1. 先用rpm -qa| grep vsftpd命令檢查是否已經安裝,如果ftp沒有安裝,使用yum -y install vsftpd 安裝,(ubuntu 下使用apt-get install vsftpd)
2. service vsftpd start / service vsftpd restart
啓動要讓FTP每次開機自動啓動,運行命令: chkconfig --level 35 vsftpd on
3. 設置ftp權限
vi /etc/vsftpd/vsftpd.conf
將anonymous_enable=YES 改爲 anonymous_enable=NO
ESC返回,輸入“:wq”保存並推出
刷新防火牆
#iptables -F
其中vsftpd的主配置文件是:
/etc/vsftpd/vsftpd.conf
實驗一:
如果我不允許FTP匿名登陸,我們可以修改vsftpd的主配置文件來實現
#vi /etc/vsftpd/vsftpd.conf 把anonymous_enable=YES 改爲anonymous_enable=NO
實驗二:
windows中FTP服務器可以設置歡迎詞,最大連接數,那我們在Linux的FTP服務器中設置呢?我要回答的是:同樣可以,我們同樣可以vsftpd的主配置文件來實現# vi /etc/vsftpd/vsftpd.conf
在最後添加ftpd_banner=welcome to here! 這就是歡迎詞Max_clients=100 這就表示最多可以有100個用戶同時訪問重啓vsftpd即可!
實驗三:
如果我想把借我錢不還的同事(lilei),不想讓他登陸到我們的FTP站點,那我可以把用戶lilei添加到vi /etc/vsftpd.ftpusers
實驗四:
上午總經理說要提拔公司的一小部分人,聽到這個消息,趕緊行動,我只允許總經理一個人可以登陸FTP服務器,其他人休想,拍經理馬匹,限制其他人。我可以這樣做:# vi /etc/vsftpd/vsftpd.conf
到最後添加2條,
userlist_deny=NO /這個列表裏的人不拒絕,其他人拒絕(包括匿名)
userlist_file=/etc/mp /指明列表的路徑
vsftpd配置文件採用“#”作爲註釋符,以“#”開頭的行和空白行在解析時將被忽略,其餘的行被視爲配置命令行,每個配置命令的“=”兩邊不要留有空格。對於每個配置命令,在配置文件中還列出了相關的配置說明,利用vi編輯器可實現對配置文件的編輯修改。方法如下:
#vi /etc/vsftpd/vsftpd.conf
1.登錄和對匿名用戶的設置
write_enable=YES //是否對登錄用戶開啓寫權限。屬全局性設置。默認NO
local_enable=YES //是否允許本地用戶登錄FTP服務器。默認爲NO
anonymous_enable=YES //設置是否允許匿名用戶登錄FTP服務器。默認爲YES
ftp_username=ftp //定義匿名用戶的賬戶名稱,默認值爲ftp。
no_anon_password=YES //匿名用戶登錄時是否詢問口令。設置爲YES,則不詢問。默
認NO
anon_world_readable_only=YES //匿名用戶是否允許下載可閱讀的文檔,默認爲YES。
anon_upload_enable=YES //是否允許匿名用戶上傳文件。只有在write_enable設置爲
YES時,該配置項纔有效。而且匿名用戶對相應的目錄必須有寫權限。默認爲NO。
anon_mkdir_write_enable=YES //是否允許匿名用戶創建目錄。只有在write_enable設置爲 YES時有效。且匿名用戶對上層目錄有寫入的權限。默認爲NO。
anon_other_write_enable=NO //若設置爲YES,則匿名用戶會被允許擁有多於
上傳和建立目錄的權限,還會擁有刪除和更名權限。默認值爲NO。
2.設置歡迎信息
用戶登錄FTP服務器成功後,服務器可向登錄用戶輸出預設置的歡迎信息。
ftpd_banner=Welcome to my FTP server.
//該配置項用於設置比較簡短的歡迎信息。若歡迎信息較多,則可使用banner_file配置項。
banner_file=/etc/vsftpd/banner
//設置用戶登錄時,將要顯示輸出的文件。該設置項將覆蓋ftpd_banner的設置。
dirmessage_enable=YES
//設置是否顯示目錄消息。若設置爲YES,則當用戶進入特定目錄(比如/var/ftp/Linux)時,將顯示該目錄中的由message_file配置項指定的文件(.message)中的內容。
message_file=.message //設置目錄消息文件。可將顯示信息存入該文件。該文件需要放在 相應的目錄(比如/var/ftp/linux)下
3.設置用戶登錄後所在的目錄
local_root=/var/ftp
// 設置本地用戶登錄後所在的目錄。默認配置文件中沒有設置該項,此時用戶登錄FTP服務器後,所在的目錄爲該用戶的主目錄,對於root用戶,則爲/root目錄。
anon_root=/var/ftp
//設置匿名用戶登錄後所在的目錄。若未指定,則默認爲/var/ftp目錄。
4.控制用戶是否允許切換到上級目錄
在默認配置下,用戶可以使用“cd..”命名切換到上級目錄。比如,若用戶登錄後所在的目錄爲/var/ftp,則在“ftp>”命令行 下,執行“cd..”命令後,用戶將切換到其上級目錄/var,若繼續執行該命令,則可進入Linux系統的根目錄,從而可以對整個Linux的文件系統 進行操作。
若設置了write_enable=YES,則用戶還可對根目錄下的文件進行改寫操作,會給系統帶來極大的安全隱患,因此,必須防止用戶切換到Linux的根目錄,相關的配置項如下:
chroot_list_enable=YES
// 設置是否啓用chroot_list_file配置項指定的用戶列表文件。設置爲YES則除了列在j/etc/vsftpd/chroot_list文件中的的帳號外,所有登錄的用戶都可以進入ftp根目錄之外的目錄。默認NO
chroot_list_file=/etc/vsftpd/chroot_list
// 用於指定用戶列表文件,該文件用於控制哪些用戶可以切換到FTP站點根目錄的上級目錄。
chroot_local_user=YES
// 用於指定用戶列表文件中的用戶,是否允許切換到上級目錄。默認NO
注意:要對本地用戶查看效果,需先設置local_root=/var/ftp
具體情況有以下幾種:
1)當chroot_list_enable=YES,chroot_local_user=YES時,在/etc/vsftpd/chroot_list文件中列出的用戶,可以切換到上級目錄;未在文件中列出的用戶,不能切換到站點根目錄的上級目錄。
2)當chroot_list_enable=YES,chroot_local_user=NO時,在/etc/vsftpd/chroot_list文件中列出的用戶,不能切換到站點根目錄的上級目錄;未在文件中列出的用戶,可以切換到上級目錄。
3)當chroot_list_enable=NO,chroot_local_user=YES時,所有用戶均不能切換到上級目錄。
4)當chroot_list_enable=NO,chroot_local_user=NO時,所有用戶均可以切換到上級目錄。
5)當用戶不允許切換到上級目錄時,登錄後FTP站點的根目錄“/”是該FTP賬戶的主目錄,即文件的系統的/var/ftp目錄。
5.設置訪問控制
(1)設置允許或不允許訪問的主機(見TBP14)
tcp_wrappers=YES用來設置vsftpd服務器是否與tcp wrapper相結合,進行主機的訪問控制。默認設置爲YES,vsftpd服務器會檢查/etc/hosts.allow和/etc /hosts.deny中的設置,以決定請求連接的主機是否允許訪問該FTP服務器。這兩個文件可以起到簡易的防火牆功能。
比如,若要僅允許192.168.168.1~192.168.168.254的用戶,可以訪問連接vsftpd服務器,則可在/etc/hosts.allow文件中添加以下內容:
vsftpd:192.168.168.0/255.255.255.0 :allow
all:all:deny
(2)設置允許或不允許訪問的用戶
對用戶的訪問控制由/etc/vsftpd/user_list和/etc/vsftpd/ftpusers文件來控制實現。相關配置命令如下:
userlist_enable=YES
// 決定/etc/vsftpd/user_list文件是否啓用生效。YES則生效,NO不生效。
userlist_deny=YES
// 決定/etc/vsftpd/user_list文件中的用戶是允許訪問還是不允許訪問。若設置爲YES,則/etc/vsftpd/user_list 文件中的用戶將不允許訪問FTP服務器;若設置爲NO,則只有vsftpd.user_list文件中的用戶,才能訪問FTP服務器。
6.設置訪問速度
anon_max_rate=0
//設置匿名用戶所能使用的最大傳輸速度,單位爲b/s。若設置爲0,則不受速度限制,此爲默認值。
local_max_rate=0
// 設置本地用戶所能使用的最大傳輸速度。默認爲0,不受限制。
7.定義用戶配置文件
在vsftpd服務器中,不同用戶還可使用不同的配置,這要通過用戶配置文件來實現。
user_config_dir=/etc/vsftpd/userconf //用於設置用戶配置文件所在的目錄。
設置了該配置項後,當用戶登錄FTP服務器時,系統就會到/etc/vsftpd/userconf目錄下讀取與當前用戶名相同的文件,並根據文件中的配 置命令,對當前用戶進行更進一步的配置。比如,利用用戶配置文件,可實現對不同用戶進行訪問的速度進行控制,在各用戶配置文件中,定義 local_max_rate配置,以決定該用戶允許的訪問速度。
8.與連接相關的設置
listen=YES
//設置vsftpd服務器是否以standalone模式運行。以standalone模式運行是一種較好的方式,此時listen必須設置爲YES, 此爲默認值,建議不要更改。很多與服務器運行相關的配置命令,需要此運行模式纔有效。若設置爲NO,則vsftpd不是以獨立的服務運行,要受 xinetd服務的管理控制,功能上會受限制。
max_clients=0
//設置vsftpd允許的最大連接數,默認爲0,表示不受限制。若設置爲150時,則同時允許有150個連接,超出的將拒絕建立連接。只有在以standalone模式運行時纔有效。
max_per_ip=0
// 設置每個IP地址允許與FTP服務器同時建立連接的數目。默認爲0,不受限制。通常可對此配置進行設置,防止同一個用戶建立太多的連接。只有在以standalone模式運行時纔有效。
listen_address=IP地址
//設置在指定的IP地址上偵聽用戶的FTP請求。若不設置,則對服務器所綁定的所有IP地址進行偵聽。只有在以standalone模式運行時纔有效。 對於只綁定了一個IP地址的服務器,不需要配置該項,默認情況下,配置文件中沒有該配置項。若服務器同時綁定了多個IP地址,則應通過該配置項,指定在哪 個IP地址上提供FTP服務,即指定FTP服務器所使用的IP地址。
注意:設置此值前後,可以通過netstat -tnl對比端口的監聽情況
accept_timeout=60
//設置建立被動(PASV)數據連接的超時時間,單位爲秒,默認值爲60。
connect_timeout=60
// PORT方式下建立數據連接的超時時間,單位爲秒。
data_connection_timeout=300
//設置建立FTP數據連接的超時時間,默認爲300秒。
idle_session_timeout=600
//設置多長時間不對FTP服務器進行任何操作,則斷開該FTP連接,單位爲秒,默認爲600秒。即設置發呆的逾時時間,在這個時間內,若沒有數據傳送或指令的輸入,則會強行斷開連接。
pam_service_name=vsftpd
//設置在PAM所使用的名稱,默認值爲vsftpd。
setproctitle_enable=NO|YES
//設置每個與FTP服務器的連接,是否以不同的進程表現出來,默認值爲NO,此時只有一個名爲vsftpd的進程。若設置爲YES,則每個連接都會有一個vsftpd進程,使用“ps -ef|grep ftp”命令可查看到詳細的FTP連接信息。安全起見,建議關閉。
9.FTP工作方式與端口設置
(1)FTP工作方式簡介
FTP的工作方式有兩種,一種是PORT FTP,另一種是PASV FTP。下面介紹其工作方式。
二者的區別在於PORT FTP的數據傳輸端口是由FTP服務器指定的,而PASV FTP則是由FTP客戶端指定的,而且每次數據連接所使用的端口號都不同。正因爲如此,所以在CuteFTP等FTP客戶端軟件中,其連接類型設置項中有PORT和PASV兩種選擇。
當FTP服務器設置爲PASV工作模式時,客戶端也必須設置爲PASV連接類型。若客戶端連接類型設置爲PORT,則能建立FTP連接,但在執行ls或get等需要數據請求的命令時,將會出現無響應並最終報告無法建立數據連接。
(2)與端口相關的配置
listen_port=21
// 設置FTP服務器建立連接所偵聽的端口,默認值爲21。
連接非標準端口示例:ftp www.sunflower.org 7000
connect_from_port_20=YES
// 默認值爲YES,指定FTP數據傳輸連接使用20端口。若設置爲NO,則進行數據連接時,所使用的端口由ftp_data_port指定。
ftp_data_port=20
//設置PORT方式下FTP數據連接所使用的端口,默認值爲20。
pasv_enable=YES|NO
//若設置爲YES,則使用PASV工作模式;若設置爲NO,使用PORT模式。默認爲YES,即使用PASV模式。
pasv_max_port=0
//設置在PASV工作方式下,數據連接可以使用的端口範圍的上界。默認值爲0,表示任意端口。
pasv_mim_port=0
//設置在PASV工作方式下,數據連接可以使用的端口範圍的下界。默認值爲0,表示任意端口。
10.設置傳輸模式
FTP在傳輸數據時,可使用二進制(Binary)方式,也可使用ASCII模式來上傳或下載數據。
ascii_download_enable=YES //設置是否啓用ASCII模式下載數據。默認爲NO。
ascii_upload_enable=YES //設置是否啓用ASCII模式上傳數據。默認爲NO。
11.設置上傳文檔的所屬關係和權限
(1)設置匿名上傳文檔的屬主
chown_uploads=YES
//用於設置是否改變匿名用戶上傳的文檔的屬主。默認爲NO。若設置爲YES,則匿名用戶上傳的文檔的屬主將被設置爲chown_username配置項所設置的用戶名。
chown_username=whoever
//設置匿名用戶上傳的文檔的屬主名。只有chown_uploads=YES時纔有效。建議不要設置爲root用戶。 但系統默root
(2)新增文檔的權限設定
local_umask=022
//設置本地用戶新增文檔的umask,默認爲022,對應的權限爲755。umask爲022,對應的二進制數爲000 010 010,將其取反爲111 101 101,轉換成十進制數,即爲權限值755,代表文檔的所有者(屬主)有讀寫執行權,所屬組有讀和執行權,其他用戶有讀和執行權。022適合於大多數情 況,一般不需要更改。若設置爲077,則對應的權限爲700。
anon_umask=022 //設置匿名用戶新增文檔的umask。默認077
file_open_mode=0755 //設置上傳文檔的權限。權限採用數字格式。 默認0666
12.日誌文件
xferlog_enable=YES //是否啓用上傳/下載日誌記錄。默認爲NO
xferlog_file=var/log/vsftpd.log //設置日誌文件名及路徑。需啓用xferlog_enable選項
xferlog_std_format=YES //日誌文件是否使用標準的xferlog日誌文件格式(與wu-ftpd使用的格式相同) 。默認爲NO
13.其他設置
text_userdb_names=NO
//設置在執行ls命令時,是顯示UID、GID還是顯示出具體的用戶名或組名稱。默認爲NO,以UID和GID方式顯示,若希望顯示用戶名和組名稱,則設置爲YES。
ls_recurse_enable=YES
//若設置爲YES,則允許執行“ls –R”這個命令,默認值爲NO。在配置文件中該配置項被註釋掉了,與此類似的還有一些配置,需要啓用時,將註釋符去掉並進行YES或NO的設置即可