鞍山建一个网站大概要多少钱,网站定制公司kinglink,济南住建网站,企业网站内页设计FTP#xff08;文件传输协议#xff09;是一种客户端-服务器网络协议#xff0c;允许用户在远程计算机之间传输文件。这里有很多可用于Linux的开源FTP服务软件#xff0c;最流行最常用的FTP服务软件有 PureFTPd, ProFTPD, 和 vsftpd。在本教程中#xff0c;我们将在CentOS…FTP文件传输协议是一种客户端-服务器网络协议允许用户在远程计算机之间传输文件。这里有很多可用于Linux的开源FTP服务软件最流行最常用的FTP服务软件有 PureFTPd, ProFTPD, 和 vsftpd。在本教程中我们将在CentOS 8[4]上安装vsftpd非常安全的Ftp守护程序。这是一个稳定安全且快速的FTP服务器。我们还将向您展示如何配置vsftpd以限制用户访问其主目录以及如何使用SSL / TLS加密数据传输。
vsftpd的安装包默认包含在CentOS软件仓库中要安装它只需用root帐号或拥有sudo权限的帐号运行如下命令
#root帐号运行
dnf install vsftpd
#具有sudo权限的非root帐号运行
sudo dnf install vsftpd一旦软件包安装完成可以通过如下命令启动vsftpd守护进程并设置vsftpd在系统启动时启动。
sudo systemctl enable vsftpd --now验证vsftpd服务状态:
sudo systemctl status vsftpd命令输出结果类似如下显示vsftpd服务处于活动状态并且正在运行
● vsftpd.service - Vsftpd ftp daemonLoaded: loaded (/usr/lib/systemd/system/vsftpd.service; enabled; vendor preset: disabled)Active: active (running) since Mon 2020-03-30 15:16:51 EDT; 10s agoProcess: 2880 ExecStart/usr/sbin/vsftpd /etc/vsftpd/vsftpd.conf
(codeexited, status0/SUCCESS) ...配置vsftpd
vsftpd服务的配置存放在/etc/vsftpd/vsftpd.conf配置文件中。大多数配置在文件中都有详细的记录。有关所有配置选项可以参看官网的vsftpd配置说明页面。在下面内容中我们将介绍配置安全的vsftpd安装所需要的一些重要的配置。 先从打开vsftpd配置文件开始
sudo vim /etc/vsftpd/vsftpd.confFTP 访问控制
我们将仅允许本地用户访问FTP服务器在配置文件中找到anonymous_enable和local_enable配置项并确保您的配置与以下行一致
sudo vim /etc/vsftpd.conf
anonymous_enableNO
local_enableYES启用上传
取消注释write_enable配置项将允许你对系统文件进行更改例如上传和删除文件。
sudo vim /etc/vsftpd.conf
write_enableYES控制访问范围
通过取消chroot配置项防止FTP用户访问其主目录之外的任何文件。
sudo vim /etc/vsftpd.conf
chroot_local_userYES默认情况下启用chroot时如果用户锁定的目录是可写的则vsftpd将拒绝上传文件。这样做是为了防止有安全漏洞。 启用chroot时可以使用下面任意一种方法允许文件上传。
方法一
推荐允许上传的方法是保持chroot配置的启用情况下配置FTP目录。在本教程中我们将在用户主目录里创建一个ftp目录。该目录将用作chroot和可写入的uploads目录以上传文件。
sudo vim /etc/vsftpd.conf
user_sub_token$USER
local_root/home/$USER/ftp方法二
这个方法是在vsftpd中添加allow_writeable_chroot配置项。如果必须将用户的可写访问权限授予其主目录可以使用此选项。
sudo vim /etc/vsftpd/vsftpd.conf
allow_writeable_chrootYES被动FTP连接
vsftpd可以使用任何端口进行被动FTP连接。我们将指定端口的最小和最大范围然后在防火墙中打开该范围。 在vsftpd配置文件中添加如下配置
sudo vim /etc/vsftpd/vsftpd.conf
pasv_min_port30000
pasv_max_port31000限制用户登录
要仅允许某些用户登录FTP服务器请在配置文件中userlist_enable YES行之后添加以下行
sudo vim /etc/vsftpd/vsftpd.conf
userlist_file/etc/vsftpd/user_list
userlist_denyNO启用此选项后您需要通过将用户名添加到/etc/vsftpd/user_list文件每行一个用户中来明确指定哪些用户可以登录。
使用 SSL/TLS 保护传输安全
为了使用SSL/TLS保护传输安全你需要一个SSL证书并配置FTP 服务器使用该证书。您可以使用由受信任的证书颁发机构签名的现有SSL证书也可以创建自签名证书。如果你有一个执行服务器IP的域名或者子域则可以轻松生成一个免费的Let‘s Encrypt证书。在本教程中我们将使用“ openssl”工具生成一个自签名SSL证书。以下命令将创建一个有效期为10年的2048位私钥和自签名证书。私钥和证书都将保存在同一文件中
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/vsftpd/vsftpd.pem -out /etc/vsftpd/vsftpd.pem创建SSL证书后打开vsftpd配置文件
sudo nano /etc/vsftpd/vsftpd.conf找到rsa_cert_file和rsa_private_key_file选项将其值更改为pem文件路径并将ssl_enable指令设置为YES
sudo vim /etc/vsftpd/vsftpd.conf
rsa_cert_file/etc/vsftpd/vsftpd.pemrsa_private_key_file/etc/vsftpd/vsftpd.pemssl_enableYES重启vsftpd服务
你完成配置文件编辑后你的配置文件内容将会类似下面内容
vim /ec/vsftpd/vsftpd.conf
anonymous_enableNOlocal_enableYES
write_enableYES
local_umask022
dirmessage_enableYES
xferlog_enableYES
connect_from_port_20YES
xferlog_std_formatYES
chroot_local_userYES
listenNO
listen_ipv6YES
pam_service_namevsftpduser
list_enableYES
userlist_file/etc/vsftpd/user_list
userlist_denyNO
tcp_wrappersYES
user_sub_token$USER
local_root/home/$USER/ftp
pasv_min_port30000
pasv_max_port31000
rsa_cert_file/etc/vsftpd/vsftpd.pem
rsa_private_key_file/etc/vsftpd/vsftpd.pem
ssl_enableYES保存配置文件并重启vsftpd服务使更改配置生效
sudo systemctl restart vsftpd开启防火墙
如果你在CentOS 8上开启了防火墙你需要在防火墙中允许FTP流量访问。 要打开防火墙上的端口21FTP命令端口端口20FTP数据端口和端口30000-31000被动端口范围在防火墙上输入以下命令
sudo firewall-cmd --permanent --add-port20-21/tcp
sudo firewall-cmd --permanent --add-port30000-31000/tcp使用以下命令重新加载防火墙规则
firewall-cmd --reload创建一个FTP用户
为了测试FTP服务器我们将创建一个新用户。
如果您已经有要授予FTP访问权限的用户请跳过第一步。如果在配置文件中设置allow_writeable_chroot YES请跳过第三步。
创建一个名为newftpuser的用户
sudo adduser newftpuser
sudo passwd newftpuser添加用户到允许ftp的用户列表
echo newftpuser | sudo tee -a /etc/vsftpd/user_list创建ftp目录并配置正确的权限
sudo mkdir -p /home/newftpuser/ftp/uploadsudo
chmod 550 /home/newftpuser/ftpsudo
chmod 750 /home/newftpuser/ftp/uploadsudo
chown -R newftpuser: /home/newftpuser/ftp禁止shell访问
默认情况下在创建用户时如果未明确指定则该用户将具有对服务器的SSH访问权限。 要禁用shell程序访问我们将创建一个新的shell程序该shell程序将仅打印一条消息告诉用户其帐户仅限于FTP访问。
echo -e #!/bin/sh\necho This account is limited to FTP access only. |
sudo tee -a /bin/ftponlysudo chmod ax /bin/ftponly运行以下命令来创建/bin/ftponly 并使它可执行
echo /bin/ftponly | sudo tee -a /etc/shells将用户shell更改为/bin/ftponly
sudo usermod newftpuser -s /bin/ftponly使用相同的命令为仅希望授予FTP访问权限的其他用户更改shell程序。
