使用pure-ftpd搭建ftp服务
文章发布较早,内容可能过时,阅读注意甄别。
Pure-Ftpd 是一个快速、产品级(production-quality)的标准格式 FTP 服务器,基于 Troll─FTPd。
在设计上,此服务器的默认设置即十分安全,没有已知的弱点。它很容易就可以建起来,而且是专为现在的内核设计的。它已经被成功的移植到很多操作系统,如 inux,FreeBSD, NetBSD, OpenBSD, ISOS, EkkoBSD, BSDi, Solaris, Darwin, Tru64, Irix, AIX ,HPUX。
它的特点有:chroot()ed 和 / 或虚拟 chroot()ed 主目录、虚拟域、内建的 “ls”, antiwarez 系统、被动下载可设置端口、FXP 协议、带宽限制、磁盘配额、基于 LDAP/Mysql/PostgreSQL 的验证、格言 (fortune) 文件、类 Apache 的日志、快速独立运行模式、文本 / HTML/XML 实时状态报告、虚拟用户、虚拟磁盘配额、优先级分离、SSL/TLS 等。
# 1,两种安装
源码以及二进制安装都是可以的。
二进制:
$ yum install -y epel-release
$ yum install -y pure-ftpd lftp
1
2
2
源码:
$ yum install -y openssl openssl-devel gcc gcc-c++
$ wget https://download.pureftpd.org/pub/pure-ftpd/releases/pure-ftpd-1.0.47.tar.gz
$ tar zxvf pure-ftpd-1.0.47.tar.gz
$ cd pure-ftpd-1.0.47
$ ./configure \
--prefix=/usr/local/pureftpd \
--without-inetd \
--with-altlog \
--with-puredb \
--with-throttling \
--with-peruserlimits \
--with-tls
$ make && make install
1
2
3
4
5
6
7
8
9
10
11
12
13
2
3
4
5
6
7
8
9
10
11
12
13
# 2,配置启动。
修改配置文件以启动,往后边,就以二进制为基准来配置了。
[root@hf-01 ~]# vim /etc/pure-ftpd/pure-ftpd.conf
搜索/pureftpd.pdb行首的 #号 删除
PureDB /etc/pure-ftpd/pureftpd.pdb
1
2
3
2
3
启动服务。
systemctl start pure-ftpd
1
# 3,配置权限。
- 创建测试目录,为了给 pure-ftpd 用户使用,再创建用户
$ mkdir /data/ftp
$ useradd pure-ftp
1
2
2
- 把 / data/ftp 的属主和属组改成 pure-ftp
chown -R pure-ftp:pure-ftp /data/ftp
1
- 用 pure-pw useradd 命令创建一个用户
- pure-pw useradd [指定用户] -u [指定系统用户] -d [指定虚拟用户的家目录]
pure-pw useradd ftp_usera -u pure-ftp -d /data/ftp
1
- 可以使用 pure-pw –help 查看该命令支持那些用法
- 命令 pure-pw mkdb,是用来把密码生成系统,也就是 pure-ftpd 服务所识别的一种文件,不执行这一步是无法登录的
pure-pw mkdb
1
# 4,测试 pure-ftpd
- 先在 / data/ftp / 目录下创建一个文件
pure-pw useradd ftp_usera -u pure-ftp -d /data/ftp^C
touch /data/ftp/123.txt
1
2
2
- 使用 pure-ftpd
lftp ftp_usera@127.0.0.1
口令:
lftp ftp_usera@127.0.0.1:~>
1
2
3
2
3
- 可以查看到刚创建的 123.txt 文件,uid 和 gid 为 root
lftp ftp_usera@127.0.0.1:~> ls
drwxr-xr-x 2 1010 pure-ftp 20 Jan 19 04:51 .
drwxr-xr-x 2 1010 pure-ftp 20 Jan 19 04:51 ..
-rw-r--r-- 1 0 0 0 Jan 19 04:51 123.txt
1
2
3
4
2
3
4
退出 pure-ftpd,只需要输入 quit 命令 即可
- 这时我们改变 123.txt 文件的属主和属组
chown pure-ftp:pure-ftp /data/ftp/123.txt
1
- 在登录 pure-ftpd 中去查看 123.txt 文件的属主和属组,会看到属主为 uid,属组映射为系统中组的名字 pure-ftpd
[root@hf-01 ~]# lftp ftp_usera@127.0.0.1
口令:
lftp ftp_usera@127.0.0.1:~> ls
drwxr-xr-x 2 1010 pure-ftp 20 Jan 19 04:51 .
drwxr-xr-x 2 1010 pure-ftp 20 Jan 19 04:51 ..
-rw-r--r-- 1 1010 pure-ftp 0 Jan 19 04:51 123.txt
1
2
3
4
5
6
2
3
4
5
6
# 5,其他常用命令。
查看有哪些用户
$ pure-pw list yuyao /data/www/app-upload/./ lixing /data/www/www.eryajf.net/./ wanghx /data/www/app-upload/./1
2
3
4
pure-pw 命令的其他参数
-t 下载带宽限制
-T 上传带宽限制
-n 最大文件数目
-N 磁盘配额(单位M)
-q 上传速度限制
-Q 下载速度限制
-r 允许某些ip/网段的客户端访问
-R 拒绝某些ip/网段的客户端访问
-i 允许本地某些ip/网段访问(allow local host)
-I 拒绝本地某些ip/网段访问(deny local host)
-y 同时最大连接数目
-z 允许连接服务器的时间段,格式hhmm-hhmm,如 -z 0412-1618代表用户只能在凌 晨4点12分至下午4点18分连接服务器
-f passwd_file
-F puredb_file
-m 不必重启Pure-FTPd以及重新生成puredb_file文件
如果进行帐户操作时,没有带-m 参数,那就应该手动更新一下pdb数据:
/usr/local/stow/pure-ftpd-1.0.21/bin/pure-pw mkdb pureftpd.pdb
pure-pw useradd 添加用户
pure-pw userdel 删除用户
pure-pw usermod 修改用户
pure-pw show 查看用户详细信息
pure-pw list 查看所有用户设置
pure-pw mkdb 生成数据文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 6,配置文件详解。
# /usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf
#
# RPM 缺省使用另外一个配置文件:
# /etc/sysconfig/pure-ftpd
#
# 请不要忘了浏览一下 [url]http://www.pureftpd.org/documentation.html[/url] 的
# 文档,查看全部的选项列表。
# 限制所有用户在其主目录中
ChrootEveryone yes
# 如果前一个指令被设置为了 "no",下面组的成员(GID)就不受主目录的限制了。而其他的用户还是
# 会被限制在自己的主目录里。如果你不想把任何用户限制在自己的主目录里,只要注释掉 ChrootEveryone
# 和 TrustedGID 就可以了。
# TrustedGID 100
# 兼容ie等比较非正规化的ftp客户端
BrokenClientsCompatibility no
# 服务器总共允许同时连接的最大用户数
MaxClientsNumber 50
# 做为守护(doemon)进程运行(Fork in background)
Daemonize yes
# 同一IP允许同时连接的用户数(Maximum number of sim clients with the same IP address)
MaxClientsPerIP 8
# 如果你要记录所有的客户命令,设置这个指令为 "yes"。
# This directive can be duplicated to also log server responses.
VerboseLog no
# 即使客户端没有发送 '-a' 选项也列出隐藏文件( dot-files 。
DisplayDotFiles yes
# 不允许认证用户 - 仅作为一个公共的匿名FTP。
AnonymousOnly no
# 不允许匿名连接,仅允许认证用户使用。
NoAnonymous no
# Syslog facility (auth, authpriv, daemon, ftp, security, user, local*)
# 缺省的功能( facility 是 "ftp"。 "none" 将禁止日志。
SyslogFacility ftp
# 定制用户登陆后的显示信息(Display fortune cookies)
# FortunesFile /usr/share/fortune/zippy
# 在日志文件中不解析主机名。日志没那么详细的话,就使用更少的带宽。在一个访问量很大
# 的站点中,设置这个指令为 "yes" ,如果你没有一个能工作的DNS的话。
DontResolve yes
# 客户端允许的最大的空闲时间(分钟,缺省15分钟)
MaxIdleTime 15
# LDAP 配置文件 (参考 README.LDAP)
# LDAPConfigFile /etc/pureftpd-ldap.conf
# MySQL 配置文件 (参考 README.MySQL)
# MySQLConfigFile /etc/pureftpd-mysql.conf
# Postgres 配置文件 (参考 README.PGSQL)
# PGSQLConfigFile /etc/pureftpd-pgsql.conf
# PureDB 用户数据库 (参考 README.Virtual-Users)
# PureDB /etc/pureftpd.pdb
# pure-authd 的socket 路径(参考 README.Authentication-Modules)
# ExtAuth /var/run/ftpd.sock
# 如果你要启用 PAM 认证方式, 去掉下面行的注释。
# PAMAuthentication yes
# 如果你要启用 简单的 Unix系统 认证方式(/etc/passwd), 去掉下面行的注释。
# UnixAuthentication yes
# 请注意,LDAPConfigFile, MySQLConfigFile, PAMAuthentication 和
# UnixAuthentication 这些指令只能被使用一次,不过,他们能被混合在一起用。例如:如果你使用了
# MySQLConfigFile 和 UnixAuthentication,那么 SQL 服务器将被访问。如果因为用户名未找
# 到而使 SQL 认证失败的话,就会在/etc/passwd 和 /etc/shadow 中尝试另外一种认证,如果因
# 为密码错误而使 SQL 认证失败的话,认证就会在此结束了。认证方式由它们被给出来的顺序而被链
# 接了起来。
# 'ls' 命令的递归限制。第一个参数给出文件显示的最大数目。第二个参数给出最大的子目录深度。
LimitRecursion 2000 8
# 允许匿名用户创建新目录?
AnonymousCanCreateDirs no
# 如果系统被 loaded 超过下面的值,匿名用户会被禁止下载。
MaxLoad 4
# 被动连接响应的端口范围。- for firewalling.
# PassivePortRange 30000 50000
# 强制一个IP地址使用被动响应( PASV/EPSV/SPSV replies)。 - for NAT.
# Symbolic host names are also accepted for gateways with dynamic IP
# addresses.
# ForcePassiveIP 192.168.0.1
# 匿名用户的上传/下载的比率。
# AnonymousRatio 1 10
# 所有用户的上传/下载的比率。
# This directive superscedes the previous one.
# UserRatio 1 10
# 不接受所有者为 "ftp" 的文件的下载。例如:那些匿名用户上传后未被本地管理员验证的文件。
AntiWarez yes
# 服务监听的IP 地址和端口。(缺省是所有IP地址和21端口)
# Bind 127.0.0.1,21
# 匿名用户的最大带宽(KB/s)。
# AnonymousBandwidth 8
# 所有用户的最大带宽(KB/s),包括匿名用户。
# Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
# UserBandwidth 8
# 新建目录及文件的属性掩码值。<文件掩码>:<目录掩码> .
# 177:077 if you feel paranoid.
Umask 133:022
# 认证用户允许登陆的最小组ID(UID) 。
MinUID 100
# 仅允许认证用户进行 FXP 传输。
AllowUserFXP yes
# 对匿名用户和非匿名用户允许进行匿名 FXP 传输。
AllowAnonymousFXP no
# 用户不能删除和写点文件(文件名以 '.' 开头的文件),即使用户是文件的所有者也不行。
# 如果 TrustedGID 指令是 enabled ,文件所属组用户能够访问点文件(dot-files)。
ProhibitDotFilesWrite no
# 禁止读点文件(文件名以 '.' 开头的文件) (.history, .ssh...)
ProhibitDotFilesRead no
# 永不覆盖文件。当上传的文件,其文件名已经存在时,自动重命名,如: file.1, file.2, file.3, ...
AutoRename no
# 不接受匿名用户上传新文件( no = 允许上传)
AnonymousCantUpload no
# 仅允许来自以下IP地址的非匿名用户连接。你可以使用这个指令来打开几个公网IP来提供匿名FTP,
# 而保留一个私有的防火墙保护的IP来进行远程管理。你还可以只允许一内网地址进行认证,而在另外
# 一个IP上提供纯匿名的FTP服务。
#TrustedIP 10.1.1.1
# 如果你要为日志每一行添加 PID 去掉下面行的注释。
# LogPID yes
# 使用类似于Apache的格式创建一个额外的日志文件,如:
# fw.c9x.org - jedi [13/Dec/1975:19:36:39] "GET /ftp/linux.tar.bz2" 200 21809338
# 这个日志文件能被 www 流量分析器处理。
# AltLog clf:/var/log/pureftpd.log
# 使用优化过的格式为统计报告创建一个额外的日志文件。
# AltLog stats:/var/log/pureftpd.log
# 使用标准的W3C格式创建一个额外的日志文件。(与大部分的商业日志分析器兼容)
# AltLog w3c:/var/log/pureftpd.log
# 不接受 CHMOD 命令。用户不能更改他们文件的属性。
# NoChmod yes
# 允许用户恢复和上传文件,却不允许删除他们。
# KeepAllFiles yes
# 用户主目录不存在的话,自动创建。
# CreateHomeDir yes
# 启用虚拟的磁盘限额。第一个数字是最大的文件数。
# 第二个数字是最大的总的文件大小(单位:Mb)。
# 所以,1000:10 就限制每一个用户只能使用 1000 个文件,共10Mb。
# Quota 1000:10
# 如果你的 pure-ftpd 编译时加入了独立服务器( standalone 支持,你能够改变 pid 文件
# 的位置。缺省位置是 /var/run/pure-ftpd.pid 。
# PIDFile /var/run/pure-ftpd.pid
# 如果你的 pure-ftpd 编译时加入了 pure-uploadscrīpt 支持,这个指令将会使 pure-ftpd
# 发送关于新上传的情况信息到 /var/run/pure-ftpd.upload.pipe,这样 pure-uploadscrīpt
# 就能读然后调用一个脚本去处理新的上传。
# CallUploadscrīpt yes
# 这个选项对允许匿名上传的服务器是有用的。当 /var/ftp 在 /var 里时,需要保留一定磁盘空间
# 来保护日志文件。当所在磁盘分区使用超过百分之 X 时,将不在接受新的上传。
MaxDiskUsage 99
# 如果你不想要你的用户重命名文件的话,就设置为 'yes' 。
# NoRename yes
# 是 'customer proof' : 工作区(workaround)反对普通的客户错误,类似于:'chmod 0 public_html' 的错误。
# 那是一个有效的命令,不过,将导致无知的客户所定他们自己的文件,将使你的技术支持忙于愚蠢的的问题中。
# 如果你确信你所有的用户都有基本的Unix知识的话,这个特性将没什么用了。不过,如果你是一个主机提供商
# 的话,启用它。
CustomerProof yes
# 每一个用户的并发限制。只有在添加了 --with-peruserlimits 编译选项进行编译后,这个指令才起
# 作用。(大部分的二进制的发布版本就是例子)
# 格式是 : <每一个用户最大允许的进程>:<最大的匿名用户进程>
# 例如: 3:20 意思是同一个认证用户最大可以有3个同时活动的进程。而且同时最多只能有20个匿名用户进程。
# PerUserLimits 3:20
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
上次更新: 2024/11/19, 23:11:42
|