vsftp服务配置教程

FTP工作原理介绍

文件传输协议：File Transfer Protocol 早期的三个应用级协议之一，基于C/S结构。

数据传输格式：二进制（默认）和文本。

双通道协议：命令和数据连接。

两种模式（从服务器角度）分为主动和被动两种。

主动(PORT style)：服务器主动连接

命令（控制）：客户端：随机port ---> 服务器：21/tcp
​
数据：客户端：随机port <---服务器：20/tcp

被动(PASV style)：客户端主动连接

命令（控制）：客户端：随机port ---> 服务器：21/tcp
​
数据：客户端：随机port ---> 服务器：随机port /tcp

注：windows 连接FTP服务器默认使用主动模式。

FTP服务状态码：

1XX：信息      125：数据连接打开
2XX：成功类状态 200：命令OK 230：登录成功
3XX：补充类    331：用户名OK
4XX：客户端错误 425：不能打开数据连接
5XX：服务器错误 530：不能登录

用户认证：

匿名用户：ftp,anonymous,对应Linux用户ftp 系统用户：Linux用户,用户/etc/passwd,密码/etc/shadow 虚拟用户：特定服务的专用用户，独立的用户/密码文件

vsftpd 软件介绍

软件包：vsftpd

用户认证配置文件:

/etc/pam.d/vsftpd

启动服务相关文件：

/usr/lib/systemd/system/vsftpd.service
/etc/init.d/vsftpd

配置文件：

/etc/vsftpd.conf 

配置文件格式：

=前后不可以有空格
option=value

帮助：

man 5 vsftpd.conf

用户和其共享目录：

• 匿名用户（映射为系统用户ftp ）共享文件位置：/var/ftp
• 系统用户共享文件位置：用户家目录
• 虚拟用户共享文件位置：专用于FTP服务的用户帐号, 为其映射的系统用户的家目录

vsftpd服务常见配置

命令端口（默认为21）

listen_port=2121

主动模式端口（默认为20）

connect_from_port_20=YES
#指定主动模式的端口，默认为20
ftp_data_port=20

被动模式端口范围

linux ftp 客户端默认使用被动模式 windows ftp 客户端默认使用主动模式

#0为随机分配，端口范围会影响客户端的并发数
pasv_min_port=6000
pasv_max_port=6010

使用当地时间

use_localtime=YES

是否支持匿名用户登录

anonymous_enable=YES
#默认为NO，也就是匿名用户还是需要输入密码得，尽管随便输什么都可以成功登录，改成YES可以跳过密码验证
no_anon_password=YES

匿名用户上传

#允许匿名用户上传，可能还需要修改目录的权限 如：setfacl -m u:ftp:rwx /var/ftp/pub
anon_upload_enable=YES
#允许匿名用户建目录
anon_mkdir_write_enable=YES
#只能下载全部读的文件, 默认YES
anon_world_readable_only=NO
#指定匿名上传文件的umask，默认077，注意：0333中的0用来表示八进制所以不能省略
anon_umask=0333
#可删除和修改上传的文件，默认NO
anon_other_write_enable=YES

注意：开启文件系统访问的权限的时候，不能给FTP根目录写权限，只能给子目录写权限，否则报如下错误

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

指定匿名用户的上传文件的默认的所有者和权限

#默认NO
chown_uploads=YES 
chown_username=frog
chown_upload_mode=0644

Linux系统用户

#允许linux用户登录
local_enable=YES
#允许Linux用户上传文件
write_enable=YES
#指定系统用户上传文件的默认权限对应umask
local_umask=022

将所有系统用户映射为指定的guest用户

#所有系统用户都映射成guest用户
guest_enable=YES
#配合上面选项才生效，指定guest用户
guest_username=ftpuser
#指定guest用户登录所在目录,但不影响匿名用户的登录目录
local_root=/ftproot
#每个用户独立的配置文件目录
user_config_dir=/etc/vsftpd/conf.d/

禁锢所有系统用户在家目录中

#禁锢系统用户，默认NO，即不禁锢
chroot_local_user=YES

禁锢或不禁锢特定的系统用户在家目录中

当chroot_local_user=YES和chroot_list_enable=YES时，则chroot_list中用户不禁锢，即白名单 当chroot_local_user=NO和chroot_list_enable=YES时， 则chroot_list中用户禁锢，即黑名单

#启用黑名单/白名单默认是NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list

日志(一般不另外配置)

#wu-ftp 日志：默认启用
#启用记录上传下载日志，默认值
xferlog_enable=YES
#使用wu-ftp日志格式，默认值
xferlog_std_format=YES
#日志路径，默认值
xferlog_file=/var/log/vsftpd.log
#vsftpd日志：默认不启用
dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log

提示信息

ftpd_banner=Welcome to blah FTP service.
#也可以存在txt文件里，二者选一个进行配置即可
banner_file=/etc/vsftpd/ftpbanner.txt

目录访问提示信息

dirmessage_enable=YES
#也可以把信息存放在目录下的.message文件，二者选一个进行配置即可
message_file=.message

PAM模块实现用户访问控制

pam_service_name=vsftpd
#PAM设定了黑名单文件。sense的值修改为allow后，成为白名单。
/etc/ftpusers

是否启用控制用户登录的列表文件

userlist_enable=YES
#这里YES表示黑名单，NO表示白名单
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list

vsftpd服务指定用户身份运行

nopriv_user=nobody

可以使用以下命令查看进程用户

ps auxf|grep vsftpd

连接数限制

#最大并发连接数
max_clients=3
#每个IP同时发起的最大连接数
max_per_ip=1

传输速率

#匿名用户的最大传输速率,以字节为单位，这里表示1M
anon_max_rate=1024000
#本地用户的最大传输速率
local_max_rate=1024000

连接时间：秒为单位

#主动模式数据连接超时时长
connect_timeout=60 
#被动模式数据连接超时时长
accept_timeout=60 
#数据连接无数据传输超时时长
data_connection_timeout=120 
#无命令操作超时时长
idle_session_timeout=600

以文本方式传输（可能会破坏二进制文件，不建议开启此配置）

以文本方式传输文件时,会自动对文件进行格式转换,比如转换成windows的文本格式

ascii_upload_enable=YES
ascii_download_enable=YES

vsftpd 虚拟用户

虚拟用户：给特定服务使用的用户帐号

• 所有虚拟用户会统一映射为一个指定的系统帐号：访问共享位置，即为此系统帐号的家目录
• 各虚拟用户可被赋予不同的访问权限，通过匿名用户的权限控制参数进行指定

虚拟用户帐号的存储方式：

文件：创建文本文件，奇数行为用户名，偶数行为密码,再被编码为hash 格式Berkeley DB database文件

db_load -T -t hash -f vusers.txt vusers.db

关系型数据库中的表中：实时查询数据库完成用户认证

需要vsftpd 支持mysql库：pam要依赖于pam-mysql （这个模块因为太古老了所以只能支持centos7）

/lib64/security/pam_mysql.so
/usr/share/doc/pam_mysql-0.7/README

实现基于文件验证的vsftpd虚拟用户

操作系统：Ubuntu 20.04

安装db_load

apt -y install db-util

创建用于存放虚拟用户的文件

mkdir /etc/vsftpd
vim /etc/vsftpd/vusers.txt

xiaoqinwa
123456
daqinwa
654321

生成对应的db加密文件

db_load -T -t hash -f /etc/vsftpd/vusers.txt /etc/vsftpd/vusers.db

为了安全起见这里建议修改权限

chmod 600 /etc/vsftpd/vusers.*

创建用户访问的FTP目录

mkdir -pv /data/ftproot/upload

创建用于映射的系统用户

useradd -d /data/ftproot -s /sbin/nologin -r vuser
chown -R vuser:vuser /data/ftproot/upload

创建pam配置文件

vim /etc/pam.d/vsftpd.db

auth required pam_userdb.so db=/etc/vsftpd/vusers
account required pam_userdb.so db=/etc/vsftpd/vusers

在FTP配置文件中指定pam

vim /etc/vsftpd.conf

pam_service_name=vsftpd.db
guest_enable=YES
guest_username=vuser

设定每个用户的单独的配置文件路径

vim /etc/vsftpd.conf

user_config_dir=/etc/vsftpd

创建某个用户自已的配置文件，只允许xiaoqinwa用户上传

vim /etc/vsftpd/xiaoqinwa

anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

重启服务

systemctl restart vsftpd