首页 > 代码库 > vsftp调测备忘!
vsftp调测备忘!
一、防火墙、SELINUX配置:
1、增加ip_nat_ftp ip_conntrack_ftp 模块配置,两模块中间空格:
vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
2、增加规则,放开20和21端口,添加如下内容:
命令:vim /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
3、重启iptables服务:
命令:service iptables restart
4、查看规则是否添加,检查是否有如下内容:
命令:iptables -L -nv
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
1 52 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5、SElinux的配置:
selinux会对FTP的访问有影响,所以本例设置关闭,操作如下:
A、查看命令:a、sestatus -v b、getenforce
B、如果需要临时关闭执行:setenforce 0 即可。
C、如果永久关闭:vim /etc/sysconfig/selinux 修改SELINUX为disabled;
D、如果想一直使用selinux则配置selinux放过FTP目录的设置:
使用命令:/usr/sbin/setsebool -P ftp_home_dir 1
二、安装vsftpd:
命令:yum install vsftpd
三、检查配置文件启动vsftpd:
1、检查配置文件:
命令:vim /etc/vsftpd/vsftpd.conf
2、启动vsftpd服务:
命令:service vsftpd start
说明:在不修改配置文件的前提下,ftp基本为匿名与实体帐号同时访问,默认的根目录为/var/ftp,若要修改根目录,修改配置文件添加“anon_root=你的目录”,重启vsftp服务即可。
四、配置实体模式用户的登录:
1、添加实体用户:
useradd -d /opt/ftptest/ -s /sbin/nologin ftptest
删除: 创建有问题可以删除重新创建 userdel -r ftpUser
chown rongshu /opt/rongshu #给用户读目录的权限;
passwd rongshu #修改密码;
2、限制用户仅使用自己的目录,修改配置文件启动或添加如下配置:
chroot_local_user=YES
chroot_list_enable=YES(chroot_local_user=YES该语句也可以不用)
chroot_list_file=/etc/vsftpd.chroot_list
如上设置后vsftpd.chroot_list中的用户都是不受目录限止的用户,即, 可以浏览其主目录的上级目录。那么不希望用户浏览其主目录上级目录中的内容时在chroot_list中删除掉该用户即可。
另一种控制的方式如下:
chroot_local_user=NO
chroot_list_enable=YES(chroot_local_user=NO时必须开启, chroot_list才会起作用)
chroot_list_file=/etc/vsftpd/chroot_list
配置后重启vsftp生效,要禁止某个用户浏览其用户主目录之外的各目录,将用户一行一个用户名添加到chroot_list中即可,这样在chroot_list中的用户都是不可以浏览用户主目录之外的目录的。
3、限制新增用户禁止使用FTP:
默认的vsftp配置中在/etc/vsftpd/user_list文件中的用户是禁止使用ftp的,所以不在user_list用户列表的用户是可以使用FTP的,为了防止新建的用户默认都能够访问FTP,所以要调整user_list为允许使用的用户使用,配置文件中增加如下配置:
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
这样调整后重启vsftpd服务,/etc/vsftpd/user_list文件中的用户就变成了可以使用FTP的帐号了。未来新建的用户如果想使用FTP,写入user_list文件中的用户列表即可。
本文出自 “荣书” 博客,请务必保留此出处http://rongshu.blog.51cto.com/681368/1950201
vsftp调测备忘!