千家信息网

理论+实操:FTP服务详细介绍优化,创建虚拟用户

发表于:2024-11-25 作者:千家信息网编辑
千家信息网最后更新 2024年11月25日,搭建FTP服务一 :安装ftp服务1.1 挂载镜像文件安装vsftpd软件包1.2 也可以使用yum仓库[root@localhost ~]# yum install vsftpd-sysvinit.
千家信息网最后更新 2024年11月25日理论+实操:FTP服务详细介绍优化,创建虚拟用户

搭建FTP服务

一 :安装ftp服务

1.1 挂载镜像文件


安装vsftpd软件包

1.2 也可以使用yum仓库

[root@localhost ~]# yum install vsftpd-sysvinit.x86_64  -yInstalled:  vsftpd-sysvinit.x86_64 0:3.0.2-25.el7                                  Complete!

1.3 相关文件路径

[root@localhost ~]# cd /etc/vsftpd/[root@localhost vsftpd]# lsftpusers  user_list  vsftpd.conf  vsftpd_conf_migrate.sh

vsftpd.conf 配置文件

user_list 用户列表 ,通过修改配置文件去决定用户列表中的用户是否可以登录,即修改黑白名单的登录权限

  • 默认的配置文件参数如下
[root@localhost vsftpd]# grep -v '#' vsftpd.conf  '过滤出有效的执行参数'anonymous_enable=YES        '启用匿名用户'local_enable=YES        '启用本地用户'write_enable=YES        '启用写入权限'local_umask=022         '启用反掩码'dirmessage_enable=YES   ''xferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpd     'pam模块认证'userlist_enable=YES         '用户列表开启'        tcp_wrappers=YES

这个时候不做修改其实也可以用

[root@localhost vsftpd]# systemctl start vsftpd[root@localhost vsftpd]# systemctl status vsftpd● vsftpd.service - Vsftpd ftp daemon   Loaded: loaded (/usr/lib/systemd/system/vsftpd.service; disabled; vendor preset: disabled)   Active: active (running) since Sat 2019-12-07 14:35:44 CST; 22s ago  Process: 93638 ExecStart=/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf (code=exited, status=0/SUCCESS) Main PID: 93639 (vsftpd)   CGroup: /system.slice/vsftpd.service           └─93639 /usr/sbin/vsftpd /etc/vsftpd/vsftpd.confDec 07 14:35:44 localhost.localdomain systemd[1]: Starting Vsftpd ftp ...Dec 07 14:35:44 localhost.localdomain systemd[1]: Started Vsftpd ftp d...Hint: Some lines were ellipsized, use -l to show in full.

二 : 优化ftp服务

2.1 需要注意的就是要关闭防火墙,还有setenforce

[root@localhost vsftpd]# systemctl stop firewalld.service [root@localhost vsftpd]# setenforce 0[root@localhost vsftpd]# 

2.1.1 使用另一台主机,去登陆ftp服务器,使用匿名登陆的方式

C:\Users\GSY>ftp 192.168.247.140    '开启vsftpd的服务器ip'连接到 192.168.247.140。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.140:(none)): ftp331 Please specify the password.密码:230 Login successful.ftp>ftp> pwd    '查看所在位置'257 "/"     '这里的根不代表服务器的根目录,代表vsftpd的站点'ftp> ls -a      '查看'200 PORT command successful. Consider using PASV.150 Here comes the directory listing....centos7ks.cfgpub     '公共文件夹'226 Directory send OK.ftp: 收到 32 字节,用时 0.00秒 16.00千字节/秒。ftp>

可以到服务器的相应站点去查看

[root@localhost vsftpd]# ls -a /var/ftp.  ..  centos7  ks.cfg  pub

在服务器上创建一个文件去测试

[root@localhost vsftpd]# echo "778899" > /var/ftp/test.txt[root@localhost vsftpd]# ls -a /var/ftp.  ..  centos7  ks.cfg  pub  test.txt[root@localhost vsftpd]# cat /var/ftp/test.txt 778899

去客户机查看

ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.centos7ks.cfgpubtest.txt        '增加对应的文件'226 Directory send OK.ftp: 收到 35 字节,用时 0.01秒 7.00千字节/秒。ftp>

2.2 客户机切换到e盘去进行下载测试

ftp> get test.txt200 PORT command successful. Consider using PASV.150 Opening BINARY mode data connection for test.txt (7 bytes).226 Transfer complete.ftp: 收到 7 字节,用时 0.00秒 7000.00千字节/秒。ftp>

测试完下载,然后测试上传

反馈权限不够

ftp> put 999.txt200 PORT command successful. Consider using PASV.550 Permission denied.      ftp>

2.3 现在去修改服务器的vsftpd配置文件,使匿名登陆的权限最大化

#anon_mkdir_write_enable=YES        '代表匿名用户可以创建目录'#anon_upload_enable=YES         '代表匿名用户可以上传'

将#号键去掉,保存退出

还可以使用man 去查看vsftpd.conf配置文件的用法

[root@localhost vsftpd]# man vsftpd.conf

进入man模式,:anon去查看关键信息

          Default: NO   anon_other_write_enable          If  set to YES, anonymous users will be permitted to per‐          form write operations other than upload and create direc‐          tory,  such  as  deletion and renaming. This is generally          not recommended but included for completeness.          Default: NO   anon_upload_enable          If set to YES,  anonymous  users  will  be  permitted  to          upload  files under certain conditions. For this to work,          the option write_enable must be activated, and the anony‐          mous  ftp  user  must  have  write  permission on desired          upload locations. This setting is also required for  vir‐          tual  users  to  upload;  by  default,  virtual users are          treated with anonymous (i.e. maximally restricted) privi‐          lege.

权限默认为no

anon_other_write_enable 代表可以对文件重命名或者删除

把这条命令追加入到配置文件,可以令anon的权限最大化

可以使用过滤去查看验证功能是否开启

[root@localhost vsftpd]# grep -v '#' vsftpd.conf anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022anon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YES[root@localhost vsftpd]# 

2.4 修改过的配置文件,需要重新加载服务才能生效

[root@localhost vsftpd]# systemctl reload vsftpdFailed to reload vsftpd.service: Job type reload is not applicable for unit vsftpd.service.See system logs and 'systemctl status vsftpd.service' for details.[root@localhost vsftpd]# systemctl restart vsftpd[root@localhost vsftpd]# service reload vsftpdThe service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.[root@localhost vsftpd]# service vsftpd reloadReloading vsftpd configuration (via systemctl):  Failed to reload vsftpd.service: Job type reload is not applicable for unit vsftpd.service.See system logs and 'systemctl status vsftpd.service' for details.                                                           [失败]

重新加载不好使,只好重启了

2.5 在vsftpd中将anon的权限最大化放宽,还要考虑到文件自身的权限有没有被放宽

[root@localhost vsftpd]# cd /var/ftp[root@localhost ftp]# ls -altotal 12drwxr-xr-x.  4 root root   62 Dec  7 14:53 .drwxr-xr-x. 24 root root 4096 Nov 22 14:43 ..drwxr-xr-x.  2 root root    6 Nov 22 14:51 centos7-rw-r--r--.  1 root root  909 Nov 22 15:17 ks.cfgdrwxr-xr-x.  2 root root    6 Oct 31  2018 pub-rw-r--r--.  1 root root    7 Dec  7 14:53 test.txt

先测试一下

ftp> put 999.txt200 PORT command successful. Consider using PASV.553 Could not create file.

依旧不可以,把ftp权限放开

[root@localhost ftp]# chmod 777 /var/ftp[root@localhost ftp]# ls -altotal 12drwxrwxrwx.  4 root root   62 Dec  7 14:53 .drwxr-xr-x. 24 root root 4096 Nov 22 14:43 ..drwxr-xr-x.  2 root root    6 Nov 22 14:51 centos7-rw-r--r--.  1 root root  909 Nov 22 15:17 ks.cfgdrwxr-xr-x.  2 root root    6 Oct 31  2018 pub-rw-r--r--.  1 root root    7 Dec  7 14:53 test.txt

可以了

ftp> put 999.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 Transfer complete.ftp: 发送 7 字节,用时 0.00秒 3.50千字节/秒。

去服务端查看验证

[root@localhost ftp]# ls -altotal 16drwxrwxrwx.  4 root root   77 Dec  7 15:32 .drwxr-xr-x. 24 root root 4096 Nov 22 14:43 ..-rw-------.  1 ftp  ftp     7 Dec  7 15:32 999.txtdrwxr-xr-x.  2 root root    6 Nov 22 14:51 centos7-rw-r--r--.  1 root root  909 Nov 22 15:17 ks.cfgdrwxr-xr-x.  2 root root    6 Oct 31  2018 pub-rw-r--r--.  1 root root    7 Dec  7 14:53 test.txt

同理也可以去改pub

2.6 接下来测试删除自己上传的文件

ftp> delete 999.txt250 Delete operation successful.ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.centos7ks.cfgpubtest.txt226 Directory send OK.ftp: 收到 35 字节,用时 0.00秒 35.00千字节/秒。
[root@localhost ftp]# ls -altotal 12drwxrwxrwx.  4 root root   62 Dec  7 15:36 .drwxr-xr-x. 24 root root 4096 Nov 22 14:43 ..drwxr-xr-x.  2 root root    6 Nov 22 14:51 centos7-rw-r--r--.  1 root root  909 Nov 22 15:17 ks.cfgdrwxr-xr-x.  2 root root    6 Oct 31  2018 pub-rw-r--r--.  1 root root    7 Dec  7 14:53 test.txt

测试删除原有的文件

ftp> delete test.txt250 Delete operation successful.ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.centos7ks.cfgpub226 Directory send OK.ftp: 收到 25 字节,用时 0.00秒 12.50千字节/秒。
[root@localhost ftp]# ls -altotal 8drwxrwxrwx.  4 root root   46 Dec  7 15:37 .drwxr-xr-x. 24 root root 4096 Nov 22 14:43 ..drwxr-xr-x.  2 root root    6 Nov 22 14:51 centos7-rw-r--r--.  1 root root  909 Nov 22 15:17 ks.cfgdrwxr-xr-x.  2 root root    6 Oct 31  2018 pub

也可以执行

三 :接下来测试普通用户

[root@localhost ftp]# useradd zhangsan[root@localhost ftp]# useradd lisi[root@localhost ftp]# echo "123123" | passwd zhangsan --stdinChanging password for user zhangsan.passwd: all authentication tokens updated successfully.[root@localhost ftp]# echo "123123" | passwd lisi --stdinChanging password for user lisi.passwd: all authentication tokens updated successfully.

接下来在客户机以新创建的用户去远程登陆

E:\>ftp 192.168.247.140连接到 192.168.247.140。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.140:(none)): zhangsan331 Please specify the password.密码:230 Login successful.ftp>ftp>ftp>ftp> pwd257 "/home/zhangsan"

3.1 可以发现在自己的家目录下

接下来进行上传测试

ftp> put 999.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 Transfer complete.ftp: 发送 7 字节,用时 0.00秒 7.00千字节/秒。
[root@localhost ftp]# ls /home/zhangsan999.txt[root@localhost ftp]# 

3.2 切换目录,发现普通用户可以随意切换

ftp> cd /250 Directory successfully changed.ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.binbootdevetchomeliblib64mediamntoptprocrootrunsbinsrvsystmpusrvar226 Directory send OK.ftp: 收到 107 字节,用时 0.01秒 9.73千字节/秒。

这对服务器安全而言是一种隐患

接下来去修改相应的配置选项

#chroot_local_user=YES      '禁止本地用户切换目录'allow_writeable_chroot=YES      'centos7中还需要额外开启这一项'

启用它,保存退出,重启服务

ftp> ls远程主机关闭连接。

使用bye命令退出ftp模式,重新登录

E:\>ftp 192.168.247.142连接到 192.168.247.142。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.142:(none)): zhangsan331 Please specify the password.密码:230 Login successful.ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.226 Directory send OK.ftp> ls -a200 PORT command successful. Consider using PASV.150 Here comes the directory listing.....bash_logout.bash_profile.bashrc.mozilla226 Directory send OK.ftp: 收到 58 字节,用时 0.00秒 14.50千字节/秒。ftp> pwd257 "/"ftp> cd /etc550 Failed to change directory.ftp>

3.3 接下来配置用户名单user--list

如果使用userlist_deny=NO,则仅允许名单内的这些用户访问

如果使用userlist_deny=YES (默认),则不允许名单内的这些用户访问

可以把zhangsan追加进去测试

[root@localhost ftp]# echo "zhangsan" >> /etc/vsftpd/user_list [root@localhost ftp]# 

重新加载服务后再次登陆,发现登陆失败

E:\>ftp 192.168.247.140连接到 192.168.247.140。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.140:(none)): zhansan331 Please specify the password.密码:530 Login incorrect.登录失败。ftp>ftp> ls530 Please login with USER and PASS.530 Please login with USER and PASS.ftp>

增加用户列表限制,只允许列表内的用户访问,然后重启服务

[root@localhost ftp]# vim /etc/vsftpd/vsftpd.conf userlist_enable=YES         '代表用户列表开启'userlist_deny=NO        '增加仅允许用户列表内用户访问'

测试,发现生效

E:\>ftp 192.168.247.140连接到 192.168.247.140。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.140:(none)): lisi530 Permission denied.登录失败。ftp> bye221 Goodbye.E:\>ftp 192.168.247.140连接到 192.168.247.140。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.140:(none)): zhangsan331 Please specify the password.密码:230 Login successful.ftp>

把刚才增加的配置删除,继续测试

四 :虚拟用户

4.1 先创建/etc/vsftpd/vuser文件

里面写虚拟账户的账号和密码

[root@localhost ftp]# cd /etc/vsftpd/[root@localhost vsftpd]# vim vuser[root@localhost vsftpd]# cat vuser lisa123123tom123123

4.2 把vuser文件转换成数据库文件

-T 代表转换 -t 代表类型 hash 代表哈希算法类型 -f 指定文件

[root@localhost vsftpd]# db_load -T -t hash -f vuser vuser.db[root@localhost vsftpd]# [root@localhost vsftpd]# ls -altotal 48drwxr-xr-x.   2 root root   117 Dec  7 16:37 .drwxr-xr-x. 140 root root  8192 Dec  7 15:41 ..-rw-------.   1 root root   125 Oct 31  2018 ftpusers-rw-------.   1 root root   370 Dec  7 16:03 user_list-rw-------.   1 root root  5142 Dec  7 16:11 vsftpd.conf-rwxr--r--.   1 root root   338 Oct 31  2018 vsftpd_conf_migrate.sh-rw-r--r--.   1 root root    23 Dec  7 16:33 vuser-rw-r--r--.   1 root root 12288 Dec  7 16:37 vuser.db

为了安全,修改这两个文件为600权限

[root@localhost vsftpd]# chmod 600 vuse*[root@localhost vsftpd]# ls -altotal 48drwxr-xr-x.   2 root root   117 Dec  7 16:37 .drwxr-xr-x. 140 root root  8192 Dec  7 15:41 ..-rw-------.   1 root root   125 Oct 31  2018 ftpusers-rw-------.   1 root root   370 Dec  7 16:03 user_list-rw-------.   1 root root  5142 Dec  7 16:11 vsftpd.conf-rwxr--r--.   1 root root   338 Oct 31  2018 vsftpd_conf_migrate.sh-rw-------.   1 root root    23 Dec  7 16:33 vuser-rw-------.   1 root root 12288 Dec  7 16:37 vuser.db

4.3 创建虚拟用户对应的账户

[root@localhost vsftpd]# useradd -d /opt/vuser -s /sbin/nologin vuser[root@localhost vsftpd]# grep 'vuser' /etc/passwdvuser:x:1003:1003::/opt/vuser:/sbin/nologin[root@localhost vsftpd]# ls /opt192.168.139.132  rh  vuser

4.4 使用pam认证模块开启支持虚拟用户登陆

新建一个pam模块文件,/etc/pam.d/vsftpd.vu,在里面写入

auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=etc/vsftpd/vuser

注意,db后面的文件代表的是以db为后缀的文件

[root@localhost vsftpd]# cd /etc/pam.d/[root@localhost pam.d]# cat vsftpd #%PAM-1.0session    optional     pam_keyinit.so    force revokeauth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedauth       required     pam_shells.soauth       include      password-authaccount    include      password-authsession    required     pam_loginuid.sosession    include      password-auth[root@localhost pam.d]# vim vsftpd.vu[root@localhost pam.d]# cat vsftpd.vu auth required pam_userdb.so db=/etc/vsftpd/vuseraccount required pam_userdb.so db=etc/vsftpd/vuser[root@localhost pam.d]# 

4.5 接下来开始修改配置文件

[root@localhost vsftpd]# vim vsftpd.conf #pam_service_name=vsftpd        '关掉这个命令'guest_enable=YES            '加入来宾功能'guest_username=vuserpam_service_name=vsftpd.vu      'pam模块服务指定刚才新建的模块'[root@localhost pam.d]# tail -9 /etc/vsftpd/vsftpd.conf # Make sure, that one of the listen options is commented !!listen_ipv6=YES#pam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YESguest_enable=YESguest_username=YESpam_service_name=vsftpd.vu

修改完毕,开始重启服务

4.6 接下来就可以使用虚拟用户登陆,上传文件

E:\>ftp 192.168.247.142连接到 192.168.247.142。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.142:(none)): lisa331 Please specify the password.密码:230 Login successful.ftp>ftp>ftp>ftp>ftp>ftp> put 999.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 Transfer complete.ftp: 发送 7 字节,用时 0.00秒 7.00千字节/秒。ftp>

查看服务端验证

[root@localhost vuser]# cd /etc/vsftpd/[root@localhost vsftpd]# cd /opt/vuser[root@localhost vuser]# ls999.txt[root@localhost vuser]# 

切换另一个用户

E:\>ftp 192.168.247.142连接到 192.168.247.142。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.142:(none)): tom331 Please specify the password.密码:230 Login successful.ftp> put 911.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 Transfer complete.ftp: 发送 7 字节,用时 0.00秒 7.00千字节/秒。ftp>
[root@localhost vuser]# ls -altotal 20drwx------. 3 vuser vuser 108 Dec  8 16:46 .drwxr-xr-x. 5 root  root  142 Dec  8 15:13 ..-rw-------. 1 vuser vuser   7 Dec  8 16:46 911.txt-rw-------. 1 vuser vuser   7 Dec  8 16:39 999.txt-rw-r--r--. 1 vuser vuser  18 Aug  3  2017 .bash_logout-rw-r--r--. 1 vuser vuser 193 Aug  3  2017 .bash_profile-rw-r--r--. 1 vuser vuser 231 Aug  3  2017 .bashrcdrwxr-xr-x. 4 vuser vuser  39 Oct 23 13:35 .mozilla

4.7 还可以单独给用户创建配置目录,去指定用户的权限

[root@localhost vuser]# vim /etc/vsftpd/vsftpd.confuser_config_dir=/etc/vsftpd/vu_dir      '添加'[root@localhost vuser]# cd /etc/vsftpd[root@localhost vsftpd]# mkdir vu_dir[root@localhost vsftpd]# cd vu_dir/[root@localhost vu_dir]# vim tomanon_umask=022
E:\>ftp 192.168.247.142连接到 192.168.247.142。220 (vsFTPd 3.0.2)200 Always in UTF8 mode.用户(192.168.247.142:(none)): tom331 Please specify the password.密码:230 Login successful.ftp> put 744.txt200 PORT command successful. Consider using PASV.150 Ok to send data.226 Transfer complete.ftp>
[root@localhost vuser]# ls -altotal 20drwx------. 3 vuser vuser 138 Dec  8 16:53 .drwxr-xr-x. 5 root  root  142 Dec  8 15:13 ..-rw-r--r--. 1 vuser vuser   0 Dec  8 16:53 744.txt-rw-------. 1 vuser vuser   0 Dec  8 16:50 755.txt-rw-------. 1 vuser vuser   7 Dec  8 16:46 911.txt-rw-------. 1 vuser vuser   7 Dec  8 16:39 999.txt-rw-r--r--. 1 vuser vuser  18 Aug  3  2017 .bash_logout-rw-r--r--. 1 vuser vuser 193 Aug  3  2017 .bash_profile-rw-r--r--. 1 vuser vuser 231 Aug  3  2017 .bashrcdrwxr-xr-x. 4 vuser vuser  39 Oct 23 13:35 .mozilla
0