Linux FTPサーバーの設定

FTPサーバーの設定

パッケージ：vsftpd.i386

デーモン：vsftp（/usr /sbin /vsftpd）

スクリプト： /etc/init.d/vsftpd

ポート：21 /tcp（ftp）、20 /tcp（ftp-data）

設定：

/etc /vsftpd /Vsftpd.conf

/etc /vsftpd /ftpusers

/etc/pam.d/vsftpd

Linuxには、いくつかの実装があります。 ftpサーバソフトウェアは、我々がredhat自身のvsftpを使っている、それはセキュリティ、軽量の機能を持っています。

vsftpdパッケージをインストールした後でサービスを開くと、ftpにアクセスできます。

yum– y install vsftpd.i386

service vsftpd start

サービスの開始ftpサーバーに直接アクセスすることができます。

ftpルートディレクトリは/var /ftp /にあります。ここでディレクトリを作成することができます。

ローカルユーザーログインを使用する場合、ディレクトリへのログインはユーザーのホームです。ディレクトリ

例：lftp– u zoe 192.168.0.3

ログイン後に/home /zoeディレクトリに表示される内容

主に3つの側面を紹介します。

1 ftpさまざまな設定（設定ファイルを通じて）

2 sslベースのセキュリティftp

3 ftp仮想ユーザーの確立について

最初に、vsftp /etc/vsftpd/vsftpd.confのメイン設定ファイルを知ります。

anonymous_enable = YESユーザーが匿名でログインすることを許可するかどうか

local_enable = YESローカルユーザーにログインを許可するかどうか

anon_upload_enable = YESユーザーにファイルのアップロードを許可するには

anon_mkdir_write_enable = YESディレクトリのアップロードを許可するには

anon_other_write_enable = YESファイルを削除するには許可してください。 >メッセージ_enable = YESディレクトリへのユーザーアクセスは、ウェルカム情報を表示することです。

message_file = .messageユーザーのホームディレクトリにウェルカムメッセージを書き込む.messageファイルを作成します。

xferlog_enable = YES転送を有効にします。 Log

xferlog_file = /var /log /vsftpd転送ログを開き、場所を定義します。

chown_loads = YESファイルをアップロードした後で、所有者を別のユーザーに変更します。

chown_username =所有者を変更したユーザーが

idle_session_timeout = 600アイドルセッションタイムアウトになりました。

data_connection_timeout = 120ダウンロードタイムアウトになりました

ascii_upload_enable = YES ASCIIベースの送信を開くかどうか、通常

ftpd_banner = blahへようこそFTPサービスへようこそメッセージ

chroot_local_user = YESユーザをホームディレクトリにロック

このアイテムを使用しない場合、ユーザはcdの後にログインできます。 ftpサーバーが置かれているホスト上の任意のディレクトリを表示します。

chroot_list_enable = YESダウンリンクで定義されたリストにユーザーをロックして、そのホームディレクトリのみにアクセスします。

chroot_list_file = /etc /vsftpd /chroot_listリストファイルの場所

chroot_loca L_user = YESすべてロックする

ls_recurse_enable = YES lsコマンドを使用するときは再帰的表示を使用します。

listen = YES待機は独立した保護です。

pam_service_name = vsftpdユーザーログインモードの確認メソッド定義ファイル

userlist_enable = YESログインするセカンダリファイルでuser_listを使用してログインします。

userlist_deny = N0 user_listファイル内のユーザーだけがログインできるようにします。

またはuserlist_deny = YESは、user_listファイル内のユーザーログインのみが拒否されることを意味します。

デフォルトでは、tcp_wrapperの制御を受け入れるために拒否されます。tcp_wrappers = YESftp

/etc /で定義されていますvsftpd /ftpusersのユーザは、ftpにログインすることを許可されていないようです。

上記の情報を参照して、ftpサーバが要件を満たすように設定ファイルを変更できます。 ftpコマンドをいくつか入力します。

Lftp– u fedora 192.168.0.3どのユーザーとログインしますか。

ftp> put issue upload issue file

匿名ユーザーにファイルをアップロードしたいのですが、ftpディレクトリが必要です：ftpはセキュリティのためにメイングループに属しています。

mkdir /var /ftp /upload

chown ftp：ftp /var /ftp /upload

ファイルをアップロードするときのディレクトリへのCd

lftp 192.168.48.3

> cd /アップロード

> lcd /etc

>問題を報告

> bye

ユーザーがファイルなどをアップロードできるようにするには、selinuxを閉じる必要があります。では、selinuxをシャットダウンせずにユーザーのアップロードを有効にできますか。もちろん、ユーザーのアップロードをサポートするために、selinuxポリシーのオプションを変更する必要があります。

getsebool -a現在のホスト上のすべてのポリシーでサポートされているブール型の値を表示します。

変更を加えます。

setsebool allow_ftpd_anon_write = 1現在のシステムでのみ有効です。

またはsetsebool -P allow_ftpd_anon_write = 1を指定すると、ポリシーライブラリ内の値が直接変更されます。永続的

cd /var /ftp /

ll -Z

chcon - t public_content_rw_t upload /ディレクトリへの読み書き許可を追加します。

したがって、selinuxはftpのこの機能をサポートします。

----------- -------------------------------- SSL

ftpにログインするとパスワードはすべてプレーンテキストで記録されているため、非常に安全性が低いため、SSLベースのFTPログイン転送を使用できます。

まずftpの証明書に署名してから、次の内容を設定ファイルに追加します。

＃SSL

ssl_enable = YES sslを有効にします。

ssl_tlsv1 = YES TLS v1バージョンを有効にする

ssl_sslv2 = YES ssl v2バージョンを有効にする

ssl_sslv3 = YES

allow_anon_data_ssl = NO匿名ユーザーは通常、不要です。

force_local_data_ssl = YES local sslを使用するかどうか

force_local_logins_ssl =ローカルユーザーログインを使用する場合はYES ssl

rsa_cert_file = /etc /vsftpd /ssl /vsftpd.crt証明書パス

rsa_private_key_file = /etc/vsftpd/ssl/vsftpd.key秘密鍵のパス

次に、ログイン処理中にFlashfxp

のようにウィンドウ側でftpソフトウェアを使用してテストします。 sslを使用する前後のログインプロセス中にパスワードが暗号化されているかどうかを確認するためにデータパケットが分析されます。

データをキャプチャする簡単な方法は次のとおりです。tcpdump -i eth0 dst host 192.168.0.3

このコマンドを実行できるホストでは、ネットワークカードが選択されているかどうかに注意する必要があります。

tcpdump -D NICリストを表示します。

tcpdump -i eth0待機するネットワークカードを指定します。

Aプレーンテキストでヘッダー情報を表示します。

dst host IP destination address IP

srcホストIP送信元アドレスIP

-------------------------- -----------------------仮想ユーザー設定インスタンス：

1仮想FTPユーザーアカウントデータベースファイルを作成します。

2 FTPルートディレクトリと仮想ユーザーマッピングを使用してシステムユーザーを作成します。

3仮想ユーザーをサポートするPAM認証ファイルを作成します。

4 vsftpd.congファイルにサポート設定を追加します。