openEuler 搭建 vsftpd 服务器(FTP Over SSL、虚拟用户)

learndiary2024-09-09 16:29

(首发地址:学习日记 https://www.learndiary.com/2024/09/openeuler-install-vsftpd/

本文简述如何在 openEuler 24.03 LTS 国产服务器操作系统上搭建 vsftpd 3.0.5 服务器,安全起见,设置了 FTP Over SSL 和虚拟用户。

其中,虚拟用户的方案主要基于 vsftpd 3.0.5 源码的 VIRTUAL_USERS 和 VIRTUAL_USERS_2 示例修改。另外,因为本文使用的系统和软件版本较新,相比一些老旧的系统如 CentOS 7,其中可能需要作出一些修改,我也会特别的指出。视频演示:【Linux 搭建 sftp 服务器详解】 https://www.bilibili.com/video/BV1uGpvewERK/

openEuler 搭建 vsftpd 服务器(FTP Over SSL、虚拟用户)

一、安装

复制代码 
sudo yum install vsftpd vsftpd-help
sudo systemctl enable vsftpd
sudo systemctl start vsftpd

二、创建虚拟用户

复制代码 
# 示例中使用 db_load,这里要用 gdbmtool 设置虚拟用户账户
# 参考链接:openEuler部署vsftpd的异常问题
# https://cloud.tencent.com/developer/article/2347573
sudo gdbmtool /etc/vsftpd/login.pag store ftp1 123456
sudo gdbmtool /etc/vsftpd/login.pag store ftp2 123456
sudo gdbmtool /etc/vsftpd/login.pag store ftp3 123456
# sudo gdbmtool /etc/vsftpd/login.pag delete ftp1
sudo gdbmtool /etc/vsftpd/login.pag list
sudo chmod 600 /etc/vsftpd/login.pag -v

三、创建使用虚拟用户数据库的 PAM 文件

复制代码 
sudo nano /etc/pam.d/vsftpd.virtual
# 内容如下:
#%PAM-1.0
auth       required     pam_userdb.so db=/etc/vsftpd/login
account    required     pam_userdb.so db=/etc/vsftpd/login
session    required     pam_loginuid.so

四、设置映射虚拟用户的实体用户及 ftp 文件目录

复制代码 
sudo useradd -d /home/ftpsite virtual
# 默认 ftp chroot 根目录不能可写
sudo chmod a-w /home/ftpsite -v
ls -ld /home/ftpsite
sudo mkdir /home/ftpsite/files -v
sudo chown virtual:virtual /home/ftpsite -Rv

五、创建 ssl 证书和密钥

复制代码 
# 参考链接 Configure Vsftpd With SSL/TLS On CentOS 7
# https://www.osradar.com/configure-vsftpd-with-ssl-tls-on-centos-7/
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem

六、设置防火墙

复制代码 
sudo firewall-cmd --permanent --add-port={10021,30000-30999}/tcp
sudo firewall-cmd --reload
sudo firewall-cmd --zone=public --list-all

七、创建 vsftpd.conf 主配置文件

复制代码 
sudo mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig -v
sudo nano /etc/vsftpd/vsftpd.conf
# 内容如下:
anonymous_enable=NO
# 本地或虚拟用户需要
local_enable=YES
# 是否可以写的总开头
write_enable=NO
# 是否可以上传
anon_upload_enable=NO
# 是否可以新建目录
anon_mkdir_write_enable=NO
# 是否可以修改删除原有文件
anon_other_write_enable=NO
chroot_local_user=YES

guest_enable=YES
guest_username=virtual

listen=YES
listen_port=10021

ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

# 设置 SSL 加密算法,否则报错:"500 OOPS: SSL: could not set cipher list"(openEuler 24.03 LTS 需要)
# 参考链接 How do I configure vsftpd and openssl to avoid TLS unsupported protocol error with Sony Camera
# https://stackoverflow.com/questions/65316357/how-do-i-configure-vsftpd-and-openssl-to-avoid-tls-unsupported-protocol-error-wi
ssl_ciphers=HIGH:AES256-SHA:!aNULL

rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem

pasv_min_port=30000
pasv_max_port=30999

# 账户登录 PAM 配置文件(openEuler 24.03 LTS 需要 gdbmtool 设置虚拟用户账户)
pam_service_name=vsftpd.virtual
# 用户级自定义配置文件夹
user_config_dir=/etc/vsftpd/vsftpd_user_conf

# 允许在 chroot 的根目录下可写,或者去掉 chroot 根目录的所有可写权限。否则不能登录。安全原因默认为 NO
# allow_writeable_chroot=YES

八、分别设置各虚拟用户的权限

复制代码 
sudo mkdir /etc/vsftpd/vsftpd_user_conf -v
# 用户 ftp1(仅下载)
sudo nano /etc/vsftpd/vsftpd_user_conf/ftp1
# 内容如下:
# 当设为YES时,文件夹和文件不能被所有用户读时,将不能下载文件或列出文件夹里面的内容。默认为 YES
anon_world_readable_only=NO

# 用户 ftp2(可上传下载)
sudo nano /etc/vsftpd/vsftpd_user_conf/ftp2
# 内容如下:
anon_world_readable_only=NO
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

# 用户 ftp3(仅上传)
sudo nano /etc/vsftpd/vsftpd_user_conf/ftp3
# 内容如下:
anon_world_readable_only=NO
download_enable=NO
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES

# 配置文件编辑完成后,重启一下 vsftpd
sudo systemctl restart vsftpd

九、参考资料:

  1. vsftpd https://security.appspot.com/vsftpd.html
  2. vsftpd 3.0.5 示例
  3. man vsftpd.conf
  4. Ubuntu 社区帮助 wiki: vsftpd https://help.ubuntu.com/community/vsftpd
  5. How do I configure vsftpd and openssl to avoid TLS unsupported protocol error with Sony Camera [closed] https://stackoverflow.com/questions/65316357/how-do-i-configure-vsftpd-and-openssl-to-avoid-tls-unsupported-protocol-error-wi
  6. Configure Vsftpd With SSL/TLS On CentOS 7 https://www.osradar.com/configure-vsftpd-with-ssl-tls-on-centos-7/
  7. PowerScale OneFS: Error Received After Upgrade "500 OOPS: Vsftpd: Refuses to Run with Writable Root Inside Chroot" https://www.dell.com/support/kbdoc/en-us/000214872/500-oops-vsftpd-refusing-to-run-with-writable-root-inside-chroot
  8. openEuler部署vsftpd的异常问题 https://cloud.tencent.com/developer/article/2347573
  9. Setup vsftp with SELinux https://hostodo.com/legacy/portal/knowledgebase/25/Setup-vsftp-with-SELinux.html
相关推荐
落落鱼20132 分钟前
CentOS服务器安装Supervisor使队列可以在后台运行
linux·服务器·centos·队列
liuyunshengsir7 分钟前
执行shell 脚本 如何将日志全部输出到文件
linux
noravinsc26 分钟前
lustre设置用户配额
linux·运维·服务器·文件系统·lustre
一一Null2 小时前
Linux-局域网构建+VLAN 划分 + 端口 MAC-IP 绑定 + 静态 DHCP
linux·运维·服务器·网络·tcp/ip
BlueBirdssh2 小时前
IPv6
linux·运维·服务器
阿巴~阿巴~2 小时前
从函数调用到进程通信:Linux下的多语言协作实践
linux·运维·服务器
爱喝酸奶的桃酥3 小时前
LVS:高性能负载均衡利器
linux·运维·lvs
<但凡.3 小时前
Git 完全手册:从入门到团队协作实战(1)
linux·git
码农101号5 小时前
Linux中Docker Compose介绍和使用
linux·运维·docker
deeper_wind9 小时前
keeplived双击热备配置
linux·运维·网络
热门推荐
01全球最强模型Grok4,国内已可免费使用!(附教程)02KGG转MP3工具|非KGM文件|解密音频03Coze扣子平台完整体验和实践(附国内和国际版对比)04Cursor Claude 模型无法使用的解决方法05【无标题】06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07《深入设计模式》模式结构汇总08绿色建筑新态势:楼宇自控助力能效提升,推动成本优化新路径09DeepSeek各版本说明与优缺点分析10集群聊天服务器---MySQL数据库的建立