運行環境:centos6 Vmware
一、安裝vsftpd
yum -y install vsftpd
yum -y install xinetd
二、配置vsftpd
1、是否開始匿名用戶
啓動服務之後我們通過lftp命令連接服務器
lftp 172.18.251.126 (服務器的ip)
登陸成功之後我們可以直接讀取pub目錄下的文件,無需登陸用戶
我們可以通過編輯vsftpd服務端的配置文件來實現
vim /etc/vsftpd/vsftpd.conf
找到這一行配置,將其改爲NO,重新啓動服務,匿名用戶將無法登陸
在服務器端創建一個用戶來進行測試
SO,問題來了,如何讓用戶不進入自己的家目錄,而是直接進入公共目錄
2、用戶登陸時默認進入公共目錄
通過修改服務器中的配置文件(注意:每一次更改服務配置文件後都要重新啓動服務纔會生效)
vim /etc/vsftpd/vsftpd.conf
添加以下紀錄
local_enable=YES local_root=/var/ftp/pub
用戶登陸測試
3、匿名用戶和本地用戶上傳文件及文件的默認權限
客戶端登陸ftp服務器,以匿名用戶的方式上傳文件(需要先開啓匿名用戶登陸允許,因爲上面我們把匿名用戶登陸功能關閉了)
在服務器配置文件中修改或添加
anonymous_enable=YES anon_upload_enable=YES(默認爲no:關閉) anon_mkdir_write_enable=YES (匿名用戶是否能夠創建目錄)
在下面截圖中我們可以看到匿名用戶仍然不能上傳文件,匿名用戶上傳文件還需要讓ftp用戶對/var/ftp/pub目錄有wx權限(匿名用戶默認登陸的時ftp用戶,下面截圖註釋會有提到)
我們通過設置setfacl只賦予ftp用戶wx權限
setfacl -m u:ftp:wx /var/ftp/pub
客戶端登陸測試,成功上傳
服務器查看,該文件權限爲600,可以通過服務器配置文件設置上傳文件默認權限
在配置文件中添加
anon_umask 055
服務器查看該文件權限(因爲沒有給用戶刪除權限,所以默認沒有給x權限)
客戶端上傳文件進行測試
本地用戶上傳文件
客戶端測試本地用戶不能上傳文件
服務器端修改配置文件
在服務器配置文件添加(重啓服務)
write_enable=YES
三、配置vsftpd中的chroot
在vsftpd服務器的默認設置中,本地用戶可以切換到主目錄以外的目錄進行瀏覽訪問,這樣對於服務器來說是不×××全的,因爲任何用戶可以隨時瀏覽到別的用戶的私有信息,下面介紹如何使用chroot選項來防止這種情況的發生。
與該功能相關的選項主要包括:
chroot_local_user chroot_list_enable chroot_list_file
可以通過如下兩種方法來設置chroot,從而杜絕上述不安全的情況發生:
(1)設置所有的本地用戶執行chroot,只要將/etc/vsftpd/vsftpd.conf文件中的chroot_local_ user值置爲YES,即
chroot_local_user=YES
(2)設置指定的用戶執行chroot,按照如下方法進行設置:
chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list
設置後,只有/etc/vsftpd.chroot_list文件中指定的用戶才能夠執行chroot命令。
未設置chroot之前的效果
設置chroot之後的效果
在使用FTP服務的過程中,可以使該服務在非標準端口(非21端口)工作,不過要完成這項工作,須要使vsftpd服務器運行在獨立啓動方式下,而且要配置vsftpd的主配置文件/etc/vsftpd/vsftpd.conf,將listen_port=10003或者是其他端口號的選項加入該文件即可,然後要重新啓動vsftpd守護進程:
service vsftpd restart