CentOS搭建Vsftpd服务器

转自：http://alca0126.blog.51cto.com/7826974/1754906

一、安装vsftpd服务相关组件

需要安装组件vsftpd pam db4 db4-utils

[root@CentOS /]# yum -y install vsftpd*  db4-*

二、建立帐户

建立Vsftpd服务的宿主用户：

[root@CentOS /]#useradd vsftpd -s /sbin/nologin

默认Vsftpd的服务宿主用户是root，但是这不符合安全性的需要。这里建立名字为vsftpd的用户，用它来作为支持Vsftpd的服务宿主用户。由于该用户仅用来支持Vsftpd服务用，没有许可它登陆系统的必要，并设定它为不能登陆系统的用户。

建立Vsftpd虚拟宿主用户：

[root@CentOS /]#useradd ftpuser -s /sbin/nologin

主要是介绍Vsftp的虚拟用户，虚拟用户并不是系统用户，也就是说这些FTP的用户在系统中是不存在的。他们的总体权限其实是集中寄托在一个在系统中的某一个用户身上的，所谓Vsftpd的虚拟宿主用户，就是这样一个支持着所有虚拟用户的宿主用户。由于他支撑了FTP的所有虚拟的用户，那么他本身的权限将会影响着这些虚拟的用户，因此，处于安全性的考虑，也要非分注意对该用户的权限的控制，该用户也绝对没有登陆系统的必要，这里也设定他为不能登陆系统的用户。

三、调整Vsftpd的配置文件：

编辑配置文件前先备份

[root@CentOS /]#cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.backup

编辑主配置文件Vsftpd.conf

[root@CentOS /]# vi /etc/vsftpd/vsftpd.conf

原配置文件的修改完全记录，凡是修改的地方都会保留注释原来的配置。原本英语的说明我也不***，供参考对比用。———————————————————————————————————————

# Example config file /etc/vsftpd/vsftpd.conf
#

# The default compiled in settings are fairlyparanoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#

# READ THIS: This example file is NOT anexhaustive list of vsftpd options.

# Please read the vsftpd.conf.5 manual page toget a full idea of vsftpd’s

# capabilities.

#

# Allow anonymous FTP? (Beware – allowed bydefault if you comment this out).

#anonymous_enable=YES

anonymous_enable=NO

设定不允许匿名访问

#

# Uncomment this to allow local users to login.

 local_enable=YES

设定本地用户可以访问。注意：主要是为虚拟宿主用户，如果该项目设定为NO那么所有虚拟用户将无法访问。

#

# Uncomment this to enable any form of FTPwrite command.

 write_enable=YES

设定可以进行写操作。

#

# Default umask for local users is 077. You maywish to change this to 022,

# ifyour users expect that (022 is used by most other ftpd’s)

 local_umask=022

设定上传后文件的权限掩码。

#

# Uncomment this to allow the anonymous FTPuser to upload files. This only

# has an effect if the above global write enableis activated. Also, you will

# obviously need to create a directory writableby the FTP user.

#anon_upload_enable=YES

anon_upload_enable=NO

禁止匿名用户上传。

#

# Uncomment this if you want the anonymous FTPuser to be able to create

# new directories.

#anon_mkdir_write_enable=YES

anon_mkdir_write_enable=NO

禁止匿名用户建立目录。

#

# Activate directory messages – messages givento remote users when they

# go into a certain directory.

dirmessage_enable=YES

设定开启目录标语功能。

#

# Activate logging of uploads/downloads.

xferlog_enable=YES

设定开启日志记录功能。

#

# Make sure PORT transfer connections originatefrom port 20 (ftp-data).

connect_from_port_20=YES

设定端口20进行数据连接。

#
# If you want, you can arrange for uploaded anonymous files to be owned by

# a different user. Note! Using “root” foruploaded files is not

# recommended!

#chown_uploads=YES

chown_uploads=NO

设定禁止上传文件更改宿主。

#chown_username=whoever

#

# You may override where the log file goes ifyou like. The default is shown

# below.

xferlog_file=/var/log/vsftpd.log

设定Vsftpd的服务日志保存路径。注意，该文件默认不存在。必须要手动touch出来，并且由于这里更改了Vsftpd的服务宿主用户为手动建立的Vsftpd。必须注意给与该用户对日志的写入权限，否则服务将启动失败。

#

# If you want, you can have your log file instandard ftpd xferlog format

xferlog_std_format=YES

设定日志使用标准的记录格式。

#

# You may change the default value for timingout an idle session.

#idle_session_timeout=600

设定空闲连接超时时间，这里使用默认。将具体数值留给每个具体用户具体指定，当然如果不指定的话，还是使用这里的默认值600，单位秒。

#

# You may change the default value for timingout a data connection.

#data_connection_timeout=120

设定单次最大连续传输时间，这里使用默认。将具体数值留给每个具体用户具体指定，当然如果不指定的话，还是使用这里的默认值120，单位秒。

#

# It is recommended that you define on yoursystem a unique user which the

# ftp server can use as a totally isolated andunprivileged user.

#nopriv_user=ftpsecure

nopriv_user=vsftpd

设定支撑Vsftpd服务的宿主用户为手动建立的Vsftpd用户。注意，一旦做出更改宿主用户后，必须注意一起与该服务相关的读写文件的读写赋权问题。比如日志文件就必须给与该用户写入权限等。

#

# Enable this and the server will recogniseasynchronous ABOR requests. Not

# recommended for security (the code isnon-trivial). Not enabling it,

# however, may confuse older FTP clients.

async_abor_enable=YES

设定支持异步传输功能。

#

# By default the server will pretend to allowASCII mode but in fact ignore

# the request. Turn on the below options tohave the server actually do ASCII

# mangling on files when in ASCII mode.

# Beware that on some FTP servers, ASCIIsupport allows a denial of service

# attack (DoS) via the command “SIZE /big/file”in ASCII mode. Vsftpd

# predicted this attack and has always beensafe, reporting the size of the

# raw file.

# ASCII mangling is a horrible feature of theprotocol.

ascii_upload_enable=YES

ascii_download_enable=YES

设定支持ASCII模式的上传和下载功能。

#

# You may fully customise the login bannerstring:

ftpd_banner=This Vsftp server supports virtual users

设定Vsftpd的登陆标语。

#

# You may specify a file of disallowedanonymous e-mail addresses. Apparently

# useful for combatting certain DoS attacks.

#deny_email_enable=YES

# (default follows)

#banned_email_file=/etc/vsftpd/banned_emails

#

# You may specify an explicit list of localusers to chroot() to their home

# directory. If chroot_local_user is YES, thenthis list becomes a list of

# users to NOT chroot().

#chroot_list_enable=YES

chroot_list_enable=NO

禁止用户登出自己的FTP主目录。

# (default follows)

#chroot_list_file=/etc/vsftpd/chroot_list

#

# You may activate the “-R” option to thebuiltin ls. This is disabled by

# default to avoid remote users being able tocause excessive I/O on large

# sites. However, some broken FTP clients suchas “ncftp” and “mirror” assume

# the presence of the “-R” option, so there isa strong case for enabling it.

#ls_recurse_enable=YES

ls_recurse_enable=NO

禁止用户登陆FTP后使用”ls -R”的命令。该命令会对服务器性能造成巨大开销。如果该项被允许，那么挡多用户同时使用该命令时将会对该服务器造成威胁。

# When “listen” directive is enabled, vsftpdruns in standalone mode and

# listens on IPv4 sockets. This directivecannot be used in conjunction

# with the listen_ipv6 directive.

listen=YES

设定该Vsftpd服务工作在StandAlone模式下。顺便展开说明一下，所谓StandAlone模式就是该服务拥有自己的守护进程支持，在ps -A命令下我们将可用看到vsftpd的守护进程名。如果不想工作在StandAlone模式下，则可以选择SuperDaemon模式，在该模式下 vsftpd将没有自己的守护进程，而是由超级守护进程Xinetd全权代理，与此同时，Vsftp服务的许多功能将得不到实现。

#

# This directive enables listening on IPv6sockets. To listen on IPv4 and IPv6

# sockets, you must run two copies of vsftpdwhith two configuration files.

# Make sure, that one of the listen options iscommented !!

#listen_ipv6=YES

pam_service_name=vsftpd
设定PAM服务下Vsftpd的验证配置文件名。因此，PAM验证将参考/etc/pam.d/下的vsftpd文件配置。

userlist_enable=YES

设定userlist_file中的用户将不得使用FTP。

tcp_wrappers=YES

设定支持TCP Wrappers。

#KC: The following entries are added forsupporting virtual ftp users.

以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，需要自己手动添加配置。

guest_enable=YES

设定启用虚拟用户功能。

 guest_username=ftpuser

指定虚拟用户的宿主用户。

 virtual_use_local_privs=YES

设定虚拟用户的权限符合他们的宿主用户。

user_config_dir=/etc/vsftpd/vconf

设定虚拟用户个人Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每个Vsftp虚拟用户个性的配置文件，一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。

————————————————————————-———————————————————

保存退出。

四、建立Vsftpd的日志文件，并更该属主为Vsftpd的服务宿主用户：

[root@CentOS /]#touch /var/log/vsftpd.log

[root@CentOS /]#chown vsftpd.vsftpd /var/log/vsftpd.log

五、建立虚拟用户配置文件存放路径：

[root@CentOS /]# mkdir /etc/vsftpd/vconf/

六、制作虚拟用户数据库文件

先建立虚拟用户名单文件：

[root@CentOS /]#touch /etc/vsftpd/virtusers

建立了一个虚拟用户名单文件，这个文件就是来记录vsftpd虚拟用户的用户名和口令的数据文件，我这里给它命名为virtusers。为了避免文件的混乱，我把这个名单文件就放置在/etc/vsftpd/下。

编辑虚拟用户名单文件：

[root@CentOS /]#vi /etc/vsftpd/virtusers

—————————-————————-————————-————————-————————-—

ftpuser01

123456

ftpuser02

123456

ftpuser03

123456

—————————-————————-————————-————————-————————-—

编辑这个虚拟用户名单文件，在其中加入用户的用户名和口令信息。格式很简单：“一行用户名，一行口令”。

 

生成虚拟用户数据文件：

[root@CentOS /]#db_load -T -t hash -f/etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

察看生成的虚拟用户数据文件

[root@CentOS /]# ll /etc/vsftpd/virtusers.db

-rw-r–r– 1 root root 12288 Sep 16 03:51/etc/vsftpd/virtusers.db

需要特别注意的是，以后再要添加虚拟用户的时候，只需要按照“一行用户名，一行口令”的格式将新用户名和口令添加进虚拟用户名单文件。但是光这样做还不够，不会生效的哦！还要再执行一遍“ db_load -T -t hash -f 虚拟用户名单文件虚拟用户数据库文件.db ”的命令使其生效才可以！

七、设定PAM验证文件，并指定虚拟用户数据库文件进行读取

察看原来的Vsftp的PAM验证配置文件：

[root@CentOS /]#cat /etc/pam.d/vsftpd

—————————————————————————————————-—————————-

#%PAM-1.0

session   optional     pam_keyinit.so    force revoke

auth      required     pam_listfile.so item=user sense=denyfile=/etc/vsftpd/ftpusers onerr=succeed

auth      required     pam_shells.so

auth      include      system-auth

account   include      system-auth

session   include      system-auth

session   required     pam_loginuid.so

——————————————————————————————————————————--

在编辑前做好备份：

[root@CentOS /]#cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup

编辑Vsftpd的PAM验证配置文件

[root@CentOS /]#vi /etc/pam.d/vsftpd

#%PAM-1.0

auth   sufficient     /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

account sufficient     /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

以上两条是手动添加的，内容是对虚拟用户的安全和帐户权限进行验证。这里的auth是指对用户的用户名口令进行验证。这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。其后的sufficient表示充分条件，也就是说，一旦在这里通过了验证，那么也就不用经过下面剩下的验证步骤了。相反，如果没有通过的话，也不会被系统立即挡之门外，因为sufficient的失败不决定整个验证的失败，意味着用户还必须将经历剩下来的验证审核。

再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。（注：如果是64位操作系统lib=lib64）

另外，如果是虚拟用户登录出现503错误，有可能是防火墙或者selinux设置，另外就是注释 /etc/pam.d/vsftpd除vsftpd验证的其他所有行！

八、虚拟用户的配置

 

规划好虚拟用户的主路径：

[root@CentOS /]#mkdir /opt/vsftp/

建立测试用户的FTP用户目录：

[root@CentOS /]#mkdir /opt/vsftp/kanecruise/ /opt/vsftp/mello/ /opt/vsftp/near/

建立虚拟用户配置文件模版：

[root@CentOS /]#cp /etc/vsftpd/vsftpd.conf.backup /etc/vsftpd/vconf/vconf.tmp

定制虚拟用户模版配置文件：

[root@CentOS /]#vi /etc/vsftpd/vconf/vconf.tmp

local_root=/opt/vsftp/virtuser

指定虚拟用户的具体主路径。

anonymous_enable=NO

设定不允许匿名用户访问。

write_enable=YES

设定允许写操作。

local_umask=022

设定上传文件权限掩码。

anon_upload_enable=NO

设定不允许匿名用户上传。

anon_mkdir_write_enable=NO

设定不允许匿名用户建立目录。

idle_session_timeout=600

设定空闲连接超时时间。

data_connection_timeout=120

设定单次连续传输最大时间。

max_clients=10

设定并发客户端访问个数。

max_per_ip=5

设定单个客户端的最大线程数，这个配置主要来照顾Flashget、迅雷等多线程下载软件。

local_max_rate=50000

设定该用户的最大传输速率，单位b/s。

——————————–————————————————————————————————

这里将原vsftpd.conf配置文件经过简化后保存作为虚拟用户配置文件的模版。这里将并不需要指定太多的配置内容，主要的框架和限制交由Vsftpd 的主配置文件vsftpd.conf来定义，即虚拟用户配置文件当中没有提到的配置项目将参考主配置文件中的设定。而在这里作为虚拟用户的配置文件模版只需要留一些和用户流量控制，访问方式控制的配置项目就可以了。这里的关键项是local_root这个配置，用来指定这个虚拟用户的FTP主路径。

更改虚拟用户的主目录的属主为虚拟宿主用户：

[root@CentOS /]#chown -R ftpuser.ftpuser /opt/vsftp/

检查权限：

[root@CentOS /]#ll /opt/vsftp/

total 24

drwxr-xr-x 2 ftpuser.ftpuser  4096 Sep 16 05:14 ftpuser01

drwxr-xr-x 2 ftpuser.ftpuser  4096 Sep 16 05:00 ftpuser02

drwxr-xr-x 2 ftpuser.ftpuser  4096 Sep 16 05:00 ftpuser03

九、给测试用户定制：

 从虚拟用户模版配置文件复制：

[root@CentOS /]#cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/ftpuser01

针对具体用户进行定制：

[root@CentOS /]#vi /etc/vsftpd/vconf/ftpuser01

———————————————————————————————————————————

local_root=/opt/vsftp/ftpuser01

anonymous_enable=NO

write_enable=YES

local_umask=022

anon_upload_enable=NO

anon_mkdir_write_enable=NO

idle_session_timeout=300

data_connection_timeout=90

max_clients=1

max_per_ip=1

local_max_rate=25000

十、启动服务：

[root@CentOS /]#service vsftpd start

Starting vsftpd forvsftpd:                               [ OK ]

如果想把虚拟用户锁定在其用户根目录请在/etc/vsftpd/配制vsftpd.conf

第一种方法：

chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
然后，在/etc/vsftpd.chroot_list文件中加入虚拟用户名。

第二种方法:

在配置文件中修改chroot_local_user=YES。