十五、CentOS下FTP安装及配置

15.1. FTP的安装

 

1、检测是否安装了FTP :

[root@localhost ~]# rpm -q vsftpd

vsftpd-2.0.5-16.el5_5.1

 

否则显示:[root@localhost~]# package vsftpd is not installed

查看ftp运行状态

service vsftpd status

 

 

2、如果没安装FTP，运行yum install vsftpd命令进行安装

   

   如果无法下载，需要设置好yum如下

cd /etc/yum.repos.d

mv CentOS-Base.repo  CentOS-Base.repo.save

wget http://centos.ustc.edu.cn/CentOS-Base.repo

 

3、在linux中添加ftp用户，并设置相应的权限，操作步骤如下：

3.1、环境：

ftp为vsftp 被限制用户名为test。被限制路径为/home/test

3.2、建用户：在root用户下：

# useradd -d/home/test test //增加用户test，并制定test用户的主目录为/home/test

# passwd test //为test设置密码

3.3、更改用户相应的权限设置：

# usermod -s/sbin/nologin test //限定用户test不能telnet，只能ftp

# usermod -s/sbin/bash test //用户test恢复正常

# usermod -d /testtest //更改用户test的主目录为/test

3.4、限制用户只能访问/home/test，不能访问其他路径：

修改 # /etc/vsftpd/vsftpd.conf 如下：

chroot_list_enable=YES //限制访问自身目录

# (default follows)

chroot_list_file=/etc/vsftpd/vsftpd.chroot_list

编辑 vsftpd.chroot_list文件，将受限制的用户添加进去，每个用户名一行

改完配置文件，不要忘记重启vsFTPd服务器。

# /etc/init.d/vsftpd restart

3.5、如果需要允许用户修改密码，但是又没有telnet登录系统的权限：

# usermod -s /usr/bin/passwd test //用户telnet后将直接进入改密界面

4、linux ftp端口怎么设置

编辑/etc/vsftpd/vsftpd.conf，增加listen_port=2021
编辑 /etc/services文件，将其中的
ftp 21/tcp 改为 ftp 2021/tcp
ftp 21/udp 改为 ftp 2021/udp
执行 service vsftpd restart重新启动 vsftpd服务
这样ftp端口改到了2021

配置防火墙，iptables

在配置文件iptables中新增 iptables -A INPUT-p tcp --dport 2021 -j ACCEPT ，将2021端口放开。

 

注：每次修改过ftp相关的配置文件，都需要重启ftp进程来生效。

5、问题：

5.1、Linux下登陆FTP服务器报错“不能改变目录”具体语句如下：500OOPS：cannot changedirectory:/home/xxx

 

原因是他的CentOS系统安装了SELinux，因为默认下是没有开启FTP的支持，所以访问时都被阻止了。

//查看SELinux设置

# getsebool -a|grep ftp

ftpd_disable_trans --> off

或者

ftp_home_dir-->off

//使用setsebool命令开启

# setsebool ftpd_disable_trans 1

或者

# setsebool ftp_home_dir 1

//查看当前状态是否是on的状态

# getsebool -a|grep ftp

ftpd_disable_trans --> on

或者

ftp_home_dir-->on

//setsebool使用-P参数，无需每次开机都输入这个命令

# setsebool -P ftpd_disable_trans 1

或者

# setsebool -P ftp_home_dir 1

# service vsftpd restart

 

安装完成，尽情使用吧

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

vsftpd 文件布局

文件

文件描述

/etc/vsftpd/vsftpd.conf

主配置文件

 

/usr/sbin/vsftpd 

主程序

/etc/rc.d/init.d/vsftpd

启动脚本

/etc/pam.d/vsftpd

PAM认证文件

/etc/vsftpd.ftpusers

禁止使用vsftpd的用户列表文件

/etc/vsftpd.user_list

禁止或允许使用vsftpd用户列表文件

/var/ftp

匿名用户主目录

/var/ftp/pub

匿名用户下载目录

/etc/logrotate.d/vsftpd.log

日志文件

                                                                    

 

 

 

 

15.2. 系统帐户

1.建立Vsftpd服务的宿主用户：

[root@localhost]#adduser -d /data guest -s /sbin/nologin

默认的Vsftpd的服务宿主用户是root，但是这不符合安全性的需要。www.linuxidc.com这里建立名字为vsftpd的用户，用他来作为支持Vsftpd的

建立Vsftpd虚拟宿主用户：

[root@linuxidc.comnowhere]# useradd virtusers -s /sbin/nologin

 

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

 

 

15.3. vsftpd的配置

 

#anonymous_enable=YES

anonymous_enable=NO   设定不允许匿名访问

local_enable=YES      设定本地用户可以访问。注意：如果该项目设定为NO那么所有虚拟用户将无法访问。

write_enable=YES      设定可以进行写操作。

local_umask=022       设定上传后文件的权限掩码。

anon_upload_enable=NO 禁止匿名用户上传。

anon_mkdir_write_enable=NO 禁止匿名用户建立目录。

dirmessage_enable=YES 设定开启目录标语功能。

xferlog_enable=YES    设定开启日志记录功能。

connect_from_port_20=YES设定端口20进行数据连接。

chown_uploads=NO       设定禁止上传文件更改宿主。

chroot_local_user=YES  设定登陆后.只可以访问自己的属主目录.不可访问上一层目录文件

xferlog_file=/var/log/vsftpd.log设定Vsftpd的服务日志保存路径。注意，该文件默认不存在。必须要手动touch出来，并且由于这里更改了Vsftpd的服务宿主

用户为手动建立的Vsftpd。必须注意给与该用户对日志的写入权限，否则服务将启动失败。

xferlog_std_format=YES 设定日志使用标准的记录格式

idle_session_timeout=600设定空闲连接超时时间，这里使用默认。

data_connection_timeout=120设定单次最大连续传输时间，这里使用默认

nopriv_user=vsftpd      设定支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户。注意，一旦做出更改宿主用户后，必须注意一起与该服务相关的读写文件的读写赋权问题

                        比如日志文件就必须给与该用户写入权限等。

 

async_abor_enable=YES    设定支持异步传输功能。

ascii_upload_enable=YES

ascii_download_enable=YES  设定支持ASCII模式的上传和下载功能。

ftpd_banner=Welcometo blah FTP service ^_^ 设定Vsftpd的登陆标语。

chroot_list_enable=NO   禁止用户登出自己的FTP主目录。

ls_recurse_enable=NO   禁止用户登陆FTP后使用"ls -R"的命令。该命令会对服务器性能造成巨大开销。如果该项被允许，那么挡多用户同时使用该命令时将会对该服务器造成威胁。

listen=YES             设定该Vsftpd服务工作在StandAlone模式下。

pam_service_name=vsftpd 设定PAM服务下Vsftpd的验证配置文件名。

userlist_enable=YES     设定userlist_file中的用户将不得使用FTP。

tcp_wrappers=YES        服务器使用tcp_wrappers作为主机的访问控制方式。

 

以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，需要自己手动添加配置。

 

guest_enable=YES         设定启用虚拟用户功能。

guest_username=virtusers指定虚拟用户的宿主用户。

virtual_use_local_privs=YES设定虚拟用户的权限符合他们的宿主用户。

user_config_dir=/etc/vsftpd/vconf 设定虚拟用户个人Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每个Vsftp虚拟用户个性的配置文件，

一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。保存退出。

max_clients=99     服务器的最大并发数

max_per_ip=5       用户最大线程数

anon_max_rate=1000000  设置本底账号最大传输率为1Mbps

 

禁止某些IP段得主机匿名访问服务器

 

tcp_wrappers=YES  

编辑 /etc/hosts.allow

 

增加

vsftpd：192.168.110.11：DENY

 

查看ftp日志

 

xferlog_enable=YES 上传和下载日志文件记录  /var/log/vsftpd.log

xferlog_std_format=YES 传输日志文件将以标准xferlog的格式书写 /var/log/xferlog

xferlog_file=/var/log/xferlog

dual_log_enable=YES

vsftpd_log_file=/var/log/vsftpd.log

 

通过本底数据文件实现虚拟用户访问

安装db4-utils

yum installdb4-utils

 

创建本地映射用户，修改本底映射用户目录权限

 

useradd -d /data/ftp/temp-s /sbin/nologin game

chmod o=rwx/data/ftp/temp

 

修改/etc/vsftpd/vsftpd.conf

guest_enable=YES

guest_username=zqgamexw

 

生成虚拟用户文件

/etc/vsftpd/vsftpuser.txt

test001   虚拟user

123456    虚拟passwd

 

生成虚拟用户数据文件

db_load -T -t hash-f /etc/vsftpd/vsftpuser.txt /etc/vsftpd/vsftpuser.db

修改生成的用户数据文件权限

 chmod 600/etc/vsftpd/vsftpuser.db

修改PAM认证文件 /etc/pam.d/vsftpd注销原有内容后添加

auth       required     /lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpuser

account    required     /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpuse

 

 

 

建立Vsftpd的日志文件，并更该属主为Vsftpd的服务宿主用户：

[root@localhost]#touch /var/log/vsftpd.log

[root@localhost]#chown vsftpd.vsftpd /var/log/vsftpd.log

 

建立虚拟用户配置文件存放路径：

[root@localhost]#mkdir /etc/vsftpd/vconf/

 

制作虚拟用户数据库文件

先建立虚拟用户名单文件：

[root@localhost]#touch /etc/vsftpd/virtusers

建立了一个虚拟用户名单文件，这个文件就是来记录vsftpd虚拟用户的用户名和口令的数据文件，这里给它命名为virtusers。为了避免文件的混乱，我把这个名单文件就放置在/etc/vsftpd/下。

 

编辑虚拟用户名单文件：

[root@localhost]#vi /etc/vsftpd/virtusers

----------------------------

ftp001

123456

ftp002

123456

ftp003

123456

----------------------------

编辑这个虚拟用户名单文件，在其中加入用户的用户名和口令信息。格式很简单：“一行用户名，一行口令”。3.生成虚拟用户数据文件：

[root@localhost]#db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

 

4.察看生成的虚拟用户数据文件

[root@localhost]#ll /etc/vsftpd/virtusers.db

-rw-r--r-- 1 rootroot 12288 Sep 16 03:51 /etc/vsftpd/virtusers.db

需要特别注意的是，以后再要添加虚拟用户的时候，只需要按照“一行用户名，一行口令”的格式将新用户名和口令添加进虚拟用户名单文件。但是光这样做还不够，不会生效的哦！还要再执行一遍“ db_load -T -thash -f 虚拟用户名单文件虚拟用户数据库文件.db ”的命令使其生效才可以！

 

设定PAM验证文件，并指定虚拟用户数据库文件进行读取

1.察看原来的Vsftp的PAM验证配置文件：

[root@localhost]#cat /etc/pam.d/vsftpd

----------------------------------------------------------------

#%PAM-1.0

session   optional     pam_keyinit.so    force revoke

auth      required     pam_listfile.so item=user sense=denyfile=/etc/vsftpd/ftpusers onerr=succeed

auth      required     pam_shells.so

auth      include      system-auth

account   include      system-auth

session   include      system-auth

session   required     pam_loginuid.so

----------------------------------------------------------------

 

2.在编辑前做好备份：

[root@localhost]#cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup

3.编辑Vsftpd的PAM验证配置文件

[root@localhost]#vi /etc/pam.d/vsftpd

----------------------------------------------------------------

#%PAM-1.0

auth   required     /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

accountrequired     /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

以上两条是手动添加的，上面的全部加#注释了.内容是对虚拟用户的安全和帐户权限进行验证。

 

!!!!!!!这里有个要注意说明的:如果系统是64位系统在这里的所有lib后面要加入64!!!!!!

!!!!!!!如下这样才可以:

 

#%PAM-1.0

auth   required     /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers

accountrequired     /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers

 

 

15.4. 虚拟用户的配置

 

1.规划好虚拟用户的主路径：

[root@localhost]#mkdir /opt/vsftp/

2.建立测试用户的FTP用户目录：

[root@localhost]#mkdir /opt/vsftp/ftp001 /opt/vsftp/ftp002 /opt/vsftp/ftp003

 

3.建立虚拟用户配置文件模版：

 

[root@localhost]#cp /etc/vsftpd/vsftpd.conf.backup /etc/vsftpd/vconf/vconf.tMP4.定制虚拟用户模版配置文件：

[root@localhost]#vi /etc/vsftpd/vconf/vconf.tmp

--------------------------------

local_root=/opt/vsftp/virtuser

virtuser 这个就是以后要指定虚拟的具体主路径。

anonymous_enable=NO

设定不允许匿名用户访问。

write_enable=YES

设定允许写操作。

local_umask=022

设定上传文件权限掩码。

anon_upload_enable=NO

设定不允许匿名用户上传。

anon_mkdir_write_enable=NO

设定不允许匿名用户建立目录。

idle_session_timeout=600  (根据用户要求.可选)

设定空闲连接超时时间。

data_connection_timeout=120

设定单次连续传输最大时间。

max_clients=10  (根据用户要求.可选)

设定并发客户端访问个数。

max_per_ip=5    (根据用户要求.可选)

设定单个客户端的最大线程数，这个配置主要来照顾Flashget、迅雷等多线程下载软件。

local_max_rate=50000  (根据用户要求.可选)

设定该用户的最大传输速率，单位b/s。

pam_service_name=vsftpd

chroot_local_user=YES

--------------------------------

这里将原vsftpd.conf配置文件经过简化后保存作为虚拟用户配置文件的模版。这里将并不需要指定太多的配置内容，主要的

 

框架和限制交由Vsftpd的主配置文件vsftpd.conf来定义，即虚拟用户配置文件当中没有提到的配置项目将参考主配置文件中

 

的设定。而在这里作为虚拟用户的配置文件模版只需要留一些和用户流量控制，访问方式控制的配置项目就可以了。这里的关

 

键项是local_root这个配置，用来指定这个虚拟用户的FTP主路径。5.更改虚拟用户的主目录的属主为虚拟宿主用户：

[root@localhost]#chown -R virtusers.virtusers /opt/vsftp/

 

6.检查权限：

[root@localhost]#ll /opt/vsftp/

total 24

drwxr-xr-x 2overlord overlord 4096 Sep 16 05:14 ftp001

drwxr-xr-x 2overlord overlord 4096 Sep 16 05:00 ftp002

drwxr-xr-x 2overlord overlord 4096 Sep 16 05:00 ftp003

 

 

.给测试用户定制：

1.从虚拟用户模版配置文件复制：

[root@localhost]#cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/ftp001

2.针对具体用户进行定制：

[root@localhost]# vi/etc/vsftpd/vconf/ftp001

---------------------------------

 

local_root=/opt/vsftp/ftp001            (FTP用户ftp001的登陆目录文件)

anonymous_enable=NO

write_enable=YES

local_umask=022

anon_upload_enable=NO

anon_mkdir_write_enable=NO

idle_session_timeout=300

data_connection_timeout=90

max_clients=1

max_per_ip=1

local_max_rate=25000

pam_service_name=vsftpd

chroot_local_user=YES

 

15.5. CentOS 修改 vsftpd 默认端口21

vsftpd启动后，默认的ftp端口是21，现在我想把ftp端口改成 801 ,修改后能保证

 

用户上传下载不受影响

 

1.编辑 /etc/vsftpd/vsftpd.conf文件，在该配置文件中添加此行：listen_port=801

 

2.编辑 /etc/services文件，将其中的 ftp 21/tcp改为

 

ftp 801/tcp

 

ftp 21/udp

 

改为 ftp801/udp

 

3.执行 /etc/init.d/vsftpd restart重新启动 vsftpd服务。启动完成后可以使用 netstat -ntpl | grep vsftpd命令可以查看到系统现监听的 vsftpd的端口为 801

 

4.使用 lftp 192.168.0.1:801(192.168.0.1是 vsftpd服务器的地址 )，这样既可以访问到 ftp服务器了。

 

---------------------------------

15.6. vsftp 设置修改用户默认目录的方法

修改vsftp默认用户访问目录在配置文件目录 /etc/vsftpd/下的 vsftpd.conf文件中。

找到并打开/etc/vsftpd/vsftpd.conf, 设置添加以下代码：

1.   local_root=/home/xxf/www.lao8.org 

那么ftp用户访问的默认目录就是（www.lao8.org）这个目录了。

ftp用户访问的默认目录设置好了， 还可以单独设置这个目录的访问权限如（777,755等权限）， 方法请参考文章： vsftp 设置ftp用户访问目录权限的命令

注意设置好了需要重启vsftp服务器：

1.   service vsftpd restart

更多vsftp的命令请参考文章：vsftp 忘记ftp用户密码的修改方法

15.7. 启动服务

 

1. 开启vsftpd服务

[root@localhost]#service vsftpd start

Starting vsftpd forvsftpd:                               [ OK ]

2.默认开启vsftp服务

1

[root@localhost var]# chkconfig vsftpd on

 

3.重启vsftp服务

[root@localhost var]# service vsftpd restart

 

4.centos 卸载vsftpd方法

如果服务器上安装了vsftpd，配置出错需要卸载vsftpd

1

[root@localhost ~]# rpm -aq vsftpd

vsftpd-2.0.5-16.el5_5.1 #此处是查找vsftpd的返回结果

1

[root@localhost ~]# rpm -e vsftpd-2.0.5-16.el5_5.1

#用rpm -e查找结果进行删除就ok了。

warning: /etc/vsftpd/user_listsaved as /etc/vsftpd/user_list.rpmsave

warning: /etc/vsftpd/ftpuserssaved as /etc/vsftpd/ftpusers.rpmsave #删除时将备份vsftp的用户列表文件。

看下是否卸载了vsftpd，进行stop及start操作：

1

[root@localhost ~]# /sbin/service vsftpd stop

vsftpd: unrecognized service #找不到vsftpd

1

[root@localhost ~]# /sbin/service vsftpd start

vsftpd: unrecognized service #找不到vsftpd记住，在卸载vsftpd之前，先停止vsftpd。

 

15.8. 测试

1.在虚拟用户目录中预先放入文件：

[root@localhost]#touch /opt/vsftp/ftp001/test.txt

 

2.从其他机器作为客户端登陆FTP：

可以IE或FTP客户端软直接访问

 

ie里输入 ftp://127.0.0.1 (服务器IP)

 

弹出对话框后.输入FTP用户名和密码

---------------------------------------------

 

 

注意:

在/etc/vsftpd/vsftpd.conf中，local_enable的选项必须打开为Yes，使得虚拟用户的访问成为可能，否则会出现以下现象：

----------------------------------

[root@localhost]#ftp

ftp> open192.168.1.22

Connected to192.168.1.22.

500 OOPS: vsftpd:both local and anonymous access disabled!

----------------------------------

原因：虚拟用户再丰富，其实也是基于它们的宿主用户virtusers的，如果virtusers这个虚拟用户的宿主被限制住了，那么虚拟用户也将受到限制。

 

补充：

1.要查看服务器自带的防火墙有无挡住FTP 21端口导致不能访问

2.查看 SELinux禁用没有.要禁用

3.500 OOPS:错误有可能是你的vsftpd.con配置文件中有不能被识别的命令，还有一种可能是命令的YES或 NO 后面有空格。

4.要仔细查看各个用到的文件夹权限,及用户属主权限等

 

 

1 如何新加FTP用户

 

打开密码文件里加入(一行是用户.一是密码.依次类推)

#vi/etc/vsftpd/virtusers

加入用户后保存退出

 

#db_load -T -t hash-f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db   (然后生成新的虚拟用数据文件)

#cp/etc/vsftpd/vconf/vconf.tmpd              (新建d用户,用虚拟用户模板vconf.tmp文件生成d虚拟用户文件)

#vi/etc/vsftpd/vconf/d                        (打开D虚拟用户文件.在第一行最后加入该用户对应的FTP目录)

#mkdir/opt/vsftp/WWW                         (新建WWW目录为d FTP用户登陆目录)

#service vsftpd restart

-------------------------------------------------------

2 如何修改FTP用户登陆密码

 

打开密码文件里加入(第一行是用户.第二是密码.依次类推,只要改对应用户下面的密码即可)

#vi/etc/vsftpd/virtusers   

#db_load -T -t hash-f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db   (然后生成新的虚拟用数据文件)

#service vsftpd restart