討論區 › Linux & MAC › CentOS 6 FTP Server (vsftpd) and Secure

woff 發表於 2014-10-29 09:58:47

CentOS 6 FTP Server (vsftpd) and Secure

CentOS 6 使用vsftpd 使用yum install vsftpd -y安裝vsftpd 安裝完後編輯/etc/sysconfig/iptables新增-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPTservice iptables restart重啟iptables服務 由於SELinux的關係，需要將其解除保護，否則無法讀取ftp目錄輸入setsebool ftpd_disable_trans 1出現Could not change active booleans: Invalid Boolean代表成功再輸入setsebool -P ftp_home_dir=1(大約一分鐘，成功也不會有任何訊息)SELinux設定完成 輸入service vsftpd start啟用vsftpd服務這樣大致ftp server就設定完成可使用netstat -tunlp | grep vsftpd看看port21有沒有listentcp      0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      5168/vsftpd 預設匿名者可登入，請決定是否關掉vi /etc/vsftpd/vsftpd.confanonymous_enable=YES → anonymous_enable=NO--開機時若要自動啟用則輸入chkconfig vsftpd on--因為我沒有使用者可以測試，所以就自己新增試試...useradd santon新增使用者santonpasswd santon設定使用者santon的密碼(按enter輸入兩次密碼)然後ftp試連一下看看能不能連上--vsftpd裝好預設是active mode(好像吧我有點忘了...) 我是用filezilla，如果卡在"無法取得目錄列表"，網路上有說filezilla改成主動模式就可以(active mode) 但由於active mode的data channel是client給server port號，然後session由server的port 20向client發起，若client在NAT後面，則server可能會找不到client而失敗(因為client給的是private ip)，重點是NAT passive mode的data channel是server給client port號，然後session由client向server發起，client的nat通常是沒問題的。那當然這時NAT的問題就變成在Server端了，我哪知道server會給client什麼port號？ 但還好可以設定port的range，這樣防火牆也比較好設定 編輯/etc/vsftpd/vsftpd.conf新增以下幾條 pasv_enable=YESpasv_min_port=3000pasv_max_port=3005 3000~3005是我設定的port range當然設定完成iptables也要新增一條-A INPUT -m state --state NEW -m tcp -p tcp --dport 3000:3005 -j ACCEPT然後重啟iptables vsftpd passive設定完成 PS.FTP的PORT號表示是(192,168,1,100,A,B)，A*256 + B = PORT號例如192,168,1,100,19,137，19*256+137=5001，5001就是PORT號 以上是參考鳥哥的網站，寫得很詳細http://linux.vbird.org/linux_server/0410vsftpd.php http://jerome.anyday.com.tw/archives/35 -- FTPS or SFTP我只是想讓FTP比較安全而已https://www.dbtsai.com/blog/2009-05-07-update-wordpress-with-sftp/ 看了上面文章大概有點了解FTPS用SSL憑證加密，SFTP用SSH通道加密，可是該選哪個？ http://www.eldos.com/sbb/sftp-ftps.net/ftps-vs-sftp.php 我看到SFTP有Has only one connection (no need for DATA connection)就直接偷懶試試filezilla的sftp，成功連上！因為是使用SSH通道，全部都打包成22加密送出去但是22暴露在internet很危險，所以打算在firewall上做個mapping再來測試 --順便裝個webmin試試yum install webmin -y預設webmin使用port 10000安裝完後編輯/etc/sysconfig/iptables新增-A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT可是裡面沒有vsftpd的module，去下載即可，請參考下面文章http://jerome.anyday.com.tw/archives/237vsftpd.conf找不到請設定好路徑就可以，例/etc/vsftpd/vsftpd.conf--chroot也稍微測試一下，目的使讓使用者不要到處跑，只限制在自己的home directory也只是照著打而已，在/etc/vsftpd/vsftpd.conf新增以下chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list chroot_list裡的帳號是不受家目錄的限制，可以亂跑，其他人只能在自己的家目錄http://linux.vbird.org/linux_server/0410vsftpd.php

查看完整版本: CentOS 6 FTP Server (vsftpd) and Secure