centos7搭建ftp服务器(搭建vsftpd)

zzxiexin 6 0

虚拟用户可以把ftp用户和本地系统用户进行隔离,即使ftp账户被破解,也不会对系统进行操作,威胁系统安全。因为该账户不是系统本身的,而且在/etc/passwd下面也找不到登录ftp的账户,仅仅是做了映射,相当于软链接映射,快捷方式映射。

地产公司的场景

普通员工权限:查看,下载

经理权限:上传,下载

一、前置条件

1、关闭selinux

1.1查看状态

[root@shell ~]# /usr/sbin/sestatus -v

或者

[root@shell ~]# getenforce

上图说明已经关闭,如果显示enabled,则进行如下步骤

1.2临时关闭,不用重新启动计算机

[root@shell ~]# setenforce 0

1.3修改配置文件,需要重新启动电脑

[root@shell ~]# vi /etc/selinux/config

SELINUX=enforcing修改为

SELINUX=disabled

重新启动系统即可

我们把以上两步都进行操作,先改临时,完成目前的工作,如果机器重新启动,后面的配置文件生效,也会继续保持服务的持续。

2、关闭防火墙

2.1查看防火墙状态

[root@shell ~]# systemctl status firewalld

上图说明防火墙已经关闭

如果没有关闭,

执行以下命令

临时关闭

[root@shell ~]# systemctl stop firewalld

永久关闭

[root@shell ~]# systemctl disable firewalld

二、安装ftp服务

ftp 服务是vsftpd

2.1查看ftp服务是否安装

[root@shell ~]# rpm -qa|grep vsftpd

以上没有显示,说明rpm没有安装。

2.2安装ftp服务vsftpd

[root@shell ~]# yum install vsftpd

可以看到安装完成,文件是pd.x86_64 0:3.0.2-22.el7,版本是3.0.2-22.el7

2.3配置本地局域网yum源

我这里创建一个配置局域网的yum仓库的脚本yum.sh,内容如下

#!/bin/bash

cd /etc/yum.repos.d/

mkdir repobackup

mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repobackup/

echo "

[centos7]

name=centos7

baseurl=http://192.168.2.210:88/7/packages/CentOS-7-x86_64-Everything-1708/

enabled=1

gpgcheck=0

[extras]

name=CentOS-$releasever - Extras

baseurl=http://192.168.2.210:88/extras/

gpgcheck=0 " > /etc/yum.repos.d/centos7.repo

yum clean all

yum makecache

yum repolist

执行该脚本便生成局域网yum文件,可以从局域网yum仓库安装vsftpd服务。

当然也可以连接互联网,从阿里云,163等镜像站安装vsftpd服务,也可以下载rpm包进行安装。

2.4启动vsftpd服务

[root@shell ~]# systemctl start vsftpd

2.5由于ftp服务端默认用的是21端口,所以查看该端口是否正常

[root@shell ~]# netstat -nltp | grep 21

由上图可知,21端口在listen(监听),说明vsftpd服务已经启动。

其中参数

n---显示数字

l---列出监听的服务状态

t---显示tcp相关的选项

p---显示建立相关连接的程序名

2.5在浏览器输入ftp://192.168.205,便可以访问。

FTP默认的存储目录是/var/ftp/pub默认不允许匿名用户上传。

三、我们使用虚拟用户的方式来创建用户

3.1创建文本文件,用来添加虚拟用户,一共添加两个用户,一是销售中心,用户名为xszx,密码为123,另外一个是经理,用户名为manager,密码为456,存储账号的文件叫vusers。

1、[root@shell ~]# vim /etc/vsftpd/vusers

输入以下内容

xszx

123

manager

456

以上格式要求:奇数行是用户名,偶数行是密码,两行是一组。

3.2把vusers这个文件转译成ftp可以识别的账户,通过db_load生成db数据库,如果没有此命令,可以进行安装

查询

# db_load -T -t hash -f /etc/vsftpd/vusers /etc/vsftpd/vusers.db

其中 -T允许文本文件转译,

-t加密方式

-f指定转译的文件

生成你的数据库文件,以后为了防止账户和密码泄露,可以删除vusers文件。

验证一下文件是否安装成功

为了更加安全,可以给vuser.db添加权限,只有管理员才可以有读(r)写(w)的权限。

# chmod 600 /etc/vsftpd/ vusers.db

文件权限规则

r---读,数字表示4

w---写,数字表示2

x---执行,数字表示1

分为三组,所有者,所有组,其他人

所以600就是所有者是4+2=6,所有组是0,其他人是0。

2、创建两个虚拟用户和宿主目录

# useradd -d /var/ftp/xszx -s /sbin/nologin virtral

其中-d是用户的宿主目录

-s指定他的shell,

virtral虚拟用户

xszx作为销售部普通员工的账户, 映射为virtral,宿主目录是xszx

nologin 只能登陆ftp,不能作为其他登陆用户,比如ssh,telnet等。

在/var/ftp下多了一个xszx的目录

查看映射本地用户

[root@shell ftp]# cat /etc/passwd

在最后一行多出virtral账号

# useradd -d /var/ftp/manager -s /sbin/nologin jl

同理manager账户映射为jl,宿主目录是manager

查看用户

[root@shell ftp]# cat /etc/passwd

修改宿主目录的权限

必须修改目录权限为777,否则出现不能上传目录等问题。

chmod 777 /var/ftp/xszx/

chmod 777 /var/ftp/manager/

3、配置PAM认证文件

PAM是一个模块,主要功能是认证,不用重新安装应用系统,通过修改指定的配置文件,调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录,这个目录下保存着大量与认证有关的配置文件,并以服务名称命名。

调用这个模块对ftp用户进行认证(其中vsftpd.vu是名字,可以任意取)

# vim /etc/pam.d/vsftpd.vu

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

[root@shell ftp]# vim /etc/pam.d/vsftpd.vu

输入以下内容

上面的vusers就是vusers.db,在该配置中一定要把.db去掉。

/lib64/security/pam_userdb.so 是调用的认证模块

db=/etc/vsftpd/ vusers 数据库文件

保存退出

4、修改配置文件

# vim /etc/vsftpd/vsftpd.conf

#禁止匿名登录FTP服务器

anonymous_enable=NO

#可以上传(全局控制)

write_enable=(yes)

anon_umask=022

pam_service_name=vsftpd.vu(调用pam的验证模块)

重新启动服务

[root@shell vsftpd]# systemctl restart vsftpd

5、建立独立的用户配置文件

为了设置不同用户的权限,需要为用户配置独立权限配置文件,

5.1在主配置文件指定

vim /etc/vsftpd/vsftpd.conf

pam_service_name=vsftpd.vu(调用pam的验证模块)

max_clients=300(客户端最大连接数为300)

max_per_ip=10(单个IP同一时间最大开10个窗口)

user_config_dir=/etc/vsftpd/vusers_dir(用户配置文件路径)

5.2创建目录和用户配置文件

mkdir /etc/vsftpd/vusers_dir

vim /etc/vsftpd/vusers_dir/xszx(创建的配置文件名必须与虚拟用户相同)

guest_enable=yes

guest_username=virtral

anon_world_readable_only=NO(只有浏览的权限)

anon_max_rate=50000(50K)

allow_writeable_chroot=YES

5.3重新启动服务

[root@shell vsftpd]# systemctl restart vsftpd

可以正常登陆

vim /etc/vsftpd/vusers_dir/manager(创建的配置文件名必须与虚拟用户相同)

guest_enable=yes

guest_username=jl

anon_world_readable_only=NO(只有浏览的权限)

write_enable=yes

anon_mkdir_write_enable=yes

anon_upload_enable=yes

anon_max_rate=100000(100K)

anon_other_write_enable=yes(允许修改/重命名/删除)

allow_writeable_chroot=YES

至此配置全部完成。

标签: #centos7搭建ftp服务器

  • 评论列表

留言评论

 
QQ在线咨询
售前咨询电话
173-175-32776
技术支持电话
173-175-32776
嘿,欢迎咨询