完全指南:如何在CentOS 7中安装、配置和安全加固FTP服务
在本指南中,我们将介绍在 CentOS/RHEL7 和 Fedora 发行版中安装、配置和保护 FTP 服务器( VSFTPD 代表 “Very Secure FTP Daemon”)的步骤。
请注意,本指南中的所有命令将以 root 身份运行,如果你不使用 root 帐户操作服务器,请使用 sudo命令 获取 root 权限。
步骤 1:安装 FTP 服务器
1、 安装 vsftpd 服务器很直接,只要在终端运行下面的命令。
# yum install vsftpd
2、 安装完成后,服务先是被禁用的,因此我们需要手动启动,并设置在下次启动时自动启用:
# systemctl start vsftpd # systemctl enable vsftpd
3、 接下来,为了允许从外部系统访问 FTP 服务,我们需要打开 FTP 守护进程监听的 21 端口:
# firewall-cmd --zone=public --permanent --add-port=21/tcp # firewall-cmd --zone=public --permanent --add-service=ftp # firewall-cmd --reload
步骤 2: 配置 FTP 服务器
4、 现在,我们会进行一些配置来设置并加密我们的 FTP 服务器,让我们先备份一下原始配置文件 /etc/vsftpd/vsftpd.conf:
# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.orig
接下来,打开上面的文件,并将下面的选项设置相关的值:
anonymous_enable=NO ### 禁用匿名登录 local_enable=YES ### 允许本地用户登录 write_enable=YES ### 允许对文件系统做改动的 FTP 命令 local_umask=022 ### 本地用户创建文件所用的 umask 值 dirmessage_enable=YES ### 当用户首次进入一个新目录时显示一个消息 xferlog_enable=YES ### 用于记录上传、下载细节的日志文件 connect_from_port_20=YES ### 使用端口 20 (ftp-data)用于 PORT 风格的连接 xferlog_std_format=YES ### 使用标准的日志格式 listen=NO ### 不要让 vsftpd 运行在独立模式 listen_ipv6=YES ### vsftpd 将监听 IPv6 而不是 IPv4 pam_service_name=vsftpd ### vsftpd 使用的 PAM 服务名 userlist_enable=YES ### vsftpd 支持载入用户列表 tcp_wrappers=YES ### 使用 tcp wrappers
5、 现在基于用户列表文件 /etc/vsftpd.userlist 来配置 FTP 来允许/拒绝用户的访问。
默认情况下,如果设置了 userlist_enable=YES,当 userlist_deny 选项设置为 YES 的时候,userlist_file=/etc/vsftpd.userlist 中列出的用户被拒绝登录。
然而, 更改配置为 userlist_deny=NO,意味着只有在 userlist_file=/etc/vsftpd.userlist 显式指定的用户才允许登录。
userlist_enable=YES ### vsftpd 将从 userlist_file 给出的文件中载入用户名列表 userlist_file=/etc/vsftpd.userlist ### 存储用户名的文件 userlist_deny=NO
这并不是全部,当用户登录到 FTP 服务器时,它们会进入 chroot jail 中,这是仅作为 FTP 会话主目录的本地根目录。
接下来,我们将介绍如何将 FTP 用户 chroot 到 FTP 用户的家目录(本地 root)中的两种可能情况,如下所述。
6、 接下来添加下面的选项来限制 FTP 用户到它们自己的家目录。
chroot_local_user=YES allow_writeable_chroot=YES
chroot_local_user=YES 意味着用户可以设置 chroot jail,默认是登录后的家目录。
同样默认的是,出于安全原因,vsftpd 不会允许 chroot jail 目录可写,然而,我们可以添加 allow_writeable_chroot=YES 来覆盖这个设置。
保存并关闭文件。
步骤 3: 用 SELinux 加密 FTP 服务器
7、现在,让我们设置下面的 SELinux 布尔值来允许 FTP 能读取用户家目录下的文件。请注意,这原本是使用以下命令完成的:
# setsebool -P ftp_home_dir on
然而,由于这个 bug 报告:https://bugzilla.redhat.com/show_bug.cgi?id=1097775,ftp_home_dir 指令默认是禁用的。
现在,我们会使用 semanage 命令来设置 SELinux 规则来允许 FTP 读取/写入用户的家目录。
# semanage boolean -m ftpd_full_access --on
这时,我们需要重启 vsftpd 来使目前的设置生效:
# systemctl restart vsftpd
步骤 4: 测试 FTP 服务器
8、 现在我们会用 useradd 命令创建一个 FTP 用户来测试 FTP 服务器。
# useradd -m -c “Ravi Saive, CEO” -s /bin/bash ravi # passwd ravi
之后,我们如下使用 echo 命令添加用户 ravi 到文件 /etc/vsftpd.userlist 中:
# echo "ravi" | tee -a /etc/vsftpd.userlist # cat /etc/vsftpd.userlist
9、 现在是时候测试我们上面的设置是否可以工作了。让我们使用匿名登录测试,我们可以从下面的截图看到匿名登录没有被允许。
# ftp 192.168.56.10 Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : anonymous 530 Permission denied. Login failed. ftp
测试 FTP 匿名登录
10、 让我们也测试一下没有列在 /etc/vsftpd.userlist 中的用户是否有权限登录,下面截图是没有列入的情况:
# ftp 192.168.56.10 Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : aaronkilik 530 Permission denied. Login failed. ftp
FTP 用户登录失败
11、 现在最后测试一下列在 /etc/vsftpd.userlist 中的用户是否在登录后真的进入了他/她的家目录:
# ftp 192.168.56.10 Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : ravi 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp ls
用户成功登录
警告:使用 allow_writeable_chroot=YES 有一定的安全隐患,特别是用户具有上传权限或 shell 访问权限时。
只有当你完全知道你正做什么时才激活此选项。重要的是要注意,这些安全性影响并不是 vsftpd 特定的,它们适用于所有提供了将本地用户置于 chroot jail 中的 FTP 守护进程。
因此,我们将在下一节中看到一种更安全的方法来设置不同的不可写本地根目录。
步骤 5: 配置不同的 FTP 家目录
12、 再次打开 vsftpd 配置文件,并将下面不安全的选项注释掉:
#allow_writeable_chroot=YES
接着为用户(ravi,你的可能不同)创建另外一个替代根目录,并将所有用户对该目录的可写权限移除:
# mkdir /home/ravi/ftp # chown nobody:nobody /home/ravi/ftp # chmod a-w /home/ravi/ftp
13、 接下来,在用户存储他/她的文件的本地根目录下创建一个文件夹:
# mkdir /home/ravi/ftp/files # chown ravi:ravi /home/ravi/ftp/files # chmod 0700 /home/ravi/ftp/files/
接着在 vsftpd 配置文件中添加/修改这些选项:
user_sub_token=$USER ### 在本地根目录下插入用户名 local_root=/home/$USER/ftp ### 定义任何用户的本地根目录
保存并关闭文件。再说一次,有新的设置后,让我们重启服务:
# systemctl restart vsftpd
14、 现在最后在测试一次查看用户本地根目录就是我们在他的家目录创建的 FTP 目录。
# ftp 192.168.56.10 Connected to 192.168.56.10 (192.168.56.10). 220 Welcome to TecMint.com FTP service. Name (192.168.56.10:root) : ravi 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp ls
FTP 用户家目录登录成功
就是这样了!在本文中,我们介绍了如何在 CentOS 7 中安装、配置以及加密的 FTP 服务器,使用下面的评论栏给我们回复,或者分享关于这个主题的任何有用信息。
建议阅读: 在 RHEL/CentOS 7 上安装 ProFTPD 服务器
在下一篇文章中,我们还将向你介绍如何在 CentOS 7 中保护使用 SSL/TLS连接的 FTP 服务器,再此之前,请继续关注 TecMint。
作者:Aaron Kili 来源:51CTOfrp centos 系统穿透内网提供web和ssh服务 通过frp来实现内网穿透,可以远程公司或家中的服务器,同时可以提供web服务器。这里对这一顿操作进行一个简简单单的介绍和记录... 调试了一个晚上了。
相关文章
- centos linux安装python 3.7.4步骤和报错以及PaddlePaddle dockerfile安装python 3.7.4
- CentOS下Docker安装
- 在CentOS 7中安装Jetty服务器
- CentOS 7.3 安装指南
- RHEL/CentOS 7中安装并配置 PowerDNS 和 PowerAdmin
- 安装完最小化 RHEL/CentOS 7 后需要做的 30 件事情(二)
- 安装完最小化 RHEL/CentOS 7 后需要做的 30 件事情(六)
- 如何在 CentOS 7 上安装 Redis 服务器
- RHEL/CentOS 7中安装并配置 PowerDNS 和 PowerAdmin
- CentOS 6.x安装配置MongoDB 3.4.x
- Java - CentOS下JDK的安装教程(及JAVA_HOME配置、以jdk1.8为例)
- Centos 安装Subversion
- Memcached 笔记与总结(1)Linux(CentOS 6.6) 和 Windows(7)下安装与配置 Memcached (1.4.24)与 Memcached 基础命令
- centos 单独安装apachebench
- Centos 7安装docker
- 安装CentOS 7时出现No Caching mode page found问题的解决
- CentOS 7下Samba服务器的安装与配置
- Centos 二进制安装 Prometheus
- Centos7 FTP服务安装,Centos FTP安装配置
- Linux Centos7 tomcat9安装配置,Centos Tomcat开机启动
- Zookeeper安装和使用,Centos7安装Zookeeper,Centos安装配置和Zookeeper安装配置
- centos使用yum安装软件的时候出现了undefined symbol: CRYPTO_set_locking_callback
- Linux-027-Centos JDK 环境离线安装配置
- CentOS 6.x安装配置
- centos 6.0用yum安装中文输入法
- grpc(1):Centos 安装java的grpc服务,使用haproxy进行负载均衡,nginx不支持
- CentOS 6 安装最新的 Redis 2.8 ,安装 TCMalloc
- CentOS 安装 hadoop hbase 使用 cloudera 版本。(一)
- Parallels Desktop Centos 设置IP
- CentOS 7.4编译安装Nginx1.10.3+MySQL5.7.16
- Linux CentOS 系统安装 和 相关配置