vsftpd设置详解（上）

vsftpd设置详解（上）
一、vsftpd 简介
    Vsftpd是个基于GPL发布的类UNIX系统的ftp服务器软件。其全称是Very Secure FTP Deamon，在安全性、速度和稳定性都有着不俗的表现。在安全性方面，vsftpd针对程式的权限来设计，以一般身份启动服务，对Linux系统的使用 权限较低；在千兆以太网上，vsftpd的速度能达到86MB/s；在稳定性上更是优秀，资料表明，完全工作24小时，传输数据达2.6TB，平均并发连 接为1500用户，峰值达4000用户，而这些还是在单机上实现的。此外，vsftpd 还包括以下特性：
    基于IP的虚拟服务器
    虚拟用户，结合数据库的用户验证
    每个用户独立设置文件
    速率限制
    IPV6支持
    支持SSL加密传输
    ……
哪些站点在使用vsftpd
    以下站点一直在使用vsftpd（这仅仅是非常少非常少的一部分站点）
    ftp.redhat.com
    ftp.suse.com
    ftp.debian.org
    ftp.openbsd.org
    ftp.freebsd.org
    ftp.gnu.org
    ftp.gnome.org
    ftp.kde.org
    ftp.kernel.org
    rpmfind.net
    ftp.linux.org.uk
    ftp.gimp.org
    ftp-stud.fht-esslingen.de
    gd.tuwien.ac.at
    ftp.sunet.se
    ftp.ximian.com
    ftp.engardelinux.org
    ftp.sunsite.org.uk
    ftp.isc.org
    以上内容摘自vsftpd官方网站
http://vsftpd.beasts.org/
二、软件安装和卸载
获得软件
    vsftpd目前最新版本为2.0.5，下载地址：
ftp://vsftpd.beasts.org/users/cevans/vsftpd-2.0.5.tar.gz
软件安装
    解压软件，编辑builddefs.h文件
    # tar zxvf vsftpd-2.0.5.tar.gz
    # cd vsftpd-2.0.5
    # vi builddefs.h
    找到下面三行，其含义如右所示
    #undef VSF_BUILD_TCPWRAPPERS             //是否允许使用TCP Wrappers
    #define VSF_BUILD_PAM                    //是否允许使用PAM认证
    #undef VSF_BUILD_SSL                     //是否允许使用SSL
    如果要允许以上所示某项功能，使把undef改为define即可，注意每行前的“#“号不是注释，不能去掉（熟悉C语言的同志应该知道这个“#”是什么 意思）。其中TCP Wrappers是个验证IP地址合法性的程式，PAM认证让vsftpd支持本地用户登陆服务器，使用SSL能建立一个加密的数据传输。这里我们把三项 都启用。
    编译安装。如果系统中安装有旧版vsftpd，请先卸载他。默认安装执行文件在/usr/local/sbin中，man page放在/usr/local/man/man5和/usr/local/man/man8中。
    # make
    # make install
    将默认设置文件考贝到/etc/vsftpd/
    # mkdir /etc/vsftpd/
    # cp vsftpd.conf /etc/vsftpd/                    
    为了认vsftpd支持本地用户登录，我们将身份认证模块文件考入系统中。
    # cp RedHat/vsftpd.pam /etc/pam.d/vsftpd
    建立ftp用户及主目录：
    # mkdir /var/ftp
    # useradd -d /var/ftp ftp
   
    如果本来就已存在ftp用户，则执行下面两条命令：
    # chown root:root /var/ftp
    # chmod 755 /var/ftp
    建立vsftpd需要的特别目录：
    # mkdir /usr/share/empty/
软件卸载
    如果需要卸载，使用如下命令：
    # rm /usr/local/sbin/vsftpd
    # rm /usr/local/man/man5/vsftpd.conf.5
    # rm /usr/local/man/man8/vsftpd.8
    # rm /etc/xinetd.d/vsftpd
    # rm -rf /etc/vsftpd
三、设置vsftpd服务
服务的启动和停止
    启动服务之前，我们先编辑设置文件/etc/vsftpd/vsftpd.conf. 打开设置文件后能看到许多以“#”开始的行，这些行都是注释行，大多是帮助信息，能仔细阅读。vsftpd.conf文件的所有项目都是以“参数＝值”来 设置的，对格式需求比较严格，必须严格区分大小写，等号两边不能有空格，每行的最后也不能有空格。每个参数都有一个默认值，没有在设置文件中明确指定的参 数就会使用默认值。我们这里不理会设置文件本来的信息，把所有内容都删掉或注释掉，最后加上下面四行，每行右边的//及后的文字是含义说明，不要输入到文 件中：
    listen=yes                        //vsftpd工作在standalone 模式下
    anonymous_enable=yes                //允许匿名用户登陆服务器
    local_enable=yes                    //允许本地用户登录到服务器
    pam_service_name=vsftpd            //使用PAM认证
    vsftpd有两种工作模式，standalone模式和xinetd守护进程模式，第1行就是让其工作在standalone模式下。此种模式中，每次 修改设置文件必须重新启动vsftpd服务才能生效，关于两种模式在后面有周详介绍。我们安装时还把 Redhat 目录下的 vsftpd.pam 文件复制成了/etc/pam.d/vsftpd 文件。这个文件就是本地用户登陆的 pam 验证设置文件。关于这个文件我们会在后面具体介绍。这里我们要知道，必须得有这个设置文件，而且主设置文件里要加上 pam_service_name=vsftpd语句，我们才能让本地用户登陆。用以下命令启动服务：
    # /usr/local/sbin/vsftpd /etc/vsftpd/vsftpd.conf &
    为确保服务确实启动，我们用如下命令检测：
    # netstat -an |grep 21
    tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN
    我们看到服务器已打开了tcp21端口，表明ftp确实已启动。再登录服务器：
    # ftp 127.0.0.1
    Connected to 127.0.0.1.
    220 (vsFTPd 2.0.5)
    530 Please login with USER and PASS.
    530 Please login with USER and PASS.
    KERBEROS_V4 rejected as an authentication type
    Name (127.0.0.1:root): ftp
    331 Please specify the password.
    Password:
    230 Login successful.
    这时我们已用匿名用户（用户名ftp或anonymous，密码任意)登录到服务器了，还能用本地用户登录。我们做测试时建议使用如上所示的ftp命令 （windows、Linux及Unix都带这个命令，用法都是相同的）来登录服务器，这样能看到更周详的信息，对于我们调试服务器是非常有帮助的。最简 单的ftp服务器就已达建起来了。使用如下命令关闭ftp服务：
    # killall vsftpd
服务启动脚本的制作
    在standalone 模式中，经常用上面的命令启动服务比较麻烦，我们做一个脚本来启动和停止服务。
建立一个新文件/etc/rc.d/init.d/vsftpd，把以下内容复制到文件中：
#!/bin/bash
#
# vsftpd      This shell script takes care of starting and stopping
#             standalone vsftpd.
#
# chkconfig: - 60 50
# description: Vsftpd is a ftp daemon, which is the program ＼
#              that answers incoming ftp service requests.
# processname: vsftpd
# config: /etc/vsftpd/vsftpd.conf
# Source function library.
. /etc/rc.d/init.d/functions
# Source networking configuration.
. /etc/sysconfig/network
# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0
[ -x /usr/local/sbin/vsftpd ] || exit 0
RETVAL=0
prog="vsftpd"
start() {
        # Start daemons.
        if [ -d /etc/vsftpd ] ; then
                for i in `ls /etc/vsftpd/*.conf`; do
                        site=`basename $i .conf`
                        echo -n $"Starting $prog for $site: "
                        /usr/local/sbin/vsftpd $i &
                        RETVAL=$?
                        [ $RETVAL -eq 0 ] && {
                           touch /var/lock/subsys/$prog
                           success $"$prog $site"
                        }
                        echo
                done
        else
                RETVAL=1
        fi
        return $RETVAL
}
stop() {
        # Stop daemons.
        echo -n $"Shutting down $prog: "
        killproc $prog
        RETVAL=$?
        echo
        [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/$prog
        return $RETVAL
}
# See how we were called.
case "$1" in
  start)
        start
        ;;
  stop)
        stop
        ;;
  restart|reload)
        stop
        start
        RETVAL=$?
        ;;
  condrestart)
        if [ -f /var/lock/subsys/$prog ]; then
            stop
            start
            RETVAL=$?
        fi
        ;;
  status)
        status $prog
        RETVAL=$?
        ;;
  *)
        echo $"Usage: $0 {start|stop|restart|condrestart|status}"
        exit 1
esac
exit $RETVAL
    保存文件，再给该文件加上执行权限：
    # chmod 755 /etc/rc.d/init.d/vsftpd
    这样我们就能通过下面的方法来管理服务了：
    # service vsftpd {start|stop|restart|condrestart|status}
    例如重新启动服务：
    # service vsftpd restart
    Shutting down vsftpd:                   [OK ]
    Starting vsftpd for vsftpd:             [OK ]
四、设置文件详解
    vsftpd设置文件只有一个，就是/etc/vsftpd/vsftpd.conf，上一小节我们就已加入了两行参数了。在修改了设置文件之后，需要重新启动服务才能生效。下面我们就来周详解释其中的参数。
1. 匿名及本地用户一起参数
    write_enable=yes/no             //是否允许全局可写
    download_enable=yes/no            //是否允许所有用户能下载
    dirlist_enable=yes/no             //是否允许所有用户能浏览（列出文件列表）
    我们将write_enable=no、download_enable=yes两行加入设置文件，再测试：
    # ftp 127.0.0.1
    ……
    ftp> ls
    227 Entering Passive Mode (127,0,0,1,230,192)
    150 Here comes the directory listing.
    -rw-r--r--    1 0        0               4 May 13 11:43 ioo_file
    226 Directory send OK.
    ftp> get ioo_file
    local: ioo_file remote: ioo_file
    227 Entering Passive Mode (127,0,0,1,160,26)
    150 Opening BINARY mode data connection for ioo_file (4 bytes).
    226 File send OK.
    4 bytes received in 0.062 seconds (0.063 Kbytes/s)
    ftp> put scsrun.log
    local: scsrun.log remote: scsrun.log
    227 Entering Passive Mode (127,0,0,1,176,84)
    550 Permission denied.
    如上所示，我们看到了ftp上的文件，能下载文件，但不能上传文件。如果把dirlist_enable=no 也加上，便无法看到ftp上的文件（无法列出文件列表），不过如果你知道具体的文件名及路径，仍然能下载文件的。实验结果就不贴上来了。
    再看下一组：
    ftpd_banner=欢迎语字符串
    banner_file=文件
    dirmessage_enable=yes/no
    message_file=文件
    参数ftpd_banner设置的欢迎语字符串将在登录时看到，如果想做出多行欢迎语，就要把内容独立存为banner_file参数指定的文件，应用中 这两个参数二选一即可。dirmessage_enable和message_file参数是进入某个目录后显示的欢迎信息，用法和前两个参数相同。
2. 本地用户管理
2.1 本地用户常规设置参数
    local_root=/path                  //本地用户登陆服务器后直接进入的目录
    local_umask=八进制数       //本地用户上传档案权限的 umask值
    local_max_rate=数字            //本地用户传输速率单位为 bps
    chmod_enable=yes/no            // 是否允许本地用户改动ftp 服务器上档案的权限
    我们知道使用本地用户登录ftp后进入的是用户的主目录，locla_root这个参数允许我们登录服务器后直接进入其他的目录。此功能结合Apache 的userdir模块来实现网站内容更新上传是非常方便的。Linux系统中的所有文件都是有权限值的，上传的文件也不例外，这个默认的权限值就由 local_umask参数指定。其计算方法为：
    默认建立文件的权限＋local_umask ＝0666
    默认建立目录的权限＋local_umask ＝0777
    由此我们能看出，上传的文件无论怎么都不可能有执行权限的。这也是vsftp安全性的体现啊！
    local_max_rate参数限定了数据传输速率，包括上传和下载。chmod_enable参数限制用户是否能改动档案权限（使用chmod, site命令）。
    我们可能想让为每个用户进行独立的设置，或想设置个别用户的权限。这样就得为每个本地用户设置一个文件。这些设置文件必须是在同一个目录下，所以我们能设置本地用户独立设置文件所在的目录：
    user_config_dir=/path        //用户独立设置文件所在目录
    我们在设置文件中加入以下几行：
    local_umask=077
    local_max_rate=20000
    user_config_dir=/etc/vsftpd/vsftpd_user_dir
    给予用户上传权限：
    write_enable=yes
    新建一个普通用户ioo，再新建一个目录/etc/vsftpd/vsftpd_user_dir，其下建一个文件ioo，里面加入下面几行：
    local_root=/var/www/html
    local_umask=022
    local_max_rate=50000
    把/var/www/html的所有者改为ioo:
    chown ioo:ioo /var/www/html
    测试之后我们发现，使用ioo用户登录后就直接进入var/www/html了，上传的文件（夹）权限为644(755)，传输速率为50k，自定义的设置覆盖了主设置文件中的设置。
2.2 本地用户登录限制参数
    在我们的服务器上本来就有非常多的本地用户，这些本地用户应该都是能登陆 ftp 服务器的。不过 ftp 服务是以明文传输的，如果允许管理员登陆的话，这种机制显然不好。又或我们想让一些本地用户能登陆，或一些不能登陆我们的 ftp 服务器，这样我们能怎么设置呢？
    Vsftpd 提供了 userlist 功能。他使用一个文件来保存一些用户名，然后根据设置来决定是文件中的用户能登录还是文件中没有列出的用户能登陆 ftp 服务器，这样就对本地用户的登陆起到了限制作用。其设置参数有如下几个：
    userlist_enable=yes/no             //是否启用 userlist 功能模块
    userlist_deny=yes/no               //是否拒绝 userlist 文件中用户登陆 ftp 服务
    userlist_file=/path/to/file              //指定的 userlist 文件名
   
    当第1个参数值为yes时，第2、3行才起作用。我们将设置文件加上如下3行：
    userlist_enable=yes
    userlist_deny=yes
    userlist_file=/etc/vsftpd/vsftpd.userlist
    然后再新建一个文件/etc/vsftpd/vsftpd.userlist，在里面加入用户名，每个用户名一行，比如我这里加入用户root，再登录服务时出现以下信息：
    # ftp 127.0.0.1
    Connected to 127.0.0.1.
    ……
    Name (127.0.0.1:root): root
    530 Permission denied.
    Login failed.
    root用户已不能登录了，在输入密码之前就被拒绝，但其他用户还能登录的。如果把userlist_deny的值改为no，则只有文件中的用户才能登录服务器。
2.3 本地用户的根目录参数
    大家再来看下面这一段：
    # ftp 127.0.0.1
    ……
    Name (127.0.0.1:root): ioo
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> pwd
    257 "/home/ioo"
    ftp> cd /
    250 Directory successfully changed.
    ftp> ls
    227 Entering Passive Mode (127,0,0,1,163,193)
    150 Here comes the directory listing.
    drwxr-xr-x    2 0        0            4096 May 12 21:22 bin
    drwxr-xr-x    3 0        0            4096 Apr 30 19:57 boot
    drwxr-xr-x   12 0        0            3840 May 13 10:29 dev
    ……
    是不是感到吃惊了！我们用本地用户登录ftp服务器，却能看到整个服务器的目录和文件，甚至还能把/etc/passwd文件下载下来，这是非常不安全的，我们应该禁止这个功能，限制用户只能在自己的目录里浏览，这就要用到chroot功能。看下面三个参数：
    chroot_list_enable=yes/no             //是否启用 chroot_list 文件
    chroot_local_user=yes/no              //是否限制本地用户的根目录为自己的主目录
    chroot_list_file=/path/to/file                  //设置 chrootlist 文件名
    我们新建一个用户woo，再新建一个文件/etc/vsftpd/vsftpd.chroot_list，其中加入woo。然后在设置文件中添加以下几行：
    chroot_list_enable=yes
    chroot_local_user=yes
    chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
    登录服务器测试：
    # ftp 127.0.0.1
    ……
    Name (127.0.0.1:root): woo
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> pwd
    257 "/home/woo"
    Name (127.0.0.1:root): ioo
    331 Please specify the password.
    Password:
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> pwd
    257 "/"
    我们看到，在文件中的用户woo根目录仍然是系统根目录，但文件外的用户根目录已变成了“/”，就是说列在文件外的用户已不能在自己主目录范围外浏览了。
    更改chroot_list_enable和chroot_local_user的值，得到以下几种组合：
参数
取值
取值
取值
取值
chroot_list_enable
yes
yes
no
no
chroot_local_user
yes
no
yes
no
意义
文件中列出的用户根目录为系统根目录，其他用户根目录为自己主目录。
文件中列出的用户根目录为自己主目录，其他用户根目录为系统根目录。
全部用户根目录都是自己主目录。
全部用户根目录都是系统根目录。
3. 匿名用户参数
    我们能认为，本地用户进入自己主目录本身就应有比较大的权限，所以我们看到本地用户受限的语句不多。不过匿名用户通常涉及到一个公开、公共的互连网环境，所以限制匿名用户的权限语句就比较多，限制也比较细致。看看这一组参数：
    anon_upload_enable=yes/no           //是否允许匿名用户上传
    anon_mkdir_write_enable=yes/no      //是否允许匿名用户建立目录
    anon_other_write_enable=yes/no      //是否允许匿名用户能使用除了建立目录和上传文件以外其他的ftp写操作命令。例如：delete、rename 等等
    anon_world_readable_only=yes/no      //匿名用户是否允许下载所有用户都能访问的文件
    我们先把设置文件清理一下，目前设置文件只有下面几行：
    listen=yes   
    anonymous_enable=yes
    write_enable=yes
    download_enable=yes
    dirlist_enable=yes
    anon_upload_enable=yes
    anon_mkdir_write_enable=yes
    anon_other_write_enable=yes
    我们希望匿名用户有上传文件的权限，但这里还只是在ftp服务里给了写权限，还必须在文件权限考虑实现。于是我们给/var/ftp加上写权限：
    chmod a+w /var/ftp
    然后登录服务器：
    # ftp 127.0.0.1
    ……
    Name (127.0.0.1:root): ftp
    331 Please specify the password.
    Password:
    500 OOPS: vsftpd: refusing to run with writable anonymous root
    Login failed.
    421 Service not available, remote server has closed connection
    结果我们连服务器都登陆不了了！这是因为vsftpd出于在安全方面的考虑，不允许匿名用户对根目录有写权限。为此，我们只有去掉/var/ftp的写权限，再在其中新建一个目录，给予其写权限，让匿名用户上传文件到这个目录中。
    # chmod 755 /var/ftp
    # mkdir /var/ftp/upload
    # chmod 777 /var/ftp/upload
    目前我们能匿名在upload里上传文件、建立目录、还能删除改名等，不过却无法将上传的文件下载回来。如果你上传的文件是在一个新建的目录里，那么上传的文件不仅下载不下来，而且连看都看不到：
    ftp> mkdir asm
    257 "/upload/asm" created
    ftp> cd asm
    250 Directory successfully changed.
    ftp> put file1
    local: file1 remote: file1
    227 Entering Passive Mode (127,0,0,1,135,56)
    150 Ok to send data.
    226 File receive OK.
    5 bytes sent in 0.063 seconds (0.077 Kbytes/s)
    ftp> get file1
    local: file1 remote: file1
    227 Entering Passive Mode (127,0,0,1,20,101)
    550 Failed to open file.
    ftp> ls
    227 Entering Passive Mode (127,0,0,1,133,186)
    150 Here comes the directory listing.
    226 Transfer done (but failed to open directory).
    ftp>
    这就要研究anon_world_readable_only这个参数了，他的默认值是yes。如果其值为yes，则匿名用户只能下载所有用户都可访问的文件。比如：
    # ll
    total 40
    -rw----r-- 1 ftp ftp 34935 05-13 17:38 install.log
    -rw------- 1 ftp ftp   209 05-13 18:16 scsrun.log
    这里install.log文件权限其他位上有r权限，那么这个文件就能被下载；scsrun.log文件其他位上没有所有权限，所以这个文件就不能被匿名用户下载。
    因此解决方法有两个，一是把参数anon_world_readable_only的值改为no；二是把上传文件默认权限的其他位上加上执行权限，这就用到下面这个参数：
    anon_umask=八进制数
    这个参数值的计算方法和本地用户local_umask参数相同，不在赘述。
    在以上的实验中，大家可能已注意到匿名用户上传的档案所有者为ftp，这们也可能用下面两个参数来改动档案所有者：
    chown_uploads=yes/no         //是否开启修改默认匿名上传档案所有者的功能
    chown_username=本地用户名     //匿名上传档案的所有者名
    匿名用户使用所有密码都是能登陆服务器的，那么我们能免了匿名用户登陆必须输入密码的步骤，只要我们在设置文件中加入：
    no_anon_password=yes
    匿名用户的参数更有非常多，我们就不一一介绍了
    到此，我们已能达建出的ftp服务器已能满足非常多场合的需要了，如果有需求更加苛刻的场合，那就还需要进一步设置（未完持续）