在 Linux 中配置 FTP Server 是非常容易的,其中最簡單、最適用的方案是選擇安裝 vsftpd server,當然針對不同的 Linux 系統版本,安裝方式是各不相同的,也有可能會面臨各種各樣的問題,尤其是在與 iptables 配合使用的時候,本文旨在簡單整理一下其安裝部署的相關內容。在 Ubuntu 系統中安裝 vsftpd 是最容易的,只需要簡單的一條命令即可:sudo apt-get install vsftpd然後需要配置一下 /etc 目錄中的 vsftpd.conf 文件,其中最主要的參數如下:
- anonymous_enable=NO
- local_enable=YES
- write_enable=YES
- local_unmark=022
- chroot_local_user=YES
在 Red Hat 系統中安裝 vsftpd 時可以選擇使用 rpm 進行安裝,選擇合適的 rpm 安裝包,上傳到服務器,運行如下的命令即可。rpm -i vsftpd_version.rpm若要查看已安裝的信息,執行如下命令rpm -qa | grep vsftpd當然爲安全起見,我們需要對系統做各種配置工作,常見需求及解決方案如下:
- 禁止 FTP 用戶登陸 shell
- 修改 /etc/shell ,在最後一行增加 /sbin/nologin
- 修改 /etc/passwd ,修改用戶的 shell 爲 /sbin/nologin
- 配置 iptables 使用時,需要添加基本的 21 端口配置,同時在使用 passive 的模式傳輸時,端口是隨機的,無法直接指定
方案是在 vsftpd 中指定 passive 模式的端口範圍,然後在 iptables 中加以限制
- 配置 INPUT 端口 iptables -A INPUT -p tcp --dport 21 -j ACCEPT
- 配置 OUTPUT 端口 iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
- 在 vsftpd.conf 中配置 pasv_min_port=xxxx (如1023)
- 在 vsftpd.conf 中配置 pasv_max_port=xxxx (如1050)
- 設置 iptables 使用命令 iptables -A INPUT -p tcp --dport 1023:1050 -j ACCEPT
- 遇到錯誤信息 500 OOPS: cannot change directory:/home/xxxxLogin failed.
原因是 RHEL5 增強的系統安全的 SELinux 導致的,根據網上的說法,解決方案如下:
- 執行命令 setsebool ftpd_disable_trans 1
- 重啓服務 service vsftpd restart
- 可以查看其相關設置 sestatus -b| grep ftp
- 在執行以上命令的時候,遇到這樣的提示 Could not change active booleans: Invalid boolean
解決這個問題的方法是執行命令 setsebool ftp_home_dir=1,然後重啓 vsftpd 服務,不用管上一問題的步驟。
- 遇到了問題 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
這是因爲 vsftpd 啓用了 chroot , 必須要保證 ftp 根目錄不可寫,執行如下命令即可
chmod a-w /home/upload
- 遇到問題無法上傳文件
測試發現是 selinux 的問題,執行如下兩條命令
- setsebool allow_ftpd_anon_write=1
- setsebool allow_ftpd_full_access=1