FTP实验

一.安装

sudo apt-get install vsftpd

service vsftpd start 启动vsftpd服务

如果在不设置任何的情况下，可以以匿名的方式访问该ftp。

这时候你可以试着访问下ftp://IP地 址。应该可以看到一个空白内容的ftp空间。

二. 修改配置文件

在安装好ftp会产生几个文件： 
/etc/vsftpd.conf 　主配置文件 
/etc/ftpusers 　　 指定哪些用户不能访问FTP服务器 
/etc/vsftpd.user_list 　　文件中指定的用户是否可以访问ftp服务器（由vsftpd.conf文件中的userlist_deny的取值来决定）

vsftpd.chroot_list

这几个文件就是整个ftp控制和禁止用户的权限配置。。。

注：每次更改完配置文件（/etc/vsftpd.conf） 都要重新启动 服务，要不然更改后的配 置不生效。

设置主配置文件

修改之前最好先备份下这个文件：cp /etc/vsftpd.conf /etc/vsftpd.conf.bak

参数内容

################# 匿名权限控制 ###############
anonymous_enable=YES　　#是否启用匿名用户
no_anon_password=YES　　# 匿名用户 login 时不询问口令

下面这四个主要语句控制这文件和文件夹的上传、下载、创建、删除和重命名。
anon_upload_enable= ( yes/no) ; # 控制匿名用户对文件(非目录)上传权限。
anon_world_readable_only= ( yes/no ); # 控制匿名用户对文件的下载权限
anon_mkdir_write_enable= ( yes/no ); # 控制匿名用户对文件夹的创建权限
anon_other_write_enable= ( yes/no ); # 控制匿名用户对文件和文件夹的删除和重命名
注:匿名用户下载是使用的是 nobody 这个用户,所以相应的 O 这个位置要有 R 权限才能被下载。若想让匿名用户能上传和删除权限,必需设置

write_enable=YES # 全局设置,是否容许写入(无论是匿名用户还是本地用户,若要启用上传权限的话,就要开启他)
anon_root=(none) # 匿名用户主目录
anon_max_rate =( 0 ) # 匿名用户速度限制
anon_umask =( 077 ) # 匿名用户上传文件时有掩码 ( 若想让匿名用户上传的文件能直接被匿名下载,就这设置这里为 073)
chown_uploads=YES # 所有匿名上传的文件的所属用户将会被更改成 chown_username
chown_username=whoever # 匿名上传文件所属用户名

################# 本地用户权限控制 ###############
write_enable=YES 　　# 可以上传 ( 全局控制 ) 删除,重命名
local_umask=022 　　 #本地用户上传文件的 umask
userlist_enable=YES # 限制了这里的用户不能访问
local_root 　　　　　 # 设置一个本地用户登录后进入到的目录
user_config_dir 　　 # 设置用户的单独配置文件,用哪个帐户登陆就用哪个帐户命名
download_enable 　　 # 限制用户的下载权限
chown_uploads=YES   # 所有匿名上传的文件的所属用户将会被更改成 chown_username
chown_username=whoever　　 # 匿名上传文件所属用户名
chroot_list_enable=YES　　 # 如果启动这项功能,则所有列在 chroot_list_file 之中的使用者不能更改根目录
chroot_list_file=/etc/vsftpd/chroot_list 　　# 指定限制的用户文件
user_config_dir= 　　# 后面跟存放配置文件的目录。用来实现不同用户不同权限。
# 在 vsftpd.conf 文件中加入这一句,在相应的目录里面,为每个用户创建自己的配置文件,用来实现不同的权限

可以通过以下三条配置文件来控制用户切换目录。
chroot_list_enable=YES/NO 　　# 设置是否启用 chroot_list_file 配置项指定的用户列表文件。
# 如果启动这项功能,则所有列在 chroot_list_file 之中的使用者不能更改根目录 . 默认值为 yes 。
chroot_list_file=/etc/vsftpd/chroot_list # 指出被锁定在自家目录中的用户的列表文件。
chroot_list_enable=YES

通过与 chroot_local_user=YES/NO 搭配能实现以下几种效果:
1 、当 chroot_list_enable=YES , chroot_local_user=YES 时,在/etc/vsftpd.chroot_list 文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录。
2 、当 chroot_list_enable=YES , chroot_local_user=NO 时,在/etc/vsftpd.chroot_list 文件中列出的用户,不能切换到其他目录;未在文件中列出的用户,可以切换到其他目录。
3 、当 chroot_list_enable=NO , chroot_local_user=YES 时,所有的用户均不能切换到其他目录。
4 、当 chroot_list_enable=NO , chroot_local_user=NO 时,所有的用户均可以切换到其他目录。

　　

我们对FTP进行设置，主要就是通过修改这些参数

简单配置例子

实现匿名用户上传、下载的功能

anonymous_enable=yes  (允许匿名登陆)
anon_upload_enable=yes (开放上传权限)
anon_mkdir_write_enable=yes（可创建目录的权限  ）
anon_other_write_enable=yes   (开放用户写权限)
anon_world_readable_only=YES(具有下载可读文件的权限)

注：要注意文件夹的属性，匿名帐户是其它（other）用户要开启它的读写执行的权限

实现本地用户有上传、下载的权限

local_enable=YES  允许本地用户登陆
local_root=/var/local 指定本地用户的家目录

　

阻止本地的某些用户访问FTP服务器(user_list)

 vi /etc/vsftpd.conf 添加如下内容
 local_enable=YES       允许本地用户登陆
 userlist_enable=YES
 userlist_deny=YES　　　　决定了/etc/vsftpd/user_list文件中的用户无法访问FTP服务器

区别比较：

ftpusers不受任何配制项的影响，它总是有效，该文件存放的是一个禁止访问FTP的用户列表。它是一个黑名单！

通常为了安全考虑，管理员不希望一些拥有过大权限的帐号（比如root)登入FTP，以免通过该帐号从FTP上传或下载一些危险位置上的文件从而对系统造成损坏。

而user_list则是和vsftpd.conf中的userlist_enable和userlist_deny两个配置项紧密相关的，它可以有效，也可以无效，有效时它可以是一个黑名单，也可以是一个白名单！

所以ftpusers文件总是生效，user_list则取决于userlist_enable和userlist_deny两项配置。

安全设置

idle_session_timeout=600(秒) 　　　　 用户会话空闲后10分钟
data_connection_timeout=120（秒） 　  将数据连接空闲2分钟断
accept_timeout=60（秒） 　　　　　　　 将客户端空闲1分钟后断
connect_timeout=60（秒） 　　　　　　　中断1分钟后又重新连接
local_max_rate=50000（bite） 　　　　 本地用户传输率50k
anon_max_rate=30000（bite） 　　　　  匿名用户传输率30k
pasv_min_port=50000 　　　　　　　　   客户端的连接端口号最小值
pasv_max_port=60000 　　　　　　　　　 客户端连接端口号最大值
max_clients=200 　　　　　　　　　　　　ftp的最大连接数
max_per_ip=4 　　　　　　　　　　　　  每ip的最大连接数
listen_port=5555 　　　　　　　　　　　从5555端口进行数据连接

ps –xf |grep ftp　　查看谁登陆了ftp,并杀死它的进程

　

例子：

sudo mkdir /home/vftp    #新建"/home/vftp目录作为用户主目录
新建用户并设置密码
sudo useradd -d /home/vftp -s /bin/bash 用户名
sudo passwd 用户名    　　
vi /etc/vsftpd.conf　，向文件中添加：
　　userlist_deny=NO
　　userlist_enable=YES 　　　　　　　　　　指定允许ftp登录的本地用户
　　userlist_file=/etc/allowed_users    记录允许本地登录用户名的文件
　　seccomp_sandbox=NO　　　　　　　　　　　该选项不配置可能导致530问题
　　local_enable=YES　　　　　　　　　　　　允许本地登录
　　chroot_list_enable=YES 　　　　　　　　使用户不能离开主目录
　　ascii_upload_enable=YES
　　ascii_download_enable=YES 　　　　　　设定支持ASCII模式的上传和下载功能

vi /etc/allowed_users　　　　　　　 在/etc/allowed_users文件中添加允许ftp登录的用户
vi /etc/ftpusers　　　　　　　　　　 不允许登录的用户名。若允许登录的用户名也在其中，则需要删除
创建设置FTP目录权限
chmod -R 755 /home/vftp
chmod -R 777 /home/vftp/upload

　　

　　

【案例 1 】建立基于虚拟用户的 FTP 服务器,并根据以下要求配置 FTP 服务器。
( 1 )配置 FTP 匿名用户的主目录为 /var/ftp/anon 。下载带宽限制为 100kB/s
( 2 )建立一个名为 abc ,口令为 xyz 的 FTP 账户。下载带宽限制为 500kB/s 。
( 3 )设置 FTP 服务器同时登录到 FTP 服务器的最大链接数为 100 ;每个 IP 最大链接数为 3 ;用户空闲时间超过限值为 5 分钟。

mkdir /var/fpt/anon
useradd abc
passwd abc

vim /etc/vsftpd.conf
主要内容如下
anonymous_enable=YES
anon_root=/var/ftp/anon
anon_max_rate=100
# Uncomment this to allow local users to log in.
local_enable=YES
local_max_rate=500
max_clients=100
max_per_ip=3
connect_timeout=300

　

 高级配置

1 、只能上传。不能下载、删除、重命名。
cmds_allowed =FEAT,REST,CWD,LIST,MDTM,MKD,NLST,PASS,PASV,PORT,PWD,QUIT,RMD,SIZE,STOR,TYPE,USER,ACCT,APPE,CDUP,HELP,MODE,NOOP,REIN,STAT,STOU,STRU,SYST
2 、只能下载。不能上传、删除、重命名。 write_enable=NO
3 、只能上传、删除、重命名。不能下载。 download_enable = NO
4 、只能下载、删除、重命名。不能上传。
cmds_allowed=FEAT,REST,CWD,LIST,MDTM,MKD,NLST,PASS,PASV,PORT,PWD,QUIT,RMD,RNFR,RNTO,RETR,DELE,SIZE,TYPE,USER,ACCT,APPE,CDUP,HELP,MODE,NOOP,REIN,STAT,STOU,STRU,SYST

参数解释

cmds_allowed=ABOR,ACCT,APPE,CWD,CDUP,DELE,HELP,LIST,MODE,MDTM,MKD,NOOP,NLST,PASS,PASV,PORT,PWD,QUIT,REIN,RE
TR,RMD,RNFR,RNTO,SITE,SIZE,STOR,STAT,STOU,STRU,SYST,TYPE,USER
CWD - change working directory 更改目录
DELE - delete a remote file 删除文件
LIST - list remote files 列目录
MKD - make a remote directory 新建文件夹
NLST - name list of remote directory
PWD - print working directory 显示当前工作目录
RETR - retrieve a remote file 下载文件RMD - remove a remote directory 删除目录
RNFR - rename from 重命名
RNTO - rename to 重命名
STOR - store a file on the remote host 上传文件
# ABOR - abort a file transfer 取消文件传输
# CWD - change working directory 更改目录
# DELE - delete a remote file 删除文件
# LIST - list remote files 列目录
# MDTM - return the modification time of a file 返回文件的更新时间
# MKD - make a remote directory 新建文件夹
# NLST - name list of remote directory
# PASS - send password
# PASV - enter passive mode
# PORT - open a data port 打开一个传输端口
# PWD - print working directory 显示当前工作目录
# QUIT - terminate the connection 退出
# RETR - retrieve a remote file 下载文件
# RMD - remove a remote directory
# RNFR - rename from
# RNTO - rename to
# SITE - site-specific commands
# SIZE - return the size of a file 返回文件大小
# STOR - store a file on the remote host 上传文件
# TYPE - set transfer type
# USER - send username
# less common commands:
# ACCT* - send account information
# APPE - append to a remote file
# CDUP - CWD to the parent of the current directory
# HELP - return help on using the server
# MODE - set transfer mode
# NOOP - do nothing
# REIN* - reinitialize the connection
# STAT - return server status
# STOU - store a file uniquely
# STRU - set file transfer structure
# SYST - return system type

　　

相关文章

http://www.linuxnote.org/vsftp-the-configuration-instructions.html