centos与vsftp集成应用案例

在CentOS上通过vsftpd搭建基础的FTP服务，满足匿名用户只读、本地用户可读写的常见需求。

环境准备：关闭防火墙（或放行21、22端口）；安装vsftpd（yum install vsftpd -y）。
目录与用户配置：创建共享基目录/data（本地用户主目录）和匿名用户目录/data/all；创建管理员用户admin（无家目录，用于管理匿名目录）和普通用户test（家目录/data/test）。
vsftpd配置：修改/etc/vsftpd/vsftpd.conf，关键参数包括：anonymous_enable=YES（开启匿名）、local_enable=YES（允许本地用户）、chroot_local_user=YES（锁定用户至家目录）、anon_root=/data/all（匿名用户根目录）、local_root=/data（本地用户根目录）。
权限与启动：设置匿名目录属主为admin（chown -R admin:admin /data/all）；启动vsftpd并设置开机自启（systemctl restart vsftpd && systemctl enable vsftpd）。
客户端测试：通过Windows文件管理器或FileZilla输入ftp://服务器IP，分别用匿名用户（仅能查看/data/all）和test用户（可上传/下载/data/test下的文件）验证功能。

将vsftpd与Apache集成，实现通过Web界面管理FTP文件（如上传、下载、删除），提升文件管理的便捷性。

基础准备：安装vsftpd（配置同基础案例）和Apache（yum install httpd -y）；启动并启用两者服务。
防火墙配置：允许FTP流量（firewall-cmd --permanent --add-service=ftp && firewall-cmd --reload）。
集成方式：通过Web管理工具（如FileZilla Server Manager）实现——安装工具后，添加FTP服务器信息（IP、端口、用户），通过工具的Web界面（http://服务器IP:8080）管理vsftpd用户及文件。
测试：使用浏览器访问工具界面，登录后上传文件至FTP服务器，再用FTP客户端验证文件是否同步。

通过vsftpd结合PAM和MySQL实现虚拟用户认证，解决公共账号密码泄露问题，支持不同用户差异化权限。

环境准备：安装vsftpd、MySQL（yum install vsftpd mariadb-server -y）；启动MySQL服务。
MySQL数据库配置：创建vsftpd数据库及用户表（CREATE DATABASE vsftpd; CREATE TABLE users (name VARCHAR(50) PRIMARY KEY, password VARCHAR(50));）；插入测试用户（INSERT INTO users VALUES ('tom', '123456'), ('jerry', '123456');）；授权用户访问（GRANT ALL ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'centos'; FLUSH PRIVILEGES;）。
PAM认证配置：创建/etc/pam.d/vsftpd.mysql，添加MySQL认证语句（auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=centos host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2）。
vsftpd配置：修改/etc/vsftpd/vsftpd.conf，关键参数包括：pam_service_name=vsftpd.mysql（指定PAM服务）、guest_enable=YES（启用虚拟用户）、guest_username=vuser（虚拟用户映射的系统用户，需创建vuser并设置家目录/ftproot）。
权限控制：为虚拟用户创建单独配置文件（/etc/vsftpd/vusers_conf/tom允许上传、jerry禁止上传）；设置上传目录权限（setfacl -m u:vuser:rwx /ftproot/upload）。
测试：用FileZilla连接FTP服务器（选择“虚拟用户”），分别用tom（可上传）和jerry（不可上传）验证权限差异。

将vsftpd与企业内部LDAP（域控）集成，实现域账号登录FTP，统一身份认证，避免重复创建账号。

环境准备：安装vsftpd、LDAP客户端（yum install vsftpd nscd nss-pam-ldapd -y）；配置LDAP客户端（/etc/nslcd.conf）指向域控服务器。
vsftpd配置：修改/etc/vsftpd/vsftpd.conf，关键参数包括：anonymous_enable=NO（禁用匿名）、local_enable=YES（允许本地用户）、guest_enable=YES（启用虚拟用户）、guest_username=compiler（虚拟用户映射的系统用户，需创建compiler并设置家目录/opt）、pam_service_name=vsftpd（使用LDAP认证的PAM配置）。
PAM配置：修改/etc/pam.d/vsftpd，添加LDAP认证语句（auth required /usr/lib64/security/pam_ldap.so、account required /usr/lib64/security/pam_ldap.so）。
测试：用域账号（如pcan1250）连接FTP服务器，验证是否能登录至映射目录（/opt），并执行上传、下载操作。

在企业网络环境中，主动模式（PORT）常因防火墙拦截或NAT转换导致连接失败，需配置vsftpd使用被动模式（PASV）。

基础准备：安装vsftpd（配置同基础案例）；确保防火墙允许FTP端口（21）及被动模式端口范围（如50000-50100）。
vsftpd配置：修改/etc/vsftpd/vsftpd.conf，关键参数包括：pasv_enable=YES（开启被动模式）、pasv_min_port=50000（被动模式最小端口）、pasv_max_port=50100（被动模式最大端口）、pasv_address=服务器公网IP（若服务器在NAT后，需指定公网IP）。
防火墙配置：放行被动模式端口范围（firewall-cmd --permanent --add-port=50000-50100/tcp && firewall-cmd --reload）。
测试：用FTP客户端（如FileZilla）连接服务器，查看连接信息中的“被动模式”是否启用，验证是否能正常上传/下载文件（尤其从外部网络访问时）。

最新问答