采用的是虚拟用户和firewall防火墙
yum install -y vsftpd ftp
firewall-cmd --permanent --zone=public --add-port=20/tcp
firewall-cmd --permanent --zone=public --add-port=21/tcp
firewall-cmd --permanent --zone=public --add-port=22/tcp
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload
#查看selinux关于ftp的状态
getsebool -a | grep ftp
结果大致如下:
setsebool -P tftp_home_dir 1
setsebool -P ftpd_full_access 1
#这个是SELinux的一些开关
#要把tftp_home_dir、ftpd_full_access开启
#-P是永久生效,不加-P,则重启后还原;1是打开,0是关闭
然后新建一个ftp的宿主用户(即存在Linux系统的用户,不是虚拟用户)
useradd -g root -M -d /var/www/html -s /sbin/nologin ftpuser
passwd ftpuser
#此处的ftpuser就是你的账户名
chown -R ftpuser.root /var/www/html
#把 /var/www/html 的所有权给ftpuser.root
#这里的 /var/www/html 就是ftp的根目录,没有的话自行创建,也可以换成其他目录
虚拟用户的用户认证是通过pam方式去认证的,pam文件里面指定了认证的db文件,db文件又是通过明文用户名和密码文件生成而来。那么首先我们要指定pam文件,这个在 /etc/vsftpd/vsftpd.conf 配置文件是通过 pam_service_name=vsftpd 配置指定的,其位置是 /etc/pam.d/vsftpd,编辑该文件,把文件内容全部注释掉,加上以下两行:
64位系统:
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
32位系统
auth sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
account sufficient /lib/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
db=/etc/vsftpd/vuser_passwd 指定了db文件的位置,接下来就是生成db文件,由于db文件是通过明文用户名和密码文件生成而来,所以先创建一个保存明文用户名和密码的文件 vuser_passwd.txt
该文件奇行为用户名,偶行为密码:
vim /etc/vsftpd/vuser_passwd.txt
如下:
然后通过以下命令生成db文件:
cd /etc/vsftpd
db_load -T -t hash -f vuser_passwd.txt vuser_passwd.db
至此用户的认证就知道怎么一回事了。如果要添加新的用户,在编辑 vuser_passwd.txt 后要再次生成一下db文件。然后现在每个用户的具体配置,如指向目录、可读写权限等又是在哪配置的呢,原来它是通过一个用户对应一个配置文件来实现的,且这个文件必须用FTP用户名去做文件名,建一个目录专门存放这些文件:
mkdir vuser_conf
vim vuser_conf/account1
文件内容大致如下,注意每一行配置的最后不能有空白符:
#设置虚拟用户的目录
local_root=/var/www/html
#设置虚拟用户是否可以写入
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
#允许虚拟用户的上传功能
anon_upload_enable=YES
#设置虚拟用户是否可以创建文件夹
anon_mkdir_write_enable=YES
#设置虚拟用户是否可以执行其他的写入操作,比如删除、重命名、覆盖操作。
anon_other_write_enable=YES
#最多允许同一账号在10个不同的IP登录
max_per_ip=10
#最大下载速度(字节/秒)
local_max_rate=2500000
#session超时时间
#idle_session_timeout=300
#连接超时时间
#data_connection_timeout=90
#最多连接数
#max_clients=10
最后配置vsftpd.conf,若下面某些字段没有在配置中找到,自行添加就好
cd /etc/vsftpd
vim vsftpd.conf
#修改一下几处
#不允许匿名访问
anonymous_enable=NO
#本地用户可以访问。注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问
local_enable=YES
#可以进行写操作
write_enable=YES
#禁止匿名用户上传
anon_upload_enable=NO
#禁止匿名用户建立目录
anon_mkdir_write_enable=NO
#支持ASCII模式的上传和下载功能
ascii_upload_enable=YES
ascii_download_enable=YES
#限制用户只能在FTP主目录
#若没有chroot_list文件,自行创建,每一行为一个用户名
chroot_local_user=NO
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
#开启ip4监听
listen=YES
#关闭ip6监听
listen_ipv6=NO
#PAM服务下Vsftpd的验证配置文件名
pam_service_name=vsftpd
#指定vsftpd服务的运行帐户,不指定时使用ftp
#这里的ftpuser就是刚才useradd时创建的Linux系统用户
nopriv_user=ftpuser
# 设定启用虚拟用户功能
guest_enable=YES
# 指定虚拟用户的宿主用户,CentOS中已经有内置的ftp用户了
guest_username=ftpuser
# 虚拟用户配置文件存放的路径
user_config_dir=/etc/vsftpd/vuser_conf
# 如果启用了限定用户在其主目录下需要添加这个配置
allow_writeable_chroot=YES
# NO时,虚拟用户和匿名用户有相同的权限,默认是NO
virtual_use_local_privs=YES
最后:
filezilla连接ftp时可能会出现读取目录超时的情况,解决方法如下
在 /etc/vsftpd/vsftpd.conf末尾添加上以下三句
#开启pasv被动模式
pasv_enable=YES
pasv_min_port=6000
pasv_max_port=7000
#这个是用于检测pasv的安全检查,YES为关闭安全检查
pasv_promiscuous=YES
#firewall防火墙打开6000-7000端口
firewall-cmd --permanent --zone=public --add-port=6000-7000/tcp
firewall-cmd --reload
配置好后就可以开启vsftpd服务
systemctl start vsftpd
#开机启动
systemctl enable vsftpd
总结:
- ftp的根目录在创建ftp宿主用户时就指定好,在
/etc/vsftpd/vuser_conf里面的虚拟用户配置中的local_root项要在根目录里面; - 改变ftp的根目录
-
usermod -d /xxx/xxx来切换 - 同时
/etc/vsftpd/vuser_conf里面的虚拟用户配置也要跟着换 - 然后重启vsftpd
-
扩展阅读:
firewall
网友评论