vsftp調測備忘！

一、防火牆、SELINUX配置：

1、增加ip_nat_ftp ip_conntrack_ftp 模塊配置，兩模塊中間空格：

vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp" 

2、增加規則，放開20和21端口，添加如下內容：

命令：vim /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

3、重啓iptables服務：

命令：service iptables restart

4、查看規則是否添加，檢查是否有如下內容：

命令：iptables -L -nv

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:20

    1    52 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21

    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

5、SElinux的配置：

　　selinux會對FTP的訪問有影響，所以本例設置關閉，操作如下：

A、查看命令：a、sestatus -v      b、getenforce

B、如果需要臨時關閉執行：setenforce 0     即可。

C、如果永久關閉：vim /etc/sysconfig/selinux  修改SELINUX爲disabled；

D、如果想一直使用selinux則配置selinux放過FTP目錄的設置：

使用命令：/usr/sbin/setsebool -P ftp_home_dir 1

二、安裝vsftpd：

命令：yum install vsftpd

三、檢查配置文件啓動vsftpd：

1、檢查配置文件：

命令：vim /etc/vsftpd/vsftpd.conf

2、啓動vsftpd服務：

命令：service vsftpd start

         

說明：在不修改配置文件的前提下，ftp基本爲匿名與實體帳號同時訪問，默認的根目錄爲/var/ftp，若要修改根目錄，修改配置文件添加“anon_root=你的目錄”，重啓vsftp服務即可。

四、配置實體模式用戶的登錄：

1、添加實體用戶：

useradd -d /opt/ftptest/ -s /sbin/nologin ftptest

刪除： 創建有問題可以刪除重新創建 userdel -r ftpUser

chown rongshu /opt/rongshu          #給用戶讀目錄的權限；

passwd rongshu                               #修改密碼；

2、限制用戶僅使用自己的目錄，修改配置文件啓動或添加如下配置：

chroot_local_user＝YES

chroot_list_enable=YES(chroot_local_user=YES該語句也可以不用)

chroot_list_file=/etc/vsftpd.chroot_list

　　如上設置後vsftpd.chroot_list中的用戶都是不受目錄限止的用戶，即, 可以瀏覽其主目錄的上級目錄。那麼不希望用戶瀏覽其主目錄上級目錄中的內容時在chroot_list中刪除掉該用戶即可。

另一種控制的方式如下：

chroot_local_user＝NO

chroot_list_enable=YES(chroot_local_user=NO時必須開啓, chroot_list纔會起作用)

chroot_list_file=/etc/vsftpd/chroot_list

　　配置後重啓vsftp生效，要禁止某個用戶瀏覽其用戶主目錄之外的各目錄，將用戶一行一個用戶名添加到chroot_list中即可，這樣在chroot_list中的用戶都是不可以瀏覽用戶主目錄之外的目錄的。

3、限制新增用戶禁止使用FTP:

　　默認的vsftp配置中在/etc/vsftpd/user_list文件中的用戶是禁止使用ftp的，所以不在user_list用戶列表的用戶是可以使用FTP的，爲了防止新建的用戶默認都能夠訪問FTP,所以要調整user_list爲允許使用的用戶使用，配置文件中增加如下配置：

userlist_deny=NO

userlist_file=/etc/vsftpd/user_list

　　這樣調整後重啓vsftpd服務，/etc/vsftpd/user_list文件中的用戶就變成了可以使用FTP的帳號了。未來新建的用戶如果想使用FTP，寫入user_list文件中的用戶列表即可。