不灭的焱

革命尚未成功,同志仍须努力下载JDK17

作者:php-note.com  发布于:2022-01-02 20:51  分类:IT运维/网络管理  编辑

服务器初始化操作

1、为了调试顺利,关闭selinux,firewall,iptables

2、如果不允许root账户直接登录,可以设置sshd_config

3、根据个人需求安装自己需要的程序。

yum -y install gcc lrzsz vim wget

科普

Port模式(主动模式):

当客户端C向服务端S连接后,使用的是Port模式,那么客户端C会发送一条命令告诉服务端S(客户端C在本地打开了一个端口N在等着你进行数据连接),当服务端S收到这个Port命令后 就会向客户端打开的那个端口N进行连接,这种数据连接就生成了。

Pasv模式(被动模式):

当客户端C向服务端S连接后,服务端S会发信息给客户端C,这个信息是(服务端S在本地打开了一个端口M,你现在去连接我吧),当客户端C收到这个信息后,就可以向服务端S的M端口进行连接,连接成功后,数据连接也建立了。

这种模式,可以直接用Win10的“资源管理器”打开 ftp。

环境介绍:

  • CentOS 7.4
  • IP:192.168.1.238
  • Client:Win10

开始安装

1、安装 vsftp

yum -y install vsftpd

2、启动服务

systemctl start vsftpd.service

3、配置文件路径

cd /etc/vsftpd

功能一(匿名)

1、首先我们在企业中ftp服务器,一般情况下都会有个共享服务器,允许员工下载一些公司的软件或者常用的软件包(方便,不用再取外网去下载,也省带宽)

2、vsftp提供了匿名登录,默认anonymous_enable=YES的情况下,就启用了匿名访问,这种情况下你只能把需要给用户的文件,存放到/var/ftp/pub下(默认路径),如果想更改的话需要添加anon_root= /data/pub,后面的路径就是匿名登录后实际访问的目录。如果,总是那么多如果,匿名用户也需要上传的功能的话(一般情况下不会的)

anonymous_enable=YES  #允许匿名访问
anon_root= /data/pub     #匿名访问的本地实际目录
local_enable=YES            
anon_upload_enable=YES  #允许匿名用户上传文件(须将全局的write_enable=YES,默认YES)
anon_mkdir_write_enable=YES  #允许匿名用户创建目录
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
 
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

3、我们设置了匿名访问的目录是/data/pub里面,还是上传不了文件,有人说直接改成777就可以,但是改成777就无法访问了,这是由于vsftpd的安全性设置,我们需要在pub里面再创建一个upload的文件(文件夹名字随便起),给他一个777的权限就OK了。

功能二(虚拟用户):

1、首先修改配置文件

cd /etc/vsftpd
cp vsftpd.conf vsftpd.conf.bak 
touch vsftpd.conf

2、配置文件内容(虚拟用户必须关闭匿名用户anonymous_enable=NO)

anonymous_enable=NO           # 不允许匿名访问,禁用匿名登录
write_enable=YES
chroot_local_user=YES         # 启用限定用户在其主目录下
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list  #允许访问其他目录的用户名单
use_localtime=YES             # 使用本地时(自行添加)
local_enable=YES              # 允许使用本地帐户进行FTP用户登录验证
allow_writeable_chroot=YES    # 如果启用了限定用户在其主目录下需要添加这个配置,解决报错 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
xferlog_enable=YES            # 启用上传和下载的日志功能,默认开启。
local_umask=022               # 设置本地用户默认文件掩码022,# FTP上本地的文件权限,默认是077,不过vsftpd安装后的配置文件里默认是022
pam_service_name=vsftpd
 
listen_port=21                # 监听的端口号,默认:21
use_localtime=YES
idle_session_timeout=120
 
data_connection_timeout=120
guest_enable=YES
guest_username=ftpuser
 
user_config_dir=/etc/vsftpd/vuser_conf     # 虚拟用户,配置文件路径 
virtual_use_local_privs=YES

accept_timeout=5
connect_timeout=1

pasv_enable=YES             # 开启【被动模式】
pasv_min_port=10060         #【被动模式】最小开放端口(需要到阿里云后台,开放端口访问权限)
pasv_max_port=10090         #【被动模式】最大开放端口
pasv_address=113.64.52.56   #【被动模式】服务器端对外的IP(阿里云主机公网IP)

/etc/vsftpd/vsftpd.conf 文件内容如下(去掉了注释):

anonymous_enable=NO
write_enable=YES
chroot_local_user=YES
chroot_list_enable=YES
use_localtime=YES
local_enable=YES
allow_writeable_chroot=YES
xferlog_enable=YES
local_umask=022
pam_service_name=vsftpd
 
use_localtime=YES
listen_port=21
chroot_local_user=YES
idle_session_timeout=120
 
data_connection_timeout=120
guest_enable=YES
guest_username=ftpuser
 
user_config_dir=/etc/vsftpd/vuser_conf
virtual_use_local_privs=YES

accept_timeout=5
connect_timeout=1
 
pasv_enable=YES
pasv_min_port=10060
pasv_max_port=10090
pasv_address=113.64.52.56

注意:当chroot_list_enable=YESchroot_local_user=YES时,在/etc/vsftpd/chroot_list文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录。

另外,chroot_list如果不存在,需自行创建

touch  /etc/vsftpd/chroot_list

3、创建宿主用户

# 创建用户 ftpuser 并指定 `/home/vsftpd` 目录

mkdir /home/vsftpd
useradd -g root -M -d /home/vsftpd -s /sbin/nologin ftpuser

# 设置用户 ftpuser 的密码

passwd ftpuser

# 把 /home/vsftpd 的所有权给ftpuser.root

chown -R ftpuser.root /home/vsftpd

4、建立虚拟用户文件

touch /etc/vsftpd/vuser_passwd

# 编辑虚拟用户名单文件:(
# 第一行账号,第二行密码,注意:不能使用root做用户名,系统保留)

vim /etc/vsftpd/vuser_passwd 

# 编辑内容,下面是 vuser_passwd 内容

ftp1
12345678
ftp2
12345678

#保存退出

:wq!

5、生成虚拟用户数据文件

db_load -T -t hash -f /etc/vsftpd/vuser_passwd /etc/vsftpd/vuser_passwd.db
chmod 600 /etc/vsftpd/vuser_passwd.db

6、创建用户配置

mkdir /etc/vsftpd/vuser_conf  # 建立虚拟用户个人vsftp的配置文件
cd /etc/vsftpd/vuser_conf     # 进入目录
touch ftp1 ftp2

每个文件(ftp1和ftp2写入如下内容,local_root=/home/vsftpd/ftp1 #这里写入这个用户的实际存储路劲)

# 本地文件夹根目录(注意:不一定是在 /home 目录下面,其他数据盘目录也可以)
local_root=/home/vsftpd/ftp1
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

7、创建用户的“ftp数据目录”(注意:不一定是在 /home 目录下面,其他数据盘目录也可以)

mkdir -p /home/vsftpd/ftp1
mkdir -p /home/vsftpd/ftp2

# 重新调整目录权限
chown -R ftpuser.root /home/vsftpd/ftp1
chown -R ftpuser.root /home/vsftpd/ftp2

8、服务运维

systemctl restart vsftpd.service  # 重启服务
systemctl start vsftpd.service    # 启动服务
systemctl status vsftpd.service   # 服务状态查看

9、生成虚拟用户的PAM文件

cd /etc/pam.d/
# 备份vsftpd文件
cp vsftpd vsftpd.bak

修改vsftpd文件内容(加入第二和第三行,下面的都全部注释,注意下面是64位操作系统,如果是32位的话lib64需要改成lib)

#%PAM-1.0
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd

#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
#auth       include     password-auth
#account    include     password-auth
#session    required     pam_loginuid.so
#session    include     password-auth

10、客户端调试

(1) 首先每次更改配置需要重启vsftpd服务。

(2) 上面每个配置文件中的内容最好是手动键入(曾经的我直接粘贴进去,cat就是没问题,但是粘贴进去就是不行)

附:启动 vsftpd报错:500 OOPS: bad bool value in config file for: pasv_enable

(3) 客户端windows打开cmd到后台进行连接,网页和资源管理器里面都会有缓存也看不到报错。

(4) 服务器tail -f /var/log/secure查看日志(也可以tail -f /var/log/messages,这个看不出什么,前者更精准)

(5) 客户端报错示例(坑了我好久,它说chroot没有读到/etc/vsftpd/chroot_list这个文件,所以我们新建这个文件就行,记得重启服务)。

(6) 如果虚拟用户登录到自己的宿主目录后,不能上传文件的话,服务器端需要在宿主目录里面再新建一个文件夹,给这文件夹777权限,就可以了(直接把宿主目录设置777就会登录不了)

(7) 新增用户的话,需要在/etc/vsftpd/vsuser.passwd里面追加用户(删除就是删除用户),记得使用db_load重新生成vsuser.passwd文件即可,vuser_config里面新建一个新建账户的权限文件,宿主目录记得新建存储文件。

(8) 建议使用ftp工具和cmd验证

C:\Users\Administrator>ftp  192.168.1.238
连接到 192.168.1.238。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.1.238:(none)): ftp1
331 Please specify the password.
密码:
500 OOPS: could not read chroot() list file:/etc/vsftpd/chroot_list
500 OOPS: priv_sock_get_result
远程主机关闭连接。

(9) 连接成功

C:\Users\Administrator>ftp  192.168.1.238
连接到 192.168.1.238。
220 (vsFTPd 3.0.2)
200 Always in UTF8 mode.
用户(192.168.1.238:(none)): ftp1
331 Please specify the password.
密码:
230 Login successful.

11、修改端口号

(1) 在/etc/vsftpd/vsftpd.conf文件中增加listen_port=2121(这里修改为2121)

(2) 在vim /etc/services文件中修改如下内容

ftp             2121/tcp
ftp             2121/udp 

注意:上面修改的只是链接端口号,既然更改了连接端口号,别忘记访问的时候修改端口。

既然我们设置的是被动模式(服务器被动打开数据端口,只有在数据链接的时候才会使用,下面我们用ftp工具能成功连接,当打开某个文件夹的时候(请求数据的时候),才会使用该端口,但是我这里使用了iptables,之允许了2121通过我们设置的是10060到10090端口,具体如下)

cat /etc/vsftpd/vsftpd.conf

pasv_enable=YES             # 开启【被动模式】
pasv_min_port=10060         #【被动模式】最小开放端口(需要到阿里云后台,开放端口范围访问权限  10060/10090)
pasv_max_port=10090         #【被动模式】最大开放端口
pasv_address=113.64.52.56   #【被动模式】服务器端对外的IP(阿里云主机公网IP)

设置iptables就可以了

 

 

参考:

https://blog.csdn.net/hanchao_h/article/details/72731996

https://www.cnblogs.com/lei0213/p/8657039.html

filezilla 响应:425 Can't open data connection.错误:读取目录列表失败的解决办法

 

 


工作中的一次安装笔记

需求:需要给公司员工配置ftp,并且是可以用电脑的“资源管理器”直接打开的那种

1、只有配置成“被动模式”,才能使用电脑的“资源管理器”直接打开ftp(即不需要专业的Ftp客户端工具);

2、如果是阿里云主机,还得配置该主机的公网IP,即

pasv_address=113.64.52.56   #【被动模式】服务器端对外的IP(阿里云主机公网IP)

3、开放阿里云主机的端口访问权限

pasv_min_port=10060         #【被动模式】最小开放端口(需要到阿里云后台,开放端口范围访问权限  10060/10090)
pasv_max_port=10090         #【被动模式】最大开放端口

4、需要把配置文件/etc/vsftpd/vsftpd.conf中的所有注释和两边的空格去掉,否则报错,

参考:启动 vsftpd报错:500 OOPS: bad bool value in config file for: pasv_enable