- 環境
1、倆台Linux 虛擬機 Ser 和 Cli
- 安裝
[root@jm ~]# rpm -ivh /mnt/Packages/vsftpd-3.0.2-10.el7.x86_64.rpm //Ser 上安裝
[root@jm ~]# yum install -y lftp //Cli 上安裝Client 端
- 配置
/etc/vsftpd/vsftpd.conf //主配置文件
/etc/vsftpd/ftpusers //黑名單
/etc/vsftpd/user_list //白名單
/etc/vsftpd/vsftpd_conf_migrate.sh //變量和腳本
/var/ftp //默認虛擬用戶的根目錄
[root@jm ~]# systemctl start vsftpd //啟動服務
[root@jm ~]# systemctl enable vsftpd //設置開機自啟動
[root@jm ~]# netstat -antup | grep ftp //查看FTP端口
[root@jm ~]# netstat -tlunp | grep 53 //查看端口
[root@jm ~]# vim /etc/services // services 文件 ,查看服務端口
[root@jm ~]# systemctl stop iptables //關閉 iptables
[root@jm ~]# chkconfig iptables off //iptables 開機不啟動
[root@jm ~]# getenforce // 臨時關閉selinux
[root@jm ~]# vim /etc/sysconfig/selinux
SELINUX=enforcing 改為 SELINUX=disabled 重啟reboot //永久關閉selinux
1、客戶端使用
[root@jm ~]# rpm -ivh /mnt/Packages/lftp-4.4.8-7.el7.x86_64.rpm //安裝客戶端
[root@jm ~]# lftp 192.168.1.10 //登陸 FTP 服務器
ftp://192.168.1.10/ //windows登陸FTP
2、修改配置文件
[root@jm ~]# cd /etc/vsftpd/
[root@jm vsftpd]# cp vsftpd.conf{,.bak} //使用命令展開式,FTP配置文件備份
[root@jm vsftpd]# vim /etc/vsftpd/vsftpd.conf //編輯配置文件
3、允許匿名訪問實例
anonymous_enable=YES //開啟允許匿名訪問
anon_upload_enable=YES //開啟允許匿名上傳
anon_mkdir_write_enable=YES //開啟允許匿名建立文件夾
anon_other_write_enable=YES //開啟允許匿名其他用戶寫權限(慎用)
[root@jm vsftpd]# systemctl restart vsftpd //服務重啟配置生效
[root@jm vsftpd]# chown ftp.ftp /var/ftp/pub/ //修改FTP共享目錄的屬主屬組為 ftp
[root@jm vsftpd]# chmod 755 /var/ftp/pub/ //默認權限不建議改變
4、用戶名密碼方式訪問FTP
[root@jm ~]# useradd -s /sbin/nologin edit_A //編輯用戶A禁止登陸系統
[root@jm ~]# useradd -s /sbin/nologin edit_B //編輯用戶B禁止登陸系統
[root@jm ~]# echo "123456" | passwd --stdin edit_A //設置edit_A的密碼
[root@jm ~]# echo "123456" | passwd --stdin edit_B //設置edit_B的密碼
[root@jm ~]# vim /etc/vsftpd/vsftpd.conf //編輯配置文件
anonymous_enable=NO //關閉匿名訪問
local_enable=YES //允許本地用戶登陸
101 local_root=/var/www/html //設置FTP的根目錄
102 chroot_list_enable=YES //開啟chroot
103 # (default follows)
104 chroot_list_file=/etc/vsftpd/chroot_list //設置被鎖定用戶的列表文件
105 allow_writeable_chroot=YES //允許鎖定用戶有寫權限
[root@jm ~]# touch /etc/vsftpd/chroot_list //創建鎖定用戶列表文件
[root@jm ~]# vim /etc/vsftpd/chroot_list //編輯並加入用戶列表
[root@jm ~]# ll -d /var/www/html/ //長格式查看目錄本身權限(-d表示目錄)
[root@jm ~]# chmod -R o+w /var/www/html/ //-R遞歸 賦予o(其他用戶)+w(寫)權限
⚠ 附加ssl加密傳輸
[root@jm ~]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 3560
//-------------------------------------------------------------
OpenSSL 簡單參數解釋:
req #是 X.509 Certificate Signing Request (CSR,證書簽名請求)管理的一個命令。
x509 #X.509 證書數據管理。
days #定義證書的有效日期。
newkey #指定證書密鑰處理器。
keyout #設置密鑰存儲文件。
out #設置證書存儲文件,注意證書和密鑰都保存在一個相同的文件
---------------------------------------------------------------//
[root@jm ~]# mkdir /etc/vsftpd/.sslkey //創建隱藏目錄存放證書文件
[root@jm ~]# mv vsftpd.pem /etc/vsftpd/.sslkey //移動證書文件到.sslkey目錄下
[root@jm ~]# chmod 400 /etc/vsftpd/.sslkey/vsftpd.pem //賦予證書文件400權限
[root@jm ~]# vim /etc/vsftpd/vsftpd.conf
//加入下列
118 # config ssl
119 ssl_enable=YES -------------//啟用
120 allow_anon_ssl=NO ----------//允許匿名訪問ssl=NO
121 force_local_data_ssl=YES
122 force_local_logins_ssl=YES
123 force_anon_logins_ssl=YES
124 force_anon_data_ssl=YES
//上面四行force 表示強制匿名用戶使用加密登陸和數據傳輸
125 ssl_tlsv1=YES
126 ssl_sslv2=YES
127 ssl_sslv3=YES
128 require_ssl_reuse=NO //不重用SSL會話,安全配置項
129 ssl_ciphers=HIGH //允許用於加密 SSL 連接的 SSL 算法
130 rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
131 rsa_private_key_file=/etc/vsftpd/.sslkey/vsftpd.pem
//定義 SSL 證書和密鑰文件的位置
注意:上面的配置項不要添加到vsftpd.conf 文件最后,否則啟動報錯。
[root@jm ~]# systemctl restart vsftpd //重啟 vsftp
- 測試
登陸測試:
1、[root@jm ~]# lftp 192.168.1.10 -u edit_A //登陸FTP
2、配置FileZilla客戶端驗證 https://filezilla-project.org/download.php?type=client
結束