第14章FTP服務(wù)器Linux篇8/13/20251

本講要點內(nèi)容要求

安裝與啟停vsftpdvsftpd相關(guān)配置文件說明配置vsFTP服務(wù)器重點vsftpd相關(guān)配置文件說明配置vsFTP服務(wù)器難點配置vsFTP服務(wù)器8/13/202521.

安裝與啟停vsftpd安裝Centos的時候，需要選中vsftp服務(wù)程序安裝，方可被安裝。也可以通過命令方式進行檢查和安裝vsftpd服務(wù)程序，如圖8/13/20253圖14-1檢查是否安裝vsftpd和查看包內(nèi)容如果沒有安裝，可以使用yum在線安裝yuminstallvsftpd啟停vsftpd服務(wù)/esystemctlstartvsftpd或servicevsftpdstartsystemctlrestartvsftpd或servicevsftpdrestart/etc/rc.d/init.systemctlstopvsftpd或servicevsftpdstop8/13/20254圖14-2設(shè)定vsftpd自動運行firewall-cmd--add-service=ftp防火墻開放端口firewall-cmd--add-service=ftp--permanent2.vsftpd相關(guān)配置文件說明服務(wù)器vsftpd被安裝后，主要相關(guān)文件和目錄有：(1)/etc/vsftpd/目錄為vsftpd服務(wù)器配置文件主目錄。(2)/etc/vsftpd/vsftpd.conf文件為vsftpd服務(wù)器的主配置文件，缺省情況下的ftp主目錄為/var/ftp，任何配置參數(shù)修改需要操作此文件，后面將詳細介紹文件中的參數(shù)。(3)/etc/vsftpd.ftpusers定義哪些用戶不能登錄ftp服務(wù)器的用戶列表文件。(4)/etc/pam.d/vsftpd定義vsftpd的PAM認證文件。(5)/etc/vsftpd.user_list與/etc/vsftpd.ftpusers一樣，不過需要主配置文件中的vsftpd.conf的“userlist_deny=YES”參數(shù)選項配合使用。(6)/var/ftp目錄為vsftpd服務(wù)器的匿名缺省共享主目錄。8/13/20255服務(wù)器vsftpd被安裝后，主要相關(guān)文件和目錄有：(7)/usr/share/doc/vsftpd-3.0.2目錄下所有的文檔作為vsftpd的幫助文檔。(8)/etc/logrotate.d/vsftpd.log為vsftp運行的日志文件。(9)/etc/pam.d/vsftpd為vsftpd指出vsftpd進行PAM認證時，所使用的PAM配置文件名，沒有該文件，將無法使本地用戶登錄FTP服務(wù)器。(10)/usr/sbin/vsftpd為vsftpd服務(wù)器的主程序。(11)/usr/lib/systemd/system/vsftpd.service為CentOS的systemd管理vsftpd服務(wù)器所運行的配置腳本。8/13/20256/etc/vsftpd/vsftpd.conf文件的默認內(nèi)容如下anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpduserlist_enable=YESlisten=YEStcp_wrappers=YES8/13/20257配置vsftpd的主配置文件，應(yīng)該首先掌握該文件中的配置參數(shù)選項的使用?？梢詫?shù)選項分成三類：第1類是布爾型的參數(shù)選項，如表14-1所示；第2類是數(shù)字型的參數(shù)選項，如表14-2所示；第3類是字符串型的參數(shù)選項，如表14-3所示。8/13/20258vsftpd.ftpusers文件該文件存放在/etc目錄下，屬于vsftpd默認許可讀取的文件，只用來記錄哪些用戶“不允許”作為ftp用戶登錄，通常是一些系統(tǒng)默認的用戶，當然也可以將某一些非系統(tǒng)默認用戶進行禁用，如：#Usersthatarenotallowedtologinviaftprootbindaemonadmlpsyncshutdownhaltmailnewsuucpoperatorgamesnobody8/13/20259vsftpd.user_list文件該文件存放于/etc目錄下，與vsftpd.ftpusers的內(nèi)容一樣，該文件可以用來設(shè)置黑白名單。但是，需要在vsftpd.conf主配置文件中設(shè)定“userlist_deny=YES”有效后，vsftpd.user_list文件才表示被拒絕訪問ftp的用戶列表，如果在主配置文件中設(shè)定“userlist_deny=NO”的時候，文件中的用戶列表就表示允許訪問ftp的用戶。8/13/2025103.配置vsFTP服務(wù)器（1）匿名用戶服務(wù)器（2）虛擬用戶服務(wù)器（3）真實用戶服務(wù)器

8/13/202511（1）匿名用戶服務(wù)器與匿名相關(guān)的參數(shù)/選項及值可以解釋如下：設(shè)置anonymous_enable=YES，控制允許匿名用戶登錄。設(shè)置ftp_username=ftp，匿名用戶所使用的系統(tǒng)用戶名，默認值為ftp，通?？梢圆辉O(shè)置。設(shè)置no_anon_password=YES，要求匿名用戶登入時需要密碼。設(shè)置deny_email_enable=YES|NO，此參數(shù)默認值為NO。當值為YES時，拒絕使用banned_email_file參數(shù)指定文件中所列出的e-mail地址進行登錄的匿名用戶，當此參數(shù)生效時，需設(shè)定banned_email_file參數(shù)值為某一個文件，并編輯該文件。設(shè)定banned_email_file=/etc/vsftpd.banned_emails，指定包含被拒絕的e-mail地址的文件，默認文件為/etc/vsftpd.banned_emails，并編輯文件內(nèi)容。設(shè)定anon_root=/var/ftp/pub，完成設(shè)定匿名用戶的根目錄，即匿名用戶登錄后，只能被定位到此目錄下。在vsftpd.conf中默認無此項設(shè)置，其默認值就為/var/ftp/。設(shè)定anon_world_readable_only=YES，控制只允許匿名用戶下載有讀權(quán)限的文件。如果設(shè)定值為NO，允許匿名用戶瀏覽整個服務(wù)器的文件，默認值為YES。8/13/202512設(shè)定anon_upload_enable=YES，允許匿名用戶上傳文件，如果為NO代表不允許，默認是NO。除了這個參數(shù)外，匿名用戶要能上傳文件，還需要兩個條件：①write_enable=YES；②在文件系統(tǒng)上，F(xiàn)TP匿名用戶對該目錄必須有寫權(quán)限。設(shè)定anon_mkdir_write_enable=YES，許可匿名用戶創(chuàng)建新目錄，F(xiàn)TP匿名用戶對該目錄必須有寫權(quán)限；為NO表示不允許，配置文件中不給出該項，默認值為NO。設(shè)定anon_other_write_enable=YES，允許匿名用戶擁有除了上傳和新建目錄之外的其他權(quán)限，如刪除、更名等；如果NO時不擁有，配置文件中不給出該項設(shè)置，默認值為NO。設(shè)定chown_uploads=YES，允許修改匿名用戶所上傳文件的所有權(quán)，所有權(quán)對應(yīng)用戶由chown_username參數(shù)指定。配置文件中不給出該項設(shè)置，項默認值為NO。設(shè)定chown_username=teacher，指定擁有匿名用戶上傳文件所有權(quán)的用戶為teacher。此參數(shù)與chown_uploads結(jié)合使用，默認為ftp用戶。8/13/202513（2）虛擬用戶服務(wù)器vsFTP允許使用本地用戶賬號登錄服務(wù)器，但是，需要建用戶映射為guest用戶，進行統(tǒng)一管理，這樣就形成了虛擬用戶的FTP服務(wù)器形式。與建立虛擬用戶FTP服務(wù)器相關(guān)的重要選項/參數(shù)如下：設(shè)定guest_enable=YES，所有的非匿名用戶登錄都映射為guest，默認值為NO。設(shè)定將非匿名用戶映射為什么guest用戶，設(shè)置guest_username=public，缺省情況下值為ftp。設(shè)定local_root=/tmp，將本地用的根目錄定位到/tmp目錄，作為根目錄。此時，必須設(shè)定local_enable=YES，允許本地用戶登錄設(shè)置中，一定要注意要共享的目錄權(quán)限。8/13/202514（3）真實用戶服務(wù)器與建立真實用戶服務(wù)器相關(guān)的主要關(guān)鍵選項如下：設(shè)定local_enable=YES，許可Linux系統(tǒng)的真實用戶可以登錄FTP，默認值為NO。可以設(shè)定所有本地用戶的根目錄，比如設(shè)定local_root=/tmp，如果要求鎖定根目錄，還需要設(shè)定chroot_list_enable=YES的時候，并且chroot_list_file設(shè)置值為/etc/vsftpd.chroot_list文件，此時，文件中的用戶為被約束在根目錄下，根目錄為用戶主目錄。后面將舉例說明。可以為用戶個人配置文件設(shè)定所在的目錄，個人配置文件的格式與vsftpd.conf格式相同，比如設(shè)定user_config_dir=/etc/vsftpd/userconf，主機上有用戶特teacher和stu，那我們可以在user_config_dir設(shè)定的目錄下新增加文件為teacher和stu兩個文件。當用戶stu登錄時，vsftpd則會讀取user_config_dir下stu這個文件中的設(shè)定值，應(yīng)用于用戶stu。默認值為無任何設(shè)置。

注：如果在個人配置文件中加入chroot_local_user=YES或chroot_list_enbales=YES是無效的。8/13/202515(4)建立虛擬目錄建立虛擬目錄，與Windows的IIS的FTP建立概念一樣，需要在共享的主目錄下建立一個子目錄，將該子目錄看成虛擬目錄的一個別名。比如：將/home/public映射到ftp://主機名/public

的子目錄public中，此時訪問ftp://主機名/public就如同訪問/home/public。此時同樣要注意目錄權(quán)限問題。8/13/202516映射虛擬目錄的命令格式如下：mount--bind[物理的目錄][別名目錄]其中的--bind選項不可缺少，這種建立方式并不是復制內(nèi)容，只是映射掛載。如果沒有使用該選項，將出現(xiàn)掛載出錯，他會認為“物理的目錄”不是塊文件的錯誤。實現(xiàn)步驟如下（與前面的舉例對應(yīng)講解,注意目錄權(quán)限）：mkdir–m755/var/ftp/pub/downloadmount--bind/home/public/var/ftp/pub/download8/13/202517小結(jié)本章節(jié)主要講解基于CentOS下的vsftpd的安裝、啟停管理和配置。本章節(jié)開頭就詳細的講解了配置ftp服務(wù)器注意項，主動模式（PORT）和被動模式（PASV）解決客戶防火墻攔截問題。通過圖形和命令方式講解vsftpd服務(wù)器配置完畢后，需要使用啟動或重啟動命令systemctlrestartvsftpd.service或servicevsftprestart使配置生效。最后本章節(jié)重點講解了配置vsftpd的相關(guān)文件、目錄。以主配置文件vsftpd.conf的詳細選項/參數(shù)標為指導，進行分三類講解：布爾型的選項、數(shù)字型的選項和字符串型的選型，通過章節(jié)中得三張表，我們可以清楚地掌握配置的具體內(nèi)容。以匿名FTP服務(wù)器、虛擬用戶FTP服務(wù)器和真實用戶的FTP服務(wù)器所需的主要關(guān)鍵選項，以及實例讓讀者更能理解和鞏固知識，具體的內(nèi)容請按照實際例子實踐，配置過程中，需要注意selinux的對vsftpd的限制，可以使用getsebool-a|grepftp查看限制情況必要的時候可以使用setsebool開放限制。8/13/2025實踐題2．如果要求vsftpd服務(wù)器只監(jiān)聽IP地址（主機有多個IP地址，且該地址存在），而且只接受2121端口的連接訪問，數(shù)據(jù)傳輸端口固定為20，如何配置vsftpd.conf？3．某主機IP地址為，請按照下列要求配置vsftpd服務(wù)器：(1)只允許匿名可以訪問FTP服務(wù)器；(2)FTP