溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇“Centos中怎么部署并加密FTP服務器”文章的知識點大部分人都不太理解,所以小編給大家總結了以下內容,內容詳細,步驟清晰,具有一定的借鑒價值,希望大家閱讀完這篇文章能有所收獲,下面我們一起來看看這篇“Centos中怎么部署并加密FTP服務器”文章吧。
FTP是一種上傳和下載用的軟件。用戶可以通過它把自己的PC機與運行FTP協議的服務器相連,訪問服務器上的程序和信息。
1、 安裝 vsftpd 服務器很直接,只要在終端運行下面的命令。
# yum install vsftpd
2、 安裝完成后,服務先是被禁用的,因此我們需要手動啟動,并設置在下次啟動時自動啟用:
# systemctl start vsftpd# systemctl enable vsftpd
3、 接下來,為了允許從外部系統訪問 FTP 服務,我們需要打開 FTP 守護進程監聽的 21 端口:
# firewall-cmd --zone=public --permanent --add-port=21/tcp# firewall-cmd --zone=public --permanent --add-service=ftp# firewall-cmd --reload
4、 現在,我們會進行一些配置來設置并加密我們的 FTP 服務器,讓我們先備份一下原始配置文件
/etc/vsftpd/vsftpd.conf
:
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig
接下來,打開上面的文件,并將下面的選項設置相關的值:
anonymous_enable=NO ### 禁用匿名登錄local_enable=YES ### 允許本地用戶登錄write_enable=YES ### 允許對文件系統做改動的 FTP 命令local_umask=022 ### 本地用戶創建文件所用的 umask 值dirmessage_enable=YES ### 當用戶首次進入一個新目錄時顯示一個消息xferlog_enable=YES ### 用于記錄上傳、下載細節的日志文件connect_from_port_20=YES ### 使用端口 20 (ftp-data)用于 PORT 風格的連接xferlog_std_format=YES ### 使用標準的日志格式listen=NO ### 不要讓 vsftpd 運行在獨立模式listen_ipv6=YES ### vsftpd 將監聽 IPv6 而不是 IPv4pam_service_name=vsftpd ### vsftpd 使用的 PAM 服務名userlist_enable=YES ### vsftpd 支持載入用戶列表tcp_wrappers=YES ### 使用 tcp wrappers
5、 現在基于用戶列表文件/etc/vsftpd.userlist來配置 FTP 來允許/拒絕用戶的訪問。
默認情況下,如果設置了userlist_enable=YES,當userlist_deny選項設置為YES的時候,userlist_file=/etc/vsftpd.userlist中列出的用戶被拒絕登錄。
然而, 更改配置為userlist_deny=NO,意味著只有在userlist_file=/etc/vsftpd.userlist顯式指定的用戶才允許登錄。
userlist_enable=YES ### vsftpd 將從 userlist_file 給出的文件中載入用戶名列表userlist_file=/etc/vsftpd.userlist ### 存儲用戶名的文件userlist_deny=NO
這并不是全部,當用戶登錄到 FTP 服務器時,它們會進入 chroot jail 中,這是僅作為 FTP 會話主目錄的本地根目錄。
接下來,我們將介紹如何將 FTP 用戶 chroot 到 FTP 用戶的家目錄(本地 root)中的兩種可能情況,如下所述。
6、 接下來添加下面的選項來限制 FTP 用戶到它們自己的家目錄。
chroot_local_user=YES allow_writeable_chroot=YES
chroot_local_user=YES意味著用戶可以設置 chroot jail,默認是登錄后的家目錄。
同樣默認的是,出于安全原因,vsftpd 不會允許 chroot jail 目錄可寫,然而,我們可以添加allow_writeable_chroot=YES 來覆蓋這個設置。
保存并關閉文件。
7、現在,讓我們設置下面的 SELinux 布爾值來允許 FTP 能讀取用戶家目錄下的文件。請注意,這原本是使用以下命令完成的:
# setsebool -P ftp_home_dir on
然而,由于這個 bug 報告:ftp_home_dir指令默認是禁用的。
現在,我們會使用semanage命令來設置 SELinux 規則來允許 FTP 讀取/寫入用戶的家目錄。
# semanage boolean -m ftpd_full_access --on
這時,我們需要重啟 vsftpd 來使目前的設置生效:
# systemctl restart vsftpd
8、 現在我們會用useradd 命令創建一個 FTP 用戶來測試 FTP 服務器。
# useradd -m -c “Ravi Saive, CEO” -s /bin/bash ravi# passwd ravi
之后,我們如下使用echo 命令添加用戶 ravi 到文件/etc/vsftpd.userlist中:
# echo "ravi" | tee -a /etc/vsftpd.userlist# cat /etc/vsftpd.userlist
9、 現在是時候測試我們上面的設置是否可以工作了。讓我們使用匿名登錄測試,我們可以從下面的截圖看到匿名登錄沒有被允許。
# ftp 192.168.56.10Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : anonymous 530 Permission denied. Login failed. ftp>
測試 FTP 匿名登錄
10、 讓我們也測試一下沒有列在/etc/vsftpd.userlist中的用戶是否有權限登錄,下面截圖是沒有列入的情況:
# ftp 192.168.56.10Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : aaronkilik 530 Permission denied. Login failed. ftp>
FTP 用戶登錄失敗
11、 現在最后測試一下列在 /etc/vsftpd.userlist 中的用戶是否在登錄后真的進入了他/她的家目錄:
# ftp 192.168.56.10Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : ravi 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls
用戶成功登錄
警告:使用 allow_writeable_chroot=YES有一定的安全隱患,特別是用戶具有上傳權限或 shell 訪問權限時。
只有當你完全知道你正做什么時才激活此選項。重要的是要注意,這些安全性影響并不是 vsftpd 特定的,它們適用于所有提供了將本地用戶置于 chroot jail 中的 FTP 守護進程。
因此,我們將在下一節中看到一種更安全的方法來設置不同的不可寫本地根目錄。
12、 再次打開 vsftpd 配置文件,并將下面不安全的選項注釋掉:
#allow_writeable_chroot=YES
接著為用戶(ravi,你的可能不同)創建另外一個替代根目錄,并將所有用戶對該目錄的可寫權限移除:
# mkdir /home/ravi/ftp# chown nobody:nobody /home/ravi/ftp# chmod a-w /home/ravi/ftp
13、 接下來,在用戶存儲他/她的文件的本地根目錄下創建一個文件夾:
# mkdir /home/ravi/ftp/files# chown ravi:ravi /home/ravi/ftp/files# chmod 0700 /home/ravi/ftp/files/
接著在 vsftpd 配置文件中添加/修改這些選項:
user_sub_token=$USER ### 在本地根目錄下插入用戶名local_root=/home/$USER/ftp ### 定義任何用戶的本地根目錄
保存并關閉文件。再說一次,有新的設置后,讓我們重啟服務:
# systemctl restart vsftpd
14、 現在最后在測試一次查看用戶本地根目錄就是我們在他的家目錄創建的 FTP 目錄。
# ftp 192.168.56.10Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : ravi 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls
FTP 用戶家目錄登錄成功
以上就是關于“Centos中怎么部署并加密FTP服務器”這篇文章的內容,相信大家都有了一定的了解,希望小編分享的內容對大家有幫助,若想了解更多相關的知識內容,請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
