CentOS下配置轻巧型vsftp服务

以下摘自：http://www.cnblogs.com/itech/archive/2012/09/16/2687378.html，根据我的环境稍有不同。

vsftpd(vsftpd 的名字代表”very secure FTP daemon”,安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候，高安全性就是一个目标。)

1、使用yum安装vsftpd服务

yum -y install vsftpd

2、由于我的环境是CentOS7.0 所以启动服务的方式有所不同，不再是service xxx start了，而是：

/bin/systemctl start vsftpd.service

3、配置文件： /etc/vsftpd/vsftpd.conf

我改动了以下几点：

1）注释了anonymous_enable=yes 不允许匿名登录

2）设置chroot_list_enable=NO 禁止所有用户切换主目录之外的目录，配合默认的chroot_local_user=YES 一并使用

3）在最末增加以下几行：

#更改默认监听端口为2121

listen_port=2121

#启用被动模式
pasv_enable=yes

#分别设置被动模式最小和最大端口号
pasv_min_port=5000
pasv_max_port=6000

-----------------------------------------------------------------------------

其他的配置含义如下：

# 默认配置文件: /etc/vsftpd.conf

# 下面是配置的选项及说明

######### 核心设置 ###########

# 允许本地用户登录

local_enable=YES

# 本地用户的写权限

write_enable=YES

# 使用FTP的本地文件权限,默认为077

# 一般设置为022

local_umask=022

# 切换目录时

# 是否显示目录下.message的内容

dirmessage_enable=YES

dirlist_enable = NO

#验证方式

#pam_service_name=vsftpd

# 启用FTP数据端口的数据连接

connect_from_port_20=YES

# 以独立的FTP服务运行

listen=yes

# 修改连接端口

#listen_port=2121

######### 匿名登录设置 ###########

# 允许匿名登录

anonymous_enable=NO

# 如果允许匿名登录

# 是否开启匿名上传权限

#anon_upload_enable=YES

# 是否允许匿名建立文件夹并在文件夹内上传文件

#anon_mkdir_write_enable=YES

# 匿名帐号可以有删除的权限

#anon_other_write_enable=yes

# 匿名的下载权限

# 匿名为Other,可设置目录/文件属性控制

#anon_world_readable_only=no

# 限制匿名用户传输速率,单位bite

#anon_max_rate=30000

######### 用户限制设置 ###########

#### 限制登录

# 用userlist来限制用户访问

#userlist_enable=yes

# 名单中的人不允许访问

#userlist_deny=no

# 限制名单文件放置的路径

#userlist_file=/etc/vsftpd/userlist_deny.chroot

#### 限制目录

# 限制所有用户都在家目录

#chroot_local_user=yes

# 调用限制在家目录的用户名单

chroot_list_enable=YES

# 限制在家目录的用户名单所在路径

chroot_list_file=/etc/vsftpd/chroot_list

######### 日志设置 ###########

# 日志文件路径设置

xferlog_file=/var/log/vsftpd.log

# 激活上传/下载的日志

xferlog_enable=YES

# 使用标准的日志格式

#xferlog_std_format=YES

######### 安全设置 ###########

# 用户空闲超时,单位秒

#idle_session_timeout=600

# 数据连接空闲超时,sans-serif; font-size:14px; line-height:21px"> #data_connection_timeout=120

# 将客户端空闲1分钟后断开

#accept_timeout=60

# 中断1分钟后重新连接

#connect_timeout=60

# 本地用户传输速率,sans-serif; font-size:14px; line-height:21px"> #local_max_rate=50000

# FTP的最大连接数

#max_clients=200

# 每IP的最大连接数

#max_per_ip=5

######### 被动模式设置 ###########

# 是否开户被动模式

pasv_enable=yes

# 被动模式最小端口

pasv_min_port=5000

# 被动模式最大端口

pasv_max_port=6000

######### 其他设置 ###########

# 欢迎信息

ftpd_banner=Welcome to Ftp Server!

4、打开防火墙配置，并重启防火墙

/sbin/iptables -I INPUT -p tcp --dport 2121 -j ACCEPT

5、增加ftp用户

以下转自：http://www.cnblogs.com/bienfantaisie/archive/2011/12/04/2275203.html

在linux中添加ftp用户，并设置相应的权限，操作步骤如下：

1、环境：ftp为vsftp。被限制用户名为test。被限制路径为/home/test

2、建用户：在root用户下：

useradd -d /home/test test //增加用户test，并制定test用户的主目录为/home/test
passwd test //为test设置密码

3、更改用户相应的权限设置：

usermod -s /sbin/nologin test //限定用户test不能telnet，只能ftp
usermod -s /sbin/bash test //用户test恢复正常
usermod -d /test test //更改用户test的主目录为/test

4、限制用户只能访问/home/test，不能访问其他路径

修改/etc/vsftpd/vsftpd.conf如下：

chroot_list_enable=YES //限制访问自身目录
# (default follows)
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list

编辑 vsftpd.chroot_list文件，将受限制的用户添加进去，每个用户名一行

改完配置文件，不要忘记重启vsFTPd服务器
[root@linuxsir001 root]# /etc/init.d/vsftpd restart

5、如果需要允许用户修改密码，但是又没有telnet登录系统的权限：

usermod -s /usr/bin/passwd test //用户telnet后将直接进入改密界面

注意：关于 chroot_local_user与chroot_list_enable详解

参见：http://www.jb51.cc/article/p-bkqkfzgf-sp.html

设置

chroot_local_user=YES

chroot_list_enable=NO

即禁止所有用户切换非主目录

-----------------------------------------------------------------------------------------

当使用ftp软件连接时，可能因为指定的用户目录权限问题，出现以下错误：

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

原因就是用户主目录默认情况下是不允许“写”的，解决办法有两个：

1、更改主目录权限：

chmod a-w /home/user

或

chmod 755 /home/user

2、更改vsftp配置，设置：

allow_writeable_chroot=YES

并重启vsftp即可

第一种方法，可能会造成不能实际的上传文件了，即便ftp软件上看到是上传成功的。

所以一般采用第二种方式，鉴于安全性的考虑，ftp用户的主目录会单独设置一个专门用于ftp操作的目录，不一定在/home下，即创建用户时就设置其主目录为ftp专用的目录

CentOS下配置轻巧型vsftp服务

相关文章