准备工作
1、centos 卸载vsftpd 删除原有的vsftpd
[root@localhost ~]# systemctl stop vsftpd
[root@localhost ~]# rpm -aq vsftpd
[root@localhost ~]# rpm -aq vsftpd
[root@localhost ~]# vsftpd-2.0.5-16.el5_5.1
2、验证是否删除完成
warning: /etc/vsftpd/user_list saved as /etc/vsftpd/user_list.rpmsave
warning: /etc/vsftpd/ftpusers saved as /etc/vsftpd/ftpusers.rpmsave #删除时将备份vsftp的用户列表文件。
3、查找关于 vsftpd 的文件夹,删除相关的文件
[root@localhost ~]# find / -name vsftpd
[root@localhost ~]# rm -rf /etc/vsftpd/
删除历史文件部分就结束了。
4、安装配置vsdftp
[root@localhost ~]# yum install -y vsftpd
修改配置文件:
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
显示行号(Esc回到一般模式):
:set nu
第12行:修改为anonymous_enable=NO #禁止匿名登录
第102行:注释去掉:chroot_list_enable=YES #设置启用chroot_list
第104行:注释去掉:chroot_list_file=/etc/vsftpd/chroot_list 用于指定用户列表文件,该文件用于控制哪些用户可以切换到用户家目录的上级目录
新增一行:allow_writeable_chroot=YES
Esc下 :wq保存。
创建用户:
[root@localhost ~]# useradd -d /data/ftproot -s /sbin/nologin ftpMaster
分配目录:
[root@localhost ~]# chown ftpMaster /data/ftproot/
设置密码:
[root@localhost ~]# passwd ftpMaster
注意:
1、chroot_list、user_list 这些文件没有的话要手动创建
2、如果防火墙没有关闭记得开放端口:
firewall 的设置方式:
firewall-cmd --zone=public --add-service=ftp --permanentfirewall-cmd --zone=public --add-port=21/tcp --permanent
firewall-cmd --zone=public --add-port=65400-65500/tcp --permanent
启动并查看状态:
[root@localhost ~]# systemctl start vsftpd
[root@localhost ~]# systemctl status vsftpd
5、vsftpd配置参数说明
anonymous_enable=NO
控制是否允许匿名用户登入
local_enable=YES
控制是否允许本地用户登入,YES?为允许本地用户登入,NO为不允许。默认值为YES。
write_enable=YES
是否允许登陆用户有写权限,属于全局设置。无论是匿名用户还是本地用户要实现上传都需要为YES
local_umask=022
本地用户创建文件或目录的掩码
dirmessage_enable=YES
如果启动这个选项,那么使用者第一次进入一个目录时,会检查该目录下是否有.message这个档案,如果有,则会出现此档案的内容,通常这个档案会放置欢迎话语,或是对该目录的说明。默认值为YES
xferlog_enable=YES
是否启用上传/下载日志记录。如果启用,则上传与下载的信息将被完整纪录在xferlog_file?所定义的档案中
xferlog_std_format=YES
如果启用,则日志文件将会写成xferlog的标准格式,如同wu-ftpd
xferlog_file=/var/log/vsftpd.log
设置日志文件名和路径
connect_from_port_20=YES
指定FTP使用20端口进行数据传输
chroot_list_enable=YES
设置启用chroot_list_file配置项指定的用户列表文件
chroot_list_file=/etc/vsftpd/chroot_list
用于指定用户列表文件,该文件用于控制哪些用户可以切换到用户家目录的上级目录。
chroot_local_user=YES
用于指定用户列表文件中的用户是否允许切换到上级目录。默认值为NO。
allow_writeable_chroot=YES
允许根目录可写
通过搭配能实现以下几种效果:
①当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd/chroot_list 文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录。
②当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd/chroot_list 文件中列出的用户,不能切换到其他目录;未在文件中列出的用户,可以切换到其他目录。
③当chroot_list_enable=NO,chroot_local_user=YES时,所有的用户均不能切换到其他目录。
④当chroot_list_enable=NO,chroot_local_user=NO时,所有的用户均可以切换到其他目录。
(可以把chroot_list_enable看做一个开关,控制是否使用chroot_list文件来控制, chroot_list 文件可以看做一个集,chroot_local_user控制集内还是集外允许切换到上级目录
listen_port=21
指定ftp的端口号
pam_service_name=vsftpd
设置PAM使用的名称,默认值为/etc/pam.d/vsftpd
tcp_wrappers=YES
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd/user_list
两种控制方式:一种控制主机访问,另一种控制用户访问。
①控制主机访问:
tcp_wrappers=YES/NO(YES)
设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用,则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置,来决定请求连接的主机,是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。
比如:若要仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器,则在/etc/hosts.allow文件中添加以下内容:
vsftpd:192.168.0. :allow
all:all :deny
②控制用户访问:
对于用户的访问控制可以通过/etc目录下的vsftpd/user_list和ftpusers文件来实现。
userlist_file=/etc/vsftpd/user_list
控制用户访问FTP的文件,里面写着用户名称。一个用户名称一行。
userlist_enable=YES/NO(NO)
是否启用user_list文件。
userlist_deny=YES/NO(YES)
决定user_list文件中的用户是否能够访问FTP服务器。若设置为YES,则user_list文件中的用户不允许访问FTP,若设置为NO,则只有user_list文件中的用户才能访问FTP。
/etc/vsftpd/ftpusers文件专门用于定义不允许访问FTP服务器的用户列表(注意: 如果userlist_enable=YES,userlist_deny=NO,此时如果在vsftpd.user_list和ftpusers中都有 某个用户时,那么这个用户是不能够访问FTP的,即ftpusers的优先级要高)。默认情况下user_list和ftpusers,这两个文件已经预设置了一些不允许访问FTP服务器的系统内部账户。如果系统没有这两个文件,那么新建这两个文件,将用户添加进去即可。
pasv_enable=YES
pasv_min_port=65400
pasv_max_port=65500
FTP有两种工作方式:PORT?FTP(主动模式)和PASV?FTP(被动模式)
如果要使用主动模式:
port_enable=YES
如果要使用被动模式,则如下配置:
pasv_enable=Yes
pasv_min_port=65400 #pasv连接模式时可以使用port 范围的上界,0表示任意
pasv_max_port=65500 #pasv连接模式时可以使用port 范围的下界。
listen=YES
设置vsftpd服务器是否以standalone模式运行
max_clients=0
设置vsftpd允许的最大连接数,默认值为0,表示不受限制。若设置为100时,则同时允许有100个连接,超出的将被拒绝。只有在standalone模式运行才有效
max_per_ip=0
设置每个IP允许与FTP服务器同时建立连接的数目。默认值为0,表示不受限制。只有在standalone模式运行才有效
listen_address=IP地址
设置FTP服务器在指定的IP地址上侦听用户的FTP请求。若不设置,则对服务器绑定的所有IP地址进行侦听。只有在standalone模式运行才有效。
setproctitle_enable=NO
设置每个与FTP服务器的连接,是否以不同的进程表现出来。默认值为NO,此时使用ps aux |grep ftp只会有一个vsftpd的进程。若设置为YES,则每个连接都会有一个vsftpd的进程
6、启动命令
[root@localhost ~]# systemctl enable vsftpd #设置开机启动
[root@localhost ~]# systemctl stop vsftpd #停止服务
[root@localhost ~]# systemctl status vsftpd #开启服务
[root@localhost ~]# systemctl restart vsftpd.service #重启服务
7、解决 530 Login incorrect
查看登陆的账户主目录和登陆shell对应方式,我的是/sbin/nologin
[root@localhost ~]# cat /etc/passwd
查看是否有/sbin/nologin,没有进行添加
[root@localhost ~]# cat /etc/shells
[root@localhost ~]# vim /etc/shells
:wq 保存,退出即可。