linux 服务器配置文件详解 VSFTP

Linux vsftp安全配置FTP服务器面临的安全隐患FTP服务器面临的安全隐患主要包括:缓冲区溢出攻击、数据嗅探、匿名访问缺陷和访问漏洞。

VSFtp一些安全配置：1. 修改Vsftpd服务器的默认端口和修改其他设置基于安全考虑，将预设的21端口改为2123。

修改配置文件/etc/vsftpd/vsftpd.conf，在文件最后增加如下一行内容：listen_port=2123ftp_data_port=2020在实际应用中，为了增加安全性，会将FTP服务器置于防火墙之后。

修改Vsftpd服务器的默认端口后要及时修改防火墙的端口设定。

现在服务器FTP端口为2123，数据传输端口为2020。

＃iptables -A INPUT -p tcp -m multiport ——dport 2123,2020 —j ACCEPT #iptables —A INPUT -p tcp -j REJECT -—reject-with tcp—reset修改其他设置ls_recurse_enable=NO ＃关闭“ls -R”命令，该命令常被用于DoS攻击，非常浪费系统资源＃ ascii_download_enable=NO #关闭ASCII模式下载,防止被用于DoS攻击，ASCII下载很消耗CPU负担2.使用BlockHosts软件防范暴力破解BlockHosts软件就是利用通过分析日志文件帮助tcp_wrappers实现工作自动化。

例如在30秒钟内一个IP地址(192。

168.1.23）连续30次登录sshd 服务器而且全部因为密码错误登录失败。

那么这个IP地址无疑是非法或者恶意主机。

这时BlockHosts会自动将该IP地址写入/etc/hosts.deny文件。

首先编辑你的/etc/syslog。

conf文件，一般修改security.＊ /var/log/security条目内容如下：security。

Linux vsftpd配置Linux下的ftp最常用的一種是vsftp(very security ftp)，服務名稱叫做vsftpd，檢查vsftpd是否已安裝：rpm –qa | grep vsftpd，如果未安裝通過rpm –ivh vsftpd*或yum –y install vsftpd(已製作yum)來進行安裝，service vsftpd stop/start/restart/status 開啟停止等操作，chkconfig vsftpd on/off或ntsysv命令打開圖形界面來管理該服務是否開機啟動。

Vsftp的配置文檔存放于/etc/vsftpd/vsftpd.conf，它支持兩種登錄方式，一種是匿名登錄，另一種是認證登錄，其中認證登錄又分為本地帳戶認證和虛擬帳戶認證。

剛開始學習vsftpd的配置時建議備份一份默認的配置：cp /etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bak。

一．匿名登錄該方式只要安裝好了vsftpd默認就可直接使用，登錄映射到的目錄是/var/ftp/，里面只有一個pub文件夾，pub只有只讀權限，改不了的，但可以在/var/ftp目錄下新建其它的文件夾則是可以通過修改/etc/vsftpd/vsftpd.conf來設定相關權限的。

二．本地帳戶登錄該類帳戶是Linux系統本地帳戶，只要你有Linux帳號那么就可以登錄到FTP。

但有一點需要注意，該類帳號默認登錄到的ftp目錄是本地帳戶的家目錄。

所以可以通過useradd –s account_name /sbin/nologin來創建無法登錄到Linux系統的帳戶來做ftp帳戶，但是要確保該帳號的家目錄被創建了哦，不然是會登錄不了的。

1.新建ftp1帳號，密碼123456，家目錄/var/ftp1。

useradd ftp1 -d /var/ftp1 -s /sbin/nologin 創建ftp1帳號passwd ftp1 修改ftp1的密碼2.將/etc/vsftpd/vsftpd.conf配置文件修改為如下內容，#注釋被刪除了。

# 是否允许匿名登录FTP服务器，默认设置为YES允许# 用户可使用用户名ftp或anonymous进行ftp登录，口令为用户的E-mail地址。

# 如不允许匿名访问则设置为NOanonymous_enable=YES# 是否允许本地用户(即linux系统中的用户帐号)登录FTP服务器，默认设置为YES允许# 本地用户登录后会进入用户主目录，而匿名用户登录后进入匿名用户的下载目录/var/ftp/pub # 若只允许匿名用户访问，前面加上#注释掉即可阻止本地用户访问FTP服务器local_enable=YES# 是否允许本地用户对FTP服务器文件具有写权限，默认设置为YES允许write_enable=YES# 掩码，本地用户默认掩码为077# 你可以设置本地用户的文件掩码为缺省022，也可根据个人喜好将其设置为其他值#local_umask=022# 是否允许匿名用户上传文件，须将全局的write_enable=YES。

默认为YES#anon_upload_enable=YES# 是否允许匿名用户创建新文件夹#anon_mkdir_write_enable=YES# 是否激活目录欢迎信息功能# 当用户用CMD模式首次访问服务器上某个目录时，FTP服务器将显示欢迎信息# 默认情况下，欢迎信息是通过该目录下的.message文件获得的# 此文件保存自定义的欢迎信息，由用户自己建立#dirmessage_enable=YES# 是否让系统自动维护上传和下载的日志文件# 默认情况该日志文件为/var/log/vsftpd.log,也可以通过下面的xferlog_file选项对其进行设定# 默认值为NOxferlog_enable=YES# Make sure PORT transfer connections originate from port 20 (ftp-data).# 是否设定FTP服务器将启用FTP数据端口的连接请求# ftp-data数据传输，21为连接控制端口connect_from_port_20=YES# 设定是否允许改变上传文件的属主，与下面一个设定项配合使用# 注意，不推荐使用root用户上传文件#chown_uploads=YES# 设置想要改变的上传文件的属主，如果需要，则输入一个系统用户名# 可以把上传的文件都改成root属主。

如何在Linux上搭建FTP服务器在Linux操作系统上搭建FTP服务器是一项非常常见且重要的任务。

FTP（文件传输协议）是一种用于在计算机之间传输文件的协议，它允许用户通过网络访问和共享文件。

搭建FTP服务器可以让用户能够从远程位置上传和下载文件，这在许多情况下非常有用，尤其是在需要与远程团队合作或者远程访问文件的工作环境中。

下面将详细介绍如何在Linux操作系统上搭建FTP服务器。

1. 安装VSFTPDVSFTPD是一个非常流行且稳定的FTP服务器软件，可以在绝大多数Linux发行版上使用。

要在Linux上搭建FTP服务器，首先需要安装VSFTPD软件。

打开终端并输入以下命令以安装VSFTPD：```sudo apt-get updatesudo apt-get install vsftpd```2. 配置VSFTPD安装完成后，需要对VSFTPD进行一些配置。

编辑VSFTPD的配置文件，在终端中输入以下命令：```sudo nano /etc/vsftpd.conf```在配置文件中，可以根据需要进行一些设置。

例如，可以设置是否允许匿名用户访问、设置默认的FTP根目录等。

以下是一些常用的设置选项：```anonymous_enable=NO #禁止匿名用户访问local_enable=YES #允许本地用户访问write_enable=YES #允许用户上传文件chroot_local_user=YES #限制用户只能在自己的主目录中操作local_umask=022 #设置文件和目录的权限掩码```完成配置后，保存并退出配置文件。

3. 启动FTP服务器配置完成后，需要启动FTP服务器以使配置生效。

在终端中输入以下命令以启动VSFTPD服务：```sudo systemctl start vsftpd```如果一切正常，应该能看到类似于"OK"或者"Started"的提示信息。

vsftp配置大全---超完整版一、前言Vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用，如,,.等。

Vsftpd的实现有三种方式1、匿名用户形式：在默认安装的情况下，系统只提供匿名用户访问2、本地用户形式：以/etc/passwd中的用户名为认证方式3、虚拟用户形式：支持将用户名和口令保存在数据库文件或数据库服务器中。

相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。

相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了对用户和下载的可管理性。

对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来说，虚拟用户是一种极好的解决方案。

二、获取最新版的Vsftp程序Vsftp官方下载：ftp:///users/cevans/vsftpd-2.0.3.tar.gz，目前已经到2.0.3版本。

假设我们已经将vsftpd-2.0.3.tar.gz文件下载到服务器的/home/xuchen目录[Copy to clipboard] [ - ]CODE:# cd /home/xuchen# tar xzvf vsftpd-2.0.3.tar.gz //解压缩程序# cd vsftpd-2.0.3三种方式的实现三、三种方式的实现1、匿名用户形式实现# vi builddefs.h \\编辑builddefs.h 文件，文件内容如下：#ifndef VSF_BUILDDEFS_H#define VSF_BUILDDEFS_H#undef VSF_BUILD_TCPWRAPPERS#define VSF_BUILD_PAM#undef VSF_BUILD_SSL#endif /* VSF_BUILDDEFS_H */将以上undef的都改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL# make //直接在vsftpd-2.0.3里用make编译# ls -l vsftpd-rwxr-xr-x 1 root root 86088 Jun 6 12:29 vsftpd //可执行程序已被编译成功创建必要的帐号，目录：# useradd nobody //可能你的系统已经存在此帐号，那就不用建立 # mkdir /usr/share/empty //可能你的系统已经存在此目录，那就不用建立# mkdir /var/ftp //可能你的系统已经存在此目录，那就不用建立 # useradd -d /var/ftp ftp //可能你的系统已经存在此帐号，那就不用建立# chown root:root /var/ftp# chmod og-w /var/ftp请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL 设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin安装vsftp配置文件，可执行程序，man等:# install -m 755 vsftpd /usr/local/sbin/vsftpd-ano# install -m 644 vsftpd.8 /usr/share/man/man8# install -m 644 vsftpd.conf.5 /usr/share/man/man5# install -m 644 vsftpd.conf /etc/vsftpd-ano.conf这样就安装完成了，那么我们开始进行简单的配置# vi /etc/vsftpd-ano.conf ,将如下三行加入文件listen=Y ESlisten_port=21tcp_wrappers=Y ESanon_root=/var/ftp //设置匿名用户本地目录，和ftp用户目录必须相同listen=Y ES的意思是使用standalone启动vsftpd，而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式)# /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf & //以后台方式启动vsftpd注意：每行的值都不要有空格，否则启动时会出现错误，举个例子，假如我在listen=Y ES后多了个空格，那我启动时就出现如下错误：500 OOPS: bad bool value in config file for: listen测试搭建好的匿名用户方式# ftp 127.0.0.1Connected to 127.0.0.1.220 (vsFTPd 2.0.3)530 Please login with USER and PASS.530 Please login with USER and PASS.K ERBEROS_V4 re j ected as an authentication typeN ame (127.0.0.1:root): ftp331 Please specify the password.Password:230 Login successful.Remote system type is U N I X.Using binary mode to transfer files.ftp>; pwd257 "/"ftp>;q uit221 G oodbye.#O K，已经完成了，very nice.高级配置细心的朋友可能已经看出来我们只在默认配置文件增加了四行，就实现了FTP连接（也证明了vsftpd的易用性），那么让我们传个文件吧，呀！！传输失败了（见图1）为什么呢？因为 vsftpd 是为了安全需要，/var/ftp目录不能把所有的权限打开，所以我们这时要建一个目录pub，当然也还是需要继续修改配置文件的。

linux 系统下FTP服务器配置方法linux系统下ftp服务器配置方法安装vsftprhel4系统中包含了vsftp服务器的rpm安装包，纸盒名称就是vsftpd-2.0.1-5.i386.rpm#rpmcivhvsftpd-2.0.1-5.i386.rpm2、vsftpd服务器的基本布局vsftpd服务器的配置文件保存在“/etc”目录和它的子目录中。

（1）vsftpd.conf文件中的布局项vsftpd.conf文件中所有的配置记录都包括配置项和配置值两部分内容，中间用等号连接。

anonymous_enable=yes（2）vsftpd服务器的默认配置vsftpd.conf文件中的预设布局采用于最为常用的ftp服务器布局市场需求，除去注解行后的配置文件中包含如下布局内容：#grepcv‘#’vsftpd/vsftpd.confanonymous_enable=yeslocal_enable=yeswrite_enable=yeslocal_umask=022dirmessage_enable=yesxferlog_enable=yesconnect_from_port_20=yesxferlog_std_format=yespam_service_name=vsftpduserlist_enable=yeslisten=yestcp_wrappers=yeslvsftpd.conf文件中的预设布局的含义如下：lanonymous_enable=yes，表示ftp可以允许匿名登陆llocal_enable=yes，则表示容许本地用户进占lwrite_enable=yes，表示ftp服务器开放对本地用户的写权限llocal_umask=022，设置本地用户的文件分解成掩码ldirmessage_enable=yes，当切换到ftp服务器中的某个目录时，将显示该目录下的“.message”隐含文件了内容lxferlog_enable=yes，ftp将投入使用上载和浏览日志lconnect_from_port_20=yes，ftp将启用ftp数据端口的连接请求lxferlog_std_format=yes，ftp将采用标准的ftpdxferlog日志格式lpam_service_name=vsftpd，设置pam认证服务的配置文件名称，该文件保存在“/etc/pam.d/”目录下。

Linux vsftpd配置Linux下的ftp最常用的一種是vsftp(very security ftp)，服務名稱叫做vsftpd，檢查vsftpd是否已安裝：rpm –qa | grep vsftpd，如果未安裝通過rpm –ivh vsftpd*或yum –y install vsftpd(已製作yum)來進行安裝，service vsftpd stop/start/restart/status開啟停止等操作，chkconfig vsftpd on/off或ntsysv命令打開圖形界面來管理該服務是否開機啟動。

Vsftp的配置文檔存放于/etc/vsftpd/vsftpd.conf，它支持兩種登錄方式，一種是匿名登錄，另一種是認證登錄，其中認證登錄又分為本地帳戶認證和虛擬帳戶認證。

剛開始學習vsftpd的配置時建議備份一份默認的配置：cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak。

一．匿名登錄該方式只要安裝好了vsftpd默認就可直接使用，登錄映射到的目錄是/var/ftp/，里面只有一個pub文件夾，pub只有只讀權限，改不了的，但可以在/var/ftp目錄下新建其它的文件夾則是可以通過修改/etc/vsftpd/vsftpd.conf來設定相關權限的。

二．本地帳戶登錄該類帳戶是Linux系統本地帳戶，只要你有Linux帳號那么就可以登錄到FTP。

但有一點需要注意，該類帳號默認登錄到的ftp目錄是本地帳戶的家目錄。

所以可以通過useradd –s account_name /sbin/nologin來創建無法登錄到Linux系統的帳戶來做ftp帳戶，但是要確保該帳號的家目錄被創建了哦，不然是會登錄不了的。

1.新建ftp1帳號，密碼123456，家目錄/var/ftp1。

useradd ftp1 -d /var/ftp1 -s /sbin/nologin 創建ftp1帳號passwd ftp1 修改ftp1的密碼2.將/etc/vsftpd/vsftpd.conf配置文件修改為如下內容，#注釋被刪除了。

linux简单记录10--使⽤vsftpd服务传输⽂件（三种模式--匿名模式，本地⽤户模式。

使⽤ vsftpd 服务传输⽂件FTP 是⼀种在互联⽹中进⾏⽂件传输的协议，基于客户端/服务器模式，默认使⽤ 20、 21号端⼝，其中端⼝ 20（数据端⼝）⽤于进⾏数据传输，端⼝ 21（命令端⼝）⽤于接受客户端发出的相关 FTP 命令与参数。

FTP 服务器是按照 FTP 协议在互联⽹上提供⽂件存储和访问服务的主机， FTP 客户端则是向服务器发送连接请求，以建⽴数据传输链路的主机。

两种⼯作模式：主动模式：FTP服务器主动向客户端发起连接请求被动模式：FTP服务器等待客户端发起连接请求（FTP的默认⼯作模式）vsftpd（very secure ftp daemon，⾮常安全的 FTP 守护进程）是⼀款运⾏在 Linux 操作系统上的 FTP 服务程序，不仅完全开源⽽且免费，此外，还具有很⾼的安全性、传输速度，以及⽀持虚拟⽤户验证等其他 FTP 服务程序不具备的特点。

[root@iscsi ~]# yum install vsftpd主配置⽂件 /etc/vsftpd/vsftpd.conf[root@iscsi vsftpd]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak[root@iscsi vsftpd]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf[root@iscsi vsftpd]# cat /etc/vsftpd/vsftpd.confanonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpduserlist_enable=YEStcp_wrappers=YESvsftpd 服务程序常⽤的参数以及作⽤listen=[YES|NO] 是否以独⽴运⾏的⽅式监听服务listen_address=IP 地址设置要监听的 IP 地址listen_port=21 设置 FTP 服务的监听端⼝download_enable＝[YES|NO] 是否允许下载⽂件userlist_enable=[YES|NO]userlist_deny=[YES|NO] 设置⽤户列表为“允许”还是“禁⽌”操作max_clients=0 最⼤客户端连接数， 0 为不限制max_per_ip=0 同⼀ IP 地址的最⼤连接数， 0 为不限制anonymous_enable=[YES|NO] 是否允许匿名⽤户访问anon_upload_enable=[YES|NO] 是否允许匿名⽤户上传⽂件anon_umask=022 匿名⽤户上传⽂件的 umask 值anon_root=/var/ftp 匿名⽤户的 FTP 根⽬录anon_mkdir_write_enable=[YES|NO] 是否允许匿名⽤户创建⽬录anon_other_write_enable=[YES|NO] 是否开放匿名⽤户的其他写⼊权限（包括重命名、删除等操作权限）anon_max_rate=0 匿名⽤户的最⼤传输速率（字节/秒）， 0 为不限制local_enable=[YES|NO] 是否允许本地⽤户登录 FTPlocal_umask=022 本地⽤户上传⽂件的 umask 值local_root=/var/ftp 本地⽤户的 FTP 根⽬录chroot_local_user=[YES|NO] 是否将⽤户权限禁锢在 FTP ⽬录，以确保安全local_max_rate=0 本地⽤户最⼤传输速率（字节/秒）， 0 为不限制vsftpd 作为更加安全的⽂件传输的服务程序，允许⽤户以三种认证模式登录到 FTP 服务器上。

Linux下配置FTP服务器Linux下配置FTP服务器vsftpd是UNIX类操作系统上运行的服务器名称，它的名字代表“very secure FTP daemon”，安全性是其设计与开发的一个重要目标。

下面就跟随店铺一起来了解一下吧!它可运行在Linux、Solaris等系统中，支持很多其他的FTP 服务器不支持的特征：非常高的安全性需求带宽限制良好的可伸缩性创建虚拟用户的可能性分配虚拟IP地址的可能性一、vsftpd的启动#service vsftpd start如果允许用户匿名访问，需创建用户ftp和目录/var/ftp# mkdir /var/ftp# useradd –d /var/ftp ftp二、vsftpd的配置Vsftpd的配置文件存放在/etc/vsftpd/vsftpd.conf 我们可根据实际数要对如下信息进行配置：1. 连接选项☆监听地址和控制端口(1) listen_address=ip address定义主机在哪个IP 地址上监听FTP请求。

即在哪个IP地址上提供FTP服务。

(2) listen_port=port_value指定FTP服务器监听的端口号。

默认值为21。

2. 性能与负载控制☆超时选项(1) idle_session_timeout=空闲用户会话的超时时间，若是超过这段时间没有数据的传送或是指令的输入，则会被迫断线。

默认值是300s(2) accept_timeout=numerical value接受建立联机的超时设定。

默认值为60s☆负载选项(1) max_clients= numerical value定义FTP服务器最大的兵法连接数。

当超过此连接数时，服务器拒绝客户端连接。

默认值为0，表示不限最大连接数。

(2) max_per_ip= numerical value定义每个IP地址最大的并发连接数目。

超过这个数目将会拒绝连接。

此选项的设置将会影响到网际快车、迅雷之类的多线程下载软件。