要求:vsftpd 要求配置成只读,锁定用户在home,非匿名访问
第一步:下载vsftpd的RPM包并安装
你可以从下面两个地方获得最新的vsftpd的RPM包 Redhat's rpm collection 或者 rpmfind.net.为了你的方便, 你也可以使用wget下载vsftpd的rpm包到你的本地电脑.
一但有了vsftpd的RPM包,你就可以安装它.
我是直接在安装光盘上找的,这样保险点,因为我下的几个版本都装不上。
安装
#rpm -Uvh vsftpd-1.1.3-8.i386.rpm
就这样. Vsftpd现在正式安装.
第二步:启动并进行测试
vi /etc/vsftpd/vsftpd.conf
修改下面一行, 或者查看文件确定存在下面一行:
listen=YES
保存并退出.
现在来启动vsftpd...
/usr/sbin/vsftpd &
现在来用ftp命令至你的服务器. 你可以看到如下面这下样的成功登陆后的会话信息:
[root@localhost nibj]# ftp localhost
Connected to localhost.localdomain.
220 (vsFTPd 2.0.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (localhost:root): nibj
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (127,0,0,1,124,161)
150 Here comes the directory listing.
drwxr-xr-x 12 501 20 4096 Nov 28 02:17 httpd-2.2.6
-rw-r--r-- 1 0 0 30597120 Nov 27 08:35 httpd-2.2.6.tar
drwxrwxrwx 39 503 100 4096 Nov 27 07:26 mysql-5.0.27
-rw-r--r-- 1 0 0 25867740 Nov 27 06:59 mysql-5.0.27.tar.gz
-rw-r--r-- 1 0 0 12046184 Nov 28 02:19 php-5.2.6.tar.gz
-rw-r--r-- 1 0 0 128155 Feb 02 2007 vsftpd-2.0.1-5.EL4.5.x86_64.rpm
226 Directory send OK.
ftp>
出现这样服务就基本上没有什么问题了,在看看我们的要求,继续做。
第三步:修改vsftpd主配置文件
vsftpd主要配置应该是在:/etc/vsftpd.conf.也可能在/etc/ vsftpd/vsftpd.conf下. 这个文件将决定如何对你的vsftpd FTP服务器进行操作. 你必须在vsftpd.conf中查找是否包含下面的配置选项。我虽然不能讲诉所有的选面,但是列表中列出来了vsftpd配置的重要部分 :
anonymous_enable=NO/YES #是否匿名访问
这个开关用于开启FTP的匿名访问. 如果将该选项打开,那么请按照第三步的方法进行匿名匿名服务的配置. 如果你不清楚什么是匿名FTP服务,最好把该选项选项设置为“ON”
local_enable=NO/YES
启用或禁用这个选项,可以使本地系统用户FTP至你的服务器. 典型的FTP服务器会将其设置为"YES". 我认为只有一种可以选"NO",
write_enable=NO/YES #设置读写功能
启用或禁用FTP的写入功能.你必须将其设置为"YES" .
local_umask=022 (或者根据你的需要设置)
vsftpd默认的umask为:077. 它决定目录和文件被创建时得到的初始权限
xferlog_enable=YES
这个选项是启用或禁用服务器的上传&下载日志记录.
ftpd_banner=Welcome to blah FTP service
没有任何形式来界定该选项, 但它可以为你的FTP服务器定制一个更加友好的问候.
chroot_list_enable=NO/YES
chroot_list_file=/etc/vsftpd.chroot_list
这是一个对于开启了"chroot"选项相当重要的功能. 当 "chroot_list_enable" 设置为"YES"时, vsftpd会寻找在 "chroot_list_file"指定的下一行位置. 被列出在"/etc/vsftpd.chroot_list" 文件中的任何用户,会自动的"chrooted"至他们的主目录. 这将禁止用户进入除了他或她们用户主目录之外的任何位置. 非常适用于共享的FTP环境或者安全与保密性一般的层面.
userlist_enable=NO/YES
userlist_deny=NO/YES
"userlist_enable"选项是用于控制下面两个文件中其中的一个: vsftpd.ftpusers和 vsftpd.user_list.如果这个选项设置为 "YES", 这两个文件将列出用户名单将允许访问FTP服务. 不管怎样,当额外加上"userlist_deny=YES"时,这两个文件将列出用户名单将不允许访问FTP服务.这个选项是一个非常有用的彻底拒绝通过ftp获取关键系统用户的功能.比如"root"或"apche"或"www"这样的用户. 对于你的FTP服务器的安全是一个非常好的用途.
第四步: vsftpd.ftpusers, vsftpd.user_list 配置文件
这两个文件直接与/etc/vsftpd.conf配置文件中的""userlist_enable" 和"userlist_deny"选项关联.当"userlist_enable"选项设置为 "YES"时, 这两个文件列表中的用户将允许访问FTP服务器. 不管怎样, 当额外加上"userlist_deny=YES"选项时,这两个文件列表中的用户将不允许访问FTP服务器. 当"userlist_deny"选项被使用时,决定一个有户是否被FTP服务拒绝,主要取决于它存在于上述两个文件中的其中的哪一个.
如果一个用户同时存在于"vsftpd.user_list"与"userlist_deny",当用户试图连接FTP服务器时,它们在开始请求FTP连接时 得不到密码提示并会被拒绝.
如果一个用户同时存在于"vsftpd.user_list"与"userlist_deny", 用户必须登陆后更改这一密码提示.
就个人而言, 我更喜欢使用 "vsftpd.user_list"来建立用户列表(root, apache, www, nobody等等.) 如果有谁从未见到密码提示,那么他应该进行FTP的初始化连接.
第五步: vsftpd.chroot_list 配置文件
"vsfrtpd.chroot_list", 当启用"chroot_list_enable"选项时, 为FTP建立的用户列表文件,不管是谁,都必须被 "chrooted"至主FTP目录. 那些用户不能改变路径到其它用户目录.在保密性较强的公共FTP环境中,这是一个非常不错的功能.
在任何时间你都可以改变你的配置文件, 并确认后重启vsftpd!
Service vsftpd start / restart
就这么简单. 这里还有其它很多选项,可以根据你的需求,进行补充, 到此你就已经可以配置了一部大体上比较安全的FTP服务器.
注意:第四步和第五步根据情况来做,我一般不做。