新买了一个服务器,所有配置文件和原有的都一样,但是VSFTPD在服务器重启以后的一段时间后就不好用,提示Starting
vsftpd for vsftpd: [ FAILED ]
重装也不好用很是奇怪。
偶然从网上搜索到/etc/logrotate.d/vsftpd.log的文件配置,和我自己的对比一下,我的多了missingok一项,把它注释掉启动,搞定!
目前的/etc/logrotate.d/vsftpd.log文件如下:
/var/log/vsftpd.log {
# ftpd doesn’t handle SIGHUP properly
nocompress
# missingok
}
/var/log/xferlog {
# ftpd doesn’t handle SIGHUP properly
nocompress
# missingok
}
在配置vsftpd 的时候,常会遇到530 Login incorrect 错误,大多数的原因是限制了本地用户的权限。
以centOS 为例,有以下几种解决方法:
1.缺少了
把这行加入到vsftpd.conf中就好了。
2.设置Authentication Configuration
把其中的Local authorization is sufficient勾选上就可以了。
Tags: linux, vsftpd
VSFTP 1.2.1 Install
樱木花盗 发表于 2009-2-23 18:13:26
根据官方操作手册以及网友文章收集整理
install vsftpd1.2.1
step 1: download vsftpd
ftp://vsftpd.beasts.org/users/cevans/vsftpd-1.2.1.tar.gz
or
wget ftp://vsftpd.beasts.org/users/cevans/vsftpd-1.2.1.tar.gz
step 2: unpack the vsftpd
tar zxvf vsftpd-1.2.1.tar.gz
cd vsftpd-1.2.1
step 3: installing vsftpd
make
check "nobody" user,if not already exist,create it: useradd
nobody
check directory "/usr/share/empty", if not already exist, create
it: mkdir
/usr/share/empty
mkdir /var/ftp
check "ftp" user,if not already exist,create it:useradd -d /var/ftp
ftp
chown root.root /var/ftp
chmod og-w /var/ftp
make install
cp vsftpd.conf /etc
vi /etc/vsftpd.conf
add the follow line:
listen=YES //let's tell vsftpd to run in "standanone" mode
save and exit from the vsftpd.conf config file
step 4: startup and test in "standalone" mode
/usr/local/sbin/vsftpd &
[1] 4460
[root@rhas4 var]# ftp 172.17.196.100
Connected to 172.17.196.100.
220 (vsFTPd 1.2.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (172.17.196.100:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
step 5: configuration for inetd/xinetd operation:
xinetd operation:
vi /etc/xinetd.d/vsftpd
# default: off
# description: The vsftpd FTP server serves FTP connections. It
uses \
# normal, unencrypted usernames and passwords for
authentication.
service ftp
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/local/sbin/vsftpd
nice = 10
}
FreeBSD users:
Add this following entry to /etc/xinetd.conf. If there is already
an "ftp" service
block, replace it with this one:
service ftp
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/local/sbin/vsftpd
nice = 10
}
Save and exit.
restart xinetd service
Redhat users:
service xinetd restart
FreeBSD users:
killall -HUP xinetd
Now let's test the inetd/xinetd ftp server:
[root@rhas4 sbin]# ftp 172.17.196.100
Connected to 172.17.196.100.
220 (vsFTPd 1.2.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (172.17.196.100:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
step 6: the vsftpd master configuration file
/etc/vsftpd.conf :
anonymous_enable=YES
#允许匿名访问
local_enable=YES
#允许本地用户访问(/etc/passwd中的用户)
write_enable=YES
#允许写入权限,包括修改,删除
local_umask=022
#本地用户文件上传后的权限是-rw-r-r
#anon_umask=077
#匿名用户上传后权限是-rw----
anon_world_readable_Only=YES
#允许匿名用户浏览,下载文件
anon_upload_enable=YES
#允许匿名用户上传
#anon_mkdir_write_enable=YES
#允许匿名用户建立目录
anon_other_write_enable=YES
#允许匿名用户具有建立目录,上传之外的权限,如重命名,删除
dirmessage_enable=YES
#当使用者转换目录,则会显示该目录下的.message信息
xferlog_enable=YES
#记录s使用者所有上传下载信息
xferlog_file=/var/log/vsftpd.log
#将上传下载信息记录到/var/log/vsftpd.log中
connect_from_port_20=YES
#确保ftp-datad 数据传送使用port 20
idle_session_timeout=600
#如果使用者600秒没有动作,则踢出
chroot_list_enable=YES
#限制使用者不能离开家目录,设置该选项后,他不可以转到各自的上层目录,如/bin,
/usr,/opt...etc。
chroot_list_file=/etc/vsftpd.chroot_list
#与上条同时使用,设置限制使用者的存放文件为/etc/vsftpd.chroot_list
#建立文本文件/etc/vsftpd.chroot_list,写入要限制的用户,一行一个。
#如果希望限制所有用户,则可以设置chroot_local_user=YES 代替上面两行
tcp_wrappers=YES
#支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES
#使用standalone启动vsftpd,而不是super daemon(xinetd)控制它
(vsftpd推荐使用standalone
方式)
listen_port=21
#ftp监听端口
userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd.user_list
#以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.user_list中,一行一个帐号
pam_service_name=vsftpd
#PAM所使用的名称.同userlist_*一样限制用户登陆,不同的是userlist_*在进行密码验证之前拒
绝用户登陆,pam是在密码验证之后拒绝登陆.(提示密码错误) 用户列表默认存放在
/etc/ftpusers中,一行一个. (可通过/etc/pam.d/vsftpd重定向用户列表存放文件)
#获得 /etc/pam.d/vsftpd:
#cp RedHat/vsftpd.pam /etc/pam.d/vsftpd
max_clients=100
#最大用户在线数量
max_per_ip=2
#每ip最大线程
anon_max_rate=30000
#匿名用户最大传输速度 单位: bytes/秒
local_max_rate=50000
#本地用户最大传输速度 单位:bytes/秒
user_config_dir=/etc/userconf
#个别用户配置目录(用来设定特殊帐号),例如我想让某个用户的传输速度是100KB
就可以在/etc/userconf/下创建文本文件与用户名相同,加入local_max_rate=100000即可
anon_root=/var/ftp
#设定匿名用户登陆后所在的目录
local_root=/var/local_user
#设定所有本地用户登陆后的目录,如不设置此项,则本地用户登陆后位于各自家目录下。
use_localtime=YES
#使用本地时间而不是GMT
Anytime you make config file changes, make sure you restart
vsftpd!
官方FAQ中文:
Q1) 我能把用户限制在他的家(home)目录里吗?
A) 能,设置chroot_local_user=YES就行了。
Q2) 为什么设置了chroot_local_user=YES后,符号链接(symlink)就不起作用了呢?
A) 这是chroot()这种安全机制如何工作的结果。可选地,看一下硬连接(hard links),或者
,你用的是“现代的”Linux,看一下强大的"mount --bind"命令。
Q3) vsftpd支持限制用户连接数吗?
A1) 是的,间接地。vsftpd是一个基于inetd的服务。如果你使用流行的xinetd,它会支持
per-service per-IP的连接限制。"EXAMPLE"目录里有这样的一个例子。
A2) 如果你以"standalone"方式运行vsftpd(方法是设置listen=YES),你可以研究一下
max_clients=10这样的设置。
Q4) 求助!我得到了"refusing to run with writable anonymous
root"错误信息。
A) vsftpd是不允许“危险(不安全)”的配置的。出现这个错误信息的原因通常是ftp的家
(home)目录的属主权限不正确。 家(home)目录的属主不应该是ftp用户自己,而且ftp用户也不能
有写的权限。解决的方法是:
chown root ~ftp; chmod -w ~ftp
Q5) 求助!我得到了"str_getpwnam"错误信息。
A) 最有可能的原因是在你的系统中不存在那个被配置成'nopriv_user'的用户(一般是
'nobody') 。vsftpd需要通过它以最低的权限运行。
Q6) 求助!本地用户无法登录。
A) 有几种可能的问题导致无法登录。
A1) 默认情况下,vsftpd只允许匿名用户(anonymous)登录。在你的/etc/vsftpd.conf配置文
件中加入local_enable=YES就可以让本地用户登录了。
A2) vsftpd需要与PAM联系 (运行"ldd vsftpd"检查结果中有没有libpam可以确定这个). 如
果vsftpd需要PAM支持, 你必须为vsftpd服务准备一个PAM文件. 在"RedHat"目录下有一个为
RedHat系统准备的PAM文件的例子,把它放在/etc/pam.d目录下。
A3) 如果vsftpd不需要PAM, 那么会有多种原因导致这种情况. 用户的shell在 /etc/shells
文件中吗? 如果你使用shadow passwd,那么include路径中有没有shadow.h文件?
A4) 如果你没有用PAM, vsftpd会用自己的方法检查用户的shell是否合法. 如果想用一个非
法的shell(这样用户就只能用FTP登录),你可以在配置文件中加入check_shell=NO.
Q7) 求助!上传或其他”写“命令都报"500 Unknown command.".
A) 默认情况下”写“命令(上传和建新目录等)都是被禁止的. 这是一种安全的方法. 要允
许写命令需要在配置文件/etc/vsftpd.conf中加入write_enable=YES.
Q8) 求助!chroot_local_user这个选项里有什么安全隐患?
A) 首先注意其他ftp服务器也有同样的隐患。这是个一般性的问题。这个问题不是很严重,
但它是这样的:有些人使不被信任的ftp帐户具有了全部的shell 访问权限。如果这些帐户可以上
传文件,那就会有一点风险。一个坏用户就可以控制作为其家目录的文件系统的根目录。FTP进程
也许会使一些配置文件被访问到,例如/etc/some_file。使用chroot(),这个文件就处于此用户
的控制之下。vsftpd非常在意这些安全问题。但是,系统的 libc也许想打开语言配置文件或其他
的什么配置......
Q9) 求助!上传后的文件权限是-rw-------。
A1) 根据上传用户是本地用户还是匿名用户,修改local_umask或anon_umask选项。例如,设
置anon_umask=022指定匿名上传的文件权限为-rw-r--r--。注意,22前面的0不能少。
A2) 也可以看看vsftpd.conf的man帮助中的新选项file_open_mode。
Q10) 求助!我如何集成LDAP用户登录?
A) 使vsftpd结合PAM,配置PAM使用LDAP认证。
Q11) 求助!vsftpd可以配置成虚拟主机(virtual hosting)吗?
A1) 可以。如果你使用xinetd方式运行vsftpd,可以将xinetd绑定到几个不同的IP地址。针
对每一个IP地址,xinetd使用不同的配置文件启动vsftpd。这样,你就能在每个IP上配置不同的
vsftpd服务。
A2) 也可以用standalone方式运行多个vsftpd实例。使用选项listen_address=x.x.x.x设置
虚拟IP。
Q12) 求助!vsftpd支持虚拟用户(virtual users)吗?
A) 支持,通过PAM集成。在/etc/vsftpd.conf中设置guest_enable=YES,这样的效果是所有
非匿名用户的成功登录都映射成guest_username指定的本地用户。然后,使用PAM和(例如:)它
的pam_userdb模块,就可以提高基于外部用户库(即不使用/etc/passwd)的认证。注意:当
guest_enable生效后会有一个限制,就是本地用户也被映射到guest_username(译者:也就是说
虚拟用户与本地用户不能同时使用)。EXAMPLE目录里有配置虚拟用户的例子。
Q13) 求助!vsftpd支持不同的用户使用不同的配置吗?
A) 支持,而且功能强大。看man帮助里的user_config_dir选项。
Q14) 求助!我可以把vsftpd的数据连接(data connections)限制到指定范围的端口吗?
A) 可以。看配置选项pasv_min_port和pasv_max_port。
Q15) 求助!我看到了"OOPS: chdir"这样的信息。
A) 如果这是匿名用户在登录,就检查系统用户ftp的家目录是否正确。如果你使用了
anon_root这个选项,也要检查该选项是否正确。
Q16) 求助!vsftpd显示的是GMT时间,而不是本地时间!
A) 这个可以通过设置use_localtime=YES来解决。
Q17) 求助!我能禁用某些FTP命令吗?
A) 可以。有一些单独的选项(比如dirlist_enable),或者可以通过cmds_allowed选项指定
允许的命令集。
Q18) 求助!我可以改变vsftpd的工作端口吗?
A1) 可以。如果以standalone方式运行vsftpd,可以用vsftpd.conf中的listen_port选项(
指定端口)。
A2) 可以。如果以inetd或xinetd方式运行vsftpd,那么这个问题由inetd或xinetd负责。你
就必须修改inetd或xinetd的配置文件(可能是/etc/inetd.conf或/etc/xinetd.d/vsftpd)。
Q19) 求助!vsftpd可以使用LDAP服务器进行验证吗?或者使用Mysql数据库?
A) 是的。vsftpd可以使用PAM进行验证,所以你需要配置PAM使用pam_ldap或pam_mysql模块
。这包括安装PAM模块,然后编辑vsftpd的PAM配置文件(可能是/etc/pam.d/vsftpd)。
Q20) 求助!vsftpd支持每IP限制(per-IP limits)吗?
A1) 是的。如果以standalone方式运行vsftpd,可以使用max_per_ip选项。
A2) 是的。如果以xinetd方式运行vsftpd,可以用xinetd的配置参数per_source。
Q21) 求助!vsftpd支持带宽限制吗?
A) 支持。看man帮助(vsftpd.conf.5)中的"anon_max_rate"和
"local_max_rate"选项。
Q22) 求助!vsftpd支持基于IP(IP-based)的访问控制吗?
A1) 可以结合tcp_wrappers实现(前提是编译是加了tcp_wrappers支持)。通过设置
tcp_wrappers=YES启用它。
A2) 以xinetd方式运行vsftpd,xinetd可以结合tcp_wrappers。
Q23) 求助!vsftpd支持IPv6吗?
A) 从版本1.2.0开始就支持了。看vsftpd.conf的man帮助。
Q24) 求助!vsftpd编译失败,错误是不能找到-lcap(unable to find -lcap)。
A) 安装libcap package再试。好像Debian用户遇到这个问题多一些。
Q25) 求助!我的配置文件是/etc/vsftpd.conf,可是好像不起作用!
A) RedHat用户会遇到这个问题 - 一些RedHat版本中vsftpd的配置文件是
/etc/vsftpd/vsftpd.conf.
Q26) 求助!vsftpd编译失败,报sysutil.c中有不完整的类型(types)。
A) 你的系统可能不支持IPv6。要么在一个现代一些(支持IPv6)的系统中使用老版本的
vsftpd(例如 v1.1.3),要么等没有这个问题的版本出来。
Q27) 求助!下载(尤其是大量小文件)时看到很多这样的信息:“500 OOPS:
vsf_sysutil_bind”。
A) vsftpd-1.2.1已经解决了这个问题。
Q28) 求助!vsftpd可以隐藏或拒绝访问某些文件吗?
A) 可以。看看vsftpd.conf的man帮助中的hide_file和deny_file选项。
Q29) 求助!vsftpd支持FXP吗?
A) 支持。FTP服务器不需要特别配置就可以支持FXP。但由于vsftpd在IP地址上的安全限制,
你可能不会成功。想放宽这种限制,可以看看vsftpd.conf的man帮助(vsftpd.conf.5)中关于
pasv_promiscuous(和不太推荐使用的port_promiscuous)选项。
Q30) ......
A) 想进一步了解vsftpd,请阅读vsftpd.conf的man帮助和配置示例。
原因: 在/etc/vsftpd.conf 里头缺少一个关键语句 pam_service_name=vsftpd (模组/用户 设定) 与/etc/pam.d/vsftpd相关
问题2:
D:\Documents and Settings\oice>ftp 10.10.6.10
Connected to 10.10.6.10.
220 (vsFTPd 1.2.0)
500 OOPS: could not bind listening IPv4 socket
解决方法:
1.使用XINET模式
去掉/etc/rc.local文件中的vsftpd的启动脚本/usr/local/sbin/vsftp &
运行service vsftpd restart命令启动vsftpd
2.使用STANDALONE独立模式
在服务器的负担比较重的情况下最好用这个模式
或者直接修改/etc/xinetd.d/vsftpd文件,把disable=no改成disable=yes就行了!