码迷,mamicode.com
首页 > 其他好文 > 详细

CentOS 6.x上搭建vSFTPD服务器搭建与配置详解

时间:2017-08-19 15:05:21      阅读:237      评论:0      收藏:0      [点我收藏+]

标签:服务器   故障排查   运维   vsftpd   

摘要:

        手把手教你搭建vsftpd服务器,实现了基于db文件和MySQL数据库文件进行虚拟用户认证,当然了也本文章也包含搭建过程中问题的排查啦,哈哈哈。

        另外,我在CentOS 7.x上也进行了搭建测试,步骤一致,个别命令会有不同,但不影响测试效果。


服务器部署需求分析(实现效果):

1、登录、传输全程进行加密处理。
2、记录用户上传、下载文件日志。
3、针对每个用户有公共文件夹(大家都可以看到和下载其中的文件)和私有文件夹(只有自己可以看到,并且可上传下载文件)。

一、vsftpd服务安装:

1、搜索yum源中是否有vsftpd的安装包:
[root@dba ~]# cat /etc/centos-release 
CentOS release 6.5 (Final)

[root@dba ~]# yum list | grep -i "vsftpd"
vsftpd.x86_64                               2.2.2-24.el6                 base   
You have new mail in /var/spool/mail/root

2、安装vsftpd服务程序:

[root@dba ~]# yum list | grep -i "vsftpd" && yum -y install vsftpd

[root@dba ~]# whereis vsftpd
vsftpd: /usr/sbin/vsftpd /etc/vsftpd /usr/share/man/man8/vsftpd.8.gz

3、启动vsftpd服务程序:

[root@dba ~]# /etc/init.d/vsftpd start
为 vsftpd 启动 vsftpd:                                    [确定]

[root@dba ~]# netstat -lntp | grep "21"
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      1677/vsftpd

4、访问vsftpd服务:

浏览器访问:ftp://192.168.0.110/,默认会访问到/var/ftp/pub目录。

客户度端访问(推荐filezilla):https://www.filezilla.cn/download/client


二、vsftpd服务配置详解:

1、备份配置文件及用户黑白名单配置:

[root@dba ~]# cd /etc/vsftpd/
[root@dba vsftpd]# ll
总用量 20
-rw------- 1 root root  125 3月  22 20:14 ftpusers
-rw------- 1 root root  361 3月  22 20:14 user_list
-rw------- 1 root root 4599 3月  22 20:14 vsftpd.conf
-rwxr--r-- 1 root root  338 3月  22 20:14 vsftpd_conf_migrate.sh
[root@dba vsftpd]# cp vsftpd.conf vsftpd.conf_bak
[root@dba vsftpd]# ll
总用量 28
-rw------- 1 root root  125 3月  22 20:14 ftpusers
-rw------- 1 root root  361 3月  22 20:14 user_list
-rw------- 1 root root 4599 3月  22 20:14 vsftpd.conf
-rw------- 1 root root 4599 8月  18 23:21 vsftpd.conf_bak
-rwxr--r-- 1 root root  338 3月  22 20:14 vsftpd_conf_migrate.sh

ftpusers:保存ftp登录用户黑名单,该列表中用户登录时需要输入用户名跟密码,但是不能登录成功。
user_list:用户白名单(黑名单)列表,白名单或黑名单由vsftpd.conf中参数进行控制。
白名单:
userlist_enable=YES    #启用用户列表功能
userlist_deny=NO    #配置不禁用user_list中的用户登录
userlist_file=/etc/vsftpd/user_list    #指定用户列表文件的路径和文件名
userlist_log=YES    #基于user_list被阻塞的用户记录日志
黑名单:
userlist_enable=YES    #启用用户列表功能
userlist_deny=YES    #配置禁用user_list中的用户登录,在列表中的用户输入登录名后不需要输入密码就会被阻塞,相比ftpusers更为安全
userlist_file=/etc/vsftpd/user_list    #指定用户列表文件的路径和文件名
userlist_log=YES

2、其他重要配置项介绍:

配置项语法格式:directive=value
	匿名用户:
		匿名用户是被映射成ftp用户的,属主有写权限就行;
		是否允许匿名用户登录:
		anonymous_enable=YES
			匿名用户的上传操作;生效要依赖于write_enable=YES
			anon_upload_enable=NO
			workdirrite_enable=YES
			属主有写权限就行;
		anon_mkdir_write_enable=NO
			匿名用户创建目录的权限;
		anon_other_write_enable=NO
			匿名用户删除、重命名操作权限;
	本地用户:		
	        local_enable
			所有的非匿名用户的生效,都依赖此指令;
		local_umask
			本地用户上传文件的权限掩码;
	目录消息:
		dirmessage_enable
			用户第一次进入目录时,vsftpd会查看.message文件,并将其内容显示给用户,messag_file指定文件路径,而不使用默认的.message;
		messag_file
	数据传输日志:
		xferlog_enable
		xferlog_std_format
		xferlog_file=/var/log/vsftpd.log
		vsftpd_log_file
	数据传输模式:
		connect_from_port_20;是否启用PORT模式,默认是NO;
	修改匿名用户上传的文件的属主:
		chown_uploads:是否修改;
		chown_username:启用chown_uploads指令时,将文件属主修改为此指令指定的用户;默认为root;
		chown_upload_mode:设定匿名用户上传文件的权限;默认为600;
	设定会话的超时时间:
		idle_session_timeout,空闲会话的超时时长;
		connect_timeout:PORT模式下,服务器连接客户端的超时时长;
		data_connection_timeout:数据传输的超时时长;
	命令连接的监听端口:
		listen_port=20
	设定连接及端口速率:
	        local_max_rate:本地用户的传输速率,单位为字节;默认为0,表示无限制;
		anon_max_rate:匿名用户的最大传输速率;
		max_clients:最大的并发连接数,对服务器端;
		max_per_ip:每个客户端同时发起的最大连接数;
	登录欢迎信息:
		ftp_banner="Welcome"
	禁锢本地用户:
		chroot_local_user=YES;禁锢所有本地用户;
			注意:要求用户不能对家目录有写权限;

		chroot_list_enable=YES;
		chroot_list_file=/etc/vsftpd/chroot_list;
			禁锢指定用户于家目录中;
虚拟用户配置:
        基于db文件:
            /etc/vsftpd/vusers.txt
            奇数行:用户名
            偶数行:密码
        基于mysql数据库:
            用户名、密码可以通过SQL语句添加到数据库中,vsftpd通过pam接口到与mysql数据库联动实现用户认证的操作。

注意:虚拟用户和匿名用户登录ftp服务器时,是映射到本地用户列表中到某用户到,默认为ftp,但也可以手动指定!            
[root@dba vsftpd]# cat /etc/passwd | grep ftp
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

三、vsftpd典型配置案例:

1、基于db_load实现虚拟用户认证:

#1.1 修改vsftpd.conf中相关配置项:
anonymous_enable=NO
chroot_local_user=YES
pam_service_name=vsftpd    #开启pam认证功能,对应的pam配置文件名为vsftpd

guest_enable=YES
guest_username=ftp
user_config_dir=/etc/vsftpd/user_conf

#1.2 创建用户配置文件目录:
[root@dba vsftpd]# install -d /etc/vsftpd/user_conf
[root@dba vsftpd]# ll
总用量 28
-rw------- 1 root root  125 3月  22 20:14 ftpusers
drwxr-xr-x 2 root root 4096 8月  19 00:08 user_conf
-rw------- 1 root root  361 3月  22 20:14 user_list
-rw------- 1 root root  894 8月  19 00:08 vsftpd.conf
-rw------- 1 root root 4599 8月  18 23:21 vsftpd.conf_bak
-rwxr--r-- 1 root root  338 3月  22 20:14 vsftpd_conf

#1.3 创建ftp用户名密码源文件和对应的数据库文件:
[root@dba vsftpd]# touch vusers
[root@dba vsftpd]# echo -e "user01\nuser01" vusers 
[root@dba vsftpd]# echo -e "user02\nuser02" >> vusers 
[root@dba vsftpd]# more vusers 
user01
user01
user02
user02

[root@dba vsftpd]# db_load -T -t hash -f /etc/vsftpd/vusers /etc/vsftpd/login.db
[root@dba vsftpd]# ll
总用量 44
-rw-r--r-- 1 root root 12288 8月  19 00:20 login.db
-rw-r--r-- 1 root root    28 8月  19 00:17 vusers

#1.4 创建每个用户的配置文件:
[root@dba vsftpd]# cd user_conf/
[root@dba user_conf]# more user02 
# 使用local_root为虚拟用户指定家目录(ftp登录成功后默认在的目录)时,可以在用户单独配置文件中指定,也可以adduser新建用户,用-d选项指定用户家目录。
local_root=/ftp/user02
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

#1.5 配置pam认证文件,将db文件中用户跟vsftpd服务关联起来:
[root@dba pam.d]# ll vsftpd*
-rw-r--r-- 1 root root 101 8月  19 00:28 vsftpd
-rw-r--r-- 1 root root 335 8月  19 00:27 vsftpd.bak
[root@dba pam.d]# more vsftpd
auth required pam_userdb.so db=/etc/vsftpd/login
account required pam_userdb.so db=/etc/vsftpd/login

#1.6 创建用户对应的ftp主目录:
[root@dba user_conf]# mkdir -p /ftp/user01/upload
[root@dba user_conf]# mkdir -p /ftp/user02/upload
[root@dba user_conf]# ls -ld /ftp/*
drwxr-xr-x 3 root root 4096 8月  19 00:31 /ftp/user01
drwxr-xr-x 3 root root 4096 8月  19 00:31 /ftp/user02

因为上面创建的用户user01、user02登录ftp服务器之后,是映射成本地用户ftp进行创建文件、目录的操作的,所以要机遇用户主目录属主为用户:ftp
[root@dba ftp]# chown ftp:root user01
[root@dba ftp]# chown ftp:root user02
[root@dba ftp]# ls -ld *
drwxr-xr-x 3 ftp root 4096 8月  19 00:31 user01
drwxr-xr-x 3 ftp root 4096 8月  19 00:31 user02

注意:为用户家目录授权的时候要注意,有时候家目录存在写权限时,登录或上传文件时会报错。


#1.7 问题解决:
执行以上操作之后,从客户端可以正常登录到ftp服务器,但是上传文件到用户upload目录下时报错:
    响应: 	553 Could not create file.
    错误: 	严重文件传输错误

故查看upload目录写权限发现,upload目录属主权限不对,修改后上传文件正常。
[root@dba ftp]# ls -ld user01/upload
drwxr-xr-x 2 root root 4096 8月  19 00:31 user01/upload
[root@dba ftp]# ls -ld user02/upload
drwxr-xr-x 2 root root 4096 8月  19 00:31 user02/upload
[root@dba ftp]# chown -R ftp:root user01/upload
[root@dba ftp]# chown -R ftp:root user02/upload
[root@dba ftp]# ls -ld user01/upload
drwxr-xr-x 2 ftp root 4096 8月  19 00:31 user01/upload
[root@dba ftp]# ls -ld user02/upload
drwxr-xr-x 2 ftp root 4096 8月  19 00:31 user02/upload

#1.8 ftp协议因为历史原因,默认采用非加密方式进行认证和数据传输,要想使认证和传输过程加密暂时有两种方案可供选择:
方案一:采用openssl内建ftp服务器来进行加密传输,具体配置案例可参考链接:http://blog.csdn.net/xinxin19881112/article/details/46831311
方案二:采用vsftpd服务器端程序,修改配置实现对认证和传输过程加密,具体配置如下:
首先,生成加密使用的pem证书文件:
[root@dba ftp]# openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem
Generating a 1024 bit RSA private key
.++++++
........++++++
writing new private key to ‘/etc/vsftpd/vsftpd.pem‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BeiJing
Locality Name (eg, city) [Default City]:BJ
Organization Name (eg, company) [Default Company Ltd]:360
Organizational Unit Name (eg, section) []:Security
Common Name (eg, your name or your server‘s hostname) []:anonymous.org

Email Address []:You have new mail in /var/spool/mail/root

生成的pem文件如下:
[root@dba ~]# ll /etc/vsftpd/vsftpd.pem 
-rw-r--r-- 1 root root 1876 8月  19 00:52 /etc/vsftpd/vsftpd.pem

然后,修改vsftpd.conf配置文件,开启加密:
# 启用TLS/SSL
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/vsftpd.pem
# 为被动模式下的连接定义端口范围
pasv_max_port=65535
pasv_min_port=64000

重启vsftpd服务:
### CentOS 6.x
[root@dba vsftpd]# /etc/init.d/vsftpd restart
关闭 vsftpd:                                              [确定]
为 vsftpd 启动 vsftpd:                                    [确定]

### CentOS 7.x
[root@dba vsftpd]# systemctl start vsftpd

[root@dba vsftpd]# netstat -lntp | grep 21
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      2951/vsftpd

重启之后,使用FileZilla客户端连接vsFTPd服务器,可以正常上传下载文件,么么哒。。。

2、基于pam_mysql实现匿名用户认证:

[root@dba pam.d]# uname -a
Linux dba.com 2.6.32-431.el6.x86_64 #1 SMP Fri Nov 22 03:15:09 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux

# 2.1安装MySQL数据库,并配置vsftpd登录的虚拟用户名和密码:
[root@dba pam.d]# yum -y install mysql-server
[root@dba pam.d]# yum grouplist | grep -i "develop"
   Additional Development
   Desktop Platform Development
   Development tools
   Server Platform Development
   
[root@dba ~]# mysql -u root -p123456
mysql> create database vsftpd;
mysql> use vsftpd;
mysql> create table users (
    -> id int AUTO_INCREMENT NOT NULL,
    -> name char(16) binary NOT NULL,
    -> passwd char(48) binary NOT NULL,
    -> primary key(id)
    -> );
mysql> create table logs (msg varchar(255),
    -> user char(16),
    -> pid int,
    -> host char(32),
    -> rhost char(32),
    -> logtime timestamp
    -> );
    
mysql> desc users;
+--------+----------+------+-----+---------+----------------+
| Field  | Type     | Null | Key | Default | Extra          |
+--------+----------+------+-----+---------+----------------+
| id     | int(11)  | NO   | PRI | NULL    | auto_increment |
| name   | char(16) | NO   |     | NULL    |                |
| passwd | char(48) | NO   |     | NULL    |                |
+--------+----------+------+-----+---------+----------------+
3 rows in set (0.03 sec)

mysql> insert into users(name, passwd) values (‘test‘, password(‘test‘));
Query OK, 1 row affected (0.08 sec)

mysql> select * from users;
+----+------+-------------------------------------------+
| id | name | passwd                                    |
+----+------+-------------------------------------------+
|  1 | test | *94BDCEBE19083CE2A1F959FD02F964C7AF4CFC29 |
+----+------+-------------------------------------------+
1 row in set (0.00 sec)

# 2.2下载安装pam_mysql插件:
 [root@dba ~]# yum install openssl-devel
 [root@dba ~]# yum install mysql-devel
 [root@dba ~]# wget
[root@dba ~]# tar -zxf pam_mysql-0.7RC1.tar.gz 
[root@dba ~]# cd pam_mysql-0.7RC1
[root@dba ~]# ./configure --with-mysql=/usr --with-openssl=/usr --with-pam-mods-dir=/lib64/security
[root@dba ~]# make && make install

[root@dba ~]# ll /lib64/security/pam_mysql.*
-rwxr-xr-x 1 root root    873 Aug 19 12:27 /lib64/security/pam_mysql.la
-rwxr-xr-x 1 root root 133356 Aug 19 12:27 /lib64/security/pam_mysql.so
# 2.3修改配置vsftpd.conf and /etc/pam.d/vsftpd.mysql
#pam_service_name=vsftpd
pam_service_name=vsftpd.mysql

[root@dba pam.d]# more vsftpd.mysql 
auth 	required /lib64/security/pam_mysql.so db=vsftpd user=root passwd=123456 host=localhost table=users usercolumn=name passwdcolumn=passwd crypt=2
account required /lib64/security/pam_mysql.so db=vsftpd user=root passwd=123456 host=localhost table=users usercolumn=name passwdcolumn=passwd crypt=2

### crypt参数介绍:
[root@dba pam_mysql-0.7RC1]# less README
crypt (plain)

    The method to encrypt the user‘s password:

       0 (or "plain") = No encryption.  Passwords stored in plaintext.
                        HIGHLY DISCOURAGED.

       1 (or "Y")     = Use crypt(3) function.

       2 (or "mysql") = Use MySQL PASSWORD() function. It is possible
                        that the encryption function used by PAM-MySQL
                        is different from that of the MySQL server, as
                        PAM-MySQL uses the function defined in MySQL‘s
                        C-client API instead of using PASSWORD() SQL function
                        in the query.
                        
       3 (or "md5")   = Use plain hex MD5.

       4 (or "sha1")  = Use plain hex SHA1.

[root@dba pam.d]# /etc/init.d/vsftpd restart
Shutting down vsftpd:                                      [  OK  ]
Starting vsftpd for vsftpd:                                [  OK  ]

以上,vsftpd服务器基于mysql进行虚拟用户认证的环境已搭建完毕,下一步开始测试啦。。。


GG,上传文件再次报错。。。
响应: 	550 Permission denied.
错误: 	严重文件传输错误
报错与之前的一致,可能是权限配置的问题吧,呵呵

"test"账号登录成功后,是映射成ftp用户对文件和目录进行操作的,所以进入了/var/ftp/目录,可以查看配置文件和ftp用户确定。
guest_enable=YES
guest_username=ftp
user_config_dir=/etc/vsftpd/user_conf
[root@dba vsftpd]# cat /etc/passwd | grep ftp
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

[root@dba vsftpd]# cd /var/ftp/
[root@dba ftp]# ls -ld ../* | grep ftp
drwxr-xr-x   3 root root 4096 Aug 18 22:53 ../ftp
You have new mail in /var/spool/mail/root
[root@dba ftp]# ls -ld *
drwxr-xr-x 2 root root 4096 Mar 22 20:14 pub
可以看到上面的ftp与upload目录,ftp用户都是没有写权限的,可以修改方式就是修改upload目录的权限后重启vsftpd就可以上传,Ok,那就开始干!
[root@dba ftp]# chown ftp pub
[root@dba ftp]# ll
total 4
drwxr-xr-x 2 ftp root 4096 Mar 22 20:14 pub
这样修改之后应该就没问题了吧,哈哈哈,结果一测试果然又GG了。。。所以逐步进行排查:
1、目录权限设置肯定没问题了
2、那估计就是vsftpd配置文件读写权限设置的问题了吧,因为我的ftp用户是存在单独目录下与用户同名的配置文件中的,故新建名为test的配置文件,配置贴上来:
[root@dba user_conf]# pwd
/etc/vsftpd/user_conf
You have new mail in /var/spool/mail/root
[root@dba user_conf]# more test 
local_root=/var/ftp
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

Ok,重启vsftpd测试,终于可以上传文件了,搞定。。。

四、vsftpd部署问题总结:

等待更新中。。。。。


本文出自 “MessageTech” 博客,请务必保留此出处http://msgll.blog.51cto.com/6990666/1957583

CentOS 6.x上搭建vSFTPD服务器搭建与配置详解

标签:服务器   故障排查   运维   vsftpd   

原文地址:http://msgll.blog.51cto.com/6990666/1957583

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!