标签:
1、简介
VSFTPD表示“非常安全的FTP守护进程”,它是GPL授权的FTP服务器,适用于UNIX系统。它的授权遵循GNU通用公共授权。支持IPv6和SSL。vsftpd支持显式(从2.0.0)和隐式(从2.1.0)的FTPS。在Ubuntu, CentOS, Fedora, NimbleX, Slackware 和 RHEL Linux 等发行版本中,它是默认的FTP服务器。它安全,非常快,而且稳定。VSFTPD是成熟和可信的解决方案,支持虚拟用户使用PAM(可插拔的认证模块)。虚拟用户是可以登录,而实际上不存在于系统的/etc/passwd和/etc/shadow文件中。虚拟用户因此比真实用户更安全,因为非安全帐号只能使用FTP服务器,而不能登录到系统使用其他服务,如SSH或SMTP。
在2011年7月,发现可以从主站下载的2.3.4版本VSFTPD发生了泄漏。登录到泄漏的vsftpd-2.3.4服务器的用户,可能遇到一个笑脸 :) 符号,并且得到在端口6200上的命令窗口。这不是VSFTPD的一个安全漏洞,而是,有的人上传了不同版本的VSFTPD,里面包含了后门。从那时起,vsftpd的站点移动到了Google App Engine。
2、特点
尽管为了获取速度和安全,vsftpd很小,而很多且复杂的FTP设置仍然可以从vsftpd得到! vsftpd可以处理:
(1)虚拟IP配置
(2)虚拟用户
(3)独立或者进程操作
(4)强大的每用户配置
(5)带宽控制
(6)每个源IP可配置
(7)每个源IP限制
(8)IPv6
(9)通过SSL集成支持加密 ...
3、配置指南和基本安装
(1)下载
目前,最新版本是v3.0.2,或者使用 apt-get安装, 如: apt-get install vsftpd
现在,你可以配置它使用本地用户或者虚拟用户通过ftp进行登录。
(2)禁止匿名用户登录,允许本地用户登录,并赋予写权限:
代码:
# No anonymous login 禁止匿名用户
anonymous_enable=NO
# Let local users login 让本地用户登录
# If you connect from the internet with local users, you should enable TLS/SSL/FTPS 如果使用本地用户从Intenet连接,需要启用TLS/SSL/FTPS
local_enable=YES
# Write permissions 写权限
write_enable=YES
(3)改变用户的根目录
限制或改变用户目录(不是VSFTPD服务),有3种选择。搜索“chroot_local_users”,考虑下列代码之一:
代码:
# 1. All users are jailed by default: 默认限制所有用户
chroot_local_user=YES
chroot_list_enable=NO
# 2. Just some users are jailed: 只显示一部分用户
chroot_local_user=NO
chroot_list_enable=YES
# Create the file /etc/vsftpd.chroot_list with a list of the jailed users.
# 3. Just some users are "free": 只是一部分用户是自由的
chroot_local_user=YES
chroot_list_enable=YES
# Create the file /etc/vsftpd.chroot_list with a list of the "free" users.
(4)拒绝(或允许)某些用户登录
拒绝用户登录,在文件末尾添加选项:
代码:
userlist_deny = YES
在文件 /etc/vsftpd.denied_users中,添加不能登录的用户的用户名,每个用户名占1行。
(5)仅仅允许某些用户登录:
代码:
userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd.allowed_users
在文件/etc/vsftpd.allowed_users中添加能登录用户的用户名。
不允许的用户在输入密码前,就会被提示错误,因此不能登录。
(6)TLS/SSL/FTPS
注意:如果你是从Internet连接到你的服务器,必须确定使用这个,否则密码会以明文传输,等等。
让vsftpd使用加密(更安全),修改或添加下列选项(某些选项不在原始配置文件中,需要添加):
代码:
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=YES
ssl_sslv3=YES
# Filezilla uses port 21 if you don‘t set any port
# in Servertype "FTPES - FTP over explicit TLS/SSL" 如果你在服务器类型"FTPES - FTP over explicit TLS/SSL"中没有设置任何端口,Filezilla使用端口21。
# Port 990 is the default used for FTPS protocol. 端口990是FTPS协议的默认端口
# Uncomment it if you want/have to use port 990. 如果你想或必须用端口990,去掉注释。
# listen_port=990
如果安装了openssh,就不需要创建一个证书。
在客户端安装Filezilla,使用服务器类型"FTPES - FTP over explicit TLS/SSL“ 选项,以使用TLS/SSL/FTPS连接到你的服务器。
(7)其他选项
# Useful to not write over hidden files: 对不改写隐藏文件有用
force_dot_files=YES
# Hide the info about the owner (user and group) of the files. 隐藏文件拥有者(用户和组)的信息
hide_ids=YES
# Connection limit for each IP: 每个IP连接限制
max_per_ip=2
# Maximum number of clients: 最多客户端数量
max_clients=20
(8)应用新的配置设置
不要忘了应用新的配置,你需要重启vsftpd服务。
代码:
sudo /etc/init.d/vsftpd restart
(9)Webmin模块
使用webadmin的,有个模块 http://www.webmin.com/third.html
(10)设置 pasv_min_port和pasv_max_port以允许外面连接通过防火墙中设置的端口
修改 /etc/vsftpd.conf
代码:
Code:
pasv_min_port=12000
pasv_max_port=12100
(11)虚拟用户使用TLS/SSL/FTPS和一个公共上传目录 - 复杂的VSFTPD
虚拟用户是不存在于系统的用户 - 他们不在 /etc/passwd中, 在系统中也没有home目录, 不能登录系统除了在vsftpd中 - 如果他们存在,他们可以使用肥系统密码登录vsftpd - 安全。
你可以对不同的虚拟用户做不同的定义,对这些用户赋予不同的权限。如果启用TLS/SSL/FTPS和虚拟用户,你的vsftpd服务器的安全水准就能得到提升:加密的密码,使用的这个密码不能用于系统,而且用户不能直接访问他们的home目录(如果你想的话)。
下面的例子,是从vsftpd站点的虚拟用户示例,文档和随处可见的论坛里的非常好的例子改编而来。目前,有一个约束是启用guest_enable后,本地用户也映射到guest_username。优雅的说法是,如果默认的vsftpd PAM 文件被使用时,系统用户也是guests。为避免混淆,修改使用的PAM文件只认证虚拟用户,让所有的vsftpd用户成为虚拟用户,并按照例子设置他们的密码,主目录和权限。
4、工作间
(1)创建虚拟用户数据库
要创建一个"db4"格式的文件储存用户名(这里另外的选项是apache htpasswd风格的文件,不讨论),首先创建一个普通文本文件,错行写用户名和密码。如,建用户叫做”vivek“,密码是 "vivekpass", "sayali" 密码是 "sayalipass":
# cd /etc/vsftpd
# sudo vi
vusers.txt
(2)示例输出:
vivek
vivekpass
sayali
sayalipass
接着,如下创建实际的数据库(可能要求先安装db_util包):
#
db_load -T -t hash -f vusers.txt vsftpd-virtual-user.db
# chmod 600 vsftpd-virtual-user.db
# rm vusers.txt
(3)为虚拟用户配置VSFTPD
编辑vsftpd配置文件(/etc/vsftpd.conf)。添加或修改下面的配置选项,取决于它们是否已经列出在文件中:
anonymous_enable=NO
local_enable=YES
# Virtual users will use the same privileges as local users.虚拟用户将会和本地用户一样使用相同的权限
# It will grant write access to virtual users. Virtual users will use the 会赋予虚拟用户写访问。虚拟用户将和匿名用户使用相同的
# same privileges as anonymous users, which tends to be more restrictive 权限,倾向于更多的约束。
# (especially in terms of write access). (特别是写访问方面)
virtual_use_local_privs=YES
write_enable=YES
# Set the name of the PAM service vsftpd will use 设置vsftpd的PAM服务使用的名字
pam_service_name=vsftpd.virtual
# Activates virtual users 激活虚拟用户
guest_enable=YES
# Automatically generate a home directory for each virtual user, based on a template. 依据模板,自动为每个虚拟用户生成主目录。
# For example, if the home directory of the real user specified via guest_username is 如,如果真实用户的主目录通过guest_username
# /home/virtual/$USER, and user_sub_token is set to $USER, then when virtual user vivek 指定为/home/virtual/$USER,且user_sub_token
# logs in, he will end up (usually chroot()‘ed) in the directory /home/virtual/vivek. 设为$USER,则虚拟用户vivek登录时,他会停止在
# This option also takes affect if local_root contains user_sub_token. (通常是chroot())目录/home/virtual/vivek。如果local_root包含
user_sub_token,此选项也会生效
user_sub_token=$USER
# Usually this is mapped to Apache virtual hosting docroot, so that 通常这是映射到Apache虚拟主文档根目录,因此用户可以上传文件
# Users can upload files
local_root=/home/vftp/$USER
# Chroot user and lock down to their home dirs 改变用户的主目录,并锁定在他们的主目录
chroot_local_user=YES
# Hide ids from user 隐藏来自用户的ids
hide_ids=YES
保存,关闭文件。
(4)创建使用你新建数据库的PAM文件
下面的PAM用来认证用户,它使用你的新数据库。 创建 /etc/pam.d/vsftpd.virtual:
# sudo gedit /etc/pam.d/vsftpd.virtual
(5)追加下列:
#%PAM-1.0
auth required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user
account required pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-user
session required pam_loginuid.so
创建文件所在位置。
你需要为虚拟用户配置文件/目录的位置,键入以下命令:
# mkdir /home/vftp
# mkdir -p /home/vftp/{vivek,sayali}
# chown -R ftp:ftp /home/vftp
(6)重启FTP服务器
# service vsftpd restart
(7)测试
打开一个会话窗口,键入:
$ ftp localhost
(8)成功输出示例:
Connected to ftp.nixcraft.net.in.
Name (localhost:root): vivek
331 Please specify the password.[user now types in vivekpass]
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
(9)问题处理
官方文档可能有帮助: ftp://vsftpd.beasts.org/users/cevans/untar/vsftpd-3.0.2/EXAMPLE/VIRTUAL_USERS
默认创建的文件具有权限如 -rw(如果使用虚拟用户,则为ftp用户拥有)。要减少一些约束(像上面的,默认是077),就在你的vsftp.conf文件中设置 local_umask=022(-rw-r--r--权限),并重启服务。
http://j.mp/YunkHV - vsftpd - Secure, fast FTP server for UNIX-like systems security.appspot.com Secure, fast FTP server for UNIX systems
http://j.mp/Yunor2 - vsftpd - Wikipedia, the free encyclopedia: en.wikipedia.org vsftpd, which stands for "Very Secure FTPDaemon", is an FTP server for Unix-like systems, including Linux. It is licensed under the GNU General Public License. It supports IPv6 and SSL.
http://j.mp/WsBpj0 - Configuring vsftpd for secure connections (TLS/SSL/SFTP) - VPSLink Wiki http://wiki.vpslink.com/Configuring_vsft... This article pertains specifically to vsftpd on CentOS. Except for the installation instructions it should be adaptable to other distributions as well..
标签:
原文地址:http://blog.csdn.net/fengyu09/article/details/42040779