# vsftpd 簡介 [參考][1] vsftpd 是**very secure FTP daemon**的縮寫，安全性是它的一個最大的特點。vsftpd 是一個 UNIX 類操作系統上運行的服務器的名字，它可以運行在諸如 Linux、BSD、Solaris、 HP-UNIX等系統上面，是一個完全免費的、開發源代碼的ftp服務器軟件，支持很多其他的 FTP 服務器所不支持的特征。比如：非常高的安全性需求、帶寬限制、良好的可伸縮性、可創建虛擬用戶、支持IPv6、速率高等。 ### 特性 * 安全性檢查規則非常嚴格 * 輕量級、高性能 * 支持虛擬用戶 * 默認是被動模式 passive ## 基于PAM實現用戶認證，支持虛擬用戶 /etc/pam.d/* /lib/securuty/* 認證模塊 /lib64/securuty/* 認證模塊 ## vsftpd安全性 /var/ftp：除了root用戶外，其他用戶沒有寫權限，以此來提高安全性； 同時，可以在/var/ftp下建立子文件，使ftp用戶獲得寫權限 # vsftpd安裝 ~~~ # yum install -y vsftpd ~~~ 安裝后直接啟動即可使用，ftp默認訪問/var/ftp，系統用戶默認訪問自己的家目錄。 ## 啟動ftp ~~~ # service vsftpd start Starting vsftpd for vsftpd: [ OK ] # chkconfig vsftpd on # chkconfig --list vsftpd vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off # netstat -tlnp可以看到監聽了tcp/21端口 ~~~ ## 測試1 在windows終端測試，匿名登錄，無密碼，help查看相關命令 ~~~bash ftp localhost Trying ::1... ftp: connect to address ::1Connection refused Trying 127.0.0.1... Connected to localhost (127.0.0.1). 220 (vsFTPd 3.0.2) Name (localhost:root): ftptest03 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> exit 221 Goodbye. ~~~ ## man vsftpd.conf 查看幫助文檔 ``` listen=YES anonymous_enable=NO dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES local_root=/disk1/pub pam_service_name=vsftpd allow_writeable_chroot=YES chroot_local_user=YES listen_port=21 write_enable=YES local_enable=YES log_ftp_protocol=YES xferlog_enable=YES ``` ## 測試2 在瀏覽器中登錄系統用戶，使用系統用戶登錄 ``` # 創建用戶 useradd -d /disk1/vsftpd_data/ -s /sbin/nologin ftptest02 ```  ## 測試3 在linux測試 ~~~ # ftp 192.168.8.60 ftp> lcd /etc Local directory now /etc ftp> put inittab local: inittab remote: inittab 227 Entering Passive Mode (192,168,8,60,46,147) 150 Ok to send data. 226 File receive OK. 1666 bytes sent in 0.00062 seconds (2.6e+03 Kbytes/s) ~~~ ## 應用1 匿名用戶上傳 匿名上傳默認是關閉的 1 取消注釋 ~~~ anon_upload_enable=YES ~~~ 2 但對于/var/ftp/pub文件的屬主和屬組是root，因此還是不能上傳文件 可以在/var/ftp下創建upload，并添加訪問控制 ~~~ # setfacl -m u:ftp:rwx upload # getfacl upload # file: upload # owner: root # group: root user::rwx user:ftp:rwx group::r-x mask::rwx other::r-x ~~~ >[info]文件服務權限=文件系統權限×文件共享權限 ## 匿名服務其他選項 ~~~ 啟用anon_mkdir_write_enable=YES，允許匿名用戶創建目錄 啟用anon_other_write_enable=YES，允許匿名用戶刪除目錄和文件 啟用dirmessage_enable=YES，在文件夾下創建.message，每次切換目錄時會顯示此提示信息 啟用xferlog_enable=YES，xferlog_file=/var/log/vsftpd.log，開啟傳輸日志，刪除，創建目錄不會記憶 ~~~ 可以用來控制匿名上傳后的屬主，用來控制權限 ~~~ #chown_uploads=YES #chown_username=whoever ~~~ ## 應用2 限制ftp用戶家目錄 系統用戶擁有ftp登錄權限后，將有能力查看系統中的很多內容，這樣的ftp權限過大，需要進行限制。 ### 限制指定的用戶，chroot_list為限制名單 ~~~ chroot_list_enable=NO chroot_list_file=/etc/vsftpd/chroot_list ~~~ 并創建文件/etc/vsftpd/chroot_list，文件格式，每行一個用戶名即可；在這個文件文件中的用戶將被限制在家目錄下，不在其目錄中用戶不受影響 ### 限制所有用戶的家目錄，列表變成不限制名單 ~~~ chroot_local_user=YES chroot_list_file=/etc/vsftpd/chroot_list ~~~ ## ftp安全 1 不允許匿名用戶登錄和上傳 ~~~ anonymous_enable=NO anon_upload_enable=NO ~~~ 2 限制系統用戶家目錄,并且不允許其ssh登錄 /sbin/nologin ~~~ chroot_local_user=YES ~~~ 3 只允許白名單登錄 /etc/vsftpd/user_list ~~~ userlist_enable=YES userlist_deny=NO ~~~ [1]:[https://www.cnblogs.com/st-jun/p/7743255.html](https://www.cnblogs.com/st-jun/p/7743255.html)