一、概念简介
vsftpd(very secure FTP daemon)是Linux下的一款小巧轻快、安全易用的FTP服务器软件,本次实验介绍如何在Linux上安装并配置vsftpd。
FTP(File Transfer Protocol)是一种文件传输协议,基于客户端/服务器架构,支持以下两种工作模式:
主动模式:客户端向FTP服务器发送端口信息,由服务器主动连接该端口。
被动模式:FTP服务器开启并发送端口信息给客户端,由客户端连接该端口,服务器被动接受连接。
FTP支持以下三种认证模式:
匿名用户模式:任何人无需密码验证就可以直接登录到FTP服务器,这种模式最不安全,一般只用来保存不重要的公开文件,不推荐在生产环境中使用。
本地用户模式:通过Linux系统本地账号进行验证的模式,相较于匿名用户模式更安全。
虚拟用户模式:FTP服务器的专有用户,虚拟用户只能访问Linux系统为其提供的FTP服务,而不能访问Linux系统的其它资源,进一步增强了FTP服务器的安全性。
二、实验过程
步骤一:安装vsftpd
1、运行以下命令安装vsftpd。
yum install -y vsftpd
2、运行以下命名查看是否安装成功。
rpm -qa | grep vsftpd
3、运行以下命令查看FTP服务是否开机自启动。
systemctl list-unit-files | grep vsftpd
4、运行以下命令设置FTP服务开机自启动。
systemctl enable vsftpd.service
5、运行以下命令查看FTP服务监听的端口。
netstat -antup | grep ftp
如下图所示,表示FTP服务已启动,监听的端口号为21,此时,vsftpd默认已开启本地用户模式,还需要继续进行配置才能正常使用FTP服务。
6、运行以下命名查看FTP服务运行状态。
service vsftpd status
步骤二:配置vsftp
为保证数据安全,本文主要介绍被动模式下,使用本地用户访问FTP服务器的配置方法。
1、运行以下命令为FTP服务创建一个Linux用户,本示例中,该用户名为ftptest。
adduser ftptest
2、运行以下命令修改ftptest用户的密码,运行命令后,根据命令行提示完成FTP用户的密码修改。(备注:此处修改密码为python@123)。
passwd ftptest
3、运行以下命令创建一个供FTP服务使用的文件目录。
mkdir /var/ftp/test
4、运行以下命令,创建测试文件,该测试文件用于FTP客户端访问FTP服务器时使用。
touch /var/ftp/test/testfile.txt
5、运行以下命令,通过vim编辑器在testfile.txt中写入点内容。
vim /var/ftp/test/testfile.txt
6、运行以下命令更改/var/ftp/test目录的拥有者为ftptest。
chown -R ftptest:ftptest /var/ftp/test
7、修改vsftpd.conf配置文件。
a.运行以下命令,打开vsftpd的配置文件。
如果您在安装vsftpd时,使用的是apt install vsftpd
安装命令,则配置文件路径为/etc/vsftpd.conf。
vim /etc/vsftpd/vsftpd.conf
b.按i进入编辑模式。
c.配置FTP服务器为被动模式。具体的配置参数如下:
# 关闭匿名用户登录
anonymous_enable=NO
# 使用本地用户登录
local_enable=YES
# 本地用户FTP访问目录
local_root=/var/ftp/test
# 允许登陆用户有写权限;属于全局设置,默认值为YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
xferlog_std_format=YES
# 监听IPv4 sockets
listen=YES
# 关闭监听IPv6 sockets
listen_ipv6=NO
pam_service_name=vsftpd
# userlist_enable=YES 和 userlist_deny=YES ,user_list作为黑名单使用,user_list文件中的用户都被拒绝登录FTP
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list
# 全部用户被限制在主目录
chroot_local_user=YES
# 启用例外用户名单
chroot_list_enable=YES
# 指定例外用户列表文件,列表中用户不被锁定在主目录。
chroot_list_file=/etc/vsftpd/chroot_list
# 启用被动模式
pasv_enable=YES
allow_writeable_chroot=YES
# 被动模式下FTP服务器IP
pasv_address=192.168.100.20
# 被动模式下,数据传输最小端口50000,最大端口51000,例如:50000~51000
pasv_min_port=50000
pasv_max_port=51000
(d.按Esc退出编辑模式,然后输入:wq并回车以保存并关闭文件。
8、创建chroot_list文件,并在文件中写入例外用户名单。
a.运行以下命令,创建chroot_list文件
vim /etc/vsftpd/chroot_list
b.按i进入编辑模式。
c.输入例外用户名单。此名单中的用户不会被锁定在主目录,可以访问其他目录。
d.按Esc退出编辑模式,然后输入:wq并回车以保存并关闭文件。
(备注:没有例外用户时,也必须创建chroot_list文件,内容可为空)
9、运行以下命令重启vsftpd服务。
systemctl restart vsftpd.service
10、关闭防火墙,用于FTP测试,否则FTP连接会被防火墙拦截;
# 查看防火墙状态
systemctl status firewalld
# 关闭防火墙
systemctl stop firewalld
# 开启防火墙
systemctl start firewalld
# 重启防火墙
systemctl restart firewalld
11、FTP下载,上传测试,如下。
方式1:ftp://192.168.100.20连接FTP服务器,用户名:ftptest ;密码:python@123
方式2:使用WinSCP客户端连接FTP服务器,用户名:ftptest ;密码:python@123
转自:https://zhuanlan.zhihu.com/p/624591322?utm_id=0