#vsftpd下载地址
http://mirror.centos.org/centos/7/os/x86_64/Packages/vsftpd-3.0.2-25.el7.x86_64.rpm
#安装vsftpd
rpm -ivh vsftpd-3.0.2-25.el7.x86_64.rpm
#建立Vsftpd服务的宿主用户
useradd vsftpd -M -s /sbin/nologin
#建立Vsftpd虚拟宿主用户
useradd virftpuser -M -s /sbin/nologin –d /var/ftp/
mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsfftpd.conf.bak
#新建vsftpd.conf
vim /etc/vsftpd/vsftpd.conf
内容如下:
anonymous_enable=NO
#设成YES,允许匿名用户登陆
local_enable=YES
#允许/禁止本地用户登陆 注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问。
write_enable=YES
#设定可以进行写操作。
local_umask=022
#设定上传后文件的权限掩码,文件644,文件夹755
dirmessage_enable=YES
#设定开启目录标语功能
xferlog_enable=YES
#设定开启日志记录功能。
connect_from_port_20=YES
#设定端口20进行数据连接
xferlog_std_format=YES
#设定日志使用标准的记录格式
listen=YES
#开启独立进程vsftpd,不使用超级进程xinetd。设定该Vsftpd服务工作在StandAlone模式下。
pam_service_name=vsftpd
#设定,启用pam认证,并指定认证文件名/etc/pam.d/vsftpd
userlist_enable=YES
#设定userlist_file中的用户将不得使用FTP
tcp_wrappers=YES
#设定支持TCP Wrappers
chroot_local_user=YES
#限制所有用户在主目录
#限制所有用户在主目录
#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置
guest_enable=YES
#设定启用虚拟用户功能
guest_username=virftpuser
#指定虚拟用户的宿主用户
virtual_use_local_privs=YES
#设定虚拟用户的权限符合他们的宿主用户
user_config_dir=/etc/vsftpd/vconf
#设定虚拟用户个人Vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个Vsftp虚拟用户个性的配置文件,
#一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。
#建立Vsftpd的日志文件,修改属主为vsftpd服务用户
touch /var/log/vsftpd.log
chown vsftpd.vsftpd /var/log/vsftpd.log
#创建虚拟用户配置文件存放路径
mkdir –pv /etc/vsftpd/vconf/
#制作虚拟用户数据库文件
vim /etc/vsftpd/virtusers
#编辑虚拟用户名单文件virtusers,在其中加入用户的用户名和口令信息。格式:“奇数行用户名,偶数行口令”。
virtusers文件格式如下:
test #用户名
test1234 #用户密码
test1 #用户名
test1234 #用户密码
#生成虚拟用户数据文件:
db_load -T -t hash -f
/etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
#添加用户需添加至virtusers文件,然后重新执行上述命令。
#备份配置文件
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
#编辑Vsftpd的PAM验证配置文件,把原来的配置文件全部注释掉(不注释掉虚拟用户会登录不上),添加如下行
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
#以上两条是手动添加的,内容是对虚拟用户的安全和帐户权限进行验证。
这里的auth是指对用户的用户名口令进行验证。
这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。
其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败,意味着用户还必须将经历剩下来的验证审核。
再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。
---------------------------------------------------------------------------------
vim /etc/pam.d/vsftpd
#%PAM-1.0
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
#虚拟用户权限介绍
例,分别创建admin web download upload 4个账户,
权限分配如下:
admin #管理员账户,虚拟用户具有写权限(上传、下载、删除、重命名),新建目录
web #web网站文件传输账户, 和admin管理员权限相同,由于web页面的特殊性,故单独设置上传文件权限为755
download #下载账户,只能浏览目录和下载
upload #上传账户,只能新建目录和上传、下载
#各虚拟用户配置文件如下:
#admin
local_root=/home/ftp #虚拟用户根目录
anon_world_readable_only=NO #开放下载权限
write_enable=YES #写权限
anon_mkdir_write_enable=YES #新建目录权限
anon_upload_enable=YES #上传权限
anon_other_write_enable=YES #删除/重命名的权限
#web
local_root=/var/www #虚拟用户根目录
anon_world_readable_only=NO #开放下载权限
anon_umask=022 #umask =022时,新建的目录权限是755(777-022),文件的权限是 644,
#umask =077时,新建的目录权限是700,文件的权限时 600
write_enable=YES (写权限)
anon_mkdir_write_enable=YES (新建目录权限)
anon_upload_enable=YES(上传权限)
anon_other_write_enable=YES(删除/重命名的权限)
#download
local_root=/home/ftp #虚拟用户根目录
anon_world_readable_only=NO #开放下载权限, 写YES,将不能列出文件和目录
anon_mkdir_write_enable=NO #这句可以不写,不写同样不能新建文件夹
#upload
local_root=/home/ftp #虚拟用户根目录
virtual_use_local_privs=NO #虚拟用户和匿名用户有相同的权限,默认是NO;与本地用户权限相同是YES
anon_world_readable_only=NO #开放下载权限,写成YES,将不能列出文件和目录
write_enable=YES #写权限
anon_upload_enable=YES #上传权限
#创建虚拟用户根目录,这里我使用默认目录 /var/ftp/pub/
#属主修改为虚拟宿主用户virftpuser
chown –R virftpuser:virftpuser /vat/ftp/pub/
#在虚拟用户配置文件目录创建虚拟用户对应配置文件,文件名与虚拟用户名一致
vim /etc/vsftpd/vconf/username #配置文件内容根据需求自行配置。
#如无特殊要求可直接关闭firewall和SElinux
firewall-cmd --list-services #查看防火墙允许的服务。
firewall-cmd --add-service=ftp --permanent #永久开放ftp服务
firewall-cmd --add-port=20/tcp –permanent
firewall-cmd --add-port=21/tcp --permanent #开放端口,允许外网访问
firewall-cmd –reload #重新载入配置
setsebool ftpd_full_access 1 #selinux设置
setsebool tftp_home_dir 1
systemctl start vsftpd #启动vsftpd
systemctl enable vsftpd #添加服务至开机启动
#测试需安装ftp软件
ftp
>open 127.0.0.1
#可读写挂载
mount --bind /home/test1/ /data/www/virtual/test1/
#只读挂载
mount –bind –o ro /home/test2/ /data/www/virtual/test2/
#mount --bind连接的两个目录的inode号码并不一样,只是目标目录的block被屏蔽掉,inode被重定向到原目录的inode (目标目录的inode和block依然没变,就是说目标目录只是隐藏不是删除,数据都没有改变,只是访问不到了)
#两个目录的对应关系存在于内存里,一旦重启挂载关系就不存在了,所以我们想要服务器重启之后还有效的话就需要写到/etc/rc.local
或修改fstab文件。
#fstab文件格式
# /home/test1/ /data/www/virtual/test1/ xfs bind 0 0
#/home/test2/ /data/www/virtual/test2/ xfs bind,ro 0 0
#修改rc.local
vim /etc/rc.local
#添加如下内容
#可读写挂载
mount --bind /home/test1/ /data/www/virtual/test1/
#只读挂载
mount --bind /home/test2/ /data/www/virtual/test2/
mount -o remount,ro /data/www/virtual/test2/
#权限设置
chmod +x /etc/rc.d
chmod +x /etc/rc.d/rc.local
#设置服务启动脚本。
cd /usr/lib/systemd/system
vim rc-local.service
注释掉之前内容,添加以下内容
[Unit]
Description=/etc/rc.d/rc.local Compatibility
ConditionFileIsExecutable=/etc/rc.d/rc.local
After=network.target
[Service]
Type=forking
ExecStart=/etc/rc.d/rc.local start
TimeoutSec=0
RemainAfterExit=yes
SysVStartPriority=99
[Install]
WantedBy=multi-user.target
#启动服务
systemctl start rc-local
systemctl enable rc-local
1.centos7 550 create directory operation failed
目录权限不足,SElinux配置问题
2.500 OOPS: vsftpd: refusing to run with writable root inside chroot()
原因
用户主目录具有写权限,chmod a-w ,去除写权限
或在用户配置文件追加 allow-writeable_chroot=yes,
echo “allow_writeable_chroot=YES” >> /etc/vsftpd/vconf/$username
3.开启了匿名模式,但访问一直提示输入用户及密码
原因1
参数不对造成,添加anon_umask=022
原因2
根目录权限不对
原文:https://www.cnblogs.com/joe-four/p/joefour_linux_ftp.html