EqLlyHJ5w6,694hQRgLWm

防火墙CENTOS6.5安装和vsftp 简明配置过程

来源:济南磐龙笔记本交换机维修作者:济南磐龙防火墙维修网址:http://www.pldtwx.com


防火墙CENTOS6.5安装和vsftp 简明配置过程


一、vsftp安装篇

# 查看是否已经安装了vsftp

rpm -qa|grep vsftpd

# 安装vsftpd(需要root权限)yum -y install vsftpd# 启动vsftpdservice vsftpd start# 开机自动启动vsftpdchkconfig vsftpd on


二、vsftp相关命令之服务篇

# 启动ftp服务service vsftpd start# 查看ftp服务状态service vsftpd status
# 重启ftp服务service vsftpd restart# 关闭ftp服务service vsftpd stop

三、vsftp配置篇

#进入vsftpd配置文件vim /etc/vsftpd/vsftpd.conf
# 禁止匿名用户 anonymous 登录anonymous_enable=NO# 允许本地用户登录local_enable=YES# 让登录的用户有写权限(上传,删除)write_enable=YES# 默认umasklocal_umask=022# 把传输记录的日志保存到/var/log/vsftpd.logxferlog_enable=YESxferlog_file=/var/log/vsftpd.logxferlog_std_format=NO# 允许ASCII模式上传ascii_upload_enable=YES
# 允许ASCII模式下载ascii_download_enable=YES# 使用20号端口传输数据connect_from_port_20=YES# 欢迎标语ftpd_banner=Welcome to use my test ftp server.# 接下来的三条配置很重要# chroot_local_user设置了YES,那么所有的用户默认将被chroot# 也就用户目录被限制在了自己的home下,无法向上改变目录。# chroot_list_enable设置了YES,即让chroot用户列表有效。# 超重要:如果chroot_local_user设置了YES,那么chroot_list_file# 设置的文件里,是不被chroot的用户(可以向上改变目录)# 超重要:如果chroot_local_user设置了NO,那么chroot_list_file# 设置的文件里,是被chroot的用户(无法向上改变目录)chroot_list_enable=YES# touch /etc/vsftpd/chroot_list 新建chroot_list_file=/etc/vsftpd/chroot_listuse_localtime=YES# standalone模式在ipv4上运行listen=YES# PAM认证服务名,这里默认是vsftpd,在安装vsftpd的时候已经创建了这个pam文件,# /etc/pam.d/vsftpd,根据这个pam文件里的设置,/etc/vsftpd/ftpusers# 文件里的用户将禁止登录ftp服务器,比如root这样敏感的用户,所以你要禁止别的用户# 登录的时候,也可以把该用户追加到/etc/vsftpd/ftpusers里。pam_service_name=vsftpd# 重启 vsftpdservice vsftpd restart

四、vsftp用户篇

# 创建用户useradd -d /home/webapps/www.xxx.com -s /sbin/nologin -M hzh1990# 设置用户到文件夹chown -R username /home/webapps/www.xxx.com/public# 设置权限chown -R 777
/home/webapps/www.xxx.com/public
# 添加密码passwd hzh1990 -> 密码 -> 确认密码


===========================================================

1.安装vsftpd

yum install vsftpd

2.启动/重启/关闭vsftpd服务器[root@localhost ftp]# /sbin/service vsftpd restart
(useful)Shutting down vsftpd: [ OK ]Starting vsftpd for vsftpd: [ OK ]
OK表示重启成功了.启动和关闭分别把restart改为start/stop即可.如果是源码安装的,到安装文件夹下找到start.shshutdown.sh文件,执行它们就可以了.

3.vsftpd服务器有关的文件和文件夹vsftpd服务器的配置文件的是: /etc/vsftpd/vsftpd.conf

vsftpd服务器的根目录,FTP服务器的主目录:[root@localhost ftp]# more /etc/passwd|grep ftpftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
这样你就能看到FTP的服务器的目录在/var/ftp如果你想修改服务器目录的路径,那么你只要修改/var/ftp到别处就行了4.添加FTP本地用户有的FTP服务器需要用户名和密码才能登录,就是因为设置了FTP用户和权限.FTP用户一般是不能登录系统的,只能进入FTP服务器自己的目录中,这是为了安全.这样的用户就叫做虚拟用户了.实际上并不是真正的虚拟用户,只是不能登录SHELL了而已,没能力登录系统.

/usr/sbin/adduser -d /opt/ftp -g ftp -s /sbin/nologin ftpuser

这个命令的意思是:使用命令(adduser)添加ftpuser用户,不能登录系统(-s /sbin/nologin),自己的文件夹在(-d /opt/ftp)),属于组ftp(-g ftp)然后你需要为它设置密码 passwd ftp这样就添加了一个FTP用户了.下面的示例可以帮助你进入FTP服务器了.

要保证自己能读写自己的目录,就要在配置文件vsftpd.conf里设置一下就可以读写了.local_enable=yeswrite_enable=yeslocal_umask=022

5.匿名上传下载修改配置文件即可vsftpd.conf,确定有以下几行,没有自己添加进去就可以了.anonymous_enable=yes
(useful)anon_upload_enable=yesanon_mkdir_write_enable=yesanon_umask=022

然后你可以新建一个文件夹,修改它的权限为完全开放,任何用户就可以登录这个文件夹,并上传下载文件:mkdir /var/ftp/guestchmod 777 /var/ftp/guest

6.定制进入FTP服务器的欢迎信息vsftpd.conf文件中设置:dirmessage_enable=yes然后进入用户目录建立一个.message文件,输入欢迎信息即可。

7.实现虚拟路径将某个目录挂载到FTP服务器下供用户使用,这就叫做虚拟路径.比如将gxl用户的目录挂载到FTP服务器中,FTP服务器的用户使用,使用如下命令即可:[root@localhost opt]# mount –bind /home/gxl /var/ftp/pub #使用挂载命令[root@localhost opt]# ls /var/ftp/pubLumaQQ Screenshot.png 桌面

8.打开vsFTPd的日志功能添加下面一行到vsftpd.conf文件中,一般情况下该文件中有这一行,只要把前面的注释符号#去掉即可,没有的话就添加,或者修改:xferlog_file=/var/log/vsftpd.log

9.限制链接数,以及每个IP最大的链接数修改配置文件中,例如vsftp最大支持链接数100,每个IP能支持5个链接:max_client=100max_per=5

10.限制传输速度修改配置文件中,例如让匿名用户和vsftd上的用户(即虚拟用户)都以80KB=1024*80=81920的速度下载anon_max_rate=81920local_max_rate=81920

11.将用户(一般指虚拟用户)限制在自家目录修改配置文件中,这样用户就只能访问自己家的目录了:chroot_local_user=yes如果只想某些用户仅能访问自己的目录,其它用户不做这个限制,那么就需要在chroot_list文件(此文件一般是在/etc/vsftpd/)中添加此用户.编辑此文件,比如将test用户添加到此文件中,那么将其写入即可.一般的话,一个用户占一行.[root@localhost vsftpd]# cat chroot_listftpuser12.绑定某个IPvsFTPd有时候要限制某些IP访问服务器,只允许某些IP访问,例如只允许192.168.0.33访问这个FTP,同样修改配置文件:listen_address=192.168.0.33


配置vsftpd.conf


















anonymous_enable=NO










#
禁止匿名

















local_enable=YES





















#
允许本地登录


















write_enable=YES





















#
允许写,如需上传,则必须


















local_umask=027






















#
将上传文件的权限设置为:777-local_umask


















anon_upload_enable=YES








#
允许虚拟用户和匿名用户上传

















anon_other_write_enable=YES #
允许虚拟用户和匿名用户修改文件名和删除文件

















dirmessage_enable=YES



























xferlog_enable=YES




















#
打开日志记录

















connect_from_port_20=YES


















xferlog_file=/var/log/vsftpd.log



#
日志存放位置


















xferlog_std_format=YES












#
标准日志格式


















idle_session_timeout=600






#
空闲连接超时


















data_connection_timeout=120


















ftpd_banner=Welcome to ChinaRise FTP service





#
欢迎信息

















guest_enable=yes





















#
允许虚拟用户

















guest_username=vsftpdguest #
虚拟用户使用的系统账号


















virtual_use_local_privs=YES



#
虚拟用户拥有本地系统权限




















chroot_local_user=NO































chroot_list_enable=YES





















#
以上两行将虚拟用户限制在其目录下,不能访问其他目录,或者直接用













































chroot_local_user=YES
















































listen=yes














#
监听/被动模式


















listen_port=21






#
监听端口



















chroot_list_file=/etc/vsftpd/vsftpd.chroot_list






#
虚拟用户名单保存在文件 /etc/vsftpd/vsftpd.chroot_list


















user_config_dir=/etc/vsftpd/vsftpd_user_conf


#
每个虚拟用户名的更加详细的培植保存在 /etc/vsftpd/vsftpd_user_conf

虚拟用户其他设置






/etc/vsftpd/vsftpd.chroot_list 文件中写入允许登陆的虚拟用户名称,每行一个




/etc/vsftpd/vsftpd_user_conf
文件夹中创建一个以虚拟用户用户名命名的文件,




写入: local_root = /var/FTP/子目录名




然后在/var/FTP下创建一个对应的目录即可

==========================================================

配置防火墙

打开/etc/sysconfig/iptables文件

vi /etc/sysconfig/iptables

REJECT行之前添加如下代码

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

保存和关闭文件,重启防火墙

service iptables start/stop/restart
(useful)


iptables配置
(useful)

# Generated by iptables-save v1.4.7 on Fri Jan 23 22:44:41 2015

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [5:605]

-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m multiport --dports 40000:40080 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT


vsftpd.conf (useful)

# Example config file /etc/vsftpd/vsftpd.conf


#

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).

anonymous_enable=YES

#

# Uncomment this to allow local users to log in.

local_enable=YES

#

# Uncomment this to enable any form of FTP write command.

write_enable=YES

#

# Default umask for local users is 077. You may wish to change this to 022,

# if your users expect that (022 is used by most other ftpd's)

local_umask=022

#

# Uncomment this if you want the anonymous FTP user to be able to create

# new directories.

#anon_mkdir_write_enable=YES

#

# Activate directory messages - messages given to remote users when they

# go into a certain directory.

dirmessage_enable=YES

#

# The target log file can be vsftpd_log_file or xferlog_file.

# This depends on setting xferlog_std_format parameter

xferlog_enable=YES

#

# Make sure PORT transfer connections originate from port 20 (ftp-data).

connect_from_port_20=YES

# Switches between logging into vsftpd_log_file and xferlog_file files.

# NO writes to vsftpd_log_file, YES to xferlog_file

xferlog_std_format=YES


# When "listen" directive is enabled, vsftpd runs in standalone mode and

# listens on IPv4 sockets. This directive cannot be used in conjunction

# with the listen_ipv6 directive.

listen=YES

#


pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

userlist_deny=NO

local_root=/var/www

tcp_wrappers=YES

use_localtime=YES

pasv_enable=YES

pasv_min_port=40000

pasv_max_port=40080

pasv_promiscuous=YES


步骤:安装,配置允许匿名访问,配置防火墙,重启vsftp,重启防火墙;


济南磐龙笔记本交换机维修,专业芯片级维修服务商  www.pldtwx.com


EqLlyHJ5w6