说明:VSFTPD这款软件,网上和书里有很多配置文章,但不一定适用于您的主机,不同版本默认值不一样,我现在使用的是vsftpd-2.0.5-12.el5_3.1。
千万记住:修改配置文件后,必须重新启动服务!!!

登录FTP有三种方式,匿名登录、本地用户登录和虚拟用户登录。

匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。
本地用户登录:使用系统用户登录,在/etc/passwd中。
虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户登录FTP,只能访问FTP服务器提供的资源,大大增强了系统的安全。

1、允许匿名上传:
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
可见,几乎没有对默认值作任何改动,就是打开了anon_upload_enable=YES
这是成功的第一步,接下来,必须要注意:
在pub下新建一个目录mypub
chmod o+w mypub
注意,目录必须other可以w,尤其是必须有可写和可执行权限,否则进不到目录中,原因在于目录和文件的权限意义不同。这方面的内容请参考基础知识。
如不能上传,请将防火墙和SELinux关闭即可。
这样就能够匿名访问,并上传文件了,此外还能够创建文件夹。

2、允许匿名上传、下载:
加入:
anon_umask=022,
这样上传的文件才能是-rw-r--r-- ,而非-rw-------。这很重要。
于是就能下载-rw-r--r--属性的文件了。
但是,刚才有的-rw-------属性的文件怎么办呢?能不能改成-rw-r--r--呢?其实是可以的,只能靠主服务器用户更改了,尤其是root。在ftp里是改不了的。
但是不是什么都不能改,比如加入:
anon_other_write_enable=YES
现在用ftp对服务器上的文件进行删除、更名就可以了。

3、本地账号登录:
首先,禁用匿名登录,修改配置文件,注释掉所有的anon行。
#anonymous_enable=YES
#anon_world_readable_only=YES
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
#anon_umask=022
#anon_other_write_enable=YES
其次,准备开放指定用户
该步骤就是向系统说明那些用户可以登录,那些则不能登录。
/etc/vsftpd/ftpusers  是禁止登录的用户文件
/etc/vsftpd/user_list  是允许登录的用户文件
在/etc/vsftpd/vsftpd.conf配置文件中进行修改,
userlist_enable=NO
然后,创建jinzhi写入ftpuser创建keyi写入user_list,创建yiban,不用做任何事情,但它们当然要设置密码了。
重启vsftp服务。
此时,jinzhi不能登录,是到输入密码后拒绝的。使用keyi和一般用户yiban都能正常进入。
注意:这里面说个细节,如果服务已经在运行,修改配置文件后,只有restart才能重新读取新值,重新执行start是不能的。当然也可以先stop,再start,这是可以的,如果你不嫌麻烦的话。
接着进行如下设置:
userlist_enable=YES
userlist_deny=NO
这里,local_enable=YES必须打开,PAM方式要求。否则会出现both local and anonymous access disabled!错误。
这时用jinzhi和yiban都不能登录,甚至连输入密码的地方都到不了就拒绝了。用keyi就能正常登录。
附带的说一下,如果把这两项都禁止,
#userlist_enable=YES
#userlist_deny=NO
效果和userlist_enable=NO是一样的。也就是说上两个的默认值是也。
如果:
userlist_enable=NO
#userlist_deny=NO
jinzhi到了输入密码后被拒绝,keyi、yiban却能正常登录。
所以应该这样理解,ftpuser文件不论什么情况下都是不能登录用户的名单。
现在又设置成:
userlist_enable=YES
userlist_deny=YES
jinzhi和keyi都不能登录,jinzhi到输入密码被拒,keyi连密码都不能输入就被拒了。而yiban能够登录成功。
回想
userlist_enable=YES
userlist_deny=NO
这种配置时,jinzhi和yiban都没到输入密码就拒了,keyi能够正常访问。
可以看出,userlist_deny控制的是user_list中以及一般用户的访问限制,它是一个两项AB开关,选择关B,则A开,把A关上,则B开。如果否决user_list访问,也即userlist_deny=YES,keyi则不能登录,一般的开关打开。如果开放userlist_deny=NO,则keyi能访问,而yiban被拒。
userlist_enable=NO
userlist_deny=NO
这时jinzhi不能进入,keyi和yiban都能登录。
userlist_enable=NO
userlist_deny=YES
和上面一样,jinzhi不能进入,keyi和yiban都能登录。
可见,只要是userlist_enable=NO,deny的值是没用的。这时只要不是在ftpusers里的用户都能访问。把enable开成YES,则deny开关才有用,而且只有deny才是真正控制访问的开关了。

现在到了开始总结的时候了:
1、不论何时,ftpusers里的清单都是绝对不能访问的,它是vsftpd的第一道关,即便是你把ftpusers里的人名放到了可访问的user_list中也是不行的,因为他没有过ftpusers,和ftpusers最大,有冲突得听它的。
2、和ftpusers没有冲突的,就是说不在ftpusers里的人名,分为两种:一个是user_list,一个是系统里别的用户名。和ftpusers没有冲突的这个大项的开关是userlist_enable,设为NO,就是不考虑user_list文件,就是不考虑细分,就是同时开放这两种小类型,说明只要不在黑名单里的人都能访问。
3、如果你又想细分,则打开开关userlist_enable=YES,在这个前提下,用单极开关userlist_deny控制user_list名单启用与否,deny=YES,则禁止user_list名单而开放系统其他用户,deny=NO,则开放user_list名单,而禁止系统其他用户。
4、所以,userlist_enable是“细不细分开关”,而userlist_deny是“如何细分开关”
现在大家能明白了吧?

此外,这时用户可以查看系统下的任意目录,非常不安全。怎么控制用户不能随意访问其它目录呢?
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
取消这两项前的#号,新建文件 vi /etc/vsftpd/chroot_list
写入两行,每行一个人名
keyi
yiban
保存,退出vi。重启服务,就可以了。

4、限制用户上传速度:
a、限制匿名上传:anon_max_rate=4000
b、限制本地帐号上传速度:local_max_rate=5000
4000和5000指4K和5k
c、针对不同用户设置不同速度:
编辑vsftp.conf增加 user_config_dir=/etc/vsftpd/userconf
再创建目录mkdir /etc/vsftpd/userconf
新建文件,并写入内容vi /etc/vsftpd/userconf/keyi
local_max_rate=30000
 
5、显示欢迎词
如果是单行很简短的话则很简单,在配置文件中设置ftpd_banner行即可
ftpd_banner=欢迎来到刘凯主机ftp
如果想显示多行,则加入
banner_file=/etc/vsftpd/banner_file,接着新建文件/etc/vsftpd/banner_file,写入你想说的话,重启服务即可,注意banner_file和ftpd_banner只显示其一,优先显示文件的。
我们可以在/var/ftp下的各个目录(包括/var/ftp)下建立.message文件,这样用户进入这个目录时vsftpd将显示.message的内容,你可以在这里面写上欢迎信息或者注意事项等等,让你的ftp更加个性化。
首先可以在公共目录/var/ftp/pub下建立一个.message文件,写入"你好",再将其拷贝至/home/keyi和/home/yiban下。将/home/yiban/.message改成“你不好”,于是当大家进入pub目录时提示“你好”,或当keyi进入自己目录时,提示“你好”,但yiban进入自己目录却提示“你不好”。
你想让谁登陆成功后在哪显示什么提示信息,就把.message文件放到什么目录下就OK了。
 
 
6、限定服务器的载荷量
首先是同一时刻总的联机数,使用max_clients设置,比如:max_clients = 1000,则当前最多处理1000个联机量。默认值为0,表示不限。
此外,有的人用个人PC大量恶意访问FTP服务器,使FTP服务器负载过重,这时使用max_per_ip选项就能解决。如设置max_per_ip = 1,则表示一个IP只能开一个访问。默认值为0,表示不限制,看来默认值是比较宽松的。
 
 
 
7、虚拟ftp用户设置
1. 添加虚拟用户口令文件vi /etc/vsftpd/login.txt
添加虚拟用户名和密码,一行用户名,一行密码,以此类推。奇数行为用户名,偶数行为密码。

laoda #用户名
11111 #密码
laoer #用户名
222222 #密码
2. 生成虚拟用户口令认证文件
将刚添加的login.txt虚拟用户口令文件转换成系统识别的口令认证文件。
默认没有安装db4-utils软件,用命令yum install db4-utils,安装完成后
cd /etc/vsftpd
使用db_load命令生成虚拟用户口令认证文件:
db_load -T -t hash -f login.txt login.db
3. 编辑vsftpd的PAM认证文件
在/etc/pam.d目录下,vi /etc/pam.d/vsftpd
将里面其他的都注释掉,添加下面这两行:
auth    required        /lib/security/pam_userdb.so     db=/etc/vsftpd/login
account required        /lib/security/pam_userdb.so     db=/etc/vsftpd/login
注意:它们中间的不是空格,都是一个tab。
4. 建立本地映射用户并设置宿主目录权限
所有的FTP虚拟用户需要使用一个系统用户,这个系统用户不需要密码。
useradd –d /home/vftpsite –s /sbin/nologin vftpuser
chmod 700 /home/vftpsite
5. 配置vsftpd.conf(设置虚拟用户配置项)
vi /etc/vsftpd/vsftpd.conf,增加:
guest_enable=YES #开启虚拟用户
guest_username=vftpuser #FTP虚拟用户对应的系统用户
pam_service_name=vsftpd #PAM认证文件
重启服务,就可以用虚拟用户登陆了。
 
8、使用quota为ftpuser加入磁盘限额,避免恶意垃圾数据塞满硬盘(略)

9、练习
练习一:
创建两个本地用户进行登录,zhangsan(123456)、lisi(654321,写入userlist中),进一步设定完成两种状态:zhangsan能登陆,lisi不行,限定zhangsan上传速度为3000;zhangsan和lisi都可以登录,限定lisi上传速度为4000。

练习二:
创建虚拟用户zhangsan(123456)、lisi(654321),使用虚拟用户进行登录,登录后显示提示:
“Attention 
cognitive
concentrating 
on one aspect of the environment”,设定每台电脑最多只能开2个访问,FTP主机同时最多处理100个并发访问。

Linux(CentOS)下的vsftpd服务器配置-五岳之巅的更多相关文章

  1. Linux(CentOS)下squid代理服务器配置-五岳之巅

    squid是linux下的一款代理服务器软件,他可以共享网络 ,加快访问速度,节约通信带宽,同时防止内部主机受到攻击,限制用户访问,完善网络管理 rpm -qa|grep squidyum insta ...

  2. Linux(CentOS)下的apache服务器配置与管理

    原文链接:http://blog.csdn.net/ylqmf/article/details/5291680 一.WEB服务器与Apache1.web服务器与网址 2.Apache的历史 3.补充h ...

  3. Linux/Centos下清理内存和Cache方法

    Linux/Centos下释放内存和缓存方法 $ free -m 运行sync将dirty的内容写回硬盘$ sync 通过修改proc系统的drop_caches清理free的cache$ echo ...

  4. Linux(CentOs)下安装Phantomjs + Casperjs

    Linux(CentOs)下安装Phantomjs + Casperjs 是参照cnMiss's Blog http://ju.outofmemory.cn/entry/70691的博客进行安装的 1 ...

  5. linux/centos下安装nginx(rpm安装和源码安装)详细步骤

    Centos下安装nginx rpm包                                                                                 ...

  6. 在Linux/Centos下用wondershaper限速

    wondershaper是国外人开发的一款在Linux内核下基于TC工具的对整块网卡的限度工具,虽然有很久没有更新了,但是测试老版本在Centos6.3上依然可以使用. 首先下载wondershape ...

  7. Linux Centos下查看cpu、磁盘、内存使用情况,关闭MySQL日志

    Linux Centos下查看cpu.磁盘.内存使用情况,关闭MySQL日志 lsblk 查看分区和磁盘df -h 查看空间使用情况fdisk -l 分区工具查看分区信息cfdisk /dev/sda ...

  8. Linux CentOS下Python+robot framework环境搭建

    Linux CentOS下Python+robot framework环境搭建   by:授客 QQ:1033553122 操作系统环境:CentOS 6.5-x86_64 下载地址:http://w ...

  9. linux/Centos下查看和修改网卡Mac地址(ifconfig命令)

    本文转载自http://www.169it.com/article/14360294838474691537.html linux/Centos下查看网卡Mac地址,输入命令: #ifconfig - ...

随机推荐

  1. Bookmarks www

    Bookmarks alexis- (Alex Incogito) - Repositories · GitHub GitHub - aetcnc-Arduino_DeltaHMI_RS485 Ope ...

  2. mui页面跳转

    $('.mui-title').on('click',function(){ mui.openWindow({ //跳转到指导信息页面 url:"/index.php?m=mobile&am ...

  3. php5和php7的异常处理机制 ----thinkphp5 异常处理的分析

    1.php异常和错误 在其他语言中,异常和错误是有区别的,但是PHP,遇见自身错误时,会触发一个错误,而不是跑出异常.并且,php大部分情况,都会触发错误,终止程序执行,在php5中,try catc ...

  4. poj 1742(好题,楼天城男人八题,混合背包)

    Coins Time Limit: 3000MS   Memory Limit: 30000K Total Submissions: 33269   Accepted: 11295 Descripti ...

  5. poj 2593&&poj2479(最大两子段和)

    Max Sequence Time Limit: 3000MS   Memory Limit: 65536K Total Submissions: 16850   Accepted: 7054 Des ...

  6. Valid Number——分情况讨论最经典的题(没细看)——这题必须静下心来好好看看

    Validate if a given string is numeric. Some examples: "0" => true " 0.1 " =&g ...

  7. Divide Two Integers——二分法的经典变形

    Divide two integers without using multiplication, division and mod operator. If it is overflow, retu ...

  8. Unique Binary Search Trees I&&II(II思路很棒)——动态规划(II没理解)

      Given n, how many structurally unique BST's (binary search trees) that store values 1...n? For exa ...

  9. yum 安装

    可以有两种方式:1.sudo yum install 然后输入root密码2.su root,输入密码然后yum install

  10. 原来Notepad++也有列模式(转)

    引子 一直在用Notepad++,小巧.顺手.偶尔使用UltraEdit来处理列模式:UE越来越大,启动时间太长,早都烦了.今天上网,偶然间看到,Notepad++也有列模式.拜拜UE,彻底删除你. ...