史上最全的 vsftpd 問題集(上篇)
vsftpd是一款在Linux發(fā)行版中最受推崇的FTP服務(wù)器程序。特點(diǎn)是小巧輕快,安全易用。vsftpd太好用了,沒有的朋友那你就落伍了,速度裝個(gè),下面采取一問一答形式來回答關(guān)于vsftpd所以的問題,這是上篇還有下篇等著你!
Q1) 我能把用戶限制在他的家(home)目錄里嗎?
A) 能,設(shè)置chroot_local_user=YES就行了。
Q2) 為什么設(shè)置了chroot_local_user=YES后,符號(hào)鏈接(symlink)就不起作用了呢?
A) 這是chroot()這種安全機(jī)制如何工作的結(jié)果。可選地,看一下硬連接(hard links),或者,你用的是“現(xiàn)代的”Linux,看一下強(qiáng)大的"mount --bind"命令。
Q3) vsftpd支持限制用戶連接數(shù)嗎?
A1) 是的,間接地。vsftpd是一個(gè)基于inetd的服務(wù)。如果你使用流行的xinetd,它會(huì)支持per-service per-IP的連接限制。"EXAMPLE"目錄里有這樣的一個(gè)例子。
A2) 如果你以"standalone"方式運(yùn)行vsftpd(方法是設(shè)置listen=YES),你可以研究一下max_clients=10這樣的設(shè)置。
Q4) 求助!我得到了"refusing to run with writable anonymous
root"錯(cuò)誤信息。
A) vsftpd是不允許“危險(xiǎn)(不安全)”的配置的。出現(xiàn)這個(gè)錯(cuò)誤信息的原因通常是ftp的家(home)目錄的屬主權(quán)限不正確。 家(home)目錄的屬主不應(yīng)該是ftp用戶自己,而且ftp用戶也不能有寫的權(quán)限。解決的方法是:
chown root ~ftp; chmod -w ~ftp
Q5) 求助!我得到了"str_getpwnam"錯(cuò)誤信息。
A) 最有可能的原因是在你的系統(tǒng)中不存在那個(gè)被配置成'nopriv_user'的用戶(一般是 'nobody') 。vsftpd需要通過它以最低的權(quán)限運(yùn)行。
Q6) 求助!本地用戶無法登錄。
A) 有幾種可能的問題導(dǎo)致無法登錄。
A1) 默認(rèn)情況下,vsftpd只允許匿名用戶(anonymous)登錄。在你的/etc/vsftpd.conf配置文件中加入local_enable=YES就可以讓本地用戶登錄了。
A2) vsftpd需要與PAM聯(lián)系 (運(yùn)行"ldd vsftpd"檢查結(jié)果中有沒有l(wèi)ibpam可以確定這個(gè)). 如果vsftpd需要PAM支持, 你必須為vsftpd服務(wù)準(zhǔn)備一個(gè)PAM文件. 在"RedHat"目錄下有一個(gè)為RedHat系統(tǒng)準(zhǔn)備的PAM文件的例子,把它放在/etc/pam.d目錄下。
A3) 如果vsftpd不需要PAM, 那么會(huì)有多種原因?qū)е逻@種情況. 用戶的shell在 /etc/shells文件中嗎? 如果你使用shadow passwd,那么include路徑中有沒有shadow.h文件?
A4) 如果你沒有用PAM, vsftpd會(huì)用自己的方法檢查用戶的shell是否合法. 如果想用一個(gè)非法的shell(這樣用戶就只能用FTP登錄),你可以在配置文件中加入check_shell=NO.
Q7) 求助!上傳或其他”寫“命令都報(bào)"500 Unknown command.".
A) 默認(rèn)情況下”寫“命令(上傳和建新目錄等)都是被禁止的. 這是一種安全的方法. 要允許寫命令需要在配置文件/etc/vsftpd.conf中加入write_enable=YES.
Q8) 求助!chroot_local_user這個(gè)選項(xiàng)里有什么安全隱患?
A) 首先注意其他ftp服務(wù)器也有同樣的隱患。這是個(gè)一般性的問題。這個(gè)問題不是很嚴(yán)重,但它是這樣的:有些人使不被信任的ftp帳戶具有了全部的shell 訪問權(quán)限。如果這些帳戶可以上傳文件,那就會(huì)有一點(diǎn)風(fēng)險(xiǎn)。一個(gè)壞用戶就可以控制作為其家目錄的文件系統(tǒng)的根目錄。FTP進(jìn)程也許會(huì)使一些配置文件被訪問到,例如/etc/some_file。使用chroot(),這個(gè)文件就處于此用戶的控制之下。vsftpd非常在意這些安全問題。但是,系統(tǒng)的 libc也許想打開語言配置文件或其他的什么配置......
Q9) 求助!上傳后的文件權(quán)限是-rw-------。
A1) 根據(jù)上傳用戶是本地用戶還是匿名用戶,修改local_umask或anon_umask選項(xiàng)。例如,設(shè)置anon_umask=022指定匿名上傳的文件權(quán)限為-rw-r--r--。注意,22前面的0不能少。
A2) 也可以看看vsftpd.conf的man幫助中的新選項(xiàng)file_open_mode。
Q10) 求助!我如何集成LDAP用戶登錄?
A) 使vsftpd結(jié)合PAM,配置PAM使用LDAP認(rèn)證。
Q11) 求助!vsftpd可以配置成虛擬主機(jī)(virtual hosting)嗎?
A1) 可以。如果你使用xinetd方式運(yùn)行vsftpd,可以將xinetd綁定到幾個(gè)不同的IP地址。針對(duì)每一個(gè)IP地址,xinetd使用不同的配置文件啟動(dòng)vsftpd。這樣,你就能在每個(gè)IP上配置不同的vsftpd服務(wù)。
A2) 也可以用standalone方式運(yùn)行多個(gè)vsftpd實(shí)例。使用選項(xiàng)listen_address=x.x.x.x設(shè)置虛擬IP。
Q12) 求助!vsftpd支持虛擬用戶(virtual users)嗎?
A) 支持,通過PAM集成。在/etc/vsftpd.conf中設(shè)置guest_enable=YES,這樣的效果是所有非匿名用戶的成功登錄都映射成guest_username指定的本地用戶。然后,使用PAM和(例如:)它的pam_userdb模塊,就可以提高基于外部用戶庫(即不使用/etc/passwd)的認(rèn)證。注意:當(dāng)guest_enable生效后會(huì)有一個(gè)限制,就是本地用戶也被映射到guest_username(譯者:也就是說虛擬用戶與本地用戶不能同時(shí)使用)。EXAMPLE目錄里有配置虛擬用戶的例子。
Q13) 求助!vsftpd支持不同的用戶使用不同的配置嗎?
A) 支持,而且功能強(qiáng)大。看man幫助里的user_config_dir選項(xiàng)。
Q14) 求助!我可以把vsftpd的數(shù)據(jù)連接(data connections)限制到指定范圍的端口嗎?
A) 可以。看配置選項(xiàng)pasv_min_port和pasv_max_port。
Q15) 求助!我看到了"OOPS: chdir"這樣的信息。
A) 如果這是匿名用戶在登錄,就檢查系統(tǒng)用戶ftp的家目錄是否正確。如果你使用了anon_root這個(gè)選項(xiàng),也要檢查該選項(xiàng)是否正確。
通過文章的解答,是否各位都豁然開朗了,以前不懂的,現(xiàn)在大家都應(yīng)該知道了吧!別走開還有下篇!
【編輯推薦】
