史上最全的 vsftpd 问题集(上篇)

系统 Linux
vsftpd在安全性、高性能及稳定性三个方面有上佳的表现。它提供的主要功能包括虚拟IP设置、虚拟用户、Standalone、inetd操作模式、强大的单用户设置能力及带宽限流等。文章给大家带来的是关于vsftpd一问一答,你碰到的问题,答案都在文章里看去找吧!

vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。vsftpd太好用了,没有的朋友那你就落伍了,速度装个,下面采取一问一答形式来回答关于vsftpd所以的问题,这是上篇还有下篇等着你!

  Q1) 我能把用户限制在他的家(home)目录里吗?

  A) 能,设置chroot_local_user=YES就行了。

  Q2) 为什么设置了chroot_local_user=YES后,符号链接(symlink)就不起作用了呢?

  A) 这是chroot()这种安全机制如何工作的结果。可选地,看一下硬连接(hard links),或者,你用的是“现代的”Linux,看一下强大的"mount --bind"命令。

  Q3) vsftpd支持限制用户连接数吗?

  A1) 是的,间接地。vsftpd是一个基于inetd的服务。如果你使用流行的xinetd,它会支持per-service per-IP的连接限制。"EXAMPLE"目录里有这样的一个例子。

  A2) 如果你以"standalone"方式运行vsftpd(方法是设置listen=YES),你可以研究一下max_clients=10这样的设置。

  Q4) 求助!我得到了"refusing to run with writable anonymous

  root"错误信息。

  A) vsftpd是不允许“危险(不安全)”的配置的。出现这个错误信息的原因通常是ftp的家(home)目录的属主权限不正确。 家(home)目录的属主不应该是ftp用户自己,而且ftp用户也不能有写的权限。解决的方法是:

  chown root ~ftp; chmod -w ~ftp

  Q5) 求助!我得到了"str_getpwnam"错误信息。

  A) 最有可能的原因是在你的系统中不存在那个被配置成'nopriv_user'的用户(一般是 'nobody') 。vsftpd需要通过它以最低的权限运行。

  Q6) 求助!本地用户无法登录。

  A) 有几种可能的问题导致无法登录。

  A1) 默认情况下,vsftpd只允许匿名用户(anonymous)登录。在你的/etc/vsftpd.conf配置文件中加入local_enable=YES就可以让本地用户登录了。

  A2) vsftpd需要与PAM联系 (运行"ldd vsftpd"检查结果中有没有libpam可以确定这个). 如果vsftpd需要PAM支持, 你必须为vsftpd服务准备一个PAM文件. 在"RedHat"目录下有一个为RedHat系统准备的PAM文件的例子,把它放在/etc/pam.d目录下。

  A3) 如果vsftpd不需要PAM, 那么会有多种原因导致这种情况. 用户的shell在 /etc/shells文件中吗? 如果你使用shadow passwd,那么include路径中有没有shadow.h文件?

  A4) 如果你没有用PAM, vsftpd会用自己的方法检查用户的shell是否合法. 如果想用一个非法的shell(这样用户就只能用FTP登录),你可以在配置文件中加入check_shell=NO.

  Q7) 求助!上传或其他”写“命令都报"500 Unknown command.".

  A) 默认情况下”写“命令(上传和建新目录等)都是被禁止的. 这是一种安全的方法. 要允许写命令需要在配置文件/etc/vsftpd.conf中加入write_enable=YES.

  Q8) 求助!chroot_local_user这个选项里有什么安全隐患?

  A) 首先注意其他ftp服务器也有同样的隐患。这是个一般性的问题。这个问题不是很严重,但它是这样的:有些人使不被信任的ftp帐户具有了全部的shell 访问权限。如果这些帐户可以上传文件,那就会有一点风险。一个坏用户就可以控制作为其家目录的文件系统的根目录。FTP进程也许会使一些配置文件被访问到,例如/etc/some_file。使用chroot(),这个文件就处于此用户的控制之下。vsftpd非常在意这些安全问题。但是,系统的 libc也许想打开语言配置文件或其他的什么配置......

  Q9) 求助!上传后的文件权限是-rw-------。

  A1) 根据上传用户是本地用户还是匿名用户,修改local_umask或anon_umask选项。例如,设置anon_umask=022指定匿名上传的文件权限为-rw-r--r--。注意,22前面的0不能少。

  A2) 也可以看看vsftpd.conf的man帮助中的新选项file_open_mode。

  Q10) 求助!我如何集成LDAP用户登录?

  A) 使vsftpd结合PAM,配置PAM使用LDAP认证。

  Q11) 求助!vsftpd可以配置成虚拟主机(virtual hosting)吗?

  A1) 可以。如果你使用xinetd方式运行vsftpd,可以将xinetd绑定到几个不同的IP地址。针对每一个IP地址,xinetd使用不同的配置文件启动vsftpd。这样,你就能在每个IP上配置不同的vsftpd服务。

  A2) 也可以用standalone方式运行多个vsftpd实例。使用选项listen_address=x.x.x.x设置虚拟IP。

  Q12) 求助!vsftpd支持虚拟用户(virtual users)吗?

  A) 支持,通过PAM集成。在/etc/vsftpd.conf中设置guest_enable=YES,这样的效果是所有非匿名用户的成功登录都映射成guest_username指定的本地用户。然后,使用PAM和(例如:)它的pam_userdb模块,就可以提高基于外部用户库(即不使用/etc/passwd)的认证。注意:当guest_enable生效后会有一个限制,就是本地用户也被映射到guest_username(译者:也就是说虚拟用户与本地用户不能同时使用)。EXAMPLE目录里有配置虚拟用户的例子。

  Q13) 求助!vsftpd支持不同的用户使用不同的配置吗?

  A) 支持,而且功能强大。看man帮助里的user_config_dir选项。

  Q14) 求助!我可以把vsftpd的数据连接(data connections)限制到指定范围的端口吗?

  A) 可以。看配置选项pasv_min_port和pasv_max_port。

  Q15) 求助!我看到了"OOPS: chdir"这样的信息。

  A) 如果这是匿名用户在登录,就检查系统用户ftp的家目录是否正确。如果你使用了anon_root这个选项,也要检查该选项是否正确。

通过文章的解答,是否各位都豁然开朗了,以前不懂的,现在大家都应该知道了吧!别走开还有下篇!

【编辑推荐】

责任编辑:赵鹏 来源: 互联网
相关推荐

2011-02-22 14:40:25

vsftpd

2019-10-14 16:09:46

WindowsLinux汇编语言

2011-03-22 15:48:40

LAMP

2015-12-01 09:56:49

数据中心机房

2010-08-26 10:28:43

2011-04-02 14:52:52

2011-04-02 14:49:27

2014-08-18 09:49:46

Linux

2011-02-23 16:04:32

LinuxvsftpdFTP

2018-09-18 17:20:14

MySQL优化数据库

2009-10-28 08:31:02

Vsftpd服务器故障

2014-08-21 09:31:06

路由

2009-11-11 11:04:13

路由基础知识

2011-02-22 14:00:16

vsftpd

2017-09-15 15:48:12

Python面向对象技术类与对象

2012-04-08 20:41:59

Android

2010-09-01 13:08:50

RationalIBM

2015-08-18 09:47:13

2018-09-17 14:50:41

机器学习教程汇总人工智能

2018-09-18 11:20:07

css html5javascript
点赞
收藏

51CTO技术栈公众号