Linux 搭建 vsFTP 文件共享服务

酷儿爽 2022-09-27 09:52:04  51917

分类专栏：资讯

VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。除了这与生俱来的安全特性以外，高速与高稳定性也是VSFTP的两个重要特点。在速度方面，使用ASCII代码的模式下载数据时，VSFTP的速度是Wu-FTP的两倍，如果Linux主机使用2.4.*的内核，在千兆以太网上的下载速度可达86MB/S。在稳定方面，VSFTP就更加的出色，VSFTP在单机（非集群）上支持4000个以上的并发用户同时连接，根据Red Hat的Ftp服务器的数据，VSFTP服务器可以支持15000个并发用户

它是一个安全、高速、稳定的FTP服务器
它可以做基于多个IP的虚拟FTP主机服务器
匿名服务设置十分方便
匿名FTP的根目录不需要任何特殊的目录结构，或系统程序或其它的系统文件
不执行任何外部程序，从而减少了安全隐患
支持虚拟用户，并且每个虚拟用户可以具有独立的属性配置
可以设置从inetd中启动，或者独立的FTP服务器两种运行方式
支持两种认证方式（PAP或xinetd/ tcp_wrappers）
支持带宽限制
VSFTP 模式： C/S 模式
监听端口：20、21

FTP 监听的端口有两个：
端口 20：用于传输数据
端口 21：用于传输指令
工作流程（原理）分为两种模式：主动和被动模式
FTP 会话包含了两个通道，控制通道和数据传输通道，FTP 的工作有两种模式，一种是主动模式，一种是被动模式，以 FTP Server 为参照，主动模式，服务器主动连接客户端传输，被动模式，等待客户的连接。
主动模式（PORT）的工作原理
FTP 客户端连接到 FTP 服务器的 21 号端口，发送用户名和密码，客户端随机开放一个端口（1024以上），发送 PORT 命令到 FTP 服务器，告知服务器客户端采用主动模式并开放端口，FTP 服务器收到PORT 主动模式命令和端口后，通过服务器的 20 号端口和客户端开放的端口连接，发送数据，（无论是主动还是被动模式，首先的控制通道都是先建立起来，只是在数据传输模式上的别）

被动模式的工作原理：
PASV 是 Passive 的缩写，中文称为被动模式，工作原理：FTP 客户端连接到 FTP 服务器所监听的21 号端口，发送用户名和密码，发送 PASV 命令到 FTP 服务器，服务器在本地随机开放一个端口
（1024 以上），然后把开放的端口告知客户端，而后客户端再连接到服务器开放的端口进行数据传输

PS：
以上的说明主动和被动，是相对于的 FTP server 端而判断，如果 server 去连接 client 开放的端口，说明是主动的，相反，如果 client 去连接 server 开放的端口，则是被动。

实验环境 CentOS 7.8.2003 192.168.2.3
firewalld、iptables及SElinux 均为关闭状态
yum -y install vsftpd

配置文件位置：
vsftpd 相关文档：
/etc/vsftpd/vsftpd.conf vsftpd 的核心配置文件。
/etc/vsftpd/ftpusers 用于指定哪些用户不能访问 FTP 服务器，即黑名单。
/etc/vsftpd/user_list 指定允许使用 VSFTP 的用户列表文件，即白名单。

VSftp 服务主配置文件 /etc/vsftpd/vsftpd.conf 详细说明

anonymous_enable=YES/NO（YES）控制是否允许匿名用户登入，YES 为允许匿名登入，NO 为不允许。默认值为YES。
write_enable=YES/NO（YES）是否允许登陆用户有写权限。属于全局设置，默认值为YES。
no_anon_password=YES/NO（NO）若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。
ftp_username=ftp 定义匿名登入的使用者名称。默认值为ftp。
anon_root=/var/ftp 使用匿名登入时，所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性，即匿名用户的家目录不能有777的权限。
anon_upload_enable=YES/NO（NO）如果设为YES，则允许匿名登入者有上传文件（非目录）的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。
anon_world_readable_only=YES/NO（YES）如果设为YES，则允许匿名登入者下载可阅读的档案（可以下载到本机阅读，不能直接在FTP服务器中打开阅读）。默认值为YES。
anon_mkdir_write_enable=YES/NO（NO）如果设为YES，则允许匿名登入者有新增目录的权限，只有在write_enable=YES时，此项才有效。当然，匿名用户必须要有对上层目录的写入权。默认值为NO。
anon_other_write_enable=YES/NO（NO）如果设为YES，则允许匿名登入者更多于上传或者建立目录之外的权限，譬如删除或者重命名。（如果 anon_upload_enable=NO，则匿名用户不能上传文件，但可以删除或者重命名已经存在的文件；如果 anon_mkdir_write_enable=NO，则匿名用户不能上传或者新建文件夹，但可以删除或者重命名已经存在的文件夹。）默认值为NO。
chown_uploads=YES/NO（NO）设置是否改变匿名用户上传文件（非目录）的属主。默认值为NO。
chown_username=username 设置匿名用户上传文件（非目录）的属主名。建议不要设置为root。
anon_umask=077 设置匿名登入者新增或上传档案时的umask 值。默认值为077，则新建档案的对应权限为700。
deny_email_enable=YES/NO（NO）若是启动这项功能，则必须提供一个档案/etc/vsftpd/banner_emails，内容为email address。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。默认值为NO。
banned_email_file=/etc/vsftpd/banner_emails 此文件用来输入email address，只有在deny_email_enable=YES时，才会使用到此档案。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。
local_enable=YES/NO（YES）控制是否允许本地用户登入，YES 为允许本地用户登入，NO为不允许。默认值为YES。
local_root=/home/username 当本地用户登入时，将被更换到定义的目录下。默认值为各用户的家目录。
write_enable=YES/NO（YES）是否允许登陆用户有写权限。属于全局设置，默认值为YES。
local_umask=022 本地用户新增档案时的umask 值。默认值为077。
file_open_mode=0755 本地用户上传档案后的档案权限，与chmod 所使用的数值相同。默认值为0666。
dirmessage_enable=YES/NO（YES）如果启动这个选项，那么使用者第一次进入一个目录时，会检查该目录下是否有.message这个档案，如果有，则会出现此档案的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。默认值为开启。
message_file=.message 设置目录消息文件，可将要显示的信息写入该文件。默认值为.message。
banner_file=/etc/vsftpd/banner 当使用者登入时，会显示此设定所在的档案内容，通常为欢迎话语或是说明。默认值为无。如果欢迎信息较多，则使用该配置项。
ftpd_banner=Welcome to BOB's FTP server 这里用来定义欢迎话语的字符串，banner_file是档案的形式，而ftpd_banner 则是字符串的形式。预设为无。
在默认配置下，本地用户登入FTP后可以使用cd命令切换到其他目录，这样会对系统带来安全隐患。可以通过以下三条配置文件来控制用户切换目录。
chroot_list_enable=YES/NO（NO） 设置是否启用chroot_list_file配置项指定的用户列表文件。默认值为NO。
chroot_list_file=/etc/vsftpd.chroot_list 用于指定用户列表文件，该文件用于控制哪些用户可以切换到用户家目录的上级目录。
chroot_local_user=YES/NO（NO）用于指定用户列表文件中的用户是否允许切换到上级目录。默认值为NO。
通过搭配能实现以下几种效果：
当chroot_list_enable=YES，chroot_local_user=YES时，在/etc/vsftpd.chroot_list文件中列出的用户，可以切换到其他目录；未在文件中列出的用户，不能切换到其他目录。
当chroot_list_enable=YES，chroot_local_user=NO时，在/etc/vsftpd.chroot_list文件中列出的用户，不能切换到其他目录；未在文件中列出的用户，可以切换到其他目录。
当chroot_list_enable=NO，chroot_local_user=YES时，所有的用户均不能切换到其他目录。
当chroot_list_enable=NO，chroot_local_user=NO时，所有的用户均可以切换到其他目录。
ascii_upload_enable=YES/NO（NO）设置是否启用ASCII 模式上传数据。默认值为NO。
ascii_download_enable=YES/NO（NO） 设置是否启用ASCII 模式下载数据。默认值为NO。
tcp_wrappers=YES/NO（YES）设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用，则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置，来决定请求连接的主机，是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器，则在/etc/hosts.allow文件中添加以下内容：
vsftpd:192.168.0. :allow
all:all :deny
对于用户的访问控制可以通过/etc目录下的vsftpd.user_list和ftpusers文件来实现。
userlist_file=/etc/vsftpd.user_list 控制用户访问FTP的文件，里面写着用户名称。一个用户名称一行。
userlist_enable=YES/NO（NO）是否启用vsftpd.user_list文件。
userlist_deny=YES/NO（YES）决定vsftpd.user_list文件中的用户是否能够访问FTP服务器。若设置为YES，则vsftpd.user_list文件中的用户不允许访问FTP，若设置为NO，则只有vsftpd.user_list文件中的用户才能访问FTP。
/etc/vsftpd/ftpusers文件专门用于定义不允许访问FTP服务器的用户列表（注意: 如果userlist_enable=YES,userlist_deny=NO,此时如果在vsftpd.user_list和ftpusers中都有某个用户时，那么这个用户是不能够访问FTP的，即ftpusers的优先级要高）。默认情况下vsftpd.user_list和ftpusers，这两个文件已经预设置了一些不允许访问FTP服务器的系统内部账户。如果系统没有这两个文件，那么新建这两个文件，将用户添加进去即可。
anon_max_rate=0 设置匿名登入者使用的最大传输速度，单位为B/s，0 表示不限制速度。默认值为0。
local_max_rate=0 本地用户使用的最大传输速度，单位为B/s，0 表示不限制速度。预设值为0。
accept_timeout=60 设置建立FTP连接的超时时间，单位为秒。默认值为60。
connect_timeout=60 PORT 方式下建立数据连接的超时时间，单位为秒。默认值为60。
data_connection_timeout=120 设置建立FTP数据连接的超时时间，单位为秒。默认值为120。
idle_session_timeout=300 设置多长时间不对FTP服务器进行任何操作，则断开该FTP连接，单位为秒。默认值为300 。
xferlog_enable= YES/NO（YES）是否启用上传/下载日志记录。如果启用，则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。
xferlog_file=/var/log/vsftpd.log 设置日志文件名和路径，默认值为/var/log/vsftpd.log。
xferlog_std_format=YES/NO（NO） 如果启用，则日志文件将会写成xferlog的标准格式，如同wu-ftpd 一般。默认值为关闭。
log_ftp_protocol=YES|NO（NO） 如果启用此选项，所有的FTP请求和响应都会被记录到日志中，默认日志文件在/var/log/vsftpd.log。启用此选项时，xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。
user_config_dir=/etc/vsftpd/userconf 设置用户配置文件所在的目录。当设置了该配置项后，用户登陆服务器后，系统就会到/etc/vsftpd/userconf目录下，读取与当前用户名相同的文件，并根据文件中的配置命令，对当前用户进行更进一步的配置。
例如：定义user_config_dir=/etc/vsftpd/userconf，且主机上有使用者 test1,test2，那么我们就在user_config_dir 的目录新增文件名为test1和test2两个文件。若是test1 登入，则会读取user_config_dir 下的test1 这个档案内的设定。默认值为无。利用用户配置文件，可以实现对不同用户进行访问速度的控制，在各用户配置文件中定义local_max_rate=XX，即可。
listen_port=21 设置FTP服务器建立连接所监听的端口，默认值为21。
connect_from_port_20=YES/NO 指定FTP使用20端口进行数据传输，默认值为YES。
ftp_data_port=20 设置在PORT方式下，FTP数据连接使用的端口，默认值为20。
pasv_enable=YES/NO（YES） 若设置为YES，则使用PASV工作模式；若设置为NO，则使用PORT模式。默认值为YES，即使用PASV工作模式。
pasv_max_port=0 在PASV工作模式下，数据连接可以使用的端口范围的最大端口，0 表示任意端口。默认值为0。
pasv_min_port=0 在PASV工作模式下，数据连接可以使用的端口范围的最小端口，0 表示任意端口。默认值为0。
listen=YES/NO（YES）设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好的方式，此时listen必须设置为YES，此为默认值。建议不要更改，有很多与服务器运行相关的配置命令，需要在此模式下才有效。若设置为NO，则 vsftpd不是以独立的服务运行，要受到xinetd服务的管控，功能上会受到限制。
max_clients=0 设置vsftpd允许的最大连接数，默认值为0，表示不受限制。若设置为100时，则同时允许有100个连接，超出的将被拒绝。只有在standalone模式运行才有效。
max_per_ip=0 设置每个IP允许与FTP服务器同时建立连接的数目。默认值为0，表示不受限制。只有在standalone模式运行才有效。
listen_address=IP地址 设置FTP服务器在指定的IP地址上侦听用户的FTP请求。若不设置，则对服务器绑定的所有IP地址进行侦听。只有在standalone模式运行才有效。
setproctitle_enable=YES/NO（NO）设置每个与FTP服务器的连接，是否以不同的进程表现出来。默认值为NO，此时使用ps aux |grep ftp只会有一个vsftpd的进程。若设置为YES，则每个连接都会有一个vsftpd的进程。
pam_service_name=vsftpd 设置PAM使用的名称，默认值为/etc/pam.d/vsftpd。
guest_enable= YES/NO（NO） 启用虚拟用户。默认值为NO。
guest_username=ftp 这里用来映射虚拟用户。默认值为ftp。
virtual_use_local_privs=YES/NO（NO）当该参数激活（YES）时，虚拟用户使用与本地用户相同的权限。当此参数关闭（NO）时，虚拟用户使用与匿名用户相同的权限。默认情况下此参数是关闭的（NO）。
text_userdb_names= YES/NO（NO）设置在执行ls –la之类的命令时，是显示UID、GID还是显示出具体的用户名和组名。默认值为NO，即以UID和GID方式显示。若希望显示用户名和组名，则设置为YES。
ls_recurse_enable=YES/NO（NO）若是启用此功能，则允许登入者使用ls –R（可以查看当前目录下子目录中的文件）这个指令。默认值为NO。
hide_ids=YES/NO（NO）如果启用此功能，所有档案的拥有者与群组都为ftp，也就是使用者登入使用ls -al之类的指令，所看到的档案拥有者跟群组均为ftp。默认值为关闭。
download_enable=YES/NO（YES）如果设置为NO，所有的文件都不能下载到本地，文件夹不受影响。默认值为YES。

编辑主配置文件
vim /etc/vsftpd/vsftpd.conf
允许匿名用户访问
write_enable=YES
anonymous_enable=yes
anon_root=/var/ftp
anon_max_rate=0
anon_umask=022
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_upload_enable=yes
allow_writeable_chroot=YES
保存退出启动服务
systemctl start vsftpd

试着访问 ftp 服务器

发现报错，属于目录权限问题，修改 FTP 共享目录属主、属组为 ftp 用户

重新访问

注：在生产环境中，匿名用户只能只读访问，没有写的权限!
从2.3.5之后，vsftpd增强了安全检查，如果用户被限定在了其主目录下，则该用户的主目录不能再具有写权限了！如果检查发现还有写权限，就会报错!
vsftpd：500 OOPS: vsftpd: refusing to run with writable root inside chroot

用户名密码方式访问 VSFTP
建立 ftp 帐号 team1 和 team2 并禁止本地登录，然后设置其密码。

配置 vsftpd.conf 主配置文件并作相应修改
anonymous_enable=NO 禁止匿名用户登录
local_enable=YES 允许本地用户登录
local_root=/var/ftp/pub 设置本地用户的根目录为 /var/ftp/pub
chroot_list_enable=YES 开启 chroot 功能。
chroot_list_file=/etc/vsftpd/chroot_list 设置锁定用户在根目录中的列表文件。此文件存放要锁定的用户名。
allow_writeable_chroot=YES 允许锁定的用户有写的权限。
修改完成后保存并退出。
注意选项后面不能有空格，也不能有注释！！

建立/etc/vsftpd/chroot_list 文件，添加 team1 和 team2 帐号
vim /etc/vsftpd/chroot_list 写入以下内容，一行一个用户名。
team1
team2
修改目录权限
chmod o+w /var/ftp/pub
systemctl restart vsftpd

测试

使用另外一个账号登陆

只允许更改、删除对应用户创建的目录和文件，无法删除其他用户创建的目录和文件

下面开始配置基于 MariaDB 验证的 VSFTP虚拟用户访问
实验环境：CentOS 7 Firewall 、IPtables、SElinux均为关闭状态 Disabled
VSFTP 192.168.10.2 CentOS 7.5
MariaDB 192.168.10.6 CentOS 7.5

首先在 192.168.10.2 上使用 YUM方式安装 VSFTP服务

编辑 /etc/vsftpd/vsftpd.conf
红色字体部分为必须选项
write_enable=YES   允许登陆用户有写权限
xferlog_enable=YES 启用上传/下载日志记录
connect_from_port_20=YES 指定FTP使用20端口进行数据传输
xferlog_file=/var/log/xferlog
xferlog_std_format=YES   日志文件写成xferlog的标准格式
idle_session_timeout=600 设置自动断开连接时间为600秒
data_connection_timeout=120   设置建立FTP数据连接的超时时间120秒
chroot_local_user=YES 允许切换到上级目录
ls_recurse_enable=YES
listen=yes 设置vsftpd服务器以standalone模式运行
allow_writeable_chroot=YES 锁定访问目录为用户目录
userlist_enable=YES   启用vsftpd.user_list文件
tcp_wrappers=YES
local_enable=YES 允许本地用户登入
anonymous_enable=YES 启用匿名用户登录
guest_enable=YES 启用虚拟用户
guest_username=vuser 映射虚拟用户为 vuser （可以自行设定用户）
pam_service_name=vsftpd.mysql   设置PAM使用的名称，默认值为/etc/pam.d/vsftpd，可以自行设定
user_config_dir=/etc/vsftpd/conf.d 设置虚拟用户配置文件所在的目录

确认无误重启 VSftpd 服务
mkdir -p /var/ftproot/ftp{1,2,3}/{upload,pub} 创建3个虚拟用户 FTP 家目录,，不允许目录有写入权限
chmod -R 555 /var/ftproot 设置目录为只读，不允许写入
useradd -s /sbin/nologin -d /var/ftproot vuser 创建虚拟映射用户 vuser ,家目录为 /var/ftproot/ ,不允许登录系统
setfacl -R -m u:vuser:rwx /var/ftproot/ftp{1,2,3}/{upload,pub} 使用访问控制列表增加映射用户有写入权限

创建 /etc/vsftpd/conf.d 目录
分别创建虚拟用户配置文件 /etc/vsftpd/conf.d/ftp1 /etc/vsftpd/conf.d/ftp2 /etc/vsftpd/conf.d/ftp3
vim /etc/vsftpd/conf.d/ftp1
local_root=/var/ftproot/ftp1/ 锁定登录目录
anon_upload_enable=YES 开启文件上传功能
anon_mkdir_write_enable=YES 允许匿名登入者有新增目录的权限
anon_other_write_enable=YES 允许匿名登入者更多于上传或者建立目录之外的权限，譬如删除或者重命名
anon_umask=022 设置匿名登入者新增或上传档案时的umask 值。值为022，则新建档案的对应权限为755
vim /etc/vsftpd/conf.d/ftp2
anon_upload_enable=YES 仅允许用户有上传文件的功能
local_root=/var/ftproot/ftp2/
anon_umask=022
vim /etc/vsftpd/conf.d/ftp3
local_root=/var/ftproot/ 仅允许登录

安装支持mysql的pam模块 pam_mysql
官网下载地址 https://sourceforge.net/projects/pam-mysql/files/latest/download
安装依赖库
yum -y install mariadb-devel pam-devel
yum -y groupinstall Development\ Tools
wget https://jaist.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz
tar xf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1/
sudo ./configure --with-pam-mods-dir=/lib64/security --with-pam=/usr
sudo make && sudo make instal
生成的模块文件路径及文件名
-rwxr-xr-x 1 root root /lib64/security/pam_mysql.la
-rwxr-xr-x 1 root root /lib64/security/pam_mysql.so

建立pam认证所需文件 vsftpd.mysql
vim /etc/pam.d/vsftpd.mysql
添加下面2条内容

auth required pam_mysql.so user=ftp passwd=password host=192.168.10.6 db=vsftpd table=ftpusers usercolumn=name passwdcolumn=password crypt=2

account required pam_mysql.so user=ftp passwd=password host=192.168.10.6 db=vsftpd table=ftpusers usercolumn=name passwdcolumn=password crypt=2

接下来在 192.168.10.6 上创建需要的数据库、表、用户
需要安装、配置好 MariaDB 详细操作请参考拙作：https://blog.csdn.net/gaofei0428/article/details/103829676
创建需要的数据库、表、用户，然后在表中插入数据
mysql -uroot -p123456 -e "create database vsftpd;"
mysql -uroot -p123456 -e "create table vsftpd.ftpusers(name char(20),password char(50));"
mysql -uroot -p123456 -e "grant select on vsftpd.ftpusers to ftp@'%' identified by 'password';"
mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp1',password('ftp1password'));"
mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp2',password('ftp2password'));"
mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp3',password('ftp3password'));"