RHEL6服务器ftp服务配置

FTP
file transferprotocol
成本低,跨平台,跨公网
使用的端口号:
数据传输端口 20
命令传输端口 21
主动:默认情况下,ftp服务是开放了21端口,用来接受控制命令,服务器用20端口去发送数据(连接客户端大于1024的随机端口)
被动:ftp服务器开放21端口,用来接受命令控制,进行数据传输时,客户端会告知服务端打开一个大于1024的端口,然后客户端去主动连接服务

配置文件参数说明:
[root@rootbug ~]# cat /etc/vsftpd/vsftpd.conf |grep -v ^# |grep -v^$
-- ^#代表以#开头的行,也就是注释; ^$代表空行
anonymous_enable=YES          --允许匿名用户登录
local_enable=YES                    --允许本地用户登录
write_enable=YES                    --允许本地用户登录后可写
local_umask=022                    --建立文件或者目录的权限掩码
dirmessage_enable=YES        --启用目录的说明或者欢迎信息
xferlog_enable=YES                  --打开日志功能 (只记录文件的上传和下载信息)
connect_from_port_20=YES    --默认支持主动模式(两个模式都是开启的,直接使用的话是使用的被动模式)
xferlog_std_format=YES              --日志使用xferlog而不是vsftpd.log,改为NO的话,则相反
listen=YES                                  --默认运行在standalone下
pam_service_name=vsftpd        --支持pam(可植入模块)
userlist_enable=YES                    --打开用户列表的功能
tcp_wrappers=YES                      --支持tcp_wrappers

1、匿名登录ftp服务器
ftp服务器匿名登录的账号是ftp和anonymous,密码为空
配置文件anonymous_enable=yse是控制是否允许匿名登录ftp服务器
默认情况匿名用户登录到ftp服务器之后目录是在/var/ftp/中,具备下载但是不具备上传功能,并且/var/ftp/目录不能直接利用chmod757修改写权限,如果修改了会导致ftp无法登录,所以需要在/ftp/目录下再创建一个目录作为上传目录,同时修改配置文件允许匿名用户上传。
[root@rootbug ~]#chmod 777 /var/ftp/pub      --把pub改为可写,用于上传
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_upload_enable=YES                  --允许匿名用户上传文件
anon_mkdir_write_enable=YES          --允许匿名用户创建目录

2、普通账号登录ftp服务器
普通用户默认是允许登录ftp的,并且是登录到自己的家目录,登录密码也就是普通用户登录系统的密码。
如果想禁用全部普通账号登录ftp服务器,可以直接在配置文件中修改即可。
local_enable=NO        ----禁用全部的普通账号登录ftp服务器
如果想控制部分普通用户登录ftp服务器,部分普通账号无法登录ftp服务器,可以利用用户列表进行控制

黑名单,可以利用它进行控制账号无法登录ftp服务器
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
userlist_enable=yes --打开用户列表功能
userlist_deny=YES --这一句可加可不加,默认就是有这一句的
vim/etc/vsftpd/user_list --加上要禁止的用户,一个用户写一行

-------------
白名单,如果你黑名单太多添加麻烦,那么也可以直接利用白名单,控制哪些账号可以登录ftp服务器即可
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
userlist_enable=yes
userlist_deny=no
vim /etc/vsftpd/user_list  --加上允许的用户,一个用户写一行

-----------上面的主要要注意的是:
userlist_enable 指定的是用户列表功能是否有效
userlit_deny 指定的是用户列表是允许还是拒绝

3、配置匿名账号登录目录是在/var/ftp/下,普通账号默认登录目录在/ftp。
由于ftp的家目录默认在/var/ftp/下,所以匿名账号登录之后就是/var/ftp/,不需要配置。但是普通账号登录之后是在各自账号的家目录下,那该如何配置才能使目录默认为/ftp呢?
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
在里面添加一行即可。
local_root=/ftp

4、chroot安全配置。
除了匿名账号登录ftp服务器之外,其他所有的账号登录ftp服务器之后都可以cd到整个系统的目录,并且可以下载系统的各个重要文件,这样就导致出现了安全漏洞。那么该如何配置才能杜绝这种不安全性?这就需要配置chroot,配置chroot有两种情况。
(1)将所有的用户都控制在ftp目录下
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
chroot_local_user=YES
开启了此功能之后,所有的用户登录ftp服务器之后将会控制在ftp目录下,无法cd切换到其他目录,保证了系统的安全性。
(2)配置控制部分用户在ftp目录下,但是剩下其他用户不受控制。
[root@rootbug ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
vim/etc/vsftpd/chroot_list --手动创建这个文件,默认不存在,并写上要加入笼环境的用户名,一行写一个
[root@rootbug ~]# /etc/init.d/vsftpdreload ----刷新服务

相关阅读:

RHEL5通过FTP配置yum仓库

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/f616695b000c5d4cf0c050f9ca5098dd.html