Sasa hebu tuangalie mfano wa kuandaa seva ya FTP kulingana na vsFTPd Na CentOS 7. Huduma ya FTP itakuwa muhimu sana kwa shirika na huduma yoyote, kwa mfano,. Kwanza kabisa, sasisha vifurushi vya vsftpd vinavyohitajika:

sudo yum -y kufunga vsftpd

Baada ya hayo, nakala ya faili ya mipangilio kwenye mahali salama, i.e. saraka tofauti. Kama nilivyoandika katika makala zilizopita, hii ni mazoezi mazuri na uwezo wa kurudi kwenye mipangilio chaguo-msingi.

sudo mkdir / chelezo

sudo cp /etc/vsftpd/vsftpd.conf /backup

Pia tunasakinisha mteja wa ftp kwenye seva tunayotumia - labda itakuwa muhimu katika siku zijazo na sasa wakati wa kuangalia mipangilio. Ufungaji pia ni rahisi:

sudo yum -y kufunga ftp

Inasanidi seva ya vsFTPd

Baada ya kufunga seva na mteja, endelea kusanidi vsftpd. Unapaswa kuzingatia mara moja: Ufikiaji usiojulikana Kwa FTP inaruhusiwa na chaguo-msingi. Weka anonymous_enable=NO ili kuhakikisha usalama wa seva yako.

Kubinafsisha kutafanywa kwa kuhariri faili ya usanidi vsftpd.conf:

sudo nano /etc/vsftpd/vsftpd.conf

Tutafanya mabadiliko yafuatayo:

Hii itatosha operesheni sahihi imeunda seva ya FTP, ili kupata data iliyopanuliwa kwenye vigezo vilivyotumiwa, tumia man (man vsftpd.conf).

Inaongeza mtumiaji mpya wa FTP

Hebu tuunde mtumiaji maalum FTP iliyo na jina ftpuser na saraka chaguo-msingi /var/www/your_directory:

useradd -d ‘/var/www/path/to/your/dir’ -s /sbin/nologin ftpuser

Wacha tuweke nenosiri:

Ikiwa saraka ya nyumbani ya ftpuser bado haijaundwa, basi wacha tuifanye sasa:

mkdir -p /var/www/path/to/your/dir

chown -R ftpuser ‘/var/www/path/to/your/dir’

chmod 775 ‘/var/www/path/to/your/dir’

Unda kikundi cha 'ftpusers' Watumiaji wa FTP, na uongeze 'ftpuser' kwake:

kikundiongeza ftpusers

usermod -G ftpusers ftpuser

Kuweka iptables kwa vsFTPd

Kwa sahihi Kazi ya FTP seva inahitaji kusanidiwa IPTABLES(ongeza sheria za FTP). Habari zaidi kuhusu iptables: +.

Fungua faili ya usanidi wa iptables na ufanye mabadiliko yafuatayo:

sudo nano /etc/sysconfig/iptables
-A PEMBEJEO -m hali --hali MPYA -m tcp -p tcp --dport 21 -j KUBALI

Hifadhi na funga faili. Anzisha tena firewall kwa amri:

sudo systemctl kuanzisha upya iptables

Inasanidi vsFTPd kuanzisha otomatiki wakati wa kuwasha mfumo

chkconfig --levels 235 vsftpd on

Tuanze vsFTPd Huduma ya FTP:

Tayari. Mpangilio wa FTP seva imekamilika. Tunaangalia uendeshaji wake ndani ya nchi.

|

Onyo: Itifaki ya FTP si salama! Inashauriwa kutumia.

FTP (au Itifaki ya Uhamisho wa Faili) ni njia ya kubadilishana faili kati ya ndani na seva ya mbali. Itifaki hii ni maarufu sana, lakini inaweza kuweka mfumo kwa hatari kubwa kutokana na ukosefu wa usimbaji fiche: FTP huhamisha data kwa maandishi wazi.

Kama ilivyoelezwa tayari, SFTP ni mbadala kubwa. Itifaki hii hubadilisha faili kupitia SSH.

Kumbuka: ikiwa ni lazima, tumia hasa Uunganisho wa FTP inaweza kulindwa kwa kutumia vyeti vya SSL/TLS.

Mafunzo haya yanaonyesha jinsi ya kutumia vyeti vya SSL na TLS kwenye vsftpd kwenye faragha pepe Seva ya CentOS 6.4.

Inasakinisha vsftpd

Seva ya vsftpd inaweza kupakuliwa kutoka kwa hazina za kawaida za CentOS. Ili kusakinisha aina ya vsftpd:

sudo yum kufunga vsftpd

Seva ya vsftpd imewekwa kwenye VPS. Anza kuisanidi.

Mpangilio wa kimsingi wa vsftpd

Faili kuu ya usanidi ya vsftpd, inayoitwa vsftpd.conf kwenye CentOS, imehifadhiwa kwenye saraka /etc/vsftpd/. Fungua ndani mhariri wa maandishi na haki za mizizi:

Katika faili hii, unahitaji kubadilisha baadhi ya vigezo vya msingi ili kuongeza kiwango cha usalama, pamoja na kuweka vigezo vya uunganisho.

Kwanza unahitaji kukataa ufikiaji wa watumiaji wasiojulikana. Mara nyingine ufikiaji wazi kwa watu wasiojulikana inakaribishwa (kwa mfano, katika kesi ya uhifadhi wazi faili), lakini hii haifai kwa seva ya kibinafsi ya FTP.

bila kujulikana_wezesha=HAPANA

Ufikiaji bila jina sasa umepigwa marufuku. Kwa hiyo, unahitaji kutoa mfumo kwa njia ya uthibitishaji. Fungua ufikiaji kwa watumiaji wa ndani (hii ina maana kwamba vsftpd inaweza kutumia uthibitishaji wa watumiaji wa mfumo wa Linux).

Ili kufanya hivyo, hakikisha mpangilio ufuatao umewekwa:

local_enable=NDIYO

Pia unahitaji kuwapa watumiaji hawa ruhusa ya kuandika ili waweze kupakia na kuhariri maudhui.

andika_wezesha=NDIYO

Sasa tunahitaji kuzuia watumiaji kwenye saraka zao za nyumbani. Kuna parameter kwa hii:

chroot_local_user=NDIYO

Kwa msingi (isiyo ya SSL) Mipangilio ya FTP Inatosha. Kuongeza utendaji wa SSL kutashughulikiwa baadaye.

Hifadhi na funga faili.

Kuunda Mtumiaji wa FTP

Kwa hivyo sasa watumiaji wa ndani wana ufikiaji wa seva na hawawezi kusonga zaidi ya saraka zao za nyumbani (shukrani kwa mazingira ya chroot).

Unda mtumiaji mpya kwa kutumia amri:

sudo adduser ftpuser

Unda nenosiri la mtumiaji mpya kwa kuandika:

sudo passwd ftpuser

CentOS 6.4 hutumia zaidi toleo la zamani vsftpd, kwa hivyo usanidi wake ni rahisi kidogo kuliko matoleo mapya.

Inasanidi vsftpd ili kusaidia SSL

Kitu cha kwanza cha kufanya ni kuunda Cheti cha SSL. Kwa kweli, mwongozo unatumia TLS, itifaki ambayo ni mrithi wa SSL na ni salama zaidi.

Kwenye saraka ya SSL, tengeneza saraka ndogo ya kuhifadhi faili:

sudo mkdir /etc/ssl/private

Tumia amri ifuatayo kuunda cheti na ufunguo katika faili moja:

openssl req -x509 -nodi -siku 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

Orodha ya maswali itawasilishwa. Jaza sehemu na taarifa zinazofaa. Tahadhari maalum inapaswa kutolewa kwa mstari wa Jina la Kawaida; Ingiza anwani ya IP au kikoa cha seva ndani yake. Kwa kweli, sehemu zilizobaki hazihitaji kujazwa.

Inaongeza SSL kwa usanidi wa vsftpd

Sasa unahitaji kuhariri usanidi wa vsftpd, usanidi muunganisho salama.

Fungua faili ya usanidi ya vsftpd kama mzizi:

sudo nano /etc/vsftpd/vsftpd.conf

Nenda chini ya faili na ujaze maelezo ya SSL/TLS.

Hapa unahitaji kutaja eneo la cheti na funguo. Kwa kuwa hii yote iko kwenye faili moja, taja faili hiyo katika vigezo vyote viwili:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem

Ifuatayo, unahitaji kuwezesha usaidizi wa faili hizi na uzime watumiaji wasiojulikana. Pia unahitaji kusanidi matumizi ya kulazimishwa SSL kwa miunganisho ya watumiaji wote WASIOjulikana wakati wa kutuma nenosiri au kuhamisha data. Hii itaimarisha sana usalama.

ssl_wezesha=NDIYO
allow_anon_ssl=NO
force_local_data_ssl=NDIYO
force_login_local_ssl=NDIYO

Kisha unahitaji kuzuia aina ya uunganisho kwa TLS iliyo salama zaidi. Ili kufanya hivyo, wezesha TLS kwa uwazi na uzima SSL:

ssl_tlsv1=NDIYO
ssl_sslv2=HAPANA
ssl_sslv3=HAPANA

Mwishowe, ongeza vigezo vifuatavyo:

need_ssl_reuse=NO
ssl_ciphers=JUU

Hifadhi na funga faili.

Anzisha tena vsftpd ili kuwezesha mipangilio mipya:

sudo /etc/init.d/vsftpd anza tena

Ili kusanidi kuanza moja kwa moja vsftpd wakati wa kuongeza seva, tumia:

sudo chkconfig vsftpd juu

Kuunganisha kwa vsftpd kwa kutumia FileZilla

Miunganisho ya SSL na TLS inatumika na wateja wengi wa kisasa wa FTP. Sehemu hii inaonyesha jinsi ya kusanidi FileZilla kutumia miunganisho salama (kutokana na utendakazi wao wa majukwaa mtambuka).

Kumbuka: Hii inadhania kuwa mteja tayari amesakinishwa.

Fungua FileZilla. Bonyeza kwenye Meneja wa Tovuti.

itaonekana kiolesura kipya, ndani yake bofya kitufe cha Tovuti Mpya kwenye kona ya chini kushoto. Toa jina la muunganisho wa seva ili uweze kulitambua kwa urahisi baadaye.

Katika uwanja wa Jeshi, ingiza anwani ya IP, kwenye menyu ya kushuka ya Itifaki, chagua "FTP - Itifaki ya Uhamisho wa Faili". Kutoka kwa menyu kunjuzi ya Usimbaji fiche, chagua "Inahitaji FTP dhahiri juu ya TLS."

Katika menyu ya Aina ya Kuingia, chagua Uliza nenosiri. Katika uwanja wa Mtumiaji, taja mtumiaji wa FTP aliyeundwa hapo awali.

Hatua inayofuata ni dalili ya kwanza kwamba TLS inatumiwa wakati wa kuunganisha kwenye seva. Onyo "Cheti cha seva haijulikani. Tafadhali kagua cheti kwa uangalifu ili kuhakikisha kuwa seva inaweza kuaminiwa": on katika hatua hii cheti lazima kithibitishwe.

Taarifa iliyoingia wakati wa kuunda cheti inapaswa kuonekana kwenye skrini, kukuwezesha kuthibitisha uunganisho.

Ili kuanzisha muunganisho, ukubali cheti.

Matokeo

Mwongozo huu hutoa zaidi chaguo salama mipangilio. Walakini, inaweza pia kuwa na maswala kadhaa ya usalama. Kwa hivyo, kutumia FTP kwenye usakinishaji na ufikiaji wa Mtandao haipendekezi; katika hali kama hizi, ni bora kutumia SFTP.

Lebo: ,

Hivi majuzi, hati fulani ilienda vibaya. Hati hiyo ilinunuliwa, ndiyo sababu niliamua kutoshughulika nayo, lakini kuwasiliana moja kwa moja na usaidizi wa muuzaji ili kufafanua tatizo. Usaidizi ulijibu kwa ufupi: tunahitaji ufikiaji wa FTP - tutaiangalia. Na hapa nilikwama kwa nusu dakika ...

Baada ya yote, FTP haijasanikishwa kwenye Kent yangu, kwa sababu ninafanya kazi chini ya SSH. Kwa kuongeza, mimi huingia sio kwa nenosiri, lakini kwa cheti. Siwezi tu kukupa kitufe cha SSH, ambacho unaweza kuingia kwenye seva wakati wote. Na hata ikiwa utawezesha kuingia kwa nenosiri kwa muda, kwa nini usaidizi wa hati maalum kwa CMS maalum kuona seva yangu yote na kile kilicho juu yake?

Naam, nadhani kwa wale tu matukio maalum Unahitaji kuinua ftpishka.

Kwa bahati nzuri, kwa kweli kila kitu kiligeuka kuwa haraka na rahisi, na hata niliamua chaguo mara moja - "vsftpd" (Daemon ya FTP salama sana). Haraka. Salama. Msalaba-jukwaa. Rahisi kusakinisha na kusanidi. Kwa maneno mengine, mojawapo ya seva bora za FTP.

Sakinisha na usanidi vsftpd

$ yum kusakinisha vsftpd

Kisha tunahariri faili kuu ya usanidi, ambayo tunahitaji:

1. Tenga watumiaji kwenye saraka yao ya nyumbani.
2. Kataa ufikiaji usiojulikana.

$ nano /etc/vsftpd/vsftpd.conf

1 2	chroot_local_user=NDIYO bila kujulikana_wezesha=HAPANA

Kuanzisha watumiaji wa vsftpd

Hapa ni muhimu kuelewa moja sana hatua ya kuvutia: Hakuna haja ya kuongeza watumiaji wa ziada wa FTP, tayari wapo. Na watumiaji waliongezwa haswa tuliposakinisha AMP kwenye CentOS. Kwa maneno mengine - mtumiaji tayari anayo ufikiaji kamili juu yake saraka ya nyumbani , kilichobaki ni kuihariri ili kuruhusu idhini chini ya vsftpd.

Kwa mfano, tunahitaji ufikiaji wa FTP kwa saraka ya /var/www/vhosts/tovuti kwenye seva, ambayo inamilikiwa na mtumiaji karibu . Tunafanya yafuatayo:

1. Tunaangalia orodha ya watumiaji na kubadilisha chaguo-msingi saraka ya nyumbani kwa yule tunayemhitaji.
2. Tunaweka mtumiaji nenosiri kwa kuingia kwa FTP.

Kukabidhi saraka ya nyumba

$ nano /etc/passwd

1 2	-almostover:x:500:500::/nyumbani/karibu:/bin/bash +almostover:x:500:500::/var/www/vhosts/tovuti:/sbin/nologin

Unapaswa pia badilisha /bin/bash na /sbin/nologin ili kukataa ufikiaji wa mtumiaji kwenye mfumo.

Tunampa mtumiaji nenosiri

$passwd karibu

Zindua vsftpd

Na tu baada ya mipangilio yote iliyoelezwa hapo juu imefanywa, tunazindua seva ya FTP yenyewe.

$service vsftpd kuanza

Na ikiwa tunapanga kutumia seva ya FTP msingi wa kudumu, usisahau kuiongeza kwenye kuanza.

$ chkconfig vsftpd imewashwa

Hitimisho kuhusu seva ya FTP

Ikiwa utatumia FTP kila wakati au la ni uamuzi wa kibinafsi kwa kila mtu.

Kwa upande mmoja, ikiwa unapanga kufanya kazi na saraka moja maalum (tovuti), basi faida nzuri hapa ni kwamba sio lazima uchague faili au saraka zilizopakuliwa kila wakati. Shughuli zote zitafanywa kwa niaba ya mtumiaji wa sasa na, ipasavyo, haki zote zitapewa kwake kwa chaguo-msingi.

Kwa upande mwingine, lengo langu la kibinafsi la kuinua FTP lilitangazwa mwanzoni kabisa: wakati unahitaji kumpa mtu ufikiaji wa muda kwa saraka fulani iliyotengwa kwenye seva / tovuti fulani:

1. Ninabadilisha nenosiri la kuingia iliyotolewa.
2. Ninaanza vsftpd.
3. Ninakupa kuingia kwa FTP na nenosiri.
4. Inasimamisha vsftpd.
5. Ninabadilisha nenosiri tena kwa kuingia sawa (ikiwa wakati mwingine kuingia tofauti kutatolewa).

Hakuna SSH.
Hakuna saraka za ziada.
Kila kitu ni sawa na salama iwezekanavyo.

Vsftpd ('Salama Sana FTP Daemon') ni seva ya FTP kwa mifumo kama UNIX, ikijumuisha CentOS / RHEL / Fedora na zingine. Usambazaji wa Linux. Inasaidia IPv6, SSL, kuzuia watumiaji kutoka kwa saraka zao za nyumbani na wengine wengi kazi za ziada. Katika mada yangu "Kufunga vsftpd kwenye CentOS" nitaelezea jinsi unaweza kufunga vsftpd kwenye CentOS kwa mifano ya kina.

Hatua ya 1 - Kusakinisha Vsftpd

Unaweza kufunga Vsftpd haraka kwenye VPS yako kwa kuendesha amri kwenye mstari wa amri:

# yum kusakinisha vsftpd

Tunahitaji pia kufunga Mteja wa FTP:

# yum kusakinisha ftp

Mara faili zinapomaliza kupakua, baada ya hapo Vsftpd itakuwa kwenye VPS yako.

Hatua ya 2 - Kuanzisha VSFTP

Baada ya kusakinisha VSFTP, unaweza kusanidi usanidi. nitaunda nakala ya chelezo faili ya usanidi wa kawaida (ikiwa tu):

# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bk

Fungua faili ya usanidi:

# vim /etc/vsftpd/vsftpd.conf

Mabadiliko moja kuu unapaswa kufanya ni kubadilisha pembejeo ya animus (sikuhitaji hii):

[...] anonymous_enable=NO [...]

Kabla ya mabadiliko haya, Vsftpd iliruhusu kuingia bila kukutambulisha seva ya ftp na watumiaji wasiojulikana wanaweza kufikia faili zetu za VPS. Baada ya hayo, toa maoni chaguo la local_enable, libadilishe kuwa "ndiyo".

[...] local_enable = NDIYO [...]

Hii itatoa ufikiaji watumiaji wa ndani kwa FTP.

Ifuatayo, toa maoni kwa chroot_local_user amri. Wakati laini hii imewekwa kuwa "NDIYO", watumiaji wote wa ndani watafungwa jela kadiri ya uwezo wao na kunyimwa ufikiaji wa sehemu nyingine yoyote ya seva. Tunatoa chroot kwa watumiaji wote:

[...] chroot_local_user = NDIYO [...]

[...] write_enable=YES [...]

Hii itawapa watumiaji wa FTP haki za kuandika, na ikiwa ni lazima, afya bandari 20 - itapunguza marupurupu ya VSftpd:

[...] connect_from_port_20=NO [...]

Wacha tuweke kinyago hadi 022 ili kuhakikisha kuwa haki zinazofaa zimewekwa kwa faili zote (644) na folda (755) tunazopakia.

[...] local_umask=022 [...]

Nimeanzisha faili ya usanidi, lakini bado ninahitaji kuongeza watumiaji. Sasa nitafanya na kukuonyesha nini na jinsi gani.

Mipangilio ya ziada ya usanidi wa vsftpd

allow_anon_ssl NO
Kigezo cha YES kinaruhusu watumiaji wote wasiojulikana kuunganishwa kupitia muunganisho wa SSL.

anon_mkdir_write_wezesha NO
Kigezo cha YES hufanya iwezekanavyo kuunda saraka na watumiaji wasiojulikana (chini ya hali fulani), lakini kwa hili utahitaji kuwezesha chaguo la "write_enable", ambaye lazima awe na haki za kuandika bila majina kwa saraka ya mzazi.

anon_nyingine_andika_wezesha NO
Parameta ya YES inaruhusu watumiaji wasiojulikana kufanya sio tu shughuli za kupakia faili na kuunda folda, lakini pia kufuta na kuzibadilisha jina.

anon_upload_enable NO
Kigezo cha YES hufanya iwezekane kwa watumiaji wasiojulikana kupakia faili kwenye seva (unahitaji kuwezesha chaguo la "write_enable", ambao lazima wawe na haki za kuandika kwa watumiaji wasiojulikana kwenye folda ya upakiaji). Chaguo hili lazima pia liwezeshwe ili watumiaji wa mtandaoni waweze kupakia faili zao, kwa sababu kwa chaguo-msingi, watumiaji wote wa mtandaoni huchukuliwa kuwa wasiojulikana.

anon_world_isomeka_pekee NDIYO
Kigezo cha YES kinahitajika ili watumiaji wasiojulikana waweze kupakua faili zinazoweza kusomeka tu na kila mtu (mmiliki wake ni mtumiaji wa ftp).

bila kujulikana_wezesha NDIYO
Kigezo cha YES huruhusu watumiaji wasiojulikana kuunganishwa kwenye seva kwa majina ftp na wasiojulikana.

ascii_download_enable NO
Parameta ya YES hukuruhusu kuchagua hali ya ASCII ya kupakua faili

ascii_upload_enable NO
Kigezo cha YES hukuruhusu kuchagua hali ya ASCII ya kupakia faili

async_abor_wezesha NO
Param ya YES inakuwezesha kutumia maalum Amri za FTP, inayojulikana kama "async ABOR".

usuli NDIYO
Chaguo la YES huwezesha vsftpd kukimbia chinichini.

check_shell NDIYO
Makini! Kigezo hiki hufanya kazi tu kwa vsftpd iliyojengwa bila "PAM"! Ikiwa chaguo limewekwa kwa HAPANA, basi vsftpd haiangalii uwepo wa ganda la mtumiaji wa ndani /etc/shells. Kwa kawaida, ikiwa ganda la mtumiaji halipatikani katika /etc/shells, basi ufikiaji wa FTP kwa mtumiaji huyu utakataliwa!

chmod_wezesha NDIYO
Chaguo la YES huruhusu mtumiaji wa ndani kutumia amri ya "SITE CHMOD". Watumiaji wasiojulikana HAWAWEZI kutumia amri hii KAMWE!

chown_uploads NO
Chaguo la YES husababisha faili zote zilizopakiwa na watumiaji wasiojulikana kubadilishwa kwa mmiliki hadi mtumiaji aliyebainishwa katika chaguo la "chown_user-name".

chroot_list_enable NO
Chaguo la "NDIYO" hukuruhusu kuunda orodha ya watumiaji wa ndani ambao watawekwa kwenye saraka yao ya nyumbani baada ya kuingia. Ikiwa chaguo la "chroot_local_user" limewekwa kuwa "YES", basi kila kitu kitafanya kazi kinyume kabisa: kwa watumiaji wa ndani katika orodha iliyotolewa, "chroot()" HAITAFANYIKA. Kwa chaguo-msingi, orodha ya watumiaji iko kwenye faili /etc/vsftpd/chroot_list, unaweza kutaja jina lingine la faili kwa kutumia chaguo la "chroot_list_file".

chroot_local_mtumiaji NO
Chaguo la YES husababisha watumiaji wa ndani kuchroot() kwenye saraka yao ya nyumbani wanapoingia. Makini! Chaguo hili inaweza kuleta hatari za usalama, haswa wakati watumiaji wanaweza kupakia faili au kupata ufikiaji wa ganda. Washa tu ikiwa unajua unachofanya!

connect_from_port_20 NO
Chaguo lililowekwa kuwa YES huwezesha kutumia port 20 (ftp-data) kwenye seva kwa uhamisho wa data; kwa sababu za usalama, baadhi ya wateja wanaweza kuhitaji tabia hii kutoka kwa seva. Kinyume chake, kulemaza chaguo hili hukuruhusu kuendesha vsftpd na upendeleo mdogo.

debug_ssl NO
Chaguo lililowekwa kwa YES husababisha utendakazi wa miunganisho kupitia SSL kuandikishwa. (Imeongezwa katika 2.0.6)

deny_email_enable NO
Chaguo la NDIYO hukuruhusu kutoa orodha ya nywila katika mtindo Anwani za barua pepe kwa watumiaji wasiojulikana (ambao ufikiaji utakataliwa). Kwa chaguo-msingi, orodha iko kwenye faili /etc/vsftpd/banned_emails, lakini unaweza kutaja faili tofauti kwa kutumia chaguo la "banned_email_file".

dirlist_wezesha NDIYO
Chaguo lililowekwa kwa HAPANA linakataa ufikiaji wa kutekeleza amri ili kutazama yaliyomo kwenye folda.

dirmessage_wezesha NO
Kigezo cha YES hukuruhusu kuonyesha ujumbe kwa watumiaji wanaoingia kwenye saraka kwa mara ya kwanza. Kwa chaguomsingi, ujumbe uko katika faili za .message, lakini unaweza kubainisha faili tofauti kwa kutumia chaguo la "message_file".

pakua_wezesha NDIYO
Chaguo la NO huzuia kupakua faili.

logi_mbili_kuwezesha NO
Chaguo la YES huwezesha uzalishaji sambamba wa kumbukumbu mbili /var/log/xferlog na /var/log/vsftpd.log. Ya kwanza ina mtindo wa wu-ftpd, ya pili ina mtindo wa vsftpd.

force_dot_files NO
Chaguo la NDIYO hukuruhusu kuonyesha faili na saraka ambazo majina yake huanza na nukta. Isipokuwa ni majina "." Na ".."

force_anon_data_ssl NO
Inafanya kazi tu ikiwa chaguo la "ssl_enable" limewezeshwa. Kigezo cha YES hulazimisha miunganisho ya watumiaji wote wasiojulikana kwa modi ya SSL wakati wa kupakua na kupakia faili.

force_anon_logins_ssl NO
Inafanya kazi tu ikiwa chaguo la "ssl_enable" limewezeshwa. Chaguo la NDIYO hulazimisha watumiaji wote wasiojulikana kubadili miunganisho wakati wa kuwasilisha nenosiri.

lazimisha_data_ndani_ssl NDIYO
Inafanya kazi tu ikiwa chaguo la "ssl_enable" limewezeshwa. Kigezo cha YES hulazimisha miunganisho ya watumiaji wote WASIOjulikana kwa modi ya SSL wakati wa kupakua na kupakia faili.

lazimisha_logi_za_ssl NDIYO
Inafanya kazi tu ikiwa kigezo cha "ssl_enable" kimewashwa. Chaguo la NDIYO hulazimisha miunganisho ya watumiaji wote WASIOjulikana kwa modi ya SSL wakati wa kutuma nenosiri.

mgeni_wezesha NO
Chaguo la YES linabainisha kuwa miunganisho yote isiyojulikana inapaswa kuchukuliwa kama miunganisho ya "wageni". Kuingia kwa mgeni kutakabidhiwa upya kwa mtumiaji aliyebainishwa na kigezo cha "jina_la_mgeni".

hide_ids NO
Chaguo la NDIYO husababisha kikundi na mmiliki kuwa "ftp" kila wakati inapoonyeshwa kwa faili na saraka zote.

sikiliza NDIYO
Chaguo la YES husababisha vsftpd kuanza katika hali ya daemon. Hii inamaanisha kuwa vsftpd haiwezi kuanzishwa kutoka kwa inetd. Badala yake, vsftpd huanza moja kwa moja mara moja na kisha kushughulikia miunganisho inayoingia yenyewe.

listen_ipv6 NO
Sawa na parameta ya kusikiliza, vsftpd pekee itatumikia IPv6, sio IPv4 pekee. Chaguo hili na chaguo la kusikiliza ni za kipekee.

local_enable NO
Kigezo cha YES hukuruhusu kuingia FTP ya ndani watumiaji (kutoka /etc/passwd au kuidhinishwa kupitia PAM). Kigezo hiki lazima kiwezeshwe ikiwa unataka kupanga kazi ya watumiaji WASIOjulikana, pamoja na wale wa mtandaoni.

lock_upload_files NDIYO
Kigezo cha YES huwezesha kufunga kwa maandishi kwa faili zote zilizopakuliwa. Faili zote zilizopakuliwa zina kufuli iliyoshirikiwa ya kusoma. Makini! Kabla ya kuwezesha chaguo hili, kumbuka kuwa usomaji hasidi unaweza kusababisha watumiaji wanaopakia faili washindwe kumaliza kuziandika.

log_ftp_protocol NO
Chaguo la NDIYO husababisha maombi na majibu yote kuandikishwa Itifaki ya FTP, pamoja na kuzima kigezo cha xferlog_std_format.

ls_recurse_enable NO
Ikiwa chaguo limewekwa kwa NDIYO, itawezesha matumizi ya "ls -R". Hii inaleta hatari kubwa ya usalama kwa sababu kuendesha "ls -R" kwenye saraka ngazi ya juu, ambayo ina subdirectories nyingi na faili, inaweza kusababisha sana matumizi ya juu rasilimali.

mdtm_andika NDIYO
Ikiwa chaguo limewekwa kuwa NDIYO basi huwezesha mpangilio wa MDTM wa nyakati za urekebishaji wa faili (muhimu kwa ukaguzi wa ufikiaji)

no_non_nenosiri NO
Ikiwa chaguo hili limewekwa kuwa NDIYO, basi vstpd haiwaulizi watumiaji wasiojulikana neno la siri.

no_logi_lock NO
Chaguo la YES linaambia vsftpd kutozuia wakati wa kuandika kuweka faili. Kwa kawaida chaguo hili limezimwa. Katika Solaris kwa kushirikiana na mfumo wa faili Veritas wakati mwingine hukwama inapojaribu kufunga faili za kumbukumbu.

modeli_ya_mchakato_moja NO
Kwa kokwa 2.4, modeli tofauti ya usalama inatumika: mchakato mmoja kwa kila muunganisho. Mfano huu ni salama kidogo, lakini unazalisha zaidi. Usiruhusu ikiwa huelewi unachofanya na ikiwa seva yako haihitaji kuunga mkono idadi kubwa ya miunganisho tofauti.

passwd_chroot_wezesha NO
Ikiwa chaguo limewekwa kuwa NDIYO, inaruhusu, pamoja na chroot_local_user, kuwezesha chroot() kando kwa kila mtumiaji, kulingana na data kuhusu saraka yake ya nyumbani iliyochukuliwa kutoka /etc/passwd. Katika kesi hii, thamani "/./" katika mstari unaotaja saraka ya nyumbani inamaanisha eneo tofauti kwenye njia.

pasv_addr_resolve NO
Ikiwa chaguo limewekwa kuwa NDIYO, hukuruhusu kutumia jina (badala ya anwani ya IP) katika pasv_addres.

pasv_wezesha NDIYO
Ikiwa chaguo limewekwa kwa HAPANA, basi inalemaza njia ya PASV katika muunganisho uliopokelewa wa kupokea/kutuma data.

pasv_promiscuous NO
Ikiwa chaguo limewekwa kwa NDIYO, basi huzima hundi ya usalama, madhumuni ambayo ni kuhakikisha kwamba uunganisho wa kupokea / kusambaza data unafanywa kutoka kwa anwani ya IP sawa na uunganisho wa udhibiti. Washa tu ikiwa unaelewa unachofanya! Hii ni muhimu tu katika baadhi ya matukio wakati wa kuandaa vichuguu salama au kusaidia FXP.

port_enable YES
Ikiwa chaguo limewekwa kwa HAPANA, basi inalemaza njia ya PORT katika muunganisho uliopokelewa wa kupokea/kusambaza data.

port_promiscuous NO
Ikiwa chaguo limewekwa kwa NDIYO, itazima ukaguzi wa usalama wa PORT, ambayo madhumuni yake ni kuhakikisha kuwa muunganisho unaotoka umeunganishwa kwa mteja. Washa tu ikiwa unajua unachofanya!

need_cert NO
Chaguo la NDIYO linahitaji wateja wote wa SSL kuwa na cheti cha mteja. Upunguzaji wa uthibitishaji unaotumika kwa cheti hiki unadhibitiwa na kigezo cha validate_cert (kilichoongezwa katika 2.0.6).

endesha_kama_uzindua_mtumiaji NO
Weka kwa NDIYO ikiwa unataka kuendesha vsftpd kama mtumiaji anayeiendesha. Kawaida hii ni muhimu katika hali ambapo ufikiaji kutoka mtumiaji wa mizizi Haipatikani. TAARIFA KUU! USIWASHE chaguo hili hadi ufahamu kikamilifu kile unachofanya, kwani kutumia chaguo hili kunaweza kuunda tatizo kubwa kwa usalama. Ni muhimu sana kwamba vsftpd haiwezi kutumia / kama saraka ya mizizi, na pia kutumia chroot kuzuia ufikiaji wa faili wakati chaguo hili limewezeshwa (hata kama vsftpd inafanya kazi kama mzizi). Suluhisho lisilofaa sana linaweza kuwa kutumia deny_file na hoja kama vile (/*,*..*), lakini suluhisho hili si la kutegemewa kama chroot, kwa hivyo usilitegemee sana. Wakati chaguo hili linatumiwa, vikwazo vinawekwa kwenye chaguzi nyingine. Kwa mfano, usitarajie kuwa chaguo zinazohitaji marupurupu zitafanya kazi, kama vile kuingia bila majina, kupakia faili zilizo na mabadiliko ya umiliki, kuunganisha kwenye bandari 20 na kuunganisha kwenye bandari zisizozidi 1024, pamoja na zingine kama hizo.

safe_email_list_enable NO
Weka NDIYO ikiwa ungependa orodha ya barua pepe ulizobainisha tu zitumike kama nenosiri la kuingia bila kukutambulisha. Hii ni muhimu kwa kuzuia ufikiaji wa yaliyomo kwenye seva, bila kuunda watumiaji wa mtandaoni. Watumiaji wasiojulikana watakataliwa kuingia ikiwa nenosiri wanalotoa haliko katika orodha inayopatikana katika faili ya email_password. Umbizo la faili: nenosiri moja kwa kila mstari bila nafasi za ziada. Mahali chaguomsingi ya faili: /etc/vsftpd/email_passwords

session_support NO
Chaguo hili likiwekwa kuwa NDIYO, vsftpd itajaribu kudumisha vipindi. Wakati huo huo, itajaribu kusasisha wtmp na utmp. Ikiwa PAM inatumika kwa idhini, basi vsftpd pia itajaribu kufungua pam_session wakati wa kuingia na kuifunga tu wakati mtumiaji anatoka nje. Ikiwa hauitaji ukataji wa kikao, unaweza kuizima, na unaweza kuwaambia vsftpd kuendesha michakato michache na/au na marupurupu ya chini. Kurekebisha wtmp na utmp hufanya kazi tu ikiwa vsftpd imejengwa kwa msaada wa PAM.

setproctitle_enable NO
Chaguo hili likiwekwa kuwa NDIYO, vsftpd itajaribu kuonyesha maelezo ya hali ya kipindi katika orodha ya mchakato. Kwa maneno mengine, jina la mchakato lililoonyeshwa litabadilishwa ili kuonyesha hali ya kipindi cha vsftpd (kutofanya kazi, kupakua, n.k.) Kwa sababu za usalama, unaweza kuwa bora zaidi ukiacha chaguo hili limezimwa.

ssl_wezesha NO
Ikiwa chaguo limewekwa kwa NDIYO na vsftpd ilijengwa na maktaba ya openSSL, basi vsftpd itatumika. miunganisho salama kupitia SSL. Hii inatumika kwa miunganisho ya udhibiti na miunganisho ya data. Ni muhimu pia kwamba mteja atumie miunganisho ya SSL. Tumia chaguo hili kwa tahadhari kwa sababu vsftpd inategemea kabisa maktaba ya openSSL kwa usalama Viunganisho vya SSL na haiwezi kuhakikisha kuwa maktaba hii haina makosa.

ssl_request_cert NDIYO
Ikiwa chaguo hili limewekwa kuwa NDIYO, maombi ya vsftpd (lakini haihitaji) mteja kutoa cheti.

ssl_sslv2 NO
Inatumika tu ikiwa chaguo la ssl_enable limewezeshwa. Ikiwa chaguo limewekwa kuwa NDIYO, miunganisho kuhusu Itifaki ya SSL v2. Viunganisho vinavyopendekezwa ni Itifaki ya TLS V1.

ssl_sslv3 NO
Inatumika tu ikiwa chaguo la ssl_enable limewezeshwa. Ikiwa chaguo limewekwa kuwa NDIYO, miunganisho inayotumia itifaki ya SSL v3 inaruhusiwa. Viunganisho vya TLS V1 vinapendelewa.

ssl_tlsv1 NDIYO
Inatumika tu ikiwa chaguo la ssl_enable limewezeshwa. Ikiwa chaguo limewekwa kuwa NDIYO, basi miunganisho inayotumia itifaki ya TLS V1 inaruhusiwa. Viunganisho vya TLS V1 vinapendelewa.

Kuongeza watumiaji.

Wacha tuunde mtumiaji mpya anayeitwa 'ftpuser' na tupe saraka yake ya nyumbani '/home/ftpuser' :

# useradd -d "/home/ftpuser" -s /sbin/nologin ftpuser

Wacha tuongeze nenosiri kwa mtumiaji aliyeundwa:

#passwdftpuser

Wacha tuunde saraka ya nyumbani kwa mtumiaji huyu (ikiwa haijaongezwa tayari):

# mkdir -p /home/ftpuser

# chown -R ftpuser "/home/ftpuser" # chmod 775 "/home/ftpuser"

Wacha tuunde kikundi 'ftpusers' kwa watumiaji wa FTP, na tuongeze 'ftpuser' kwake:

# groupadd ftpusers # usermod -G ftpusers ftpuser

Sheria za IPtables.

Ikiwa unatumia IPTABLES, unahitaji kuunda sheria inayolingana ya VSftpd:

# vim /etc/sysconfig/iptables

Ongeza mstari unaofuata, kabla ya mstari wa REJECT, kufungua bandari 21:

PEMBEJEO -m jimbo --jimbo MPYA -m tcp -p tcp --dport 21 -j KUBALI

Hifadhi na funga faili, na pia uanze tena firewall:

iptables # za huduma zinawashwa tena

Anzisha tena Vsftpd:

# huduma vsftpd kuanzisha upya

Wacha tuongeze Vsftpd ili kuanza; kufanya hivi, endesha:

# chkconfig vsftpd imewashwa

# chkconfig --levels 235 vsftpd juu

Unaweza kuangalia viwango vya kukimbia kama hii:

# chkconfig --list vsftpd

Unapaswa kupata kitu kama hiki:

Vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off

Unaweza kuona kwamba seva inafanya kazi kawaida kwa kuendesha amri:

# ps -aux | grep vsftpd

Hatua ya 3 - Nenda kwa Seva ya FTP

Mara baada ya kusakinisha seva ya FTP na kuisanidi kwa kupenda kwako, unaweza kuipata. Unaweza kuingia kwenye seva ya FTP kupitia kivinjari chako kwa kuandika Jina la kikoa V upau wa anwani na ingia na kitambulisho kinachofaa.
ftp://site/
Vinginevyo, unaweza kufikia seva ya FTP kwa kutumia mstari wa amri kwa kuandika:

# tovuti ya FTP

Usakinishaji wa vsftpd kwenye CentOS umekamilika. Kiini kuu ni wazi, maelezo (ikiwa ghafla si wazi) niulize. Naweza kusaidia.