VSFTP FTP服务器安装与配置(转载)

本文涉及的产品
数据传输服务 DTS,数据迁移 small 3个月
推荐场景:
MySQL数据库上云
数据传输服务 DTS,数据同步 small 3个月
推荐场景:
数据库上云
运维安全中心(堡垒机),企业双擎版 50资产 7天
简介: 1. Vsftpd文件共享1.1简介Vsftpd是“very secure FTP daemon”的缩写,是一款非常安全的FTP软件。支持IPv6以及SSL加密。

1. Vsftpd文件共享

1.1简介

Vsftpd是“very secure FTP daemon”的缩写,是一款非常安全的FTP软件。支持IPv6以及SSL加密。Vsftpd的安全性主要体现三个方面:进程分离,处理不同任务的进程彼此是独立运行的;进程运行均以最小权限运行;多数进程都使用chroot进行了禁锢,防止客户访问非法共享目录。端口号为21端口

1.2特点

 1.它是一个安全、高速、稳定的FTP服务器;可以做基于多个IP的虚拟FTP主机服务器

2.vsftpd是以一般身份启动服务,并且用chroot进行改换根目录;匿名服务设置方便,根目录不需要特殊的目录结构、系统程序或系统文件

              3.任何需要具有个较高权限的vsftpd指令均以一支特殊的上层程序(parent process)所控制,并且该上层程序享有的较高执行权限功能已经被限制的相当低。

              3.所有的客户端,想要使用这只上层程序所提供的较高执行权限之vsftpd指令的需求,均被视为不可信任的要求来处理,必须要经过相当程度的身份确认后方可利用该上层程序的功能。例如chown、login的要求等等

              4.上层程序中依然使用chroot的功能来限制使用者的权限

            5.不执行任何外部程序,从而减少了安全隐患;

         6.支持虚拟用户,并且每个虚拟用户可以具有独立的属性配置;

         7.可以设置从inetd中启动,或者独立的FTP服务器两种运行方式;

            8.支持两种认证方式:PAP或tcp_wrappers;

          9.支持带宽限制

 1.3 性能

安全性方面vsftpd服务只需一般用户身份启动,相对 Linux 系统的使用权限较低。且任何来自想使用vsftpd较高执行权限的指令请求, 均被视为不可信任的请求,需经过一定身份认证后方可使用。同时,vsftpd 整合了大部分ftp会使用到的额外指令,因此减少了对系统功能的依赖。且应用 chroot限定了使用者根目录,限制使用者的执行权限。

速度方面: 使用ASCII代码的模式下载数据时,VSFTP的速度是Wu-FTP的两倍。如果Linux主机使用2.4的内核,在千兆以太网上的下载速度可达86MB/S。

稳定方面VSFTP在单机(非集群)上支持4000个以上的并发用户同时连接,根据Red Hat的Ftp服务器(ftp.redhat.com)的数据,VSFTP服务器可以支持15000个并发用户。

1.4 缺点

 vsftp 没有处理文件编码转换,从windows客户端访问时有乱码现象。可以转换服务器目录文件编码或者使用FTP客户端工具来访问服务器解决乱码现象。

2. FTP工作方式

    2.1主动FTP工作模式

        主动FTP模式的工作步骤如下:

a. 客户端随机开启大于1024的X端口与服务器21端口建立连接通道,通道建立后,客户端随时可以通过该通道发送上传或者下载命令。

b. 当客户端需要与服务器进行数据传输时,客户端回再开启一个大于1024的随机端口Y,并将Y端口号通过之前的命令通道传送给服务器的21端口

c. 服务器获取到客户端的第二个端口后会主动连接客户端的该端口,通过三次握手后,完成服务器与客户端数据通道的建立,所有的数据均通过该数据通道进行传输。

2.2被动FTP工作模式

 被动FTP模式的工作过程如下:

a. 客户端你随意开启大于1024的X端口与服务器的21端口建立连接通道

b. 当客户端需要与服务器进行数据传输时,客户端从命令通道发送数据请求要求上传或下载数据

c. 服务器收到数据请求后会随机开启一个端口Y,并通过命令通道将该端口信息传送给客户端

d. 客户端在收到服务器发送过来的数据端口Y的信息后,将在客户端本地开启一个随机端口Z,此时客户端再主动通过本机的Z端口与服务器的    Y端口进行连接,通过三次握手连接完成后,即可进行数据传输。

3. 配置文件解析

账户类型设置参数

功能

全局设置lsten=YES是否监听端口

lsten_port=21监听端口号

write_enable=YES是否允许写操作

download_enable=YES是否允许用户下载

dirmessage_enable

进入目录是否显示消息

xferlog_enable=YES

是否开启xferlog日志功能

xerlog_std_format=YES

xferlog日志文件格式

connect_from_port_20=YES使用主动模式连接,端口20

pasv_enable=YES是否启用被动模式连接,默认为被动模式

pasv_max_port=24600被动模式连接的最大端口号

pasv_min_port=24500

被动模式连接的最小端口号

userlist_enable=YES

是否启用userlist用户列表

userlist_deny=YES

是否禁用userlist文件中额账户访问FTP

max_clents=2000

最大允许同事2000客户端连接,0代表无限制

max_per_ip=0

每个客户端的最大连接限制,0代表无限制

tcp_wrappers=YES

是否启用tcp_wrappers

guest_enable=YES

所有的非匿名登录都映射为guest_username指定的账户

guest_username=ftp

anonymous_enable=YES

是否开启匿名访问功能,默认开启

设定来宾用户

user_config_dir=/etc/vsftpd/conf

指定用户设置独立配置文件与选项的目录

dual_log_enable=NO否启用双日志功能,生成两个日志文件

anonymous_enable=YES是否开启匿名访问功能,默认开启

匿名账户anon_max_rate=0

匿名数据传输率(B/s)

anon_root=/var/ftp匿名访问FTP根目录

anon_upload_enbale=YES

是否允许匿名账户上传,默认禁止

anon_mkdir_write_enable=YES

是否允许匿名账户创建目录,默认禁止

anon_other_write_enable=YES

是否允许匿名账户进行其他的所有写操作

anon_umask=077

匿名上传权限掩码

本地账

local_enable=YES是否启用本机账户FTP功能

local_max_rate=0

本地账户数据传输率(B/s)

local_umask=077

本地账户权限掩码

chroot_local_user=YES是否禁锢本地账户根目录,默认为NO

local_root=/ftp/common

本地账户访问FTP根路径

1. Vsftpd案例

4.1本地账户FTP

 案例背景:一公司搭建本地FTP服务器为公司员工使用,初定3位员工:Tom、Jack、Mary

(1) 安装vsftpd

[root@vsftpd /]# yum -y install vsftpd

[root@vsftpd /]# service vsftpd start

[root@vsftpd /]# chkconfig vsftpd on

(2) 修改配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错

[root@vsftpdetc]# vim vsftpd/vsftpd.conf

anonymous_enable=NO  #是否允许匿名访问    

local_enable=YES     #是否启用本机账户FTP功能

write_enable=YES     #是否允许写操作                 

local_umask=022     #本地账户权限umask         

dirmessage_enable=YES#用户进入目录是否显示信息

xferlog_enable=YES    #是否开启xferlog日志功能

xferlog_std_format=YES #xferlog日志格式           

listen=YES                         #是否开启监听                  

pam_service_name=vsftpd # 指定pam的配置文件为vsftpd

userlist_enable=YES     #启用userlist用户文件列表

tcp_wrappers=YES      #是否启用tcp_wrappers   

(3) 创建系统账户与测试文件    

[root@vsftpd /]# useradd -s/sbin/nologin Tom

[root@vsftpd /]# useradd -s/sbin/nologin Jack

                 [root@vsftpd /]# useradd -s/sbin/nologin Mary

                 [root@vsftpd /]# touch/home/{Tom,Jack,Mary}/test.txt

            (4)  关闭防火墙SELINUX和设置自启动

    [root@vsftpd /]# setenforce 0

    [root@vsftpd /]# service iptables stop

    [root@vsftpd /]# service vsftpd start

    [root@vsftpd /]# chkconfig vsftpd on

            (5)  访问ftp客户端

在访问客户端之前需要修改下用户的密码(这是必须滴,养成习惯)

[root@vsftpd /]# passwd Tom

[root@vsftpd /]# passwd Jack

[root@vsftpd /]# passwd Mary

在浏览器中输入 ftp://ip就成功了。。。

4.2虚拟账户FTP

 案例背景:满足大量的账户访问需求

(1) 创建虚拟用户数据库

创建明文密码文件:明文文件奇数行为用户名,偶数行为密码。

使用db_load工具将其转换为数据库文件

db_load是通过安装db4-utils获得

   [root@vsftpd ~]# yum -yinstall db4-utils   

 [root@vsftpd ~]# vim /etc/vsftpd/vlogin

                     tomcat

                     123456

                     jerry

                     654321

                     [root@vsftpd~]# db_load –T –t hash –f /etc/vsftpd/vlogin /etc/vsftpd/vlogin.db

                     [root@vsftpd~]# chmod 600 /etc/vsftpd/{vlogin,vlogin.db}

(2) 创建PAM文件,这是虚拟账户验证

Linux一般通过PAM文件设置账户验证机制,通过创建新的PAM文件,使用新的数据文件进行登录验证

PAM文件中的db选项于指定并验证账户和密码的数据库文件,数据库文件无需.db的名称后缀

authrequired /lib64/security/pam_userdb.so db=/etc/vsftpd/vlogin

account required /lib64/security/pam_userdb.sodb=/etc/vsftpd/vlogin

(3) 设置虚拟账户共享目录

[root@vsftpd~]# useradd -s /sbin/nologin -d /home/ftp virtual

[root@vsftpd ~]# cp /etc/redhat-release/home/ftp

(4) 修改主配置文件(注意一下配置文件每行最后不能有一个空格多不然会报错

[root@vsftpd /]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=NO              #是否开启开启匿名访问功能

local_enable=YES                                   #是否开启本机账户FTP功能

write_enable=YES                                 #是否允许写操作            

anon_upload_enable=YES            #是否允许默认上传功能    

anon_mkdir_write_enable=NO        #是否允许匿名账户创建目录功能

anon_other_write_enable=NO        #是否允许匿名账户其他写入功能

chroot_local_user=YES                #是否禁锢本地账户根目录    

guest_enable=YES                                 #启用则所有非匿名登录都映射为guest_username指定的账户

guest_username=virtual                       #指定来宾用户

listen=YES                                                 #是否监听端口

listen_port=21                                             #监听端口为21端口

pasv_enable=YES                                         #是否启用被动连接模式

pasv_min_port=30000                                #被动连接最小端口号

pasv_max_port=30999                               #被动连接最大端口号

pam_service_name=vsftpd.pam                #指定PAN验证机制的配置文件

user_config_dir=/etc/vsftpd_user_conf    #用户配置文件和选项所在目录

user_sub_token=$USER                 #为每个虚拟用户创建家目录 

(5) 为每个用户设置独立的共享路径

[root@vsftpd/]# mkdir /etc/vsftpd_user_conf

[root@vsftpd/]# mkdir -p /home/ftp/tomcat

[root@vsftpd /]# service vsftpd restart

(6) 客户端访问

在浏览器中输入 ftp://ip就成功了。。。

2. 常见问题分析

1.  提示错误代码: 530 Login incorrect

以上错误说明登录验证账户失败。可能是使用64位系统,而pam文件中库文件使用的是/lib/ 而不是/lib64/ 还有可能是用户名和密码输入错误

也可能是vsftpd主配置文件中设置的pam_servcie_name设置的pam文件名称和/etc/pam.d中创建的pam文件名称不一致导致无法验证成功。

2.  提示错误代码: 500 OOPS: cannot changedirectory: /home/ftp/$USER

该提示代表目录不存在或无权限导致无法切换至目录,也可能是由于SELinux导致无法共享账户家目录,默认SELinux不允许共享家目录

3.  登录后无法上传数据

匿名账户和虚拟账户检查以anon_开头的权限设置,本地账户检查以local_开头的权限设置,并且要确保全局write_enable设置为YES

另外,文件系统目录的权限也需要修改,确保客户端账户有权限访问该目录。

4.  启动服务时报错: 500 OPPS: bad bool valueconfig file

Vsftpd配置文件设置错误,检查配置文件。配置文件要求每个设置项占用独立的一行,并且不可以有多余的空格

目录
相关文章
|
1月前
|
机器学习/深度学习 弹性计算 编解码
阿里云服务器4核8G配置:ECS实例规格、CPU型号及使用场景说明
阿里云4核8G服务器ECS提供多种实例规格,包括高主频计算型hfc8i、计算型c8i、通用算力型u1、经济型e等。各规格配备不同CPU型号与主频性能,适用于机器学习、数据分析、游戏服务器、Web前端等多种场景。用户可根据需求选择Intel或AMD处理器,如第四代Xeon或AMD EPYC系列,满足高性能计算及企业级应用要求。更多详情参见阿里云官方文档。
131 1
|
1月前
|
机器学习/深度学习 弹性计算 编解码
阿里云服务器4核8G配置:ECS实例规格、CPU型号及使用场景说明
阿里云4核8G服务器ECS提供多种实例规格,如高主频计算型hfc8i、计算型c8i、通用算力型u1、经济型e等。各规格基于不同CPU型号与主频性能设计,适用于机器学习、数据分析、游戏服务器、网站应用等多种场景。用户可根据实际需求选择适合的配置,满足高性能计算或经济性要求。更多详情及参数说明可参考官方文档。
280 4
|
1月前
|
弹性计算 数据挖掘 测试技术
阿里云服务器2核8G、4核16G、8核32G配置热门实例性能、适用场景对于与选择参考
2025年,阿里云针对2核8G、4核16G、8核32G这三种主流配置,推出了一系列极具吸引力的活动,为用户提供了多样化的选择。目前,2核8G配置的云服务器活动价格为522.79元/年起,4核16G配置的云服务器活动价格为2149.92元/年起,而8核32G配置的云服务器活动价格则为4249.44元/年起。这些价格涵盖了经济型e、通用算力型u1、通用型g8i、通用型g7和通用型g8y等不同实例规格,为用户提供了多样化的选择。本文将对这些配置热门实例规格的实例性能、适用场景和活动价格做个对比,以供选择和参考。
|
2月前
|
存储 弹性计算 应用服务中间件
阿里云服务器2核4G、4核8G、8核16G配置主要适用场景及最新活动价格参考
云服务器现在已成为企业和个人开展业务、搭建应用不可或缺的基础设施,在众多配置中,2核4G、4核8G和8核16G是广大用户选择较多的配置,目前阿里云服务器通用算力型u1实例2核4G5M带宽企业用户购买的价格只要199元1年,且续费价格不变,4核8G目前的活动价格为955.58元1年起,8核16G配置选择计算型c8y实例的活动价格为3815.03元1年起。本文将为大家解析2025年截止目前阿里云服务器中2核4G、4核8G、8核16G配置的活动报价,帮助用户了解最新价格信息,以及不同配置的主要适用场景,以供参考和选择。
|
2月前
|
存储 弹性计算 安全
阿里云服务器38元、99元、199元配置、适用场景区别及选择参考
目前,阿里云有多款特价云服务器产品,轻量云服务器2核2G200M峰值带宽38元一年,经济型e实例云服务器2核2G3M带宽99元1年、4核16G10M云服务器70元1个月、210元3个月,8核32G10M带宽160元1个月、480元3个月,通用算力型u1实例2核4G5M带宽199元一年、4核8G云服务器955元一年。本文将详细介绍阿里云的三款特价云服务器产品:38元的轻量应用服务器、99元的云服务器ECS经济型e实例,以及199元的云服务器ECS u1实例,帮助用户更好地了解这些产品的规格、配置、适用场景及购买资格和注意事项。
|
2月前
|
存储 弹性计算 人工智能
阿里云服务器ECS实例规格选型指南:根据使用场景选择合适的配置
随着云计算的快速发展,阿里云提供了丰富多样的云服务器ECS实例规格,满足不同用户需求。然而,面对众多选项,新手往往难以抉择。本文详细解析八大业务场景,包括新手入门、网站业务、数据库、大数据、游戏、视频、AI机器学习及高性能计算等,帮助用户精准选择合适的实例规格。通过了解各实例的硬件配置与软件优化特点,用户可实现资源高效利用与成本合理控制,推动业务发展。更多详情与性能参考可访问阿里云官方文档。
149 17
|
2月前
|
存储 安全 关系型数据库
阿里云服务器选购配置方案云产品搭配指南参考
对于部分新手用户来说,面对阿里云众多的服务器配置和云产品,如何做出合适的选择,成为了大家比较关注的问题。本文将深入探讨阿里云服务器选择的相关知识,包括配置方案、云服务器活动以及云产品搭配策略,帮助您在众多选项中找到最适合自己的解决方案。
|
20天前
|
存储 运维 关系型数据库
阿里云国际服务器:全球企业数字化转型的云端基石
阿里云国际服务器提供高性能、高安全和全球化部署的云服务解决方案。其高效云盘具备单盘100万IOPS性能,9个9的数据可靠性,并采用三副本冗余存储确保数据安全。覆盖25个地域、80多个可用区的全球加速网络,大幅降低跨境访问延迟。阿里云已获50多项国际认证,支持企业合规出海。通过统一控制台管理多地域架构,助力企业提升效率、降低成本,是超过200个国家和地区企业的共同选择。
|
3月前
|
存储 缓存 弹性计算
阿里云经济型e实例云服务器评测:企业官网搭建的性价比之选
阿里云服务器经济型e实例可以用来搭建企业网站吗?云服务器作为搭建企业官网的基础设施,其性能、稳定性、成本等因素直接影响着官网的运营效果。阿里云经济型e实例云服务器作为一款性价比较高的产品,备受用户关注。许多企业在选择云服务器搭建官网时,都会将其纳入考虑范围。本文将详细探讨阿里云经济型e实例云服务器的特点、性能表现、稳定性与可靠性,以及成本考量,最终解答是否适合用它来搭建企业官网。

热门文章

最新文章