vsftp3.0 匿名用户,本地用户,虚拟用户,主动模式以及被动模式,docker vsftpd,k8s vsftpd

docker:

docker run -d -p 20:20 -p 21:21 -p 21100-21110:21100-21110 -v /root/work/ftp/data:/home/vsftpd -e FTP_USER=jettomanager -e FTP_PASS=123456aA -e PASV_ADDRESS=172.16.10.90 -e PASV_MIN_PORT=21100 -e PASV_MAX_PORT=21110 -e PASV_ENABLE=yes --name vsftpd --restart=always  harbor.jettech.com/jettechtools/vsftpd:3.0

k8s:

[root@localhost ~]# cat work/base/xubing/jettopro/jettomanager-deploy/jettopro-component/yaml/jettopro/jettech-vsftp-develop-poc.yaml 
#apiVersion: v1
#kind: Service
#metadata:
#  labels: {name: jettopro-vsftpd}
#  name: jettopro-vsftpd
#  namespace: jettopro-poc
#spec:
#  ports:
#  - {name: t20, nodePort: 20, port: 20, protocol: TCP, targetPort: t20}
#  - {name: t21, nodePort: 21, port: 21, protocol: TCP, targetPort: t21}
#  - {name: t2100, nodePort: 2100, port: 2100, protocol: TCP, targetPort: t2100}
#  - {name: t2101, nodePort: 2101, port: 2101, protocol: TCP, targetPort: t2101}
#  - {name: t2102, nodePort: 2102, port: 2102, protocol: TCP, targetPort: t2102}
#  - {name: t2103, nodePort: 2103, port: 2103, protocol: TCP, targetPort: t2103}
#  - {name: t2104, nodePort: 2104, port: 2104, protocol: TCP, targetPort: t2104}
#  - {name: t2105, nodePort: 2105, port: 2105, protocol: TCP, targetPort: t2105}
#  - {name: t2106, nodePort: 2106, port: 2106, protocol: TCP, targetPort: t2106}
#  - {name: t2107, nodePort: 2107, port: 2107, protocol: TCP, targetPort: t2107}
#  - {name: t2108, nodePort: 2108, port: 2108, protocol: TCP, targetPort: t2108}
#  - {name: t2109, nodePort: 2109, port: 2109, protocol: TCP, targetPort: t2109}
#  - {name: t2110, nodePort: 2110, port: 2110, protocol: TCP, targetPort: t2110}
#  #- {name: t20, port: 20, protocol: TCP, targetPort: t20}
#  #- {name: t21, port: 21, protocol: TCP, targetPort: t21}
#  selector: {name: jettopro-vsftpd}
#  type: NodePort
#  #type: ClusterIP
#
#---

apiVersion: v1
kind: Service
metadata:
  name: jettopro-vsftpd
  labels: {name: jettopro-vsftpd}
  namespace: jettopro-poc
spec:
  type: ClusterIP
  clusterIP: None
  selector: {name: jettopro-vsftpd}
---
apiVersion: apps/v1
kind: Deployment
metadata:
  labels: {name: jettopro-vsftpd}
  name: jettopro-vsftpd
  namespace: jettopro-poc
spec:
  replicas: 1
  selector:
    matchLabels: {name: jettopro-vsftpd}
  template:
    metadata:
      labels: {name: jettopro-vsftpd}
      name: jettopro-vsftpd
    spec:
    #  affinity:
    #    nodeAffinity:
    #      requiredDuringSchedulingIgnoredDuringExecution:
    #        nodeSelectorTerms:
    #        - matchExpressions:
    #          - key: kubernetes.io/hostname
    #            operator: In
    #            values:
    #            - 172.16.10.4
      #initContainers:
      hostNetwork: true
      dnsPolicy: ClusterFirstWithHostNet
      containers:
      - name: jettopro-vsftpd
        image: harbor.jettech.com/jettechtools/vsftpd:3.0
        env:
        - name: FTP_USER
          value: "jettomanager"
        - name: FTP_PASS
          value: "123456aA"
        - name: PASV_MIN_PORT
          value: "21100"
        - name: PASV_MAX_PORT
          value: "21110"
        # - name: PASV_ADDRESS
        #   value: 172.16.10.4
        - name: PASV_ENABLE
          value: "yes"
        - name: PASV_ADDRESS
          valueFrom:
            fieldRef:
              fieldPath: status.hostIP
        securityContext:
          privileged: true
        #ports:
        #- {containerPort: 20, name: t20, protocol: TCP}
        #- {containerPort: 21, name: t21, protocol: TCP}
        #- {containerPort: 2100, name: t2100, protocol: TCP}
        #- {containerPort: 2101, name: t2101, protocol: TCP}
        #- {containerPort: 2102, name: t2102, protocol: TCP}
        #- {containerPort: 2103, name: t2103, protocol: TCP}
        #- {containerPort: 2104, name: t2104, protocol: TCP}
        #- {containerPort: 2105, name: t2105, protocol: TCP}
        #- {containerPort: 2106, name: t2106, protocol: TCP}
        #- {containerPort: 2107, name: t2107, protocol: TCP}
        #- {containerPort: 2108, name: t2108, protocol: TCP}
        #- {containerPort: 2109, name: t2109, protocol: TCP}
        #- {containerPort: 2110, name: t2110, protocol: TCP}
        volumeMounts:
        - name: jettopro-vsftpd-dev-data
          #mountPath: /home/vsftpd/jettomanager
          mountPath: /home/vsftpd
        - name: host-time
          mountPath: /etc/localtime
        imagePullPolicy: Always #[Always | Never | IfNotPresent]
      hostNetwork: true
      restartPolicy: Always #Never
      volumes:
      - name: jettopro-vsftpd-dev-data
        #hostPath:
        #  path: /opt/jettech/work/nfs/data/jettech/jettomanager/component/vsftpd/data
        nfs:
          server: 192.168.99.42
          path: /data/jettechproduct/jettopro/poc/tools/vsftpd/data
      - name: host-time
        hostPath:
          path: /etc/localtime
          type: DirectoryOrCreate

整体配置介绍:

进入vsftpd配置文件
vim /etc/vsftpd/vsftpd.conf              

//输入i开始编辑,修改后按esc退出编辑,输入:wq后回车保存并退出

anonymous_enable=YES                            #接受匿名用户,默认无密码请求
local_enable=YES                               #接受本地用户登录
write_enable=YES                               #上传开启
local_umask=022                                #本地用户新增档案权限755[111 101 101]
anon_upload_enable=YES                         #匿名用户上传文件
anon_mkdir_write_enable=YES                    #匿名用户创建目录、上传文件
dirmessage_enable=YES                          #允许为目录配置显示信息
#xferlog_enable=YES                            #开启日志
connect_from_port_20=YES                       #允许从20端口打开ftp连接
max_clients=20000                              #最大连接客户端
max_per_ip=1000                                #每个ip最大连接数
#chown_uploads=YES                             #所有匿名上传的文件的所属用户将会被更改成chown_username
#chown_username=whoever                        #匿名上传文件所属用户名
#xferlog_file=/var/log/vsftpd                  #日志文件位置
xferlog_std_format=NO                          #标准输出格式
#idle_session_timeout=600                      #空闲多久爆连接超时 
#data_connection_timeout=120                   #数据传输超时
ascii_upload_enable=YES                        #可以ascii协议上传文件
ascii_download_enable=YES                      #可以ascii协议下载文件
ftpd_banner=Welcome to yiwu FTP service.       #banner欢迎语,设置了banner_file则此设置无效
chroot_local_user=No                           #是否将所有用户限制在主目录,ftp用户是可以向上切换到要目录之外的
chroot_list_enable=YES                         #是否启动限制用户的名单
chroot_list_file=/etc/vsftpd/chroot_list       #名单位置https://blog.csdn.net/bluishglc/article/details/42398811
listen=YES                                     #以standalone模式在ipv4上运行
listen_ipv6=NO                                 #关闭ipv6
pam_service_name=vsftpd                        #定义PAM 所使用的名称,预设为vsftpd[/etc/pam.d/vsftpd]
userlist_enable=YES                            #拒绝用户
virtual_use_local_privs=YES                    #虚拟用户和本地用户有相同的权限;NO时,虚拟用户和匿名用户有相同的权限,默认是NO。
https://blog.csdn.net/bluishglc/article/details/42273197
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list_only
tcp_wrappers=YES                               #主机访问权限控制
anon_other_write_enable=YES                    #让匿名用户可以删除目录和文件,配置里没有,需手动输入
anon_umask=022								   #让匿名用户可以下载自己上传的文件,配置里没有,

添加用户,允许用户权限

vi /etc/vsftpd/chroot_list   允许用户权限的用户,一个用户一行

======================================================

vsftp用户有三个:匿名用户,本地用户【操作系统】,虚拟用户【非操作系统】

(1)匿名用户:匿名用户在登录FTP服务器时并不需要特别的密码就能访问服务器。一般匿名用户的用户名为ftp或者anonymous。

(2)本地用户(系统用户):是指FTP服务器所安装的操作系统当中实际存在的用户,其用户名、密码等信息保存在passwd、shadow文件中,以/etc/passwd中的用户名为认证方式,并具有本地登录权限,登录成功之后进入的为本地用户的家目录。

(3)虚拟用户:使用独立的帐号/密码数据文件。支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说,虚拟用户只是FTP服务器的专有用户,其用户名和口令都是由用户口令库指定,一般采用PAM进行认证。虚拟用户只能访问FTP服务器所提供的资源,这大大增强系统本身的安全性。相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中的文件,增加了对用户和下载的可管理性。对于需要提供下载服务,但又不希望所有人都可以匿名下载;既需要对下载用户进行管理,又考虑到主机安全和管理方便的FTP站点来说,虚拟用户是一种极好的解决方案。

不管是匿名,本地用户和虚拟用户有个全局参数:

常用的全局配置项:
listen=YES:是否以独立运行的方式监听服务。
listen_address=192.168.147.131 :设置监听的IP地址
sten_port=21:设置监听 FTP 服务的端口号
listen_ipv6=NO
write_enable=YES:是否启用写入权限
download_enable=NO:是否允许下载文件(默认是 yes)
userlist_enable=YES:是否启用 user_list 列表文件
userlist_deny=YES:是否禁用 user_list 中的用户(NO 代表拒绝)
userlist_file=/etc/vsftpd/user_list 限制的用户文件
allow_writeable_chroot=YES:允许写入用户主目录

三个案例:

第一种:匿名用户:

vsftpd服务程序默认开启了匿名开放模式,需要开启匿名用户的上传、下载权限,以及让匿名用户创建、删除、更名文件的权限。真实环境不建议这样配置。FTP服务器匿名用户对应的系统用户是ftp。

配置文件:

write_enable=YES  #重要:这个才可以创建删除等相关操作,上传开启
dirmessage_enable=YES #允许为目录配置显示信息
anonymous_enable=YES #允许匿名访问 
anon_upload_enable=YES #允许匿名用户上传文件 
anon_mkdir_write_enable=YES #允许匿名用户创建目录 
anon_other_write_enable=YES #允许匿名用户修改或删除目录 
anon_umask=022 #设置匿名用户上传数据的权限掩码
anon_root=/var/ftp  #匿名用户登录的位置   chmod -R 777 /var/ftp/pub
no_anon_password=YES   #匿名用户登录不需要密码
ftp_username=ftp   #匿名用户,本地用户,虚拟用户登录时候的用:定义匿名登录使用者名称,默认是ftp

1.在客户端执行ftp命令连接到ftp服务器,默认访问FTP根目录/var/ftp。基于安全性考虑,FTP根目录的权限不允许匿名用户或其他用户有写入权限(否则访问时会报500错误)

  1. ftp目录的权限设置

默认情况下,ftp的根目录为/var/ftp,为了安全,这个目录默认不允许设置为777权限,否则ftp将无法访问。但是我们要匿名上传文件,需要"other"用户的写权限,正确的做法:

在/var/ftp中建立一个pub(名子自己起吧)文件夹,将个文件夹权限设置为777(视具体需要自己设),在pub这个文件夹中,匿名用户可以上传文件、创建文件夹、删除文件等。 chmod -R 777 /var/ftp/pub

第二种:本地用户

1.添加用户:

第一次创建一个本地可登录的用户
[root@localhost jettopro]# useradd -m jettopro

第二次创建一个nologin用户,即此用户不可登录系统,但仍可以登录FTP
[root@localhost jettopro]# useradd ftpuser -s /sbin/nologin

[root@localhost jettopro]# passwd jettopro
[root@localhost jettopro]# passwd ftpuser

注意:加完用户后要为用户设置密码否则无法登录FTP
  1. 配置文件:

    anonymous_enable=NO
    write_enable=YES
    local_enable=YES
    local_umask=022
    pam_service_name=vsftpd

在客户端执行ftp命令连接到ftp服务器,默认访问的是该用户的家目录,而且该目录的默认所有者、所属组都是该用户自己

[root@localhost jettopro]# ls -al /home/
total 8
drwxr-xr-x.  6 root     root       62 Sep 15 16:34 .
dr-xr-xr-x. 22 root     root     4096 Jun  8 23:23 ..
drwxr-xr-x   3 admin    admin      54 Sep  6 21:52 admin
drwx------   2 ftpuser  ftpuser    62 Sep 15 16:34 ftpuser
drwx------   3 jettopro jettopro   73 Sep 15 17:18 jettopro
drwxr-xr-x  78 root     root     4096 Aug  9 18:07 repo

[root@k8s-worker27-65 bin]# ftp 172.16.10.4
Connected to 172.16.10.4 (172.16.10.4).
220 (vsFTPd 3.0.2)
Name (172.16.10.4:root): jettopro
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/home/jettopro"

需要注意的是7版本需要在配置文件添加"allow_writeable_chroot=YES"参数才允许本地用户登录。 //允许对禁锢的FTP根目录执行写入操作,而且不拒绝用户的登录请求

2.1)1禁锢宿主目录,若还希望将所有的宿主目录禁锢在其宿主目录中,可以添加chroot_local_user配置项,否则用户将能够任意切换到服务器的/var/、/etc/、/boot/等宿主目录以外的文件夹,这样一来便存在安全隐患。

ftp> cd /
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (172,16,10,4,178,101).
150 Here comes the directory listing.
drwxr-xr-x    3 0        0              25 Jul 30  2020 Users
lrwxrwxrwx    1 0        0               7 Apr 19  2019 bin -> usr/bin
dr-xr-xr-x    5 0        0            4096 Oct 08  2020 boot
drwxr-xr-x   19 0        0            3260 Jul 30 09:00 dev
drwxr-xr-x  110 0        0            8192 Sep 15 08:43 etc
-r--r--r--    1 0        0               0 Sep 28  2022 grub.conf
drwxr-xr-x    6 0        0              62 Sep 15 08:34 home
drwxr-xr-x    3 0        0              17 May 21  2021 jre
lrwxrwxrwx    1 0        0               7 Apr 19  2019 lib -> usr/lib
lrwxrwxrwx    1 0        0               9 Apr 19  2019 lib64 -> usr/lib64
drwxr-xr-x    2 0        0               6 Apr 11  2018 media
drwxr-xr-x    2 0        0               6 Dec 21  2021 mnt
drwxr-xr-x    4 0        0              37 Aug 07 03:03 opssino
drwxr-xr-x   16 0        0             232 Sep 15 08:13 opt
dr-xr-xr-x  268 0        0               0 Jul 30 17:00 proc
drwxr-xr-x    3 0        0              18 Oct 08  2021 project
drwxrwxrwx   39 0        0            4096 Sep 15 09:40 root
drwxr-xr-x   36 0        0            1100 Sep 06 13:52 run
lrwxrwxrwx    1 0        0               8 Apr 19  2019 sbin -> usr/sbin

chroot_local_user=YES //禁锢宿主目录,意思就是固定到某个目录,默认是登录用的的宿主目录,也可以通过#local_root=/opt/wubo/ftp指定目录

anonymous_enable=NO
write_enable=YES
local_enable=YES
pam_service_name=vsftpd
chroot_local_user=YES
allow_writeable_chroot=YES

效果:

[root@k8s-worker27-65 bin]# ftp 172.16.10.4
Connected to 172.16.10.4 (172.16.10.4).
220 (vsFTPd 3.0.2)
Name (172.16.10.4:root): jettopro
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd /
250 Directory successfully changed.
ftp> kls
?Invalid command
ftp> ls
227 Entering Passive Mode (172,16,10,4,228,183).
150 Here comes the directory listing.
drwxr-xr-x    2 1002     1002            6 Sep 15 09:18 aaa
226 Directory send OK.
ftp> pwd
257 "/"

2.2)userlist_enable和chroot_list_enable配置

2.2.1)userlist_enable:让指定的账户能登陆ftp,其它本地账户不允许登陆ftp。

2.2.2)chroot_list_enable:只想让指定的账户不限制在其主目录,其它账户都限制在其主目录。

需求""

1)只想让指定的账户能登陆ftp,其它本地账户不允许登陆ftp。

2)只想让指定的账户不限制在其主目录,其它账户都限制在其主目录。

1)为验证效果我们建两个用户TOM和JIM,并且只把TOM添加到user_list列表里面,并且设置anonymous_enable=NO 拒绝匿名登录。配合使用userlist_enable 和userlist_deny ,每次更改完配置文件后都要重启服务 /etc/init.d/vsftpd restart。现在我们来进行访问测试。

1.1).userlist_enable=YES,userlist_deny=YES

复制代码
  窗口(有登录框,TOM不允许登录,JIM允许登录)
  命令(tom输入用户名后被拒绝,jim允许登录)

1.2).userlist_enable=NO,userlist_deny=NO

复制代码
  窗口(TOM和JIM都允许登录)
  命令(TOM和JIM都允许登录)

1.3).userlist_enable=YES, userlist_deny=NO

复制代码
  窗口(无登录框,直接拒绝)
  命令(tom允许登录,jim不允许登录)

1.4).userlist_enable=NO,userlist_deny=YES

复制代码
  窗口(TOM和JIM都允许登录)
  命令(TOM和JIM都允许登录)

根据以上测试,发现测试3符合我的要求。下面给出我的vsftpd的配置:

复制代码
userlist_enable=YES
userlist_deny=No
userlist_file=/etc/vsftpd/user_list_only

user_list_only的文件内容如下:

复制代码
# cat user_list_only 
hunk
hunkzhu

经测试,只有hunk和hunkzhu可以登录ftp,其它本地账户均拒绝(输入账户名直接拒绝)。以后新增ftp账户只需将该账户加入到/etc/vsftpd/user_list_only中,确保安全,满足个人需求

2)只想让指定的账户不限制在其主目录,其它账户都限制在其主目录。

三、只想让指定的账户不限制在其主目录,其它账户都限制在其主目录。

对于chroot_local_user与chroot_list_enable的组合效果,可以参考下表:

|------------------------|--------------------------------------------------------------|--------------------------------------------------------------|
| | chroot_local_user=YES | chroot_local_user=NO |
| chroot_list_enable=YES | 1.所有用户都被限制在其主目录下 2.使用chroot_list_file指定的用户列表,这些用户作为"例外",不受限制 | 1.所有用户都不被限制其主目录下 2.使用chroot_list_file指定的用户列表,这些用户作为"例外",受到限制 |
| chroot_list_enable=NO | 1.所有用户都被限制在其主目录下 2.不使用chroot_list_file指定的用户列表,没有任何"例外"用户 | 1.所有用户都不被限制其主目录下 2.不使用chroot_list_file指定的用户列表,没有任何"例外"用户 |

1)chroot_local_user=YES和chroot_list_enable=YES情况就是在chroot_list_file=/etc/vsftpd/chroot_list里面的人员是可以切换目录的

anonymous_enable=NO
write_enable=YES
local_enable=YES
pam_service_name=vsftpd
chroot_local_user=YES
allow_writeable_chroot=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

效果:

[root@k8s-worker27-65 bin]# ftp 172.16.10.4
Connected to 172.16.10.4 (172.16.10.4).
220 (vsFTPd 3.0.2)
Name (172.16.10.4:root): jettopro
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd /
250 Directory successfully changed.
ftp> ls
227 Entering Passive Mode (172,16,10,4,111,31).
150 Here comes the directory listing.
drwxr-xr-x    3 0        0              25 Jul 30  2020 Users
lrwxrwxrwx    1 0        0               7 Apr 19  2019 bin -> usr/bin
dr-xr-xr-x    5 0        0            4096 Oct 08  2020 boot
drwxr-xr-x   19 0        0            3260 Jul 30 09:00 dev
drwxr-xr-x  110 0        0            8192 Sep 15 08:43 etc
-r--r--r--    1 0        0               0 Sep 28  2022 grub.conf
drwxr-xr-x    6 0        0              62 Sep 15 08:34 home
drwxr-xr-x    3 0        0              17 May 21  2021 jre
lrwxrwxrwx    1 0        0               7 Apr 19  2019 lib -> usr/lib
lrwxrwxrwx    1 0        0               9 Apr 19  2019 lib64 -> usr/lib64
drwxr-xr-x    2 0        0               6 Apr 11  2018 media

2)chroot_local_user=YES和chroot_list_enable=NO情况就是在chroot_list_file=/etc/vsftpd/chroot_list里面的是否人员都不可以可以切换目录的

anonymous_enable=NO
write_enable=YES
local_enable=YES
pam_service_name=vsftpd
chroot_local_user=YES
allow_writeable_chroot=YES
chroot_list_enable=NO
chroot_list_file=/etc/vsftpd/chroot_list

[root@localhost jettopro]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=NO  #禁止匿名用户访问
write_enable=YES     #重要:这个才可以创建删除等相关操作,上传开启
dirmessage_enable=YES #是否激活目录欢迎信息功能
xferlog_enable=YES #开启日志
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
connect_from_port_20=YES  #允许从20端口打开ftp连接
local_enable=YES  #接受本地用户登录
#local_root=/opt/wubo/ftp
local_umask=022
#设置用户访问目录,默认只允许用户自己的 ftp 目录,需要同时设置 allow_writeable_chroot,允许受限用户的写权限,不然会报错
chroot_local_user=YES  #是否将所有用户限制在主目录,ftp用户是可以向上切换到要目录之外的
chroot_list_enable=YES #是否启动限制用户的名单
chroot_list_file=/etc/vsftpd/chroot_list
allow_writeable_chroot=YES #表示允许本地用户对FTP目录进行写操作
pam_service_name=vsftpd #指定PAM文件
listen=YES
listen_ipv6=NO

2.1 pam_service_name=vsftpd的pam模块

[root@k8s-worker26-66 vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
session    optional     pam_keyinit.so    force revoke
auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required     pam_shells.so
auth       include      password-auth
account    include      password-auth
session    required     pam_loginuid.so
session    include      password-auth

2.2 chroot_local_user=NO 且allow_writeable_chroot=NO 为NO的时候会报错:

这是因为jettopro打开了写权限

[root@localhost jettopro]# ls -al /home/
drwx------   3 jettopro jettopro   73 Sep 15 17:18 jettopro

解决办法有两个:

1)去掉写权限:

[root@localhost jettopro]# chmod u-w /home/jettopro
[root@localhost jettopro]# ls -al /home/
dr-x------   3 jettopro jettopro   73 Sep 15 17:18 jettopro

2) chroot_local_user=NO 且allow_writeable_chroot=NO 改为YES,恢复写权限

[root@localhost jettopro]# chmod u+w /home/jettopro
[root@localhost jettopro]# ls -al /home/
drwx------   3 jettopro jettopro   73 Sep 15 17:18 jettopro

chroot_local_user与chroot_list_enable详解

很多情况下,我们希望限制ftp用户只能在其主目录下(root dir)下活动,不允许他们跳出主目录之外浏览服务器上的其他目录,这时候我就需要使用到chroot_local_user,chroot_list_enable,chroot_list_file这三个选项了。以下是对三个配置项的解释: 本文原文出处: http://blog.csdn.net/bluishglc/article/details/42398811 严禁任何形式的转载,否则将委托CSDN官方维护权益!

  • chroot_local_user #是否将所有用户限制在主目录,YES为启用 NO禁用.(该项默认值是NO,即在安装vsftpd后不做配置的话,ftp用户是可以向上切换到要目录之外的)
  • chroot_list_enable #是否启动限制用户的名单 YES为启用 NO禁用(包括注释掉也为禁用)
  • chroot_list_file=/etc/vsftpd/chroot_list #是否限制在主目录下的用户名单,至于是限制名单还是排除名单,这取决于chroot_local_user的值,我们可以这样记忆: chroot_local_user总是一个全局性的设定,其为YES时,全部用户被锁定于主目录,其为NO时,全部用户不被锁定于主目录。那么我们势必需要在全局设定下能做出一些"微调",即,我们总是需要一种"例外机制",所以当chroot_list_enable=YES时,表示我们"需要例外"。而"例外"的含义总是有一个上下文的,即,当"全部用户被锁定于主目录"时(即chroot_local_user=YES),"例外"就是:不被锁定的用户是哪些;当"全部用户不被锁定于主目录"时(即chroot_local_user=NO),"例外""就是:要被锁定的用户是哪些。这样解释和记忆两者之间的关系就很清晰了!

对于chroot_local_user与chroot_list_enable的组合效果,可以参考下表:

让我们举个例子:

假设有ftp1, ftp2两个ftp用户, 计划让ftp1用户锁定在主目录下,不允许切换到其他目录, 但是允许ftp2用户自由切换目录,则可以分如下两种方式实现:

方式一:

令:

chroot_local_user=YES

chroot_list_enable=YES

/etc/vsftpd/chroot_list名单列表为:

ftp2

解释:chroot_local_user=YES将所有用户限定在主目录内,chroot_list_enable=YES表示要启用chroot_list_file, 因为chroot_local_user=YES,即全体用户都被"限定在主目录内",所以总是作为"例外列表"的chroot_list_file这时列出的是那些"不会被限制在主目录下"的用户。

方式二:

令:

chroot_local_user=NO

chroot_list_enable=YES

/etc/vsftpd/chroot_list名单列表为:

ftp1

解释:chroot_local_user=NO则所有用户不被限定在主目录内,chroot_list_enable=YES表示要启用chroot_list_file, 因为chroot_local_user=NO,即全体用户都"不被限定在主目录内",所以总是作为"例外列表"的chroot_list_file这时列出的是那些"会被限制在主目录下"的用户。

其他情况:

对于chroot_local_user和chroot_list_enable的组合还有这样两种情况:

chroot_local_user=YES

chroot_list_enable=NO

chroot_local_user=NO

chroot_list_enable=NO

当chroot_list_enable=NO时,就不再启用chroot_list_file,此时就是单纯的把全部用户限定或不限定在主目录下了!

补充:

  • 关于chroot_local_user的设置,通常我们倾向于:全局禁止跳出主目录,使用chroot_list添加例外!即:使用Case 1的设置!
  • 匿名用户默认的root是/var/ftp

错误前提

当vsftp主配文件中加入:

chroot_local_user=YES

重启服务后,FTP连接时报错:

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

错误原因:

从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。

解决办法:

方法一:

用命令chmod a-w /home/user(换成自已的目录名)去除用户主目录的写权限;

方法二:

在vsftp主配文件中加入下行:

allow_writeable_chroot=YES

第三中虚拟用户:guest_enable=YES

1.实验目标

实现在同一跟目录下对test1,test2,test3三个虚拟用户的不同权限的控制。具体权限控制列表如下:

以上三个虚拟用户均不允许登录系统,并且使用ftp时会被锁定在指定目录内不可进入系统其他目录。

2.配置vsftpd

#添加一个不能登录系统的用户,用来做虚拟用户映射

[root@localhost vsftpd]# useradd ftpuser -s /sbin/nologin
[root@localhost vsftpd]# passwd ftpuser

#创建虚拟用户列表,分别是test1、test2和test3
[root@localhost vsftpd]# cat /etc/vsftpd/jettech_user_list
test1
123456aA
test2
123456aA
test3
123456aA

#保存虚拟帐号和密码的文本文件无法被系统帐号直接调用,需要创建用于系统认证的db文件

[root@localhost vsftpd]# db_load -T -t hash -f /etc/vsftpd/jettech_user_list  /etc/vsftpd/jettech_user_list.db

#创建db文件需要db4支持,如果系统没安装请安装yum -y install db4 db4-devel db4-utils #修改db文件的权限,以免被非法用户修改 [root\@localhost vsftpd] chmod 600 /etc/vsftpd/jettech_user_list.db

3.配置PAM文件

由于服务器通过调用系统PAM模块来对客户端进行身份验证,因此需要修改指定的配置文件来调整认证方式。PAM模块的配置文件路径为:/etc/pam.d/,这个目录下存放只许多与用户认证有关的配置文件。

32位系统添加:

[root@localhost vsftpd]# cat /etc/pam.d/vsftpd 
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required	pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required	pam_shells.so
#auth       include	password-auth
#account    include	password-auth
#session    required     pam_loginuid.so
#session    include	password-auth
auth 	   required     /lib/security/pam_userdb.so   db=/etc/vsftpd/jettech_user_list
account    required     /lib/security/pam_userdb.so   db=/etc/vsftpd/jettech_user_list

64位系统添加:

[root@localhost vsftpd]# cat /etc/pam.d/vsftpd 
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required	pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required	pam_shells.so
#auth       include	password-auth
#account    include	password-auth
#session    required     pam_loginuid.so
#session    include	password-auth
auth 	   required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/jettech_user_list
account    required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/jettech_user_list

把原本的内容注释掉,用上面的两行代替,不然本地使用xftp无法连接,修改完后,vsftpd文件内容如下 [root\@localhost pam.d] cat vsftpd

创建虚拟用户配置文件

#创建conf文件夹[root\@localhost pam.d] cd /etc/vsftpd

[root\@localhost vsftpd] mkdir conf 
[root\@localhost vsftpd] cd conf 

创建test1用户的配置文件
[root@localhost conf] cat >>test1<< EOF

> anon_world_readable_only=NO
> write_enable=YES
> anon_mkdir_write_enable=YES
> anon_other_write_enable=YES
> anon_upload_enable=YES
> local_root=/home/CodeTiger
> EOF
#创建test2用户的配置文件
[root@localhost conf] cat >>test2<< EOF
> write_enable=NO
> anon_upload_enable=YES
> anon_mkdir_write_enable=YES
> anon_world_readable_only=NO
> download_enable=NO
> local_root=/home/CodeTiger
> EOF
#创建test3用户的配置文件
[root@localhost conf] cat >>test3<< EOF
> anon_world_readable_only=NO
> local_root=/home/CodeTiger
> EOF


[root@localhost vsftpd]# cat conf/test1
anon_world_readable_only=NO
write_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_upload_enable=YES
local_root=/home/ftpuser
[root@localhost vsftpd]# cat conf/test2
anon_world_readable_only=NO
write_enable=NO
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
anon_upload_enable=YES
local_root=/home/ftpuser
[root@localhost vsftpd]# cat conf/test3
anon_world_readable_only=NO
local_root=/home/ftpuser

修改vsftpd.conf文件

首先备份默认的配置文件,然后把配置文件里面的内容全部删了,换成下面的内容
[root@localhost vsftpd]# cat vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
listen=YES
pam_service_name=vsftpd
guest_enable=YES
guest_username=ftpuser  #指定虚拟用户的宿主用户
#user_config_dir=/etc/vsftpd/conf  #指定虚拟用户配置文件
pasv_min_port=10021
pasv_max_port=10121
virtual_use_local_privs=YES #虚拟用户和本地用户有相同的权限;NO时,虚拟用户和匿名用户有相同的权限,默认是NO。

1)当virtual_use_local_privs=YES,write_enable=YES时,虚拟用户具有写权限(上传、下载、删除、重命名)。

2)当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YES,

anon_upload_enable=YES时,虚拟用户不能浏览目录,只能上传文件,无其他权限。

3)当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,

anon_upload_enable=NO时,虚拟用户只能下载文件,无其他权限。

4)当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,

anon_upload_enable=YES时,虚拟用户只能上传和下载文件,无其他权限。

5)当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,

anon_mkdir_write_enable=YES时,虚拟用户只能下载文件和创建文件夹,无其他权限。

6)当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,

anon_other_write_enable=YES时,虚拟用户只能下载、删除和重命名文件,无其他权限。

复制代码

到此,就大功告成。

三、测试

首先创建目录/home/ftpuser,之后使用本地的xftp连接,不过得关闭被动模式

经测试,连接成功,各个用户的权限正常

虚拟用户配置文件的local_root属性即可。

四、遇到的问题

1.xftp提示用户认证失败

是因为修改pam.d/vsftpd的时候,没有把其他的内容注释掉导致的。

2.xftp能连接,但没有目录显示

==============================================

第四 vsftp的主动模式和被动模式

一、vsftpd配置被动模式

pasv_enable=YES #被动模式

pasv_min_port=10071 #pasv连接模式时的最小端口

pasv_max_port=10099 #pasv连接模式时的最大端口

二、vsftpd配置主动模式

pasv_enable=NO

port_enable=YES

当pasv_enable和port_enable同时为YES时,同时支持主、被动模式

三、主动模式与被动模式区别

1、PORT(主动)

所谓主动模式:指的是FTP服务器"主动"去连接客户端的数据端口来传输数据,其过程具体来说就是:客户端通过访问服务端的21端口,然后客户端分配一个端口供ftp服务端获取数据,然后服务端通过20端口主动到客户端指定端口获取数据,20为服务器的出向端口

此模式,防火墙只需要开放21端口的对外访问策略

2、PASV(被动)模式

所谓被动模式,指的是FTP服务器"被动"等待客户端来连接自己的数据端口,其过程具体是:客户端通过访问服务端的21端口,然后客户端提交PASV命令,让服务端分配一个用于传输数据的端口,此端口范围为vsftpd.conf配置的pasv_min_port-pasv_max_port,然后客户端通过分配的端口上传数据。(注意此模式下的FTP服务器不需要开启tcp 20端口)

此模式,防火墙需要开放21端口的对外访问策略和pasv_min_port - pasv_max_port端口范围内的访问策略

四、linux ftp客户端默认使用被动模式

ftp客户端,默认使用被动模式连接服务端,若服务端设置的为主动模式上传数据,则需要在ftp客户端命令行切换,切换的方式为执行以下命令:

passive

使用被动模式的客户端访问主动模式的服务端时,上传会报没有权限

五、使用java代码访问ftp服务端

当使用java代码ftp工具访问ftp服务时,若已经服务端是使用的被动模式,则需要在连接时,调用以下命令,告之服务端分配数据上传端口

ftp.enterLocalPassiveMode();  // 使用被动模式时,需要通知服务端分配一个上传端口   

==============================================================

配置模式容器自带的配置可供参考:

1.主配置:cat vsftpd.conf |grep -v "#" |grep -v "^$"

[root@k8s-worker26-66 vsftpd]# cat vsftpd.conf  |grep -v "#" |grep -v "^$"
background=NO
anonymous_enable=NO
local_enable=YES
guest_enable=YES
virtual_use_local_privs=YES
write_enable=YES
pam_service_name=vsftpd_virtual
user_sub_token=$USER
local_root=/home/vsftpd/$USER
chroot_local_user=YES
allow_writeable_chroot=YES
hide_ids=YES
xferlog_enable=YES
xferlog_file=/var/log/vsftpd/vsftpd.log
port_enable=YES
connect_from_port_20=YES
ftp_data_port=20
seccomp_sandbox=NO
pasv_address=192.168.1.66
pasv_max_port=21110
pasv_min_port=21100
pasv_addr_resolve=NO
pasv_enable=yes
file_open_mode=0666
local_umask=077
xferlog_std_format=NO
reverse_lookup_enable=YES
pasv_promiscuous=NO
port_promiscuous=NO
  1. 虚拟用户的用户名和密码

    [root@k8s-worker26-66 vsftpd]# cat virtual_users.txt
    jettomanager
    123456aA

  2. pam模块

    [root@k8s-worker26-66 vsftpd]# cat /etc/pam.d/vsftpd
    #%PAM-1.0
    session optional pam_keyinit.so force revoke
    auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
    auth required pam_shells.so
    auth include password-auth
    account include password-auth
    session required pam_loginuid.so
    session include password-auth
    [root@k8s-worker26-66 vsftpd]# cat /etc/pam.d/vsftpd_virtual
    #%PAM-1.0
    auth required pam_userdb.so db=/etc/vsftpd/virtual_users
    account required pam_userdb.so db=/etc/vsftpd/virtual_users
    session required pam_loginuid.so

======================================================

vsftpd.conf配置详解:

1.默认配置:

1>允许匿名⽤户和本地⽤户登陆。

anonymous_enable=YES

local_enable=YES

2> 匿名用户登录名我ftp或anonymous,口令为空;匿名用户不能离开匿名用户目录/var/ftp,且只能下载不能上传。

3>本地⽤户的登录名为本地⽤户名,⼝令为此本地⽤户的⼝令;本地⽤户可以在⾃ ⼰家⽬录中进⾏读写操作;本地⽤户可以离开⾃家⽬录切换⾄有权限访问的其他⽬录,并在权限允许的情况下进⾏上传/下载。 write_enable=YES

4>写在⽂件/etc/vsftpd.ftpusers中的本地⽤户禁⽌登陆。

2.配置⽂件格式: vsftpd.conf 的内容⾮常单纯,每⼀⾏即为⼀项设定。若是空⽩⾏或是开头为#的⼀⾏,将会被忽略。内容的格式只有⼀种,如下所⽰option=value,要注意的是,等号两边不能加空⽩。

3.匿名⽤户(anonymous)设置

anonymous_enable=YES/NO(YES)控制是否允许匿名⽤户登⼊,YES 为允许匿名登⼊,NO 为不允许。默认值为YES。

write_enable=YES/NO(YES)是否允许登陆⽤户有写权限。属于全局设置,默认值为YES。no_anon_password=YES/NO(NO)若是启动这项功能,则使⽤匿名登⼊时,不会询问密码。默认值为NO。

ftp_username=ftp定义匿名登⼊的使⽤者名称。默认值为ftp。

anon_root=/var/ftp使⽤匿名登⼊时,所登⼊的⽬录。默认值为/var/ftp。注意ftp⽬录不能是777的权限属性,即匿名⽤户的家⽬录不能有777的权限。

anon_upload_enable=YES/NO(NO)如果设为YES,则允许匿名登⼊者有上传⽂件(⾮⽬录)的权限,只有在write_enable=YES时,此项才有效。当然,匿名⽤户必须要有对上层⽬录的写⼊权。默认值为NO。

anon_world_readable_only=YES/NO(YES)如果设为YES,则允许匿名登⼊者下载可阅读的档案(可以下载到本机阅读,不能直接在FTP服务器中打开阅读)。默认值为YES。

anon_mkdir_write_enable=YES/NO(NO)如果设为YES,则允许匿名登⼊者有新增⽬录的权限,只有在write_enable=YES时,此项才有效。当然,匿名⽤户必须要有对上层⽬录的写⼊权。默认值为NO。

anon_other_write_enable=YES/NO(NO)如果设为YES,则允许匿名登⼊者更多于上传或者建⽴⽬录之外的权限,譬如删除或者重命名。(如果 anon_upload_enable=NO,则匿名⽤户不能上传⽂件,但可以删除或者重命名已经存在的⽂件;如果 anon_mkdir_write_enable=NO,则匿名⽤户不能上传或者新建⽂件夹,但可以删除或者重命名已经存在的⽂件夹。)默认值为NO。

chown_uploads=YES/NO(NO)设置是否改变匿名⽤户上传⽂件(⾮⽬录)的属主。默认值为NO。

chown_username=username设置匿名⽤户上传⽂件(⾮⽬录)的属主名。建议不要设置为root。

anon_umask=077设置匿名登⼊者新增或上传档案时的umask 值。默认值为077,则新建档案的对应权限为700。

deny_email_enable=YES/NO(NO)若是启动这项功能,则必须提供⼀个档案/etc/vsftpd/banner_emails,内容为email address。若是使⽤匿名登⼊,则会要求输⼊emailaddress,若输⼊的email address 在此档案内,则不允许进⼊。默认值为NO。

banned_email_file=/etc/vsftpd/banner_emails此⽂件⽤来输⼊email address,只有在deny_email_enable=YES时,才会使⽤到此档案。若是使⽤匿名登⼊,则会要求输⼊emailaddress,若输⼊的email address 在此档案内,则不允许进⼊。

4.本地⽤户设置

local_enable=YES/NO(YES) 控制是否允许本地⽤户登⼊,YES 为允许本地⽤户登⼊,NO为不允许。默认值为YES。

local_root=/home/username 当本地⽤户登⼊时,将被更换到定义的⽬录下。默认值为各⽤户的家⽬录。

write_enable=YES/NO(YES) 是否允许登陆⽤户有写权限。属于全局设置,默认值为YES。 local_umask=022 本地⽤户新增档案时的umask 值。默认值为077。

本地⽤户上传档案后的档案权限,与chmod 所使⽤的数值相同。默认值为0666

5.欢迎语设置

dirmessage_enable=YES/NO(YES) 如果启动这个选项,那么使⽤者第⼀次进⼊⼀个⽬录时,会检查该⽬录下是否有.message这个档案,如果有,则会出现此档案的内容,通 常这个档案会放置欢迎话语,或是对该⽬录的说明。默认值为开启。

message_file=.message 设置⽬录消息⽂件,可将要显⽰的信息写⼊该⽂件。默认值为.message。

banner_file=/etc/vsftpd/banner 当使⽤者登⼊时,会显⽰此设定所在的档案内容,通常为欢迎话语或是说明。默认值为⽆。如果欢迎信息较多,则使⽤该配置项。

ftpd_banner=Welcome to BOB's FTP server 这⾥⽤来定义欢迎话语的字符串,banner_file是档案的形式,⽽ftpd_banner 则是字符串的形式。预设为⽆。

6.控制⽤户是否允许切换到上级⽬录

在默认配置下,本地⽤户登⼊FTP后可以使⽤cd命令切换到其他⽬录,这样会对系统带来安全隐患。可以通过以下三条配置⽂件来控制⽤户 切换⽬录。

chroot_list_enable=YES/NO(NO) 设置是否启⽤chroot_list_file配置项指定的⽤户列表⽂件。默认值为NO。

chroot_list_file=/etc/vsftpd.chroot_list ⽤于指定⽤户列表⽂件,该⽂件⽤于控制哪些⽤户可以切换到⽤户家⽬录的上级⽬录。

chroot_local_user=YES/NO(NO) ⽤于指定⽤户列表⽂件中的⽤户是否允许切换到上级⽬录。默认值为NO。

通过搭配能实现以下⼏种效果:

①当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd.chroot_list⽂件中列出的⽤户,可以切换到其他⽬录;未在⽂件中 列出的⽤户,不能切换到其他⽬录。

②当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd.chroot_list⽂件中列出的⽤户,不能切换到其他⽬录;未在⽂件中列 出的⽤户,可以切换到其他⽬录。

③当chroot_list_enable=NO,chroot_local_user=YES时,所有的⽤户均不能切换到其他⽬录。

④当chroot_list_enable=NO,chroot_local_user=NO时,所有的⽤户均可以切换到其他⽬录。

7.数据传输模式设置 FTP在传输数据时,可以使⽤⼆进制⽅式,也可以使⽤ASCII模式来上传或下载数据。

ascii_upload_enable=YES/NO(NO) 设置是否启⽤ASCII 模式上传数据。默认值为NO。 ascii_download_enable=YES/NO(NO) 设置是否启⽤ASCII 模式下载数据。默认值为NO。

8.访问控制设置 两种控制⽅式:⼀种控制主机访问,另⼀种控制⽤户访问。

①控制主机访问:

tcp_wrappers=YES/NO(YES) 设置vsftpd是否与tcp wrapper相结合来进⾏主机的访问控制。默认值为YES。如果启⽤,则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置,来决定请求连接的主机,是否允许访问该FTP服务器。这两个⽂件可以起到简易的防⽕墙功能。 ⽐如:若要仅允许192.168.0.1---192.168.0.254的⽤户可以连接FTP服务器,则在/etc/hosts.allow⽂件中添加以下内容: vsftpd:192.168.0. :allow all:all :deny

②控制⽤户访问:

对于⽤户的访问控制可以通过/etc⽬录下的vsftpd.user_list和ftpusers⽂件来实现。 userlist_file=/etc/vsftpd.user_list 控制⽤户访问FTP的⽂件,⾥⾯写着⽤户名称。⼀个⽤户名称⼀⾏。

userlist_enable=YES/NO(NO) 是否启⽤vsftpd.user_list⽂件。 userlist_deny=YES/NO(YES) 决定vsftpd.user_list⽂件中的⽤户是否能够访问FTP服务器。若设置为YES,则vsftpd.user_list⽂件中的⽤户不允许访问FTP,若设置为 NO,则只有vsftpd.user_list⽂件中的⽤户才能访问FTP。

/etc/vsftpd/ftpusers⽂件专门⽤于定义不允许访问FTP服务器的⽤户列表(注意: 如果userlist_enable=YES,userlist_deny=NO,此时如果在 vsftpd.user_list和ftpusers中都有某个⽤户时,那么这个⽤户是不能够访问FTP的,即ftpusers的优先级要⾼)。默认情况下vsftpd.user_list 和ftpusers,这两个⽂件已经预设置了⼀些不允许访问FTP服务器的系统内部账户。如果系统没有这两个⽂件,那么新建这两个⽂件,将⽤ 户添加进去即可。

9.访问速率设置

anon_max_rate=0 设置匿名登⼊者使⽤的最⼤传输速度,单位为B/s,0 表⽰不限制速度。默认值为0。

local_max_rate=0 本地⽤户使⽤的最⼤传输速度,单位为B/s,0 表⽰不限制速度。预设值为0。

10.超时时间设置

accept_timeout=60 设置建⽴FTP连接的超时时间,单位为秒。默认值为60。

connect_timeout=60 PORT ⽅式下建⽴数据连接的超时时间,单位为秒。默认值为60。 data_connection_timeout=120 设置建⽴FTP数据连接的超时时间,单位为秒。默认值为120。 idle_session_timeout=300 设置多长时间不对FTP服务器进⾏任何操作,则断开该FTP连接,单位为秒。默认值为300 。

11.⽇志⽂件设置

xferlog_enable= YES/NO(YES) 是否启⽤上传/下载⽇志记录。如果启⽤,则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。

xferlog_file=/var/log/vsftpd.log 设置⽇志⽂件名和路径,默认值为/var/log/vsftpd.log。 xferlog_std_format=YES/NO(NO) 如果启⽤,则⽇志⽂件将会写成xferlog的标准格式,如同wu-ftpd ⼀般。默认值为关闭。

log_ftp_protocol=YES|NO(NO) 如果启⽤此选项,所有的FTP请求和响应都会被记录到⽇志中,默认⽇志⽂件在/var/log/vsftpd.log。启⽤此选项时,xferlog_std_format不能 被激活。这个选项有助于调试。默认值为NO。

12.定义⽤户配置⽂件

在vsftpd中,可以通过定义⽤户配置⽂件来实现不同的⽤户使⽤不同的配置。 user_config_dir=/etc/vsftpd/userconf

设置⽤户配置⽂件所在的⽬录。当设置了该配置项后,⽤户登陆服务器后,系统就会到/etc/vsftpd/userconf⽬录下,读取与当前⽤户名相同 的⽂件,并根据⽂件中的配置命令,对当前⽤户进⾏更进⼀步的配置。 例如:定义user_config_dir=/etc/vsftpd/userconf,且主机上有使⽤者 test1,test2,那么我们就在user_config_dir 的⽬录新增⽂件名为test1和 test2两个⽂件。若是test1 登⼊,则会读取user_config_dir 下的test1 这个档案内的设定。默认值为⽆。利⽤⽤户配置⽂件,可以实现对不同 ⽤户进⾏访问速度的控制,在各⽤户配置⽂件中定义local_max_rate=XX,即可。

13.FTP的⼯作⽅式与端⼝设置 FTP有两种⼯作⽅式:

PORT FTP(主动模式)和PASV FTP(被动模式)

listen_port=21 设置FTP服务器建⽴连接所监听的端⼝,默认值为21。 connect_from_port_20=YES/NO 指定FTP使⽤20端⼝进⾏数据传输,默认值为YES。 ftp_data_port=20 设置在PORT⽅式下,FTP数据连接使⽤的端⼝,默认值为20。 pasv_enable=YES/NO(YES) 若设置为YES,则使⽤PASV⼯作模式;若设置为NO,则使⽤PORT模式。默认值为YES,即使⽤PASV⼯作模式。

pasv_max_port=0 在PASV⼯作模式下,数据连接可以使⽤的端⼝范围的最⼤端⼝,0 表⽰任意端⼝。默认值为0。

pasv_min_port=0 在PASV⼯作模式下,数据连接可以使⽤的端⼝范围的最⼩端⼝,0 表⽰任意端⼝。默认值为0。

14.与连接相关的设置

listen=YES/NO(YES)

设置vsftpd服务器是否以standalone模式运⾏。以standalone模式运⾏是⼀种较好的⽅式,此时listen必须设置为YES,此为默认值。建议不 要更改,有很多与服务器运⾏相关的配置命令,需要在此模式下才有效。若设置为NO,则 vsftpd不是以独⽴的服务运⾏,要受到xinetd服务 的管控,功能上会受到限制。

max_clients=0 设置vsftpd允许的最⼤连接数,默认值为0,表⽰不受限制。若设置为100时,则同时允许有100个连接,超出的将被拒绝。只有在 standalone模式运⾏才有效。

max_per_ip=0 设置每个IP允许与FTP服务器同时建⽴连接的数⽬。默认值为0,表⽰不受限制。只有在standalone模式运⾏才有效。

listen_address=IP地址 设置FTP服务器在指定的IP地址上侦听⽤户的FTP请求。若不设置,则对服务器绑定的所有IP地址进⾏侦听。只有在standalone模式运⾏才 有效。

setproctitle_enable=YES/NO(NO) 设置每个与FTP服务器的连接,是否以不同的进程表现出来。默认值为NO,此时使⽤ps aux |grep ftp只会有⼀个vsftpd的进程。若设置为 YES,则每个连接都会有⼀个vsftpd的进程。

15.虚拟⽤户设置 虚拟⽤户使⽤PAM认证⽅式。

pam_service_name=vsftpd 设置PAM使⽤的名称,默认值为/etc/pam.d/vsftpd。

guest_enable= YES/NO(NO) 启⽤虚拟⽤户。默认值为NO。

guest_username=ftp 这⾥⽤来映射虚拟⽤户。默认值为ftp。

virtual_use_local_privs=YES/NO(NO) 当该参数激活(YES)时,虚拟⽤户使⽤与本地⽤户相同的权限。当此参数关闭(NO)时,虚拟⽤户使⽤与匿名⽤户相同的权限。默认情 况下此参数是关闭的(NO)。

16.其他设置

text_userdb_names= YES/NO(NO) 设置在执⾏ls --la之类的命令时,是显⽰UID、GID还是显⽰出具体的⽤户名和组名。默认值为NO,即以UID和GID⽅式显⽰。若希望显⽰⽤ 户名和组名,则设置为YES。

ls_recurse_enable=YES/NO(NO) 若是启⽤此功能,则允许登⼊者使⽤ls --R(可以查看当前⽬录下⼦⽬录中的⽂件)这个指令。默认值为NO。

hide_ids=YES/NO(NO) 如果启⽤此功能,所有档案的拥有者与群组都为ftp,也就是使⽤者登⼊使⽤ls -al之类的指令,所看到的档案拥有者跟群组均为ftp。默认值为 关闭。 download_enable=YES/NO(YES) 如果设置为NO,所有的⽂件都不能下载到本地,⽂件夹不受影响。默认值为YES。

相关推荐
@泽栖7 分钟前
阿里云-将旧服务器数据与配置完全迁移至新服务器
服务器·阿里云
ZHOUPUYU20 分钟前
Centos常用命令,按功能分类,用户和权限管理等
linux·运维·centos
vvw&39 分钟前
如何在 Ubuntu 22.04 上安装 phpMyAdmin
linux·运维·服务器·mysql·ubuntu·php·phpmyadmin
手心里的白日梦1 小时前
TCP协议
服务器·网络·tcp/ip
灰勒塔德2 小时前
Linux文件IO
linux·运维·服务器
dntktop2 小时前
解锁自动化新高度,zTasker v2.0全方位提升效率
运维·windows
我曾经是个程序员2 小时前
C#Directory类文件夹基本操作大全
服务器·开发语言·c#
花姐夫Jun3 小时前
在 CentOS 8 系统上安装 Jenkins 的全过程
linux·centos·jenkins
运维&陈同学3 小时前
【Beats01】企业级日志分析系统ELK之Metricbeat与Heartbeat 监控
运维·elk·elasticsearch·云原生·kibana·heartbeat·metricbeat
地球资源数据云3 小时前
全国30米分辨率逐年植被覆盖度(FVC)数据集
大数据·运维·服务器·数据库·均值算法