本文章为原创非复制行为
前言
之前在搜索vsftpd配置的时看到很多教程都是已经过时或者不完整,本教程在Centos7下配置vsftpd服务端,假定在公有云配置,使用的是显式FTPES使用被动模式、禁止匿名登录、非创建虚拟用户,并确保selinux在enforcing状态和保持开启firewalld,我的vsftpd版本是3.0.2
配置
下面的例子中用户是vstest,ip是123.123.123.123,域名your.domain.com,密码your.password,使用filezilla客户端登录
我自己新建了一个/etc/vsftpd/vsftpd.conf,也可以直接对安装vsftpd时生成的/etc/vsftpd/vsftpd.conf修改,这里从修改生成的初始配置文件开始,添加的配置项可以从配置文件的最后一行开始添加
首先创建一个ftp账号用于客户端登录,为了安全不使用root账户并禁止匿名用户,首先添加系统用户,以添加vstest为例并设定密码为your.password,安全起见防止用户通过SSH登陆将用户shell设置为不可登陆
[root@ykxz ~]# useradd -s /sbin/nologin vstest
[root@ykxz ~]# echo your.password | passwd --stdin vstest
禁止匿名用户设置为
anonymous_enable=NO
设置被动模式,需要添加以下配置
pasv_enable=YES
pasv_min_port=41000
pasv_max_port=41200
pasv_address=your.domain.com或者123.123.123.123
pasv_addr_resolve=YES
并设置不使用主动模式传输数据的20端口
connect_from_port_20=NO
因为设置了pasv_address项,设置单例模式并只监听ipv4,初始配置文件就有解释listen和listen_ipv6会冲突只能开启一项所以如下设置
listen=YES
listen_ipv6=NO
设置用户登录目录,添加
local_root=/home/vstest/
锁定用户顶层目录,添加
chroot_local_user=YES
可以在初始配置文件发现以下的话,顶层目录不可以有写权限
(Warning! chroot'ing can be very dangerous. If using chroot, make sure that
the user does not have write access to the top level directory within the
chroot)
我们这里锁定目录为家目录,而linux用户家目录默认权限为700,所以要去掉目录写权限
[root@ykxz ~]# chmod -w /home/vstest
注意:去除写权限后用户登陆不可以在顶层目录创建或删除目录,需要先在该目录创建目录并更改用户权限,这里以创建dir目录为例
[root@ykxz ~]# mkdir /home/vstest/dir
[root@ykxz ~]# chown vstest:vstest /home/vstest/dir
有教程说在vsftpd的配置文件中增加下列项以允许顶层目录有可写权限:
allow_writeable_chroot=YES
我不推荐,因为如果具有可写权限的用户(甚至是虚拟用户)的FTP凭据遭到破坏,可能会遭受ROARING BEAST ATTACK攻击,以下链接是解释
https://serverfault.com/questions/743949/vsftp-why-is-allow-writeable-chroot-yes-a-bad-idea
配置SSL
FTP是一个古老的协议,如果不添加SSL则使用明文传输,在互联网传输无法保证数据安全
我这里直接使用已经购买签发的证书,包含一个.pem公钥文件和一个.key私钥文件
rsa_cert_file=/etc/vsftpd/ssl/123456_your.domain.com.pem
rsa_private_key_file=/etc/vsftpd/ssl/123456_your.domain.com.key
如果没有购买ssl证书也可以在Let's Encrypt申请免费的ssl证书(需要三个月更新一次证书),没有购买域名可以使用自带的openssl自签IPSSL证书,步骤如下
需要说明的是链接中的自动生成将私钥和公钥都写在了一个文件vsftpd.pem中,所以下面的公钥和私钥位置都应该指向同一个文件,做完“更改vsftpd服务配置文件让FTP支持SSL加密功能”这一步之后我们再添加以下配置就完成了SSL的配置
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_ciphers=HIGH
require_ssl_reuse=NO
以下是我的配置文件参考,可直接复制,#注释可以删除,必须修改的地方为
local_root=用户登录目录
rsa_cert_file=你的公钥位置
rsa_private_key_file=你的私钥位置
pasv_address=你的公有云外网ip或对应域名
#单例模式并只监听ipv4
listen=YES
listen_ipv6=NO
anonymous_enable=NO
local_enable=YES
#用户登录目录
local_root=/home/vstest/
#锁定的顶层目录
chroot_local_user=YES
write_enable=YES
local_umask=022
pam_service_name=vsftpd
#SSL设置
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1_2=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/vsftpd/ssl/123456_your.domain.com.pem
rsa_private_key_file=/etc/vsftpd/ssl/123456_your.domain.com.key
ssl_ciphers=HIGH
require_ssl_reuse=NO
#日志设置
xferlog_file=/var/log/xferlog.log
vsftpd_log_file=/var/log/vsftpd.log
xferlog_std_format=YES
dual_log_enable=YES
log_ftp_protocol=YES
xferlog_enable=YES
syslog_enable=NO
#被动模式设置
pasv_enable=YES
pasv_min_port=41000
pasv_max_port=41200
pasv_address=your.domain.com
pasv_addr_resolve=YES
connect_from_port_20=NO
listen_port=21
#implicit_ssl=YES
#listen_port=990
ftpd_banner=Welcome
idle_session_timeout=600
data_connection_timeout=120
配置文件已经全部设置完成,设置防火墙开放端口(一并开放公有云对应的防火墙端口)
[root@ykxz ~]# firewall-cmd --permanent --add-port=21/tcp
[root@ykxz ~]# firewall-cmd --permanent --add-port=41000-41200/tcp
[root@ykxz ~]# firewall-cmd --reload
注意
1.列出家目录时发现无法列出,我们还需要设置selinux使vsftpd可以访问用户家目录
[root@ykxz ~]# setsebool -P ftpd_full_access on
2.如果没有设置pam,filezilla客户端会报以下错误
响应: 530 Login incorrect.
错误: 严重错误: 无法连接到服务器
需要修改/etc/pam.d/vsftpd中的pam_shells.so一行改为pam_nologin.so,这一项的意思为仅允许登录用户的shell为/etc/shells,前面设置的用户shell为/sbin/nologin不包含在其中,所以需要修改这一条
到这里已经完成配置vsftp服务端,重启vsftpd服务就可以了
以下是一些其它配置解释,其他的所有配置解释可以在man 5 vsftpd.conf中找到
- pasv_address=123.123.123.123
连接时"服务器发回了不可路由的地址。使用服务器地址代替",其实是因为我们平常买的阿里云腾讯云等公有云,还有一层VPC的NAT,FTP使用的是服务器内部地址,即ip a中的本地地址,有教程说修改filezilla的被动模式设置为“退回到主动模式”,我们就要使用被动模式的情况下应该怎么解决呢,添加pasv_address参数将服务器真实地址设置为公有云外网ip或对应域名,使用域名时必须添加pasv_addr_resolve=YES设置
- idle_session_timeout=600
服务器方的连接中断时间,等待时间超出600秒服务器方主动断开连接,此时filezilla客户端会提示
错误: GnuTLS 错误 -110,位于 gnutls_record_recv: The TLS connection was non-properly terminated.
状态: 服务器没有正常的关闭 TLS 连接
错误: 无法读取套接字: ECONNABORTED - 连接中止
错误: 已从服务器断开
属于正常情况,默认值为600
- listen_port=21
FTP建立连接的请求端口,如果需要修改为隐式FTPS则需要修改该值为990(filezilla客户端默认隐式端口为990)并添加implicit_ssl=YES,防火墙开放990端口firewall-cmd --permanent --add-port=990/tcp
参考的网址:
vsftpd 530 Login incorrect 根本原因和解决方案
https://www.jianshu.com/p/91c7d4a115e0
自签SSL证书(推荐)
https://www.tecmint.com/secure-vsftpd-using-ssl-tls-on-centos/
一个显式被动模式连接
https://forums.centos.org/viewtopic.php?t=29016
