了。
本文转自 abc16810 51CTO博客,原文链接:http://blog.51cto.com/abc16810/993028