IT博客-悠然居-文章分类-Linux FTPhttp://www.cnitblog.com/everspring/category/7673.htmlzh-cnFri, 30 Sep 2011 21:13:31 GMTFri, 30 Sep 2011 21:13:31 GMT60实战vsftp-2.04配置http://www.cnitblog.com/everspring/articles/49853.htmleverspringeverspringSun, 05 Oct 2008 02:30:00 GMThttp://www.cnitblog.com/everspring/articles/49853.htmlhttp://www.cnitblog.com/everspring/comments/49853.htmlhttp://www.cnitblog.com/everspring/articles/49853.html#Feedback0http://www.cnitblog.com/everspring/comments/commentRss/49853.htmlhttp://www.cnitblog.com/everspring/services/trackbacks/49853.htmlVsftp(Very Secure FTP)以它优越的安全,稳定,快速的性能在ftp软件中占了一席之地。
很多大站已经采用它如如ftp.redhat.com,ftp.kde.org,ftp.gnome.org.等。

Vsftp官方最新版本下载:ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.0.4.tar.gz
本文所有配置文件和相关文件的下载:http://xiutuo.vxv.cn/blog/file/vsftp_conf.rar

本文采用vsftp2.0.4,它有三种实现形式:
   1、匿名用户形式:在默认安装的情况下,系统只提供匿名用户访问
   2、本地用户形式:以/etc/passwd中的用户名为认证方式
   3、虚拟用户形式:支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说,虚拟用户只是FTP服务器的专有用户,
   虚拟用户只能访问FTP服务器所提供的资源,这大大增强系统本身的安全性。相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中
   的文件,增加了对用户和下载的可管理性。对于需要提供下载服务,但又不让所有人匿名下载;既需要对下载用户进行管理,又考虑到主机安全和
   管理方便的FTP站点来说,   虚拟用户是一种极好的解决方案。

一:下载安装
   下载到/home/xiutuo/software/目录下,由于默认编译是支持pam认证,不支持tcpwrappers和ssl。
   我们采用默认,即:本地用户不允许登入vsftp,不能使用hosts.allow和hosts.deny
   # rpm -e vsftpd-**  //卸载原来低版本的vsftp
   # cd /home/xiutuo/software/
   # tar -zvxf vsftpd-2.0.4.tar.gz
   # cd vsftpd-2.0.4
   # make
   把编译好的文件安装到相应目录下即可,没有相关目录请先创建。
   # cp vsftpd /usr/local/sbin/vsftpd
   # cp vsftpd.conf.5 /usr/local/man/man5
   # cp vsftpd.8 /usr/local/man/man8
   # cp vsftpd.conf /etc/
二:vsftp的启动和关闭--独立模式下
   启动:
   # /usr/local/sbin/vsftpd &
   关闭:
   # killall vsftpd

以下的配置均采用vsftp推荐的独立方式启动,即standalone方式启动vsftp
三:匿名用户vsftp配置
   创建必要的帐号,目录:
   # useradd nobody          //可能你的系统已经存在此帐号,那就不用建立
   # mkdir /usr/share/empty  //可能你的系统已经存在此目录,那就不用建立
   # mkdir /var/ftp          //可能你的系统已经存在此目录,那就不用建立
   # useradd -d /var/ftp ftp //可能你的系统已经存在此帐号,那就不用建立
   # chown root:root /var/ftp //改变属主
   # chmod og-w /var/ftp      //赋予相关目录权限

   a.配置匿名用户只能下载,不能上传的vsftp,vsftpd.conf内容如下:
     
     # Standalone mode
       listen=YES
       listen_address=192.168.1.100 //可以通过域名来访问vsftp
       #tcp_wrappers=YES
     # Access rights
       anonymous_enable=YES
       anon_root=/var/ftp
       local_enable=NO
       write_enable=NO
       anon_upload_enable=NO
       anon_mkdir_write_enable=NO
       anon_other_write_enable=NO
     # Security
       anon_world_readable_only=NO  //可以浏览和下载有相关权限的文件(其他用户有可读和可执行权限)
       connect_from_port_20=YES
       hide_ids=YES
       pasv_min_port=50000
       pasv_max_port=60000
     # Features
       dirmessage_enable=YES
       xferlog_enable=YES   
       xferlog_file=/var/log/vsftpd.log
       xferlog_std_format=YES
       xferlog_enable=YES
       ls_recurse_enable=NO
       ascii_download_enable=NO
       async_abor_enable=YES
       ftpd_banner=Welcome to xiutuo.com FTP service.
     # Performance
       one_process_model=YES
       idle_session_timeout=120
       data_connection_timeout=300
       accept_timeout=60
       connect_timeout=60
       anon_max_rate=50000
       max_clients=200
       max_per_ip=4
       #check_shell=NO

    b.配置匿名用户可下载,可上传。
      先创建一个可写目录/var/ftp/pub
      # mkdir /var/ftp/pub
      # chmod -R 777 /var/ftp/pub
      配置文件vsftp.conf的内容如下:

     # Standalone mode
       listen=YES
       listen_address=192.168.1.100
       #tcp_wrappers=YES
     # Access rights
       anonymous_enable=YES
       anon_root=/var/ftp
       local_enable=NO
       write_enable=YES
       anon_upload_enable=YES
       anon_mkdir_write_enable=YES
       anon_other_write_enable=YES
     # Security
       anon_world_readable_only=NO
       connect_from_port_20=YES
       hide_ids=YES
       pasv_min_port=50000
       pasv_max_port=60000
     # Features
       dirmessage_enable=YES
       xferlog_enable=YES   
       xferlog_file=/var/log/vsftpd.log
       xferlog_std_format=YES
       xferlog_enable=YES
       ls_recurse_enable=NO
       ascii_download_enable=NO
       async_abor_enable=YES
       ftpd_banner=Welcome to xiutuo.com FTP service.
     # Performance
       one_process_model=YES
       idle_session_timeout=120
       data_connection_timeout=300
       accept_timeout=60
       connect_timeout=60
       anon_max_rate=50000
       max_clients=200
       max_per_ip=4
       #check_shell=NO

四:虚拟用户配置。
   a.基于db的虚拟用户配置。
     请查看linux中是否存在db4。
     # rpm –qa | grep db4
       db4-devel-4.2.52-7.1
       db4-4.2.52-7.1
       db4-utils-4.2.52-7.1
       ……
      如果有的话,那就不必安装db,没有的话,请安装db4的db4-devel-4.2.52-7.1,db4-4.2.52-7.1,db4-utils-4.2.52-7.1相关软件包。
      1.建立虚拟用户数据库文件
        在/etc/下建立login.txt,添加vsftp虚拟用户和密码。
        # cd /etc
        # touch login.txt
        # vi login.txt
        #login.txt内容如下,其中虚拟用户是test,test1,test2;他们的密码分别是password0,password1,password2。用户和密码分别各占一行。
          test
          password0
          test1
          password1
          test2
          password2
        #生成虚拟用户数据库文件vsftpd_login.db,并赋予root可以读写,其他用户没有任何权限
        # db_load -T -t hash -f /etc/login.txt /etc/vsftpd_login.db
        # chmod 600 /etc/vsftpd_login.db
      2.建立认证文件
       # vi /etc/pam.d/ftp 插入如下两行
         auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
         account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
      3.创建真实用户与虚拟用户的映射。
        # useradd -d /home/ftpsite -s /sbin/nologin virtual
        # cd /home/ftpsite
        # touch test.txt
        # chown virtual.virtual test.txt
      4.配置文件vsftpd.conf内容如下:

     # Standalone mode
       listen=YES
       listen_address=192.168.1.100 //可以通过域名来访问vsftp
       #tcp_wrappers=YES
     # Access rights
       anonymous_enable=NO
       #anon_root=/var/ftp
       local_enable=YES  //一定要yes,否则ftp登入会提示,本地用户和匿名用户都没有访问权限的提示
       write_enable=NO
       anon_upload_enable=NO
       anon_mkdir_write_enable=NO
       anon_other_write_enable=NO
       guest_enable=YES            // 启用虚拟用户
       guest_username=virtual       //指定虚拟用户,
       virtual_use_local_privs=YES //虚拟用户和本地用户权限相同

     # Security
       anon_world_readable_only=NO  //可以浏览和下载有相关权限的文件(其他用户有可读和可执行权限)
       connect_from_port_20=YES
       hide_ids=YES
       pasv_min_port=50000
       pasv_max_port=60000
     # Features
       dirmessage_enable=YES
       xferlog_enable=YES   
       xferlog_file=/var/log/vsftpd.log
       xferlog_std_format=YES
       xferlog_enable=YES
       ls_recurse_enable=NO
       ascii_download_enable=NO
       async_abor_enable=YES
       ftpd_banner=Welcome to xiutuo.com FTP service.
     # Performance
       one_process_model=YES
       idle_session_timeout=120
       data_connection_timeout=300
       accept_timeout=60
       connect_timeout=60
       anon_max_rate=50000
       max_clients=200
       max_per_ip=4
       check_shell=NO
       5.高级配置vsftpd.conf,增加对每个虚拟用户的配置,并对每个虚拟用户详细权限进行配置。
         创建/etc/vsftpd_user_conf目录,并在其下分别为虚拟用户test,test1,test2增加test,test1,test2三个配置文件。
        # mkdir /etc/vsftpd_user_conf
        # cd /etc/vsftpd_user_conf
        # touch test test1 test2
        #test,test1,test2配置文件根据需要设置相关vsftp的权限,比如test用户可以下载上传,修改,test文件内容如下:
         
            write_enable=YES
            anon_upload_enable=YES
            anon_mkdir_write_enable=YES
            anon_other_write_enable=YES
            anon_world_readable_only=NO  //可以浏览和下载有相关权限的文件(其他用户有可读和可执行权限)

        #主配置文件vsftpd.conf内容如下:

         # Standalone mode
         listen=YES
         listen_address=192.168.1.100 //可以通过域名来访问vsftp
         #tcp_wrappers=YES
         # Access rights
         anonymous_enable=NO
         #anon_root=/var/ftp
         local_enable=YES  //一定要yes,否则ftp登入会提示,本地用户和匿名用户都没有访问权限的提示
         write_enable=NO
         anon_upload_enable=NO
         anon_mkdir_write_enable=NO
         anon_other_write_enable=NO
         guest_enable=YES
         guest_username=virtual       //这两行的意思是采用虚拟用户形式
         virtual_use_local_privs=YES //虚拟用户和本地用户权限相同
         #
         #+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
         user_config_dir=/etc/vsftpd_user_conf //增加对每个虚拟用户的配置
         #+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
         #
         # Security
         anon_world_readable_only=YES  //不可以浏览和下载有相关权限的文件(其他用户有可读和可执行权限)
         connect_from_port_20=YES
         hide_ids=YES
         pasv_min_port=50000
         pasv_max_port=60000
         # Features
         dirmessage_enable=YES
         xferlog_enable=YES   
         xferlog_file=/var/log/vsftpd.log
         xferlog_std_format=YES
         xferlog_enable=YES
         ls_recurse_enable=NO
         ascii_download_enable=NO
         async_abor_enable=YES
         ftpd_banner=Welcome to xiutuo.com FTP service.
         # Performance
         one_process_model=YES
         idle_session_timeout=120
         data_connection_timeout=300
         accept_timeout=60
         connect_timeout=60
         anon_max_rate=50000
         max_clients=200
         max_per_ip=4
         check_shell=NO
     b.基于mysql的pam认证的虚拟用户配置
       1.下载pam-mysql到/home/xiutuo/software,
          下载地址:http://nchc.dl.sourceforge.net/sourceforge/pam-mysql/pam_mysql-0.5.tar.gz
       2.安装
         # cd /home/xiutuo/software
         # tar -zvxf pam_mysql-0.5.tar.gz
         # cd pam_mysql-0.5
         # make
         # cp pam_mysql.so /lib/security
        3.创建真实用户与虚拟用户的映射
         # useradd virtual
         # passwd virtual
         #必要时使用 : useradd -d /home/ftpsite -s /sbin/nologin virtual
        4.创建数据库
          # cd /usr/local/mysql/bin/
          # ./mysql –u root -h localhost -p
            mysql>create database ftpd;
            mysql>use ftpd;
            mysql>create table user(name char(20) binary,passwd char(20) binary);
            mysql>insert into user (name,passwd) values ('test','password');
            mysql>insert into user (name,passwd) values ('test1','password1');
            mysql>insert into user (name,passwd) values ('test2','password2');
            mysql>grant select on ftpd.user to virtual@localhost identified by '123456';
        5.建立认证文件
         # cd /etc/pam.d/
         # touch ftp   //如果有就不用生成了。
         # vi ftp      //内容如下:

         auth required /lib/security/pam_mysql.so user=virtual passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0

         account required /lib/security/pam_mysql.so user=virtual passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0
        
           #注意:
           #crypt= n
           #crypt=0: 明文密码
           #crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt(),encrypt()随机产生salt)
           #crypt=2: 使用MYSQL中的password()函数加密
           #crypt=3:表示使用md5的散列方式
         6.详细的vsftpd.conf与具体的虚拟用户的配置跟基于db的虚拟用户配置步骤4和步骤5一样。

        c.对用户做磁盘限额,限额功能是系统自带,不是vsftp功能!
          对virtual用户主目录:/home/ftpsite/限制,修改/etc/fstab文件,重新挂载/home所在分区,或者重新启动计算机
          1.编辑/etc/fstab文件,重新挂载/home所在分区,或者重新启动计算机,使限额功能生效
          # vi /etc/fstab
           把
           LABEL=/home   /home   ext3    defaults     1 2
           修改为:
           LABEL=/home   /home   ext3    defaults,usrquota     1 2
           或者:
           LABEL=/home   /home   ext3    defaults,usrquota,grpquota     1 2
          # reboot
          或者
          # mount -o remount /dev/sda2  // 其中/dev/sda2的挂接点就是/home,这样可以不用启动系统。
          # quotacheck -avu             //说明:a-自动开启挂载文件系统的配额,v-显示信息,u-启用用户配额or g-启用组配额
          2.限额配置文件的修改
          # edquota virtual //为用户virtual设置磁盘配额
          或者:
          # edquota -g grp  //为组grp设置磁盘配额
          系统会自动打开配额文件,如下:
          Disk quotas for user virtual (uid 502):
          Filesystem         blocks       soft       hard     inodes     soft     hard
           /dev/sda2           424          0          0         13        0        0
          #第一列是启用了配额的文件系统的名称。第二列显示了用户当前使用的块数,单位为KB。随后的两列用来设置用户在该文件系统上的软硬块限度。
          inodes 列显示了用户当前使用的i节点数量。最后两列用来设置用户在该文件系统上的软硬i节点限度.硬限是用户或组群可以使用的磁盘空间的
          绝对最大值。达到了该限度后,磁盘空间就不能再被用户或组群使用了。软限定义可被使用的最大磁盘空间量。和硬限不同的是,软限可以在一段
          时期内被超过。这段时期被称为过渡期(grace period),默认七天的超越。过渡期可以用秒钟、分钟、小时、天数、周数、或月数表示。如果
          以上值中的任何一个被设置为 0,那个限度就不会被设置。我设置了硬块限度为1KB,是为了测试方便。
          # quotaon  -avu  //打开磁盘配额监控进程,u是用户g是组,这里我没设置g参数
           要校验用户的配额是否被设置,我们可以使用以下命令:
          # quota virtual
            Disk quotas for user virtual (uid 502):
            Filesystem  blocks   quota   limit    grace   files   quota   limit   grace
            /dev/sda2     424*    0      1            13      0      0        
          # edquota –t(-g)来设置过渡期(grace period) //当然只针对软限制而言和另一个 edquota 命令相似,这个命令也会在文本编辑器中
            打开当前的文件系统配额:
            Grace period before enforcing soft limits for users:
            Time units may be: days, hours, minutes, or seconds
            Filesystem             Block grace period     Inode grace period
             /dev/sda2                     7days                  7days
          按你的需要修改后存盘退出
          用以下命令显示磁盘配额使用状态
          # repquota  -a  或 repquota  /dev/sda2(用户配额)
          # repquota -g -a 或 repquota -a /dev/sda2 (组的配额)

everspring 2008-10-05 10:30 发表评论
]]>