linux ftp 服务器
Linux搭建FTP服务器 - 知乎 (zhihu.com)
Linux 部署ftp服务_linux搭建ftp服务器-CSDN博客
Linux下搭建FTP服务器的方法 | 《Linux就该这么学》 (linuxprobe.com)
Linux系统ftp服务设置_linux ftp配置-CSDN博客
一、概念简介
vsftpd(very secure FTP daemon)是Linux下的一款小巧轻快、安全易用的FTP服务器软件,本次实验介绍如何在Linux上安装并配置vsftpd。
FTP(File Transfer Protocol)是一种文件传输协议,基于客户端/服务器架构,支持以下两种工作模式:
- 主动模式:客户端向FTP服务器发送端口信息,由服务器主动连接该端口。
- 被动模式:FTP服务器开启并发送端口信息给客户端,由客户端连接该端口,服务器被动接受连接。
FTP支持以下三种认证模式:
- 匿名用户模式:任何人无需密码验证就可以直接登录到FTP服务器,这种模式最不安全,一般只用来保存不重要的公开文件,不推荐在生产环境中使用。
- 本地用户模式:通过Linux系统本地账号进行验证的模式,相较于匿名用户模式更安全。
- 虚拟用户模式:FTP服务器的专有用户,虚拟用户只能访问Linux系统为其提供的FTP服务,而不能访问Linux系统的其它资源,进一步增强了FTP服务器的安全性。
二、实验过程
步骤一:安装vsftpd
1、运行以下命令安装vsftpd。
yum install -y vsftpd
2、运行以下命名查看是否安装成功。
rpm -qa | grep vsftpd
3、运行以下命令查看FTP服务是否开机自启动。
systemctl list-unit-files | grep vsftpd
4、运行以下命令设置FTP服务开机自启动。
systemctl enable vsftpd.service
5、运行以下命令查看FTP服务监听的端口。
netstat -antup | grep ftp
如下图所示,表示FTP服务已启动,监听的端口号为21,此时,vsftpd默认已开启本地用户模式,还需要继续进行配置才能正常使用FTP服务。
6、运行以下命名查看FTP服务运行状态。
service vsftpd status
ftp的配置文件主要有三个,位于/etc/vsftpd/目录下,分别是:
ftpusers 该文件用来指定那些用户不能访问ftp服务器。如果要root 登陆,这里面把root用户#注销 user_list 该文件用来指示的默认账户在默认情况下也不能访问ftp vsftpd.conf vsftpd的主配置文件
步骤二:配置vsftpd
为保证数据安全,本文主要介绍被动模式下,使用本地用户访问FTP服务器的配置方法。
1、运行以下命令为FTP服务创建一个Linux用户,本示例中,该用户名为ftptest。
adduser ftptest
2、运行以下命令修改ftptest用户的密码,运行命令后,根据命令行提示完成FTP用户的密码修改。(备注:此处修改密码为python@123)。
passwd ftptest
3、运行以下命令创建一个供FTP服务使用的文件目录。
mkdir /var/ftp/test
4、运行以下命令,创建测试文件,该测试文件用于FTP客户端访问FTP服务器时使用。
touch /var/ftp/test/testfile.txt
5、运行以下命令,通过vim编辑器在testfile.txt中写入点内容。
vim /var/ftp/test/testfile.txt
6、运行以下命令更改/var/ftp/test目录的拥有者为ftptest。
chown -R ftptest:ftptest /var/ftp/test
7、修改vsftpd.conf配置文件。
a.运行以下命令,打开vsftpd的配置文件。
如果您在安装vsftpd时,使用的是apt install vsftpd
安装命令,则配置文件路径为/etc/vsftpd.conf。
vim /etc/vsftpd/vsftpd.conf
b.按i进入编辑模式。
c.配置FTP服务器为被动模式。具体的配置参数如下:
# 关闭匿名用户登录
anonymous_enable=NO
anon_upload_enable=YES #允许匿名用户上传文件,取消注释
anon_mkdir_write_enable=YES #允许匿名用户创建目录,需取消注释
anon_other_write_enable=YES #允许匿名删除、重命名、覆盖等操作,需添加
anon_root=/var/ftp/pub
#anon_root 针对匿名用户(如果不设置默认为此目录,可以进行修改,修改之后修改给它权限)
anon_umask=000 # 文件所属组拥有读写权限
# 使用本地用户登录
local_enable=YES
# 本地用户FTP访问目录,如果不配做默认就是本地用户的家目录,然后用户登陆之后,ftp:ip 默认指向该目录
local_root=/var/ftp/test
anon_root=/var/www/html/ # 虚拟用户访问目录 anonymous用户,即匿名用户访问的主目录
# 允许登陆用户有写权限;属于全局设置,默认值为YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
xferlog_std_format=YES
# 监听IPv4 sockets
listen=YES
# 关闭监听IPv6 sockets
listen_ipv6=NO
pam_service_name=vsftpd # 指定pam认证文件,可修改
# userlist_enable=YES 和 userlist_deny=YES
# 这一组值就是把user_list作为黑名单使用,user_list文件中的用户都被拒绝登录FTP
userlist_enable=YES # 是否启用user_list列表文件
userlist_deny=YES # 是否禁用user_list中的用户
userlist_file=/etc/vsftpd/user_list # 默认就是/etc/vsftpd/user_list
# 全部用户被限制在主目录
chroot_local_user=YES
# 启用例外用户名单
chroot_list_enable=YES
# 指定例外用户列表文件,列表中用户不被锁定在主目录。
chroot_list_file=/etc/vsftpd/chroot_list
# 启用被动模式
pasv_enable=YES
# 允许被限制的用户主目录具有写权限
allow_writeable_chroot=YES
# 被动模式下FTP服务器IP
pasv_address=192.168.100.20
# 被动模式下,数据传输最小端口50000,最大端口51000,例如:50000~51000
pasv_min_port=50000
pasv_max_port=51000
guest_enable=YES # 开启虚拟用户模式
guest_username=FTP # 指定虚拟用户账号映射到本地账号FTP
user_config_dir=/etc/vsftpd/vuser_conf # 指定虚拟用户的权限配置目录
常用的全局配置项
-listen=YES:是否以独立运行的方式监听服务
-listen_address=192.168.168.129:设置监听的IP地址
-listen_port=21:设置监听FTP服务的端口号
-write_enable=YES:是否启用写入权限
-download_enable=YES:是否允许下载文件
-userlist_enable=YES:是否启用user_list列表文件
-userlist_deny=YES:是否禁用user_list中的用户
-max_clients=0:限制并发客户端连接数
-max_per_ip=0:限制同一IP地址的并发连接数
常用的匿名FTP配置项
-anonymous_enable=YES:启用匿名访问(默认已有该项,不再输入这行)
-anon_umask=022:匿名用户所上传文件的权限掩码
-anon_root=/var/ftp:匿名用户的FTP根目录
-anon_upload_enable=YES:允许上传文件(若无全局参数write_enable=YES则不能生效)
-anon_mkdir_write_enable=YES:允许创建目录
-anon_other_write_enable=YES:开放其他写入权
-anon_max_rate=0:限制最大传输速率(字节/秒
这里比较注意的是,本地用户登陆模式下,关于local_root配置的路径,要注意用户的权限问题,否则无权访问或者无数据
(d.按Esc退出编辑模式,然后输入:wq并回车以保存并关闭文件。
8、创建chroot_list文件,并在文件中写入例外用户名单。
a.运行以下命令,创建chroot_list文件
vim /etc/vsftpd/chroot_list
b.按i进入编辑模式。
c.输入例外用户名单。此名单中的用户不会被锁定在主目录,可以访问其他目录。
d.按Esc退出编辑模式,然后输入:wq并回车以保存并关闭文件。
(备注:没有例外用户时,也必须创建chroot_list文件,内容可为空)
9、运行以下命令重启vsftpd服务。
systemctl restart vsftpd.service
10、关闭防火墙,用于FTP测试,否则FTP连接会被防火墙拦截;
# 查看防火墙状态
systemctl status firewalld
# 关闭防火墙
systemctl stop firewalld
# 开启防火墙
systemctl start firewalld
# 重启防火墙
systemctl restart firewalld
11、FTP下载,上传测试,如下。
方式1:ftp://192.168.100.20连接FTP服务器,用户名:ftptest ;密码:python@123
方式2:使用WinSCP客户端连接FTP服务器,用户名:ftptest ;密码:python@123
以下是一些文件的位置约定:
/usr/in/vsftpd —- VSFTPD的主程序
/etc/rc.d/init.d/vsftpd —- 启动脚本
/etc/vsftpd/vsftpd.conf —- 主配置文件
/etc/pam.d/vsftpd —- PAM认证文件
/etc/vsftpd.ftpusers —- 禁止使用VSFTPD的用户列表文件
/etc/vsftpd.user_list —- 禁止或允许使用VSFTPD的用户列表文件
/var/ftp —- 匿名用户主目录
/var/ftp/pub —- 匿名用户的下载目录
如果要更改默认下载目录,修改/etc/vsftpd/vsftpd.conf,加入如下三行:
local_root=/
chroot_local_user=YES
anon_root=/
local_root表示使用本地用户登录到ftp时的默认目录
anon_root表示匿名用户登录到ftp时的默认目录
上面的chroot_list_file是设定锁定登陆用户在其home目录的列表,要在chroot_list_enable=YES情况下才生效。