Sekarang mari kita lihat contoh mengatur pelayan FTP berdasarkan vsFTPd Dan CentOS 7. Perkhidmatan FTP akan sangat berguna untuk mana-mana organisasi dan perkhidmatan, contohnya, . Pertama sekali, pasang pakej vsftpd yang diperlukan:

sudo yum -y pasang vsftpd

Selepas ini, salin fail tetapan ke tempat yang selamat, i.e. direktori berasingan. Seperti yang saya tulis dalam artikel sebelum ini, ini adalah latihan yang baik dan keupayaan untuk kembali ke tetapan lalai.

sudo mkdir /backup

sudo cp /etc/vsftpd/vsftpd.conf /backup

Kami juga memasang klien ftp pada pelayan yang kami gunakan - mungkin ia berguna pada masa hadapan dan sekarang apabila menyemak tetapan. Pemasangan juga mudah:

sudo yum -y pasang ftp

Menyediakan pelayan vsFTPd

Selepas memasang pelayan dan pelanggan, teruskan ke mengkonfigurasi vsftpd. Anda harus segera memberi perhatian: Akses tanpa nama Kepada FTP dibenarkan secara lalai. Tetapkan anonymous_enable=NO untuk memastikan keselamatan pelayan anda.

Penyesuaian akan dilakukan dengan menyunting fail konfigurasi vsftpd.conf:

sudo nano /etc/vsftpd/vsftpd.conf

Kami akan membuat perubahan berikut:

Ini akan cukup untuk operasi yang betul mencipta pelayan FTP, untuk mendapatkan data lanjutan pada parameter yang digunakan, gunakan man (man vsftpd.conf).

Menambah pengguna FTP baharu

Jom buat pengguna khas FTP dengan nama ftpuser dan direktori lalai /var/www/your_directory:

useradd -d '/var/www/path/to/your/dir' -s /sbin/nologin ftpuser

Mari tetapkan kata laluan:

Jika direktori rumah untuk ftpuser belum lagi dibuat, maka mari lakukannya sekarang:

mkdir -p /var/www/path/to/your/dir

chown -R ftpuser '/var/www/path/to/your/dir'

chmod 775 '/var/www/path/to/your/dir'

Buat kumpulan 'ftpusers' untuk pengguna FTP, dan tambahkan 'ftpuser' kepadanya:

groupadd ftpusers

usermod -G ftpusers ftpuser

Menyediakan iptables untuk vsFTPd

Untuk betul Kerja FTP pelayan perlu dikonfigurasikan IPTABLES(tambah peraturan untuk FTP). Maklumat lanjut tentang iptables: +.

Buka fail konfigurasi iptables dan buat perubahan berikut:

sudo nano /etc/sysconfig/iptables
-A INPUT -m keadaan —state NEW -m tcp -p tcp —dport 21 -j TERIMA

Simpan dan tutup fail. Mulakan semula tembok api dengan arahan:

sudo systemctl mulakan semula iptables

Mengkonfigurasi vsFTPd autostart pada permulaan sistem

chkconfig --levels 235 vsftpd dihidupkan

Mari mulakan vsFTPd Perkhidmatan FTP:

sedia. Persediaan FTP pelayan selesai. Kami menyemak operasinya secara tempatan.

|

Amaran: Protokol FTP tidak selamat! Adalah disyorkan untuk digunakan.

FTP (atau File Transfer Protocol) ialah satu cara untuk menukar fail antara tempatan dan pelayan jauh. Protokol ini agak popular, tetapi boleh mendedahkan sistem kepada risiko yang serius kerana kekurangan penyulitan: FTP memindahkan data dalam teks biasa.

Seperti yang telah dinyatakan, SFTP adalah alternatif yang hebat. Protokol ini menukar fail melalui SSH.

Catatan: jika perlu, gunakan betul-betul Sambungan FTP boleh dilindungi menggunakan sijil SSL/TLS.

Tutorial ini menunjukkan cara menggunakan sijil SSL dan TLS pada vsftpd secara peribadi maya pelayan CentOS 6.4.

Memasang vsftpd

Pelayan vsftpd boleh dimuat turun dari repositori CentOS standard. Untuk memasang jenis vsftpd:

sudo yum pasang vsftpd

Pelayan vsftpd dipasang pada VPS. Mula menyediakannya.

Persediaan vsftpd asas

Fail konfigurasi vsftpd utama, bernama vsftpd.conf pada CentOS, disimpan dalam direktori /etc/vsftpd/. Buka masuk penyunting teks dengan keistimewaan root:

Dalam fail ini, anda perlu menukar beberapa parameter asas untuk meningkatkan tahap keselamatan, serta menetapkan parameter sambungan.

Mula-mula anda perlu menafikan akses kepada pengguna tanpa nama. Kadang-kadang akses terbuka untuk orang tanpa nama dialu-alukan (contohnya, dalam kes storan terbuka fail), tetapi ini pastinya tidak sesuai untuk pelayan FTP peribadi.

anonymous_enable=NO

Akses tanpa nama kini dilarang. Oleh itu, anda perlu menyediakan sistem dengan kaedah pengesahan. Buka akses untuk pengguna tempatan (ini bermakna vsftpd boleh menggunakan pengesahan pengguna sistem Linux).

Untuk melakukan ini, pastikan tetapan berikut ditetapkan:

local_enable=YA

Anda juga perlu memberi pengguna ini kebenaran menulis supaya mereka boleh memuat naik dan mengedit kandungan.

write_enable=YA

Sekarang kita perlu mengehadkan pengguna kepada direktori rumah mereka. Terdapat parameter untuk ini:

chroot_local_user=YA

Untuk asas (bukan SSL) Konfigurasi FTP Ia cukup. Menambah fungsi SSL akan dibincangkan kemudian.

Simpan dan tutup fail.

Mencipta Pengguna FTP

Jadi sekarang pengguna tempatan mempunyai akses kepada pelayan dan tidak boleh bergerak melangkaui direktori rumah mereka (terima kasih kepada persekitaran chroot).

Buat pengguna baharu menggunakan arahan:

sudo adduser ftpuser

Buat kata laluan untuk pengguna baharu dengan menaip:

sudo passwd ftpuser

CentOS 6.4 menggunakan lebih banyak versi lama vsftpd, jadi persediaannya lebih mudah sedikit daripada beberapa keluaran baharu.

Mengkonfigurasi vsftpd untuk menyokong SSL

Perkara pertama yang perlu dilakukan ialah mencipta Sijil SSL. Malah, panduan menggunakan TLS, protokol yang merupakan pengganti SSL dan lebih selamat.

Dalam direktori SSL, buat subdirektori untuk menyimpan fail:

sudo mkdir /etc/ssl/private

Gunakan arahan berikut untuk mencipta sijil dan kunci dalam satu fail:

openssl req -x509 -nod -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Senarai soalan akan dibentangkan. Isi ruangan dengan maklumat yang sesuai. Perhatian istimewa hendaklah diberikan kepada baris Nama Biasa; Masukkan alamat IP atau domain pelayan ke dalamnya. Malah, ruang yang tinggal tidak perlu diisi.

Menambah SSL pada konfigurasi vsftpd

Kini anda perlu mengedit konfigurasi vsftpd, menyediakan sambungan selamat.

Buka fail konfigurasi vsftpd sebagai root:

sudo nano /etc/vsftpd/vsftpd.conf

Pergi ke bahagian bawah fail dan isi maklumat SSL/TLS.

Di sini anda perlu menentukan lokasi sijil dan kunci. Oleh kerana ini semua dalam satu fail, nyatakan fail tersebut dalam kedua-dua parameter:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

Seterusnya, anda perlu mendayakan sokongan untuk fail ini dan melumpuhkan pengguna tanpa nama. Anda juga perlu mengkonfigurasi guna paksa SSL untuk sambungan semua pengguna BUKAN tanpa nama apabila menghantar kata laluan atau memindahkan data. Ini akan sangat meningkatkan keselamatan.

ssl_enable=YA
allow_anon_ssl=NO
force_local_data_ssl=YA
force_local_logins_ssl=YA

Kemudian anda perlu mengehadkan jenis sambungan kepada TLS yang lebih selamat. Untuk melakukan ini, dayakan TLS secara eksplisit dan lumpuhkan SSL:

ssl_tlsv1=YA
ssl_sslv2=NO
ssl_sslv3=NO

Akhir sekali, tambahkan parameter berikut:

require_ssl_reuse=NO
ssl_ciphers=TINGGI

Simpan dan tutup fail.

Mulakan semula vsftpd untuk mendayakan tetapan baharu:

sudo /etc/init.d/vsftpd mulakan semula

Untuk menubuhkan permulaan automatik vsftpd semasa boot pelayan, gunakan:

sudo chkconfig vsftpd on

Menyambung ke vsftpd menggunakan FileZilla

Sambungan SSL dan TLS disokong oleh kebanyakan pelanggan FTP moden. Bahagian ini menunjukkan cara mengkonfigurasi FileZilla untuk menggunakan sambungan selamat (disebabkan oleh fungsi merentas platformnya).

Catatan: Ini mengandaikan bahawa klien sudah dipasang.

Buka FileZilla. Klik pada Pengurus Tapak.

akan muncul antara muka baharu, di dalamnya klik butang Tapak Baharu di sudut kiri bawah. Sediakan nama sambungan pelayan supaya anda boleh mengenal pastinya dengan mudah kemudian.

Dalam medan Hos, masukkan alamat IP, dalam menu lungsur turun Protokol, pilih "FTP - Protokol Pemindahan Fail". Daripada menu lungsur turun Penyulitan, pilih "Memerlukan FTP eksplisit melalui TLS."

Dalam menu Jenis Log Masuk, pilih Minta kata laluan. Dalam medan Pengguna, nyatakan pengguna FTP yang dibuat sebelum ini.

Langkah seterusnya ialah petunjuk pertama bahawa TLS sedang digunakan semasa menyambung ke pelayan. Amaran "Sijil pelayan tidak diketahui. Sila periksa sijil dengan teliti untuk memastikan pelayan boleh dipercayai": on di fasa ini sijil mesti disahkan.

Maklumat yang dimasukkan semasa membuat sijil harus muncul pada skrin, membolehkan anda mengesahkan sambungan.

Untuk mewujudkan sambungan, terima sijil.

Keputusan

Panduan ini menyediakan lebih banyak lagi pilihan selamat tetapan. Walau bagaimanapun, ia juga mungkin mempunyai beberapa isu keselamatan. Oleh itu, menggunakan FTP pada pemasangan dengan akses Internet tidak disyorkan; dalam kes sedemikian, lebih baik menggunakan SFTP.

Tag: ,

Baru-baru ini, skrip tertentu menjadi salah. Skrip telah dibeli, itulah sebabnya saya memutuskan untuk tidak menanganinya, tetapi untuk terus menghubungi sokongan penjual untuk menjelaskan masalah itu. Sokongan menjawab secara ringkas: kami memerlukan akses kepada FTP - kami akan menelitinya. Dan di sini saya terperangkap selama setengah minit...

Lagipun, FTP tidak dipasang pada Kent saya, kerana saya bekerja di bawah SSH. Lebih-lebih lagi, saya log masuk bukan dengan kata laluan, tetapi dengan sijil. Saya tidak boleh memberi anda kunci SSH sahaja, yang dengannya anda boleh log masuk ke pelayan sepanjang masa. Dan walaupun anda mendayakan log masuk kata laluan buat sementara waktu, mengapakah sokongan untuk skrip khusus untuk CMS tertentu melihat keseluruhan pelayan saya dan apa yang terdapat padanya?

Nah, saya fikir hanya untuk mereka majlis-majlis khas Anda perlu menaikkan ftpishka.

Nasib baik, pada hakikatnya semuanya ternyata agak cepat dan mudah, dan saya juga memutuskan pilihan dengan segera - "vsftpd" (Daemon FTP Sangat Selamat). Cepat. selamat. Merentas platform. Mudah dipasang dan dikonfigurasikan. Dengan kata lain, salah satu pelayan FTP terbaik.

Pasang & konfigurasi vsftpd

$ yum pasang vsftpd

Kemudian kami mengedit fail konfigurasi utama, di mana kami memerlukan:

1. Asingkan pengguna dalam direktori rumah mereka.
2. Tolak akses tanpa nama.

$ nano /etc/vsftpd/vsftpd.conf

1 2	chroot_local_user=YA anonymous_enable=NO

Menyediakan pengguna vsftpd

Di sini adalah penting untuk memahami satu sangat point yang menarik: Tidak perlu menambah pengguna FTP tambahan, mereka sudah wujud. Dan pengguna telah ditambah tepat apabila kami memasang AMP pada CentOS. Dalam kata lain - pengguna sudah mempunyai akses penuh pada dia direktori rumah , yang tinggal hanyalah mengeditnya untuk membenarkan kebenaran di bawah vsftpd.

Sebagai contoh, kami memerlukan akses FTP ke direktori /var/www/vhosts/site pada pelayan, yang dimiliki oleh pengguna hampir . Kami melakukan perkara berikut:

1. Kami melihat senarai pengguna dan menukar lalai direktori rumah kepada yang kita perlukan.
2. Kami menetapkan kata laluan kepada pengguna untuk log masuk FTP.

Menetapkan direktori rumah

$ nano /etc/passwd

1 2	-hampir hampir selesai:x:500:500::/rumah/hampir berakhir:/bin/bash +almostover:x:500:500::/var/www/vhosts/site:/sbin/nologin

Anda juga harus gantikan /bin/bash dengan /sbin/nologin untuk menafikan akses pengguna kepada sistem.

Kami memberikan kata laluan kepada pengguna

$passwd hampir habis

Lancarkan vsftpd

Dan hanya selepas semua tetapan yang diterangkan di atas telah dibuat, kami melancarkan pelayan FTP itu sendiri.

$service vsftpd mula

Dan jika kita merancang untuk menggunakan pelayan FTP pada asas kekal, jangan lupa untuk menambahkannya pada permulaan.

$ chkconfig vsftpd dihidupkan

Kesimpulan tentang pelayan FTP

Sama ada untuk menggunakan FTP secara berterusan atau tidak adalah keputusan peribadi untuk semua orang.

Di satu pihak, jika anda bercadang untuk bekerja dengan satu direktori (tapak) tertentu, maka kelebihan yang baik di sini ialah anda tidak perlu sentiasa memilih fail atau direktori yang baru dimuat turun. Semua operasi akan dilakukan bagi pihak pengguna semasa dan, oleh itu, semua hak akan diberikan kepadanya secara lalai.

Sebaliknya, matlamat peribadi saya untuk menaikkan FTP telah diumumkan pada awalnya: apabila anda perlu memberi seseorang akses sementara ke direktori terpencil tertentu pada pelayan/tapak tertentu:

1. Saya menukar kata laluan untuk log masuk yang dikeluarkan.
2. Saya mula vsftpd.
3. Saya memberi anda log masuk dan kata laluan FTP.
4. Menghentikan vsftpd.
5. Saya menukar kata laluan sekali lagi untuk log masuk yang sama (sekiranya kali seterusnya log masuk lain dikeluarkan).

Tiada SSH.
Tiada direktori tambahan.
Segala-galanya adalah sangat munasabah dan seaman mungkin.

Vsftpd ('FTP Daemon Sangat Selamat') ialah pelayan FTP untuk sistem seperti UNIX, termasuk CentOS / RHEL / Fedora dan lain-lain Pengedaran Linux. Ia menyokong IPv6, SSL, menyekat pengguna daripada direktori rumah mereka dan banyak lagi fungsi tambahan. Dalam topik saya "Memasang vsftpd pada CentOS" saya akan menerangkan bagaimana anda boleh memasang vsftpd pada CentOS dalam contoh terperinci.

Langkah 1 — Memasang Vsftpd

Anda boleh memasang Vsftpd dengan cepat pada VPS anda dengan menjalankan arahan pada baris arahan:

# yum pasang vsftpd

Kami juga perlu memasang Pelanggan FTP:

# yum pasang ftp

Setelah fail selesai dimuat turun, selepas itu Vsftpd akan berada pada VPS anda.

Langkah 2 — Menyediakan VSFTP

Selepas memasang VSFTP, anda boleh menyediakan konfigurasi. saya akan cipta salinan sandaran fail konfigurasi standard (untuk berjaga-jaga):

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bk

Buka fail konfigurasi:

# vim /etc/vsftpd/vsftpd.conf

Satu perubahan utama yang perlu anda buat ialah menukar input animus (saya tidak memerlukan ini):

[...] anonymous_enable=TIDAK [...]

Sebelum perubahan ini, Vsftpd membenarkan log masuk tanpa nama ke pelayan ftp dan pengguna yang tidak dikenali boleh mengakses fail VPS kami. Selepas itu, nyahkomen pilihan local_enable, tukar kepada "yes".

[...] local_enable = YA [...]

Ini akan memberikan akses pengguna tempatan kepada FTP.

Seterusnya, nyahkomen arahan chroot_local_user. Apabila talian ini ditetapkan kepada "YA", semua pengguna tempatan akan dipenjarakan setakat kemampuan mereka dan dinafikan akses ke mana-mana bahagian pelayan yang lain. Kami menyediakan chroot untuk semua pengguna:

[...] chroot_local_user = YA [...]

[...] write_enable=YA [...]

Ini akan memberi pengguna FTP hak menulis, dan jika perlu, lumpuhkan port 20 - ia akan mengurangkan keistimewaan VSftpd:

[...] connect_from_port_20=TIDAK [...]

Mari tetapkan topeng kepada 022 untuk memastikan hak yang sesuai ditetapkan untuk semua fail (644) dan folder (755) yang kami muat naik

[...] local_umask=022 [...]

Saya telah menyediakan fail konfigurasi, tetapi saya masih perlu menambah pengguna. Sekarang saya akan melakukannya dan menunjukkan kepada anda apa dan bagaimana.

Tetapan tambahan untuk konfigurasi vsftpd

allow_anon_ssl NO
Parameter YES membenarkan semua pengguna tanpa nama menyambung melalui sambungan SSL.

anon_mkdir_write_enable NO
Parameter YES membolehkan anda membuat direktori oleh pengguna tanpa nama (di bawah syarat tertentu), tetapi untuk ini anda perlu mendayakan pilihan "write_enable", yang mesti mempunyai hak tulis tanpa nama untuk direktori induk.

anon_other_write_enable NO
Parameter YES membolehkan pengguna tanpa nama melakukan bukan sahaja operasi memuat naik fail dan mencipta folder, tetapi juga memadam dan menamakan semula fail tersebut.

anon_upload_enable NO
Parameter YES membolehkan pengguna tanpa nama memuat naik fail ke pelayan (anda perlu mendayakan pilihan "write_enable", yang mesti mempunyai hak tulis untuk pengguna tanpa nama dalam folder muat naik). Pilihan ini juga mesti didayakan agar pengguna maya boleh memuat naik fail mereka, kerana secara lalai, semua pengguna maya dianggap tanpa nama.

anon_world_readable_only YA
Parameter YES diperlukan supaya pengguna tanpa nama boleh memuat turun hanya fail yang boleh dibaca oleh semua orang (pemiliknya ialah pengguna ftp).

anonymous_enable YA
Parameter YES membolehkan pengguna tanpa nama menyambung ke pelayan dengan nama ftp dan tanpa nama.

ascii_muat turun_dayakan NO
Parameter YES membolehkan anda memilih mod ASCII untuk memuat turun fail

ascii_upload_enable NO
Parameter YES membolehkan anda memilih mod ASCII untuk memuat naik fail

async_abor_enable NO
Parameter YES membolehkan anda menggunakan khas Perintah FTP, dikenali sebagai "async ABOR".

latar belakang YA
Pilihan YA membolehkan vsftpd berjalan di latar belakang.

cek_shell YA
Perhatian! Parameter ini hanya berfungsi untuk vsftpd yang dibina tanpa "PAM"! Jika pilihan ditetapkan kepada TIDAK, maka vsftpd tidak menyemak kehadiran shell pengguna tempatan dalam /etc/shells. Biasanya, jika shell pengguna tidak ditemui dalam /etc/shells, maka akses FTP kepada pengguna ini akan dinafikan!

chmod_enable YA
Pilihan YA membolehkan pengguna tempatan menggunakan arahan "SITE CHMOD". Pengguna tanpa nama TIDAK PERNAH menggunakan arahan ini!

chown_uploads NO
Pilihan YA menyebabkan semua fail yang dimuat naik oleh pengguna tanpa nama mempunyai pemilik ditukar kepada pengguna yang dinyatakan dalam pilihan "chown_user-name".

chroot_list_enable NO
Pilihan "YA" membolehkan anda membuat senarai pengguna tempatan yang akan chroot()ed ke dalam direktori rumah mereka semasa log masuk. Jika pilihan "chroot_local_user" ditetapkan kepada "YA", maka semuanya berfungsi sebaliknya: untuk pengguna tempatan dalam senarai yang disediakan, "chroot()" TIDAK AKAN dilakukan. Secara lalai, senarai pengguna terkandung dalam fail /etc/vsftpd/chroot_list, anda boleh menentukan sebarang nama fail lain menggunakan pilihan "chroot_list_file".

chroot_local_user NO
Pilihan YA menyebabkan pengguna tempatan dimasukkan ke dalam direktori rumah mereka semasa log masuk. Perhatian! Pilihan ini mungkin menimbulkan risiko keselamatan, terutamanya apabila pengguna boleh memuat naik fail atau mempunyai akses shell. Hanya hidupkan jika anda tahu apa yang anda lakukan!

sambung_dari_port_20 NO
Pilihan yang ditetapkan kepada YA membolehkan anda menggunakan port 20 (ftp-data) pada pelayan untuk pemindahan data; atas sebab keselamatan, sesetengah pelanggan mungkin memerlukan tingkah laku ini daripada pelayan. Sebaliknya, melumpuhkan pilihan ini membolehkan anda menjalankan vsftpd dengan kurang keistimewaan.

debug_ssl NO
Pilihan yang ditetapkan kepada YA menyebabkan operasi sambungan melalui SSL dilog. (Ditambah dalam 2.0.6)

deny_email_enable NO
Pilihan YA membolehkan anda menyediakan senarai kata laluan dalam gaya Alamat e-mel untuk pengguna tanpa nama (yang aksesnya akan dinafikan). Secara lalai, senarai itu terkandung dalam fail /etc/vsftpd/banned_emails, tetapi anda boleh menentukan fail lain menggunakan pilihan "banned_email_file".

dirlist_enable YA
Pilihan yang ditetapkan kepada NO menolak akses untuk melaksanakan arahan untuk melihat kandungan folder.

dirmessage_enable NO
Parameter YES membolehkan anda menunjukkan mesej kepada pengguna yang pertama kali memasuki direktori. Secara lalai, mesej berada dalam fail .message, tetapi anda boleh menentukan fail lain menggunakan pilihan "message_file".

muat turun_dayakan YA
Pilihan NO menghalang muat turun fail.

dwi_log_dayakan NO
Pilihan YA membolehkan penjanaan selari dua log /var/log/xferlog dan /var/log/vsftpd.log. Yang pertama mempunyai gaya wu-ftpd, yang kedua mempunyai gaya vsftpd.

force_dot_files NO
Pilihan YA membolehkan anda memaparkan fail dan direktori yang namanya bermula dengan titik. Pengecualian ialah nama "." Dan ".."

force_anon_data_ssl NO
Berfungsi hanya jika pilihan "ssl_enable" didayakan. Parameter YES memaksa sambungan semua pengguna tanpa nama ke mod SSL semasa memuat turun dan memuat naik fail.

force_anon_logins_ssl NO
Berfungsi hanya jika pilihan "ssl_enable" didayakan. Pilihan YA memaksa semua pengguna tanpa nama untuk menukar sambungan apabila menyerahkan kata laluan.

force_local_data_ssl YA
Berfungsi hanya jika pilihan "ssl_enable" didayakan. Parameter YES memaksa sambungan semua pengguna BUKAN tanpa nama ke mod SSL semasa memuat turun dan memuat naik fail.

force_local_logins_ssl YA
Berfungsi hanya jika parameter "ssl_enable" didayakan. Pilihan YA memaksa sambungan semua pengguna BUKAN tanpa nama ke mod SSL apabila menghantar kata laluan.

tetamu_dayakan NO
Pilihan YA menentukan bahawa semua sambungan tanpa nama harus dianggap sebagai sambungan "tetamu". Log masuk tetamu akan ditugaskan semula kepada pengguna yang ditentukan oleh parameter "guest_username".

hide_id NO
Pilihan YA menyebabkan kumpulan dan pemilik sentiasa "ftp" apabila ditunjukkan untuk semua fail dan direktori.

dengar YA
Pilihan YA menyebabkan vsftpd bermula dalam mod daemon. Ini bermakna vsftpd tidak boleh dimulakan dari inetd. Sebaliknya, vsftpd bermula secara langsung sekali dan kemudian mengendalikan sambungan masuk itu sendiri.

listen_ipv6 NO
Sama seperti parameter dengar, hanya vsftpd akan menyediakan IPv6, bukan hanya IPv4. Pilihan ini dan pilihan mendengar adalah saling eksklusif.

local_enable NO
Parameter YES membolehkan anda log masuk dengan FTP tempatan pengguna (dari /etc/passwd atau dibenarkan melalui PAM). Parameter ini mesti didayakan jika anda ingin mengatur kerja pengguna BUKAN tanpa nama, termasuk yang maya.

lock_upload_files YA
Parameter YES membolehkan penguncian tulis untuk semua fail yang dimuat turun. Semua fail yang dimuat turun mempunyai kunci baca yang dikongsi. Perhatian! Sebelum mendayakan pilihan ini, ingat bahawa pembacaan berniat jahat mungkin menyebabkan pengguna memuat naik fail tidak dapat menyelesaikan menulisnya.

log_ftp_protocol NO
Pilihan YA menyebabkan semua permintaan dan respons direkodkan Protokol FTP, serta mematikan parameter xferlog_std_format.

ls_recurse_enable NO
Jika pilihan ditetapkan kepada YA, ia membolehkan penggunaan "ls -R". Ini mewujudkan risiko keselamatan yang ketara kerana menjalankan "ls -R" pada direktori tingkat atas, yang mengandungi banyak subdirektori dan fail, boleh membawa kepada sangat penggunaan yang tinggi sumber.

mdtm_write YA
Jika pilihan ditetapkan kepada YA maka ia membolehkan tetapan MDTM masa pengubahsuaian fail (berguna untuk semakan akses)

no_anon_password NO
Jika pilihan ini ditetapkan kepada YA, maka vstpd tidak meminta pengguna tanpa nama untuk kata laluan.

no_log_lock NO
Pilihan YA memberitahu vsftpd untuk tidak menyekat semasa menulis untuk log fail. Biasanya pilihan ini dilumpuhkan. Di Solaris bersempena dengan sistem fail Veritas kadangkala tersekat apabila cuba mengunci fail log.

satu_proses_model NO
Untuk kernel 2.4, model keselamatan yang berbeza disokong: satu proses setiap sambungan. Model ini kurang selamat, tetapi lebih produktif. Jangan dayakannya jika anda tidak memahami apa yang anda lakukan dan jika pelayan anda tidak perlu menyokong sejumlah besar sambungan berasingan.

passwd_chroot_enable NO
Jika pilihan ditetapkan kepada YA, ia membenarkan, bersama-sama dengan chroot_local_user, untuk mendayakan chroot() secara berasingan untuk setiap pengguna, berdasarkan data tentang direktori rumahnya yang diambil daripada /etc/passwd. Dalam kes ini, nilai "/./" dalam baris yang menyatakan direktori rumah bermaksud lokasi yang berasingan dalam laluan.

pasv_addr_resolve NO
Jika pilihan ditetapkan kepada YA, ia membolehkan anda menggunakan nama (bukan alamat IP) dalam pasv_addres

pasv_enable YA
Jika pilihan ditetapkan kepada TIDAK, maka ia melumpuhkan kaedah PASV dalam sambungan yang diterima untuk menerima/menghantar data.

pasv_promiscuous NO
Jika pilihan ditetapkan kepada YA, maka ia melumpuhkan semakan keselamatan, yang tujuannya adalah untuk memastikan sambungan untuk menerima/menghantar data dibuat daripada alamat IP yang sama dengan sambungan kawalan. Hanya hidupkan jika anda memahami perkara yang anda lakukan! Ini hanya perlu dalam beberapa kes apabila mengatur terowong selamat atau menyokong FXP.

port_enable YA
Jika pilihan ditetapkan kepada TIDAK, maka ia melumpuhkan kaedah PORT dalam sambungan yang diterima untuk menerima/menghantar data.

port_promiscuous NO
Jika pilihan ditetapkan kepada YA, ia akan melumpuhkan semakan keselamatan PORT, yang tujuannya adalah untuk memastikan sambungan keluar disambungkan kepada klien. Hanya hidupkan jika anda tahu apa yang anda lakukan!

memerlukan_sijil NO
Pilihan YA memerlukan semua pelanggan SSL mempunyai sijil pelanggan. Pengurangan pengesahan yang digunakan pada sijil ini dikawal oleh parameter validate_cert (ditambah dalam 2.0.6).

run_as_launching_user NO
Tetapkan kepada YA jika anda ingin menjalankan vsftpd sebagai pengguna yang sebenarnya menjalankannya. Ini biasanya diperlukan dalam kes di mana akses daripada pengguna akar tidak tersedia. NOTA SERIUS! JANGAN dayakan pilihan ini sehingga anda sedar sepenuhnya tentang perkara yang anda lakukan, kerana menggunakan pilihan ini mungkin mencipta masalah serius dengan keselamatan. Adalah amat penting bahawa vsftpd tidak boleh menggunakan / sebagai direktori akar, dan juga menggunakan chroot untuk menyekat akses fail apabila pilihan ini didayakan (walaupun jika vsftpd berjalan sebagai root). Penyelesaian yang kurang sesuai mungkin menggunakan deny_file dengan argumen seperti (/*,*..*), tetapi penyelesaian ini tidak boleh dipercayai seperti chroot, jadi jangan terlalu bergantung padanya. Apabila pilihan ini digunakan, sekatan diletakkan pada pilihan lain. Sebagai contoh, jangan jangka bahawa pilihan yang memerlukan keistimewaan akan berfungsi, seperti log masuk bukan tanpa nama, memuat naik fail dengan perubahan dalam pemilikan, menyambung pada port 20 dan menyambung pada port kurang daripada 1024, serta lain-lain seperti itu.

secure_email_list_enable NO
Tetapkan kepada YA jika anda mahu hanya senarai alamat e-mel yang anda tentukan untuk digunakan sebagai kata laluan untuk log masuk tanpa nama. Ini berguna untuk sedikit menyekat akses kepada kandungan pelayan, tanpa mencipta pengguna maya. Pengguna tanpa nama akan dinafikan kemasukan jika kata laluan yang mereka berikan tiada dalam senarai yang terdapat dalam fail_e-mel_kata laluan. Format fail: satu kata laluan setiap baris tanpa ruang tambahan. Lokasi fail lalai: /etc/vsftpd/email_passwords

session_support NO
Jika pilihan ini ditetapkan kepada YA, vsftpd akan cuba mengekalkan sesi. Pada masa yang sama, ia akan cuba mengemas kini wtmp dan utmp. Jika PAM digunakan untuk kebenaran, maka vsftpd juga akan cuba membuka pam_session semasa log masuk dan menutupnya hanya apabila pengguna log keluar. Jika anda tidak memerlukan pengelogan sesi, anda boleh melumpuhkannya dan anda boleh memberitahu vsftpd untuk menjalankan lebih sedikit proses dan/atau dengan keistimewaan yang lebih rendah. Mengubah suai wtmp dan utmp hanya berfungsi jika vsftpd dibina dengan sokongan PAM.

setproctitle_enable NO
Jika pilihan ini ditetapkan kepada YA, vsftpd akan cuba menunjukkan maklumat keadaan sesi dalam senarai proses. Dalam erti kata lain, nama proses yang ditunjukkan akan ditukar untuk menggambarkan keadaan sesi vsftpd (terbiar, memuat turun, dll.) Atas sebab keselamatan, anda mungkin lebih baik membiarkan pilihan ini dilumpuhkan.

ssl_enable NO
Jika pilihan ditetapkan kepada YA dan vsftpd dibina dengan perpustakaan openSSL, maka vsftpd akan berfungsi sambungan selamat melalui SSL. Ini terpakai kepada kedua-dua sambungan kawalan dan sambungan data. Pelanggan juga perlu menyokong sambungan SSL. Gunakan pilihan ini dengan berhati-hati kerana vsftpd bergantung sepenuhnya pada perpustakaan openSSL untuk keselamatan Sambungan SSL dan tidak dapat menjamin bahawa perpustakaan ini bebas daripada ralat.

ssl_request_cert YA
Jika pilihan ini ditetapkan kepada YA, vsftpd meminta (tetapi tidak memerlukan) pelanggan untuk memberikan sijil.

ssl_sslv2 NO
Terpakai hanya jika pilihan ssl_enable didayakan. Jika pilihan ditetapkan kepada YA, sambungan tentang protokol SSL v2. Sambungan pilihan adalah protokol TLS V1.

ssl_sslv3 NO
Terpakai hanya jika pilihan ssl_enable didayakan. Jika pilihan ditetapkan kepada YA, sambungan menggunakan protokol SSL v3 dibenarkan. Sambungan TLS V1 lebih disukai.

ssl_tlsv1 YA
Terpakai hanya jika pilihan ssl_enable didayakan. Jika pilihan ditetapkan kepada YA, maka sambungan menggunakan protokol TLS V1 dibenarkan. Sambungan TLS V1 lebih disukai.

Menambah pengguna.

Mari buat pengguna baharu bernama 'ftpuser' dan tetapkan direktori rumahnya '/home/ftpuser' :

# useradd -d "/home/ftpuser" -s /sbin/nologin ftpuser

Mari tambah kata laluan untuk pengguna yang dibuat:

#passwdftpuser

Mari buat direktori rumah untuk pengguna ini (jika belum ditambah):

# mkdir -p /home/ftpuser

# chown -R ftpuser "/home/ftpuser" # chmod 775 "/home/ftpuser"

Mari buat kumpulan 'ftpuser' untuk pengguna FTP, dan tambahkan 'ftpuser' padanya:

# groupadd ftpusers # usermod -G ftpusers ftpuser

Peraturan untuk IPtables.

Jika anda menggunakan IPTABLES, anda perlu mencipta peraturan yang sepadan untuk VSftpd:

# vim /etc/sysconfig/iptables

Tambah baris seterusnya, sebelum baris TOLAK, untuk membuka 21 port:

A INPUT -m negeri --negeri BARU -m tcp -p tcp --dport 21 -j TERIMA

Simpan dan tutup fail, dan juga mulakan semula tembok api:

# perkhidmatan iptables dimulakan semula

But semula Vsftpd:

# perkhidmatan vsftpd dimulakan semula

Mari tambah Vsftpd untuk permulaan; untuk melakukan ini, jalankan:

# chkconfig vsftpd dihidupkan

# chkconfig --levels 235 vsftpd dihidupkan

Anda boleh menyemak tahap larian seperti ini:

# chkconfig --list vsftpd

Anda sepatutnya mendapat sesuatu seperti ini:

Vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Anda boleh melihat bahawa pelayan berfungsi seperti biasa dengan menjalankan arahan:

# ps -aux | grep vsftpd

Langkah 3 - Pergi ke Pelayan FTP

Sebaik sahaja anda telah memasang pelayan FTP dan mengkonfigurasinya mengikut keinginan anda, anda boleh mengaksesnya. Anda boleh log masuk ke pelayan FTP melalui pelayar anda dengan menaip Nama domain V bar alamat dan log masuk dengan ID yang sesuai.
ftp://site/
Sebagai alternatif, anda boleh mencapai pelayan FTP menggunakan baris arahan dengan menaip:

# Tapak FTP

Pemasangan vsftpd pada CentOS selesai. Intipati utama adalah jelas, butiran (jika tiba-tiba tidak jelas) tanya saya. Saya boleh membantu.