需求:

在ubuntu14.04机器上搭建ftp服务,ftp账号通过winscp软件登录后,仅可增删改/data/wwwroot目录。

一、安装步骤

1、apt 安装vsftpd

apt-get install vsftpd

2、设置ftp账号密码

passwd ftp -s "ftp passwd"

3、按需求更改/etc/vsftpd.conf

listen=YES  #被动模式

anonymous_enable=NO #不允许匿名用户登录FTP

local_enable=YES  

write_enable=YES

local_umask=022

dirmessage_enable=YES

use_localtime=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_file=/var/log/vsftpd.log

ftpd_banner=Welcome to blah FTP service.

chroot_local_user=YES

local_root=/data/wwwroot

chroot_list_file=/etc/vsftpd.chroot_list

secure_chroot_dir=/var/run/vsftpd/empty

pam_service_name=vsftpd

userlist_enable=YES

userlist_file=/etc/vsftpd.userlist  #仅供文件内的用户登录

userlist_deny=NO

pasv_enable=YES

pasv_min_port=40000  #最小端口

pasv_max_port=40050  #最大端口

port_enable=YES

#pasv_address=x.x.x.x

#pasv_addr_resolve=NO

allow_writeable_chroot=YES

4、设置开放目录的权限和属主

chown -R ftp:ftp /data/wwwroot

chmod 755 /data/wwwroot

5、重启vsftpd

service vsftpd start

6、本机测试

如果报错则根据报错信息进行检测

7、设置机器防火墙

开放端口: 21、20、pasv_min_port - pasv_max_port

8、winscp测试

二、组织目录结构

三、写ansible yaml剧本

tasks/main.yaml

---

 - name: Apt-get vsftpd

   apt:

    name: vsftpd

    update_cache: yes

 - name: Change name of vsftpd.conf orignal

   shell: cp vsftpd.conf vsftpd.conf.orig -f

   args:

     chdir: /etc

     warn: no

 - name: Modify pam check mod

   shell: sed -i "s@pam_shells.so@pam_nologin.so@g" /etc/pam.d/vsftpd    #fix 503  Login incorrect

 - name: Copy configs

   copy: src=config/ dest=/etc/ owner=root group=root mode=644

 - name: Set ftp passwd

   user: name=ftp password={{ftp_pass | password_hash('sha512')}} update_password=always

 - name: Set dir mode

   file: path=/data/wwwroot/PapaSG2/  owner=ftp  group=ftp  mode='0644'

 - name: Start vsftpd

   service: name=vsftpd  state=started

  vsftpd.userlist

ftp

四、报错和解决方案

1、无法登录

1)检查账号、密码、防火墙、主目录

防火墙需要将 21,asv_min_port - pasv_max_port 端口都开放

主目录的权限需要设为755

2、530 Login incorrect

1)/etc/vsftpd.conf文件 将pam_service_name=vsftpd 修改为 pam_service_name=ftp

绕过了PAM,其实并不对,同理是将/etc/pam.d/vdstpd重命名

2)/etc/pam.d/vsftpd分析

# Standard behaviour for ftpd(8).

auth   required        pam_listfile.so item=user sense=deny file=/etc/ftpusers   @1

onerr=succeed

# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.

# Standard pam includes

@include common-account

@include common-session

@include common-auth

auth   required        pam_shells.so  @2

  @1:/etc/ftpusers 中的用户禁止登陆,如果文件不存在在默认所有用户均允许登录. 所以确保用户没在这个文件内

@2:仅允许用户的shell为 /etc/shells 文件内的shell命令时,才能够成功。而创建ftp用户时,为了禁止ssh登录,一般多为/bin/false 、/usr/sbin/nologin 等,显然不是一个有效的bash,也就无法登录了。

解决方案:

确认ftp不在/etc/ftpusers, sed -i "s@pam_shells.so@pam_nologin.so@g" /etc/pam.d/vsftpd, 重启vsftpd

3、vsftpd respawning too fast, stopped

环境: ubuntu 12.04   vsftpd v2.3.5

>service vsftpd start

vsftpd start/pre-start, process 19503   #启动失败

>tail /var/log/syslog -n 10

>vsftpd  #不能启动的时候可以直接启动,方便定位原因

500 OOPS: unrecognised variable in config file: allow_writeable_chroot
>grep allow_writeable_chroot /etc/vsftpd.conf

allow_writeable_chroot=YES

>sed -i "@allow_writeable_chroot=YES@#allow_writeable_chroot=YES@g" /etc/vsftpd.conf

>service vsftpd start

vsftpd start/running, process 19652

4、500 OOPS: child died

500 OOPS: vsftpd: refusing to run with writable root inside chroot ()

前者是默认报错,后者是更具体的报错,意思是不能使用chroot限制可写的根目录

环境: ubuntu 12.04   vsftpd v2.3.5

>ftp localhost

Connected to localhost.
220 Welcome to blah FTP service.
Name (localhost:root):

本来以为这样就Ok了,然后使用winscp去连接,却报错:500 OOPS: child died

1)有的解决方案是说关闭selinux,或者是开启ftp_home_dir 或者 tftpd_disable_trans

但是我使用的是云主机,本身selinux就是关闭的,基础项check过都是ok的

2)vsftpd从v2.3.5版本开始,取消了根目录的可写权限

看了下vsftpd的更新日志:

Add stronger checks for the configuration error of running with a writeable root directory inside a chroot(). This may bite people who carelessly turned on chroot_local_user but such is life.

解决方案A: > chmod a - w   /$local_root

解决方案B:> echo "allow_writeable_chroot=YES"  >> /etc/vsftpd.conf

A方案可行,可以将根目录包一层,不影响具体的业务使用

local_root设置为test, nginx root 设为t, t目录权限设为可写

B方案,vsftpd启动失败,会报3号错。

但是网上也有说以下方案是ok的,也许是我这里安装vsftpd的问题。因为当前只需要可读就成了,就没往下测试。有兴趣的可以尝试下。

$ apt-get install python-software-properties

$ sudo add-apt-repository ppa:thefrontiergroup/vsftpd

$ sudo apt-get update

$ sudo apt-get install vsftpd

$ vim /etc/vsftpd.conf and add the following

  chroot_local_user=YES

  allow_writeable_chroot=YES

$ sudo service vsftpd restart

参考文档:

https://www.jianshu.com/p/91c7d4a115e0

[vsftpd] ubuntu14.04 ansible剧本安装vsftpd流程及报错排查的更多相关文章

  1. nvm安装node流程及报错解决

    第一步:下载NVM下载nvm并解压 nvm-window 下载地址:https://github.com/coreybutler/nvm-windows/releases 下载文件,然后解压得到nvm ...

  2. Ubuntu14.04 Django Mysql安装部署全过程

    Ubuntu14.04 Django Mysql安装部署全过程   一.简要步骤.(阿里云Ubuntu14.04) Python安装 Django Mysql的安装与配置 记录一下我的部署过程,也方便 ...

  3. Ubuntu14.04(64位)安装ATI_Radeon_R7_M265显卡驱动

    电脑型号:Dell inspiron 14-5447 笔记本 显卡配置:集成显卡Intel核心显卡,Cpu是i5-4210U;独立显卡ATI_Radeon_R7_M265 网上关于ATI/Intel双 ...

  4. ubuntu14.04下手动安装eclipse

    ubuntu14.04下手动安装eclipse 第一步: 安装jdk 第二步: 下载eclipse,假设下载的文件文件名为eclipse.tar.gz 第三步: 解压 sudo -zxvf ./ecl ...

  5. ubuntu14.04 下手动安装java jdk

    ubuntu14.04 下手动安装java jdk 第一步: 下载jdk.tar.gz (这里假设下载的文件名为jdk.tar.gz) 第二步: 解压 sudo tar -zxvf ./jdk.tar ...

  6. ubuntu14.04下编译安装ambari-2.4.2.0

    ubuntu14.04下编译安装ambari-2.4.2.0 编译前的准备工作 准备工作有: 系统参数 系统依赖(编译环境) 离线安装包 java环境 maven环境 Nodejs环境 git环境 a ...

  7. ubuntu14.04 64位 安装Tomcat

    ubuntu14.04 64位 安装Tomcat 1 下载Tomcat 在htt://www.tomcat.apache.org官网上下载apache-tomcat-7.0.57.tar.gz 2 解 ...

  8. ubuntu14.04 64位 安装eclipse

    ubuntu14.04 64位 安装eclipse 1 在官网上下载eclipse http://www.eclipse.org/downloads/下载eclipse-jee-luna-SR1-li ...

  9. ubuntu14.04 64位 安装JDK1.7

    ubuntu14.04 64位 安装JDK1.7 1 新建文件夹 youhaidong@youhaidong:~$ sudo mkdir /usr/lib/jvm 2 解压文件 youhaidong@ ...

随机推荐

  1. VS.NET(C#)--1.4项目与解决方案

    项目与解决方案 项目 除创建网站,VS2005可创建项目.然后把项目放入解决方案中.VS2005可编译很多类型项目,分别是: 1.Windows应用程序 --在用戶计算机上运行的客户端应用程序,可显示 ...

  2. CentOS 6.5 iptables原理详解以及功能说明

    CentOS 6.5 iptables原理详解以及功能说明 来源 https://blog.51cto.com/tanxw/1389114 前言 iptables其实就是Linux下的一个开源的信息过 ...

  3. 用python爬取豆瓣电影Top 250

    首先,打开豆瓣电影Top 250,然后进行网页分析.找到它的Host和User-agent,并保存下来. 然后,我们通过翻页,查看各页面的url,发现规律: 第一页:https://movie.dou ...

  4. 【转载】 C#使用String.Format拼接字符串

    在C#程序开发过程中,很多时候会使用字符串拼接,最简单的字符串拼接操作就是所有的字符串使用加号+相加连接起来,但这种代码形式非常不适合代码维护阅读,尤其是拼接字符串语句比较复杂的时候,如拼接SQL语句 ...

  5. jQuery笔试题汇总整理

    1 你在公司是怎么用jquery的? 答:在项目中是怎么用的是看看你有没有项目经验(根据自己的实际情况来回答) 你用过的选择器啊,动画啊,表单啊,ajax事件等 配置Jquery环境 下载jquery ...

  6. vbox 网络配置

    vagrant主机与虚拟机通讯网络有两种模式: config.vm.network "private_network", ip: "192.168.33.10" ...

  7. Python标准库3.4.3-random

    9.6. random — Generate pseudo-random numbers Source code: Lib/random.py  翻译:Z.F. This module impleme ...

  8. 【OF框架】缓存Session/Cookies/Cache代码调用api,切换缓存到Redis

    准备 缓存服务在应用开发中最常用的功能,特别是Session和Cookies,Cache部分业务开发过程会使用到. 在负载均衡环境下,缓存服务需要存储到服务器. 缓存默认实现在内存在,可以通过配置切换 ...

  9. 多个ip地址匹配正则表达式

    匹配规则:多个ip地址使用,号进行分割 例如:1.1.1.1,2.2.2.2var iplist =/^((25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))\.){3}( ...

  10. 双端循环列表实现栈(python)

    # -*- coding: utf-8 -*- from collections import deque class Node(object): def __init__(self, value=N ...