采用vsftpd在CentOS7上搭建FTP服务器。
1、安装vsftpd
yum -y install vsftpd2、设置开机启动
systemctl enable vsftpd3、启动ftp服务
systemctl start vsftpd.service4、打开防火墙,开放21端口
firewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload5、添加ftp用户
useradd -g root -d /var/www/html -s /sbin/nologin ftpuser注:表示新增一个ftpuser(用户名),且指定上传目录在/var/www/html/下
如果后期想变更此用户的上传目录到(/home/ftpuser/),请使用下面的命令:
usermod -d /home/ftpuser/ ftpuser6、设置用户密码
passwd ftpuser7、配置selinux 允许ftp访问home和外网访问
setsebool -P allow_ftpd_full_access on
setsebool -P ftp_home_dir on8、设置权限
chown -R ftpuser:root /var/www/html/
#配合allow_writeable_chroot=YES使用,否则报503错误
chmod o-w /var/www/html/9、修改vsftp配置文件,禁用匿名登录
#vi /etc/vsftpd/vsftpd.conf
#改为NO 就是禁止匿名用户登录
anonymous_enable=NO
#允许本地用户访问(/etc/passwd中的用户)
local_enable=YES
#允许写入权限,包括修改,删除
write_enable=YES
#禁止跳出当前用户权限目录
chroot_local_user=YES
ascii_upload_enable=YES
ascii_download_enable=YES
#末尾添加 不加会报5XX错误
allow_writeable_chroot=YES
#当chroot_local_user=NO时,chroot_list里面配置的用户不可以跳出家目录,当chroot_local_user=YES时,chroot_list里面配置的用户可以跳出家目录
chroot_list_file=/etc/vsftpd/chroot_list10、被动模式端口
很多客户端会通过被动模式连接FTP,涉及到映射的时候,数据端口是变化的。可给设置一个固定范围
#开启被动模式
pasv_enable=YES
pasv_min_port=64500
pasv_max_port=64999
虚拟用户模式配置:
虚拟用户的用户认证是通过pam方式去认证的,pam文件里面指定了认证的db文件,db文件又是通过明文用户名和密码文件生成而来,首先要指定pam文件,这个在 /etc/vsftpd/vsftpd.conf 配置文件是通过 pam_service_name=vsftpd 配置指定的,其位置是 /etc/pam.d/vsftpd,编辑该文件,把auth两行注释掉,加上以下两行(32位lib64改为lib):
1、密码策略
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers2、配置文件vsftpd.conf说明
#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置
#用户家目录可写,默认是只读的
allow_writeable_chroot=YES
#设定启用虚拟用户功能。
guest_enable=YES
#指定虚拟用户的宿主用户。
guest_username=testftp
#设定虚拟用户的权限符合他们的宿主用户。
virtual_use_local_privs=YES
#设定虚拟用户个人vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个vsftp虚拟用户个性的配置文件,一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。
user_config_dir=/etc/vsftpd/vconf
#如果配置了以下配置,则还需要在user_list里面添加指定的虚拟用户,如ftptest,不然不能登录,如图
#NO表示所有用户均不可以登录ftp,YES表示所有用户均能访问ftp,默认是YES
userlist_deny=NO
#当userlist_deny=NO时,user_list是白名单,当userlist_deny=YES时,user_list是黑名单
userlist_file=/etc/vsftpd/user_list3、创建用户
目录新建virtusers文件,用于存放虚拟用户及密码。
touch /etc/vsftpd/virtusers
注:从第一行开始,奇数行为用户名,偶数行为密码
user1
123456
user2
123456
user3
123456
#留一个空行,否则报错,可以验证一下4、生成数据文件
cd /etc/vsftpd/
db_load -T -t hash -f virtusers virtusers.db
#修改virtusers.db的用户及组为宿主的用户及组
chown testftp:testftp virtusers.db
#修改virtusers.db的权限,敏感文件只允许宿主读写
chmod 600 virtusers.db5、建立配置文件
根据vsftpd.conf文件中user_config_dir=/etc/vsftpd/vconf的配置,在/etc/vsftpd/目录创建vconf目录,目录里面存放各个虚拟用户单独的配置文件。
#创建vconf目录
mkdir /etc/vsftpd/vconf
#创建虚拟用户单独的配置文件,ftptest为virtusers中配置的用户名
touch /etc/vsftpd/vconf/ftptest配置示例:
#指定此虚拟用户的家目录
local_root=/home/testftp/ftp-file
#设定不允许匿名用户访问
anonymous_enable=NO
#设定允许写操作
write_enable=YES
#设定上传文件权限掩码
local_umask=022
#设定不允许匿名用户上传
anon_upload_enable=NO
#设定不允许匿名用户建立目录
anon_mkdir_write_enable=NO
#设定空闲连接超时时间
idle_session_timeout=600
#设定单次连续传输最大时间
data_connection_timeout=120
#设定并发客户端访问个数
max_clients=10
#设定单个客户端的最大线程数,这个配置主要来照顾Flashget、迅雷等多线程下载软件
max_per_ip=5
#设定该用户的最大传输速率,单位b/s
local_max_rate=1024000
重启FTP服务
systemctl restart vsftpd
systemctl stop vsftpd
systemctl start vsftpd
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
