Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Linux-Betrieb und -Wartung zum Aufbau eines vsftp-Dienstes, der Ihren eigenen Anforderungen entspricht

Linux-Betrieb und -Wartung zum Aufbau eines vsftp-Dienstes, der Ihren eigenen Anforderungen entspricht

齐天大圣
齐天大圣Original
2020-11-21 17:40:561730Durchsuche

Nachdem wir die vsftpd-Software auf dem Server installiert und die Hauptkonfigurationsdatei der Software /etc/vsftpd/vsftpd.conf verstanden haben, können wir den gewünschten FTP-Dienst erstellen.

Geben Sie den Port des Ports an.

Anonyme und physische Benutzer dürfen sich nicht anmelden.

Deaktivieren Sie zunächst die anonyme Benutzeranmeldung und verweigern Sie anonymen Benutzern die Browserrechte.

anonymous_enable=NO

Warum dürfen sich physische Benutzer nicht anmelden? Da physische Benutzer bereits das sicherere SFTP zum Anmelden verwenden können, ist es nicht erforderlich, das FTP-Protokoll zum Anmelden zu verwenden. Da es sich bei FTP um ein Klartext-Übertragungsprotokoll handelt, wäre es zudem schädlich, wenn das Kontokennwort abgefangen würde.

Wie kann man physischen Benutzern die Anmeldung verbieten? Der dritte Schritt der Konfiguration virtueller Benutzer wird weiter unten im Artikel besprochen. Kommentieren Sie alles unter /etc/pam.d/vsftpd aus.

Einstellungen für aktive Verbindung und passive Verbindung

Wir möchten ein System aufbauen, das sowohl den aktiven Verbindungsmodus als auch die passive Verbindung unterstützt. Daher sind die Einstellungen wie folgt:

Porteinstellungen für den aktiven Verbindungsmodus

connect_from_port_20=YES

Einrichten Die Firewall und der Verbindungsport 21 werden freigegeben, und es besteht keine Notwendigkeit, Port 20 zu öffnen. Die Datenpakete, die der Host aktiv anfordert und auf die er antwortet, dürfen direkt in den Computer eintreten (herstellen/verknüpfen).

iptables -A INPUT -p tcp --dport 21 -j ACCEPT # FTP服务
iptables -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT
Aktivieren Sie den passiven Modus und der passive Verbindungsport ist auf einen Wert zwischen 10001 und 11000 beschränkt.
pasv_enable=YES
pasv_min_port=10001
pasv_max_port=11000
Richten Sie die Firewall so ein, dass Ports zwischen 10000 und 11000 geöffnet werden können.

iptables -A INPUT -p tcp --dport 10001::11000 -j ACCEPT # ftp被动连接端口

Konfigurieren Sie einen virtuellen Benutzer


Die Schritte zum Konfigurieren eines virtuellen Benutzers sind wie folgt:

Erstellen Sie eine virtuelle Benutzerkennwortdatei.Generieren Sie eine virtuelle Benutzerkennwortauthentifizierungsdatei.

Bearbeiten Sie die PAM-Authentifizierung der vsftpd-Datei
  1. Erstellen Sie ein lokales Zuordnungsverzeichnis und legen Sie Hostverzeichnisberechtigungen fest
  2. Ändern Sie die Konfigurationsdatei.
  3. Erstellen Sie für jeden virtuellen Benutzer eine separate Konfigurationsdatei
  4. 1. Das Format der Datei ist, dass ungerade Zahlen der Benutzername und gerade Zahlen das Passwort sind. Erstellen Sie eine Datei wie diese /etc/vsftpd/vusers mit dem folgenden Inhalt:
  5. ftptest1
    111111
    ftptest2
    222222

    2. Generieren Sie eine virtuelle Benutzerkennwort-Authentifizierungsdatei
  6. und führen Sie den folgenden Befehl aus:
  7. db_load -T -t hash -f  /etc/vsftpd/vusers  /etc/vsftpd/login.db

    Wenn der Befehl korrekt ausgeführt wird, /etc/ vsftpd wird in der Datei /login.db angezeigt. Aus Sicherheitsgründen haben wir die Berechtigungen dieser Datei auf 600 gesetzt Wenn es sich um eine 32-Bit-Version handelt, entfernen Sie die 64 nach der lib, und es ist nicht erforderlich, nach der Anmeldung ein Suffix hinzuzufügen. Nach diesem Vorgang können sich Entitätsbenutzer nicht mehr beim FTP-Dienst anmelden.

4. Erstellen Sie ein lokales Zuordnungsverzeichnis und legen Sie die Berechtigungen für das Hostverzeichnis fest.

Erstellen Sie den Host-Benutzer des virtuellen Benutzers

chmod 600 login.db

Ändern Sie die Verzeichnisberechtigungen auf 755

vim /etc/pam.d/vsftpd

5 Ändern Sie die Konfigurationsdatei.

Schreiben Sie die folgenden Zeilen mit Konfigurationsinformationen in die Konfigurationsdatei /etc/vsftpd/vsftpd.conf.

auth    required    /lib64/security/pam_userdb.so  db=/etc/vsftpd/login 
account   required    /lib64/security/pam_userdb.so  db=/etc/vsftpd/login

6. Erstellen Sie für jeden virtuellen Benutzer eine separate Konfigurationsdatei.

Wenn Sie für jeden virtuellen Benutzer eine separate Konfigurationsdatei erstellen möchten, müssen Sie

# useradd -d /home/vsftp -s /sbin/nologin ftpuser

zur Hauptkonfigurationsdatei hinzufügen, um den Konfigurationsdateipfad des virtuellen Benutzers anzugeben. Erstellen Sie als Nächstes ihre eigenen Konfigurationsdateien für die beiden virtuellen Benutzer:

# chmod 755 /home/vsftp/
Hinweis: Derzeit gibt es keine separate Konfigurationsdatei für den virtuellen Benutzer ftptest2. Verwenden Sie daher für diesen Benutzer die Konfiguration der Hauptkonfigurationsdatei (/etc/vsftpd/ vsftpd .conf)

Weitere verwandte technische Artikel finden Sie in der Spalte „Linux-System-Tutorial“!

Das obige ist der detaillierte Inhalt vonLinux-Betrieb und -Wartung zum Aufbau eines vsftp-Dienstes, der Ihren eigenen Anforderungen entspricht. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn