BlogJava-szhswl-文章分类-操作系统

apache2自动启动脚本FOR RHEL AS4 U2

宋针还 — Wed, 12 Dec 2007 13:58:00 GMT

  1 #!/bin/bash
  2 #
  3 # httpd        Startup script for the Apache HTTP Server
  4 #
  5 # chkconfig: - 85 15
  6 # description: Apache is a World Wide Web server.  It is used to serve \
  7 #              HTML files and CGI.
  8 # processname: httpd
  9 # config: /etc/httpd/conf/httpd.conf
10 # config: /etc/sysconfig/httpd
11 # pidfile: /var/run/httpd.pid
12
13 # Source function library.
14 . /etc/rc.d/init.d/functions
15
16 if [ -f /etc/sysconfig/httpd ]; then
17         . /etc/sysconfig/httpd
18 fi
19
20 # Start httpd in the C locale by default.
21 HTTPD_LANG=${HTTPD_LANG-"C"}
22
23 # This will prevent initlog from swallowing up a pass-phrase prompt if
24 # mod_ssl needs a pass-phrase from the user.
25 INITLOG_ARGS=""
26
27 # Set HTTPD=/usr/sbin/httpd.worker in /etc/sysconfig/httpd to use a server
28 # with the thread-based "worker" MPM; BE WARNED that some modules may not
29 # work correctly with a thread-based MPM; notably PHP will refuse to start.
30
31 # Path to the apachectl script, server binary, and short-form for messages.
32 apachectl=/usr/local/apache2/bin/apachectl
33 httpd=${HTTPD-/usr/local/apache2/bin/httpd}
34 prog=httpd
35 pidfile=${PIDFILE-/var/run/httpd.pid}
36 lockfile=${LOCKFILE-/var/lock/subsys/httpd}
37 RETVAL=0
38
39 # check for 1.3 configuration
40 check13 () {
41         CONFFILE=/usr/local/apache2/conf/httpd.conf
42         GONE="(ServerType|BindAddress|Port|AddModule|ClearModuleList|"
43         GONE="${GONE}AgentLog|RefererLog|RefererIgnore|FancyIndexing|"
44         GONE="${GONE}AccessConfig|ResourceConfig)"
45         if LANG=C grep -Eiq "^[[:space:]]*($GONE)" $CONFFILE; then
46                 echo
47                 echo 1>&2 " Apache 1.3 configuration directives found"
48                 echo 1>&2 " please read /usr/share/doc/httpd-2.0.52/migration.html"
49                 failure "Apache 1.3 config directives test"
50                 echo
51                 exit 1
52         fi
53 }
54
55 # The semantics of these two functions differ from the way apachectl does
56 # things -- attempting to start while running is a failure, and shutdown
57 # when not running is also a failure.  So we just do it the way init scripts
58 # are expected to behave here.
59 start() {
60         echo -n $"Starting $prog: "
61         check13 || exit 1
62         LANG=$HTTPD_LANG daemon $httpd $OPTIONS
63         RETVAL=$?
64         echo
65         [ $RETVAL = 0 ] && touch ${lockfile}
66         return $RETVAL
67 }
68 stop() {
69         echo -n $"Stopping $prog: "
70         killproc $httpd
71         RETVAL=$?
72         echo
73         [ $RETVAL = 0 ] && rm -f ${lockfile} ${pidfile}
74 }
75 reload() {
76     echo -n $"Reloading $prog: "
77     if ! LANG=$HTTPD_LANG $httpd $OPTIONS -t >&/dev/null; then
78         RETVAL=$?
79         echo $"not reloading due to configuration syntax error"
80         failure $"not reloading $httpd due to configuration syntax error"
81     else
82         killproc $httpd -HUP
83         RETVAL=$?
84     fi
85     echo
86 }
87
88 # See how we were called.
89 case "$1" in
90   start)
91         start
92         ;;
93   stop)
94         stop
95         ;;
96   status)
97         status $httpd
98         RETVAL=$?
99         ;;
100   restart)
101         stop
102         start
103         ;;
104   condrestart)
105         if [ -f ${pidfile} ] ; then
106                 stop
107                 start
108         fi
109         ;;
110   reload)
111         reload
112         ;;
113   graceful|help|configtest|fullstatus)
114         $apachectl $@
115         RETVAL=$?
116         ;;
117   *)
118         echo $"Usage: $prog {start|stop|restart|condrestart|reload|status|fullstatus|graceful|help|configtest}"
119         exit 1
120 esac
121
122 exit $RETVAL

宋针还 2007-12-12 21:58 发表评论

找回ROOT密码

宋针还 — Mon, 10 Dec 2007 00:40:00 GMT

一. Freebsd
　　FreeBSD 4.7
　　当显示 boot ... 9 seconds按任意健
　　输入：boot -s
　　登录以后
　　#/sbin/mount -a
　　#passwd
　　输入新密码.
　　FreeBSD 5.*
　当要求选择启动模式时按4进入单用户模式登录以后
　　#/sbin/mount -a
　　#passwd
　　输入新密码.
　　二. Solaris
　　ROOT密码遗忘的处理方法
　　1,如果还能用普通用户登陆的话,%df /etc,确定包含/etc目录分区的设备名
　　%df /etc
　　/ /dev/dsk/c0t0d0s0...
　　此例中是c0t0d0s0,如果你的根目录分区设备不一样的话,替换一下就可以啦
　　2,把系统盘插入cdrom中
　　3,出现提示符后,使用sync命令刷新文件系统
　　4,按下stop+A
　　5,ok状态下键入boot cdrom -s
　　6,在#提示符下键入mkdir /temp ,然后键入mount /dev/dsk/c0t0d0s0 /temp
　　如果出现挂接不上的情况时,那么就运行fsck先 fsck /dev/rdsk/c0t0d0s0,然后在mount
　　7,cd /temp/etc
　　8,cp shadow shadowbak
　　9,cat shadow
　　得到root的口令字符串
　　root:djglcj0J:6453::::(其中djglcj0J就是root的加密后的口令字符串)
　　10,sed s/djglcj0J// shadow>shadownew
11,cat shadownew查看是否已经变为
　　root::6453::::
　　12,cp shadownew shadow
　　13,cd /
　　unmount /temp
　　sync
　　shutdown -i0 -g0 -y
　　14,取出CD后,重起系统,这时root就不需要密码啦！
　　这样也可以！
　　OK boot cdrom -s
　　#TERM=sun
　　#export TERM
　　#mount /dev/dsk/c0t0d0s0 /a
　　#vi /a/etc/shadow(删除root的加密后的密码)
　　#reboot
　　三. SCO UNIX
　　一旦运行SCO UNIX 机器的超级用户口令忘了，可以用这个方法解决。
　　在另一台安装了SCO UNIX的机器上，以Root用户注册，进入系统，用 mkdev fd命令或命令scoadmin中的Filesystem之Floppy Filesystem Manager来制作应急启动盘，包括Boottable 盘和Root filesystem盘。
　　将上述制作的Root filesystem盘安装到硬盘上。
　　# mount /dev/fd0135ds18 /mnt
　　再将硬盘上的/etc/passwd 和/tcb/files/auth/r/root两个文件拷贝到Root filesystem盘上。
　　# cp /etc/passwd /mnt
　　# cp /tcb/files/auth/r/root /mnt
　　卸载机器1硬盘上的软盘。
　　# umount /dev/rfd0135ds18
　　用Boot软盘去启动遗忘口令的机器，根据提示插入Root filesystem软盘，待出现"#"时，进行下面操作，将硬盘挂到软盘上：
　　# mount /dev/hd0root /mnt
　　备份硬盘上的/etc/passwd和/tcb/files/auth/r/root两个文件。因为这两个文件中还包含其他用户的注册信息。
　　用Root filesystem软盘上的两个文件，覆盖硬盘上的两个文件/etc/passwd 和/tcb/files/auth/r/root。
　# mkdir /cyh
　　# mount /dev/fd0135ds18 /cyh
　　# cd /cyh
　　# cp passwd /mnt/etc
　　# cp root /mnt/tcb/files/auth
　　卸载安装上的两个文件系统。
　　# umount /dev/hd0root
　　# umount /dev/fd0135ds18
　　取出软盘，重新启动机器，待出现Login时，以Root用户注册，键入第二台机器的超级用户口令，这样便可进入的超级用户了。
　　进入超级用户后，用Passwd和Root这两个文件的备份覆盖原来的文件，接着用passwd命令修改超级用户的口令。
　　用户可以用Alt+F2换一个窗口，以Root注册，现在用修改后的口令就能用了。
　　四. AIX 4.3.3(IBM) RS/6000
　　将第一张安装盘放入光驱，重起机器，按f5键，终端按5，进入maintance页面，选择mount rootvg的功能选项，调用password修改口令，退出即可
　　五. Linux
　　三种办法：
　　1.在系统进入单用户状态，直接用passwd root去更改
　　2.用安装光盘引导系统，进行linux rescue状态，将原来/分区挂接上来,作法如下：
　　cd /mnt
　　mkdir hd
　　mount -t auto /dev/hdaX(原来/分区所在的分区号) hd
　　cd hd
　　chroot ./
　　passwd root
　　这样可以搞定
　　3.将本机的硬盘拿下来，挂到其他的linux系统上，采用的办法与第二种相同
六. RedHat 8/RedHat9
　　（1）. lilo法
　　1. 在出现 lilo: 提示时键入 linux single
　　画面显示 lilo: linux single
　　2. 回车可直接进入linux命令行
　　3. #vi /etc/shadow
　　将第一行，即以root开头的一行中root:后和下一个:前的内容删除，
　　第一行将类似于
　　root::......
　　保存
　　4. #reboot重启，root密码为空
　　（2）. grub法
　　1. 在出现grub画面时，用上下键选中你平时启动linux的那一项(别选dos哟)，然后按e键
　　2. 再次用上下键选中你平时启动linux的那一项(类似于kernel /boot/vmlinuz-2.4.18-14 ro root=LABEL=/)，然后按e键
　　3. 修改你现在见到的命令行，加入single，结果如下：
　　kernel /boot/vmlinuz-2.4.18-14 single ro root=LABEL=/
　　4. 回车返回，然后按b键启动，即可直接进入linux命令行
　　5. #vi /etc/shadow
　　将第一行，即以root开头的一行中root:后和下一个:前的内容删除，
　　第一行将类似于
　　root::......
　　保存
　　6. #reboot重启，root密码为空
　　7.HP-UX
　　启动时按esc 进入isl
　　进入ISL后：
　　isl>bo pri
　　(yes/no)y
　　ipl>hpux -is
　　ipl>vi /etc/passwd
　　去掉root 的密码即可

宋针还 2007-12-10 08:40 发表评论

Solaris安装和基本配置

宋针还 — Sat, 08 Dec 2007 11:16:00 GMT

下载:
从这个网址（http://www.sun.com/software/solaris/get.jsp）可以下载最新的Solaris 10 3/05 for x64/x86的光盘。上去一看，有好多光盘啊，我下载了下面五张：
Solaris 10 3/05 CD 1
Solaris 10 3/05 CD 2
Solaris 10 3/05 CD 3
Solaris 10 3/05 CD 4
Solaris 10 3/05 Language CD
下载完Solaris 10 的光盘, 粗粗地看了一下其中的内容。第一张盘主要是Solaris 系统基本软件，第二张有许多和gnome相关的包，第三张主要是staroffice, 第四张包含了许多open source的软件如Apache/Ant/Python/TCL/mysql等等。

安装准备：
笔者还是喜欢用Linux 的分区工具，通过使用http://gceclub.sun.com.cn/NASApp/sme/jive/thread.jsp?GXHC_JSESSIONID=-2089798192477626027&GXHC_jive.user.lastvisited=1107746952510&forum=14&thread=6819 描述
的方法做了分区。我把自己60G的硬盘分为4个区，
名称内容类型大小文件系统描述
/dev/hda1 Win->C: Primary 10G NTFS Windows XP
/dev/hda2 Ext Ext 25G --- 扩展分区
/dev/hda3 Linux Primary 10G EXT3 Linux
/dev/hda4 Solaris Primary 11.5G Solaris Solaris x86 partition
/dev/hda5 数据分区 Logical 12G FAT32 所有操作系统共享
/dev/hda6 数据分区 Logical 12G FAT32 所有操作系统共享
/dev/hda7 linux swap Logical 1G swap Linux swap,

其中第四个主分区ID配成了0x82 (Solaris 分区), 大小为12G, 然后把自己下载的文件都先解成.iso文件并放在/dev/hda5分区下,这个分区在Windows下面是D盘.

安装:
笔者比较吝啬，一看要刻那么多盘，不干了。决定试试只刻第一张盘的方法。刻好第一张盘，把BIOS设为光盘启动，然后从光盘启动。非常顺利地看到了Solaris 的启动界面：
SunOS Secondary Boot Version 4.02, 然后等待Initializing System... 选1。 Solaris Interactive, 继续等待. Configuring devices 那一步比较慢。

经过几分钟的等待后就看到系统自己认识了我的Intel Pro/100 VE 网卡 iprb0，接着又看到系统自己认识了我的显卡(Nvidia Gefore 4 420)、键盘和鼠标等，非常高兴!
要知道，在Solaris 9安装的时候，我可是费了好大的劲才配上显卡网卡的啊。(请参见
http://gceclub.sun.com.cn/NASApp/sme/jive/thread.jsp?GXHC_JSESSIONID=-2089798192477626027&GXHC_jive.user.lastvisited=1107746952510&forum=14&thread=6681)

接着就开始配置了。我选的是用简体中文安装，接下来配置网络、地域、时间、Root口令等，非常简单，这里我就不多说了。接下来我选择软件自动重新引导和自动弹出CD,
第一张盘安装的介质我选择了CD, 后面的几张盘我都是选择了网络文件系统。接收License Agreement后选择了初始安装、自定义安装，选择了所有的中文的软件包并且把默认语言环境设为中文的GB18030, 没有选择任何附加产品，然后选择整个群组/缺省包，选择磁盘上的Solaris分区，选择不保留数据，在分布文件系统时，因为是个人机器, 我只配了/ 和swap 两个文件系统

我的文件系统如下
/ 10G
swap 1.5G
接着就开始安装了。

当第一张盘安装结束后，要注意在重启过程中取出第一张光盘，否则机器又会从光盘启动。当系统提示第二张光盘的位置时，我选择了网络文件系统(目的是节约几张光盘)。
前面讲到，我的Solaris 10光盘ISO文件在/dev/hda5下面，也就是Windows下的D盘，是FAT32的文件系统。我的做法是，先打开一个Terminal，然后把这个FAT32的磁盘mount 到Solaris下，最后通过lofiadm/mount命令把ISO文件 mount到Solaris下面。做法如下：
1. 把FAT32的光盘mount到Solaris下面：
首先建立目的目录，我打算把/dev/hda5 mount到/wind, /dev/hda6 mount到/wine. 所以，运行# mkdir /wind #mkdir /wine.
接着/dev/dsk, ls 看到c0d0p0到c0d0p4, 这里c0d0p2就对应前面分区表中的/dev/hda2了，也就是那个扩展分区，里面包含了两个FAT32的logical-drive /dev/hda5和/dev/hda6。
在Solaris 里面用device-name和logical-drive分别对应主分区和逻辑分区。这里扩展分区的device-name是c0d0p2，/dev/hda5逻辑分区的logical-drive 可以用c 或者数字1来表示。 /dev/hda6的logical-drive是d 或者数字2。弄清楚了这些命令就简单了。
#mount -F pcfs /dev/dsk/c0d0p2:c /wind
#mount -F pcfs /dev/dsk/c0d0p2:d /wine
当然，要记住在/etc/vfstab里面加入下面两行，以便系统重新启动时能把FAT32的分区自动mount上
/dev/dsk/c0d0p2:c /dev/rdsk/c0d0p2:c /wind pcfs 2 yes -
/dev/dsk/c0d0p2:d /dev/rdsk/c0d0p2:d /wine pcfs 3 yes -

参考文档：
System Administration Guide: Devices and File Systems (http://docs.sun.com/app/docs/doc/817-5093)
ch. 18. Mounting and Unmounting File Systems, Page 306, x86: How to Mount a PCFS (DOS) File System From a Hard Disk

2. 用lofiadm/mount命令做虚拟光驱
在Windows上有很多虚拟光驱程序，如Daemon, Virtual CD等，可以把.iso文件虚拟成光驱。在Solaris下，我们用lofiadm命令。方法如下:
# lofiadm -a /wind/solaris10/sol-10-GA-x86-v2-iso.iso 把.iso文件export为块设备，参数-a 表示add, 这个命令的output是/dev/lofi/1。这样我们就可以把设备/dev/lofi/1 mount到文件系统了
# mount -F hsfs -o ro /dev/lofi/1 /mnt 把/dev/lofi/1 mount到/mnt

然后#cd /mnt, 看到mount成功后，里面有了光盘上的内容，再回到安装界面，在路径里面输入/mnt，然后就能顺利安装了。接下来要装第三张盘的时候，同样到Terminal去，
# umount /mnt 用来unmount, 这个不用我多说了
# lofiadm -d /dev/lofi/1
接着对照第二张盘的命令来安装第三、第四张盘和语言包。
装完后，系统会提示重新启动。重启后，有CDE和JDS3两种桌面可供选择，我选择进入Java Desktop System 3的界面。

大功告成！整个过程花了我将近2.5小时的时间。其中觉得第四张盘耗的时间最长。另外觉得JDS 3的桌面很漂亮也很方便使用。

基本配置：
1. 1400x1050分辨率的设置
我的笔记本分辨率是1400x1050的，而Solaris 10起来后默认使用的是1280x1024的，看起来有点模糊。查了一些文档，知道需要新建一个文件/etc/X11/xorg.conf。下面是我的/etc/X11/xorg.conf的内容。
[/etc/X11/xorg.conf]

Section "ServerLayout"
Identifier "X.org Configured"
Screen 0 "Screen0" 0 0
InputDevice "Mouse0" "CorePointer"
InputDevice "Keyboard0" "CoreKeyboard"
EndSection

Section "ServerFlags"
Option "HandleSpecialKeys" "Always"
EndSection

Section "Files"
RgbPath "/usr/X11R6/lib/X11/rgb"
ModulePath "/usr/X11R6/lib/modules"
FontPath "/usr/X11R6/lib/X11/fonts/TrueType/"
FontPath "/usr/X11R6/lib/X11/fonts/Type1/"
FontPath "/usr/X11R6/lib/X11/fonts/Type1/sun/"
FontPath "/usr/X11R6/lib/X11/fonts/F3bitmaps/"
FontPath "/usr/X11R6/lib/X11/fonts/misc/"
FontPath "/usr/X11R6/lib/X11/fonts/100dpi/"
FontPath "/usr/X11R6/lib/X11/fonts/75dpi/"
EndSection

Section "Module"
Load "dbe"
Load "extmod"
Load "record"
Load "xtrap"
Load "bitstream"
Load "speedo"
Load "type1"
EndSection

Section "InputDevice"
Identifier "Keyboard0"
Driver "keyboard"
EndSection

Section "InputDevice"
Identifier "Mouse0"
Driver "mouse"
Option "Protocol" "auto"
Option "Device" "/dev/mouse"
EndSection

Section "InputDevice"
Identifier "Mouse1"
Driver "mouse"
Option "Protocol" "IMPS/2"
Option "Device" "/dev/kdmouse"
Option "SendCoreEvents"
EndSection

Section "Monitor"
Identifier "Monitor0"
VendorName "Monitor Vendor"
ModelName "Monitor Model"
HorizSync 28.0-70.0
VertRefresh 55.0-100.0
DisplaySize 288 216
EndSection

Section "Device"
### Available Driver options are:-
### Values: : integer, : float, : "True"/"False",
### : "String", : " Hz/kHz/MHz"
### [arg]: arg optional
#Option "SWcursor" # []
#Option "HWcursor" # []
#Option "NoAccel" # []
#Option "ShadowFB" # []
#Option "UseFBDev" # []
#Option "Rotate" # []
#Option "VideoKey" #
Option "FlatPanel" # []
#Option "FPDither" # []
#Option "CrtcNumber" #
Option "MergedFB" "true" # []
Option "CRT2HSync" "31-60" # []
Option "CRT2VRefresh" "50-75" # []
Option "CRT2Position" "Clone" # []
Option "MeataModes" "1400x1050-1024x768 1280x1024-1024x768 1024x768-1024x768 800x600-800x600 640x480-640x480"
Identifier "Card0"
Driver "nv"
VendorName "nVidia Corporation"
BoardName "NV17 [GeForce4 420 Go]"
BusID "PCI:1:0:0"
EndSection

Section "Screen"
Identifier "Screen0"
Device "Card0"
Monitor "Monitor0"
SubSection "Display"
Viewport 0 0
Depth 24
Modes "1400x1050" "1280x1024" "1024x768" "800x600" "640x480"
EndSubSection
EndSection

[End of /etc/X11/xorg.conf]

注意，我加入了
Section "ServerFlags"
Option "HandleSpecialKeys" "Always"
EndSection
这样在Xorg的XServer 碰到问题时，我就可以按"Alt + Ctrl + BkSp" 重新启动xserver了，非常方便。
另外我还根据我的实际情况到启动->首选项->桌面首先项->显示下面更改了很多东西，这里我就不一一描述了。其中比较重要的一个是为了把字体改大，我选择了字体->细节->分辨率，把每英寸点数从96改为120，解决了1400x1050分辨率下字很小的问题。

2. DHCP Client配置
我公司里用的是DHCP，但问题是DHCP Server给我分配的主机名老是dhcp-12什么的，而且会变动，对于装JES什么的特别不方便。于是我修改了
/etc/default/dhcpagent，把最后一行从PARAM_REQUEST_LIST=1,3,6,12,15,28,43 改为PARAM_REQUEST_LIST=1,3,6,15,28,43。
去掉了选项hostname(12)。这个大家可以看注释。另外就是加入新文件/etc/nodename, 里面的内容是自己喜欢的主机名。我用的是lap1。

3. 默认权限的配置
系统默认是采用安全的方案，但我的机器上面没有什么非常重要的数据，而且经常需要用root用户进行ssh,telnet,ftp等，而这些系统默认都不允许。
没办法，手工改啦。
ssh:
/etc/ssh/sshd_config, 把PermitRootLogin改为yes。另外我曾经出现不能正常启动ssh service的情况。原因是没有在/etc/ssh下面自动生成
ssh_host_rsa_key
ssh_host_rsa_key.pub
ssh_host_dsa_key
ssh_host_dsa_key.pub
等key文件，最后我手工生成了这些文件，解决了这个问题：
＃ ssh-keygen -b 1024 -t rsa1 -f /etc/ssh/ssh_host_key -N ""
＃ ssh-keygen -b 1024 -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""
＃ ssh-keygen -b 1024 -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""

telnet:
简单，修改文件/etc/default/login，把行CONSOLE=/dev/console注释掉，就可以用root用户telnet上来了
ftp:
只要修改/etc/ftpd/ftpusers，把root用户注释掉就可以用root用户进行ftp了。

4. 默认shell的配置。
系统默认使用的是/sbin/sh，但我喜欢使用更流行的bash, 于是修改/etc/passwd，把第一行从root:x:0:0:Super-User:/:/sbin/sh 改为root:x:0:0:Super-User:/:/bin/bash，重新登陆后发现默认shell成功更改。据说这个做法不是特别安全，但我还是喜欢这么做。

5. 打印机的配置。
在Solaris 10的JDS桌面下安装打印机比较简单，只要通过启动->首选项->系统首选项->添加/删除打印机就行了。在图形界面里选择打印机->新的附加打印机或者新的网络打印机，通过图形界面就可以很简单配好打印机。

本文转自:http://gceclub.sun.com.cn/NASApp/sme/jive/thread.jsp

宋针还 2007-12-08 19:16 发表评论

Solaris10中新的Dtrace工具

宋针还 — Thu, 06 Dec 2007 11:55:00 GMT

DTrace即动态跟踪Dynamic Tracing，是Solaris 10的一个新功能，透过此一新功能，用户能够动态检测操作系统内核和用户进程，以更精确地掌握系统的资源使用状况，提高系统性能，减少支持成本，并进行有效的调节。1997年，供职于Sun而现已是Solaris内核开发部高级工程师的Bryan Cantrill 与他的工作组在紧张地研究一个性能问题，它出现在刚刚提及的Sun E10000服务器。该服务器在运行基准测试时，速度突然在一段时间内奇怪地降低。工作组经过六天夜以继日的工作后，终于发现了问题的根本原因。某个“愚蠢之极”的配置错误将服务器配置成了路由器。

“我很受震惊，”Cantrill 说到， “这是任何一个客户都可能遇到的问题，但是他们可不敢奢望让内核开发人员为之夜以继日地工作，编写自定义代码以弄清楚问题。我们得找出一个更好的方法。”
经过两年半的紧张开发，Cantrill和他的工作组终于研究出了这个更好的方法： Dtrace
DTrace是过去十年中在操作系统方面最具意义的革新之一:
Probe，Solaris中分散着30,000多的位置指针，也叫探测器probes，DTrace可激活成千上万的探测器，记录所关注的位置指定的数据，如命中，即可从该地址显示用户进程或系统内核的数据，从而了解系统，包括：
1。任何函数的参数
2。内核的任何全局变量
3。函数调用的时间（NS，十亿分之一秒，无任何其它PC/Unix在ns一级精度）
4。跟踪堆栈，包括指明函数调用的代码
5。函数调用时运行的进程
6。产生函数调用的线程
Probe于自定义D语言程序相关联，probe表示的格式为：
provider:module:function:name
1。显示当前动态系统中的动态Dtrace探针probe:
# dtrace -l |more
   ID   PROVIDER            MODULE                          FUNCTION NAME
    1     dtrace                                                     BEGIN
    2     dtrace                                                     END
    3     dtrace                                                     ERROR
    4     vminfo          fasttrap                   fasttrap_uwrite softlock
    5     vminfo          fasttrap                    fasttrap_uread softlock
    6        fbt              pool                         pool_open entry
    7        fbt              pool                         pool_open return
    8        fbt              pool                        pool_close entry
    9        fbt              pool                        pool_close return
   10        fbt              pool                        pool_ioctl entry
   11        fbt              pool                        pool_ioctl return
   12        fbt              pool                         pool_info entry
   13        fbt              pool                         pool_info return
。。。
43545        fbt              zmod                        z_strerror return
43546        fbt              zmod                      z_uncompress entry
43547        fbt              zmod                      z_uncompress return
即当前本人V210上有43547个probe。
2。体验 dtrace 与 Unix ps 命令：
如用ps看mozilla进程：
# ps -e |grep mozilla
2386 pts/11      0:00 mozilla
2436 pts/11     10:12 mozilla-
也可使用dtrace 通过probe探针看：
# dtrace -n 'syscall::exece:return { trace(execname);}'
dtrace: description 'syscall::exece:return ' matched 1 probe
CPU     ID                    FUNCTION:NAME
0 11082                     exece:return   uname
0 11082                     exece:return   uname
0 11082                     exece:return   basename
。。。
0 11082                     exece:return   sed
0 11082                     exece:return   mozilla-bin
1 11082                     exece:return   csh
1 11082                     exece:return   mozilla
。。。
2。实际dtrace看的更细，
如用date显示系统时间，很快就结束了，无法跟踪，体验dtrace跟踪效果：
% date
2005年05月24日星期二 20时39分03秒 CST
# dtrace -n 'syscall::exece: {trace(timestamp)}'
ddtrace: description 'syscall::exece: ' matched 2 probes
CPU     ID                    FUNCTION:NAME
0 11081                      exece:entry   102890531281542
0 11082                     exece:return   102890532181875
即可跟踪其在第102890531281542纳秒开始读取，第102890532181875返回结果。
3。体验Dtrace 对系统调用更多的观察：
如看机器忙闲状态，常用vmstat:
# vmstat 1
kthr      memory            page            disk          faults      cpu
r b w   swap free re mf pi po fr de sr s0 s3 s1 s1   in   sy   cs us sy id
0 0 0 5523680 1378352 14 48 84 1 0 0 1 0 1 0 0 341 2058 883 3 1 96
0 0 0 5368296 1218688 0 23 15 0 0 0 0 0 0 0 0 336 2605 722 10 1 89

得知产生2605多系统调用，但无和简单查找哪个进程的问题呢，试用dtrace看：
# dtrace -n 'syscall::read:entry {@NUM[execname] = count();}'
ddtrace: description 'syscall::read:entry ' matched 1 probe
^C
  dtfile                                                            5
sdtperfmeter                                                     12
soffice.bin                                                      23
dic                                                              23
dtterm                                                           53
mozilla-bin                                                     394
Xsun                                                            545
显然发现CDE和Mozilla是产生大量系统调用的程序，看I/O分布也可：
如还是Mozilla:
# dtrace -n 'syscall::write:entry {@NUM[execname] = quantize(arg2);}'
...
mozilla-bin
           value ------------- Distribution ------------- count
               0 |                                         0
               1 |@@@@@@@@@@@@@@@@@@@@@                    470
               2 |                                         0
               4 |                                         7
               8 |                                         0
              16 |                                         0
              32 |                                         0
              64 |                                         0
             128 |                                         10
             256 |@@@@@@@@                                 184
             512 |@@@@@@                                   146
            1024 |@@@                                      78
            2048 |                                         8
            4096 |                                         1
            8192 |                                         0
...
可观察到大量Mozilla产生的I/O在256-512字节间。
4。想再仔细看程序内部情况？
truss不错：
# truss /usr/sfw/bin/mozilla
execve("/usr/bin/ksh", 0xFFBFF564, 0xFFBFF574) argc = 3
resolvepath("/usr/bin/ksh", "/usr/bin/ksh", 1023) = 12
resolvepath("/usr/lib/ld.so.1", "/lib/ld.so.1", 1023) = 12
stat("/usr/bin/ksh", 0xFFBFF340)                = 0
open("/var/ld/ld.config", O_RDONLY)             Err#2 ENOENT
stat("/lib/libc.so.1", 0xFFBFEE70)              = 0
resolvepath("/lib/libc.so.1", "/lib/libc.so.1", 1023) = 14
open("/lib/libc.so.1", O_RDONLY)                = 3
mmap(0x00010000, 8192, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_ALIGN, 3, 。。。
试下dtrace:
# dtrace -n 'syscall::read:return /execname =="mozilla" /{ ustack();}'
dtrace: description 'syscall::read:return ' matched 1 probe
CPU     ID                    FUNCTION:NAME
0 10984                      read:return
              libc.so.1`_read+0x8
              ksh`io_readbuff+0x264
              ksh`0x245e4
              ksh`io_readc+0x2c
              ksh`0x29c54
              ksh`main+0xa30
              ksh`_start+0x108
0 10984                      read:return
              libc.so.1`_read+0x8
              ksh`io_readbuff+0x264
              ksh`0x245e4
              ksh`io_readc+0x2c
              ksh`0x28938
              ksh`0x28654
...
看到n多调用，开始和返回，够开发人员分析的。
        总结，Dtrace功能强大，精度高，轻量，truss有时降低系统30％CPU利用率。但复杂，需对系统内核和应用熟悉，否则看不懂跟踪到的数据，估计以后CU该开Dtrace编程板块了。

宋针还 2007-12-06 19:55 发表评论

SOLARIS10一些设置

宋针还 — Thu, 06 Dec 2007 11:49:00 GMT
1，进入控制台
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
You have new mail.
# /usr/X11/bin/xorgconfig

2，显示：
This program will create a basic xorg.conf file, based on menu selections
you make. This program will ask for a pathname when it is ready to write
the file.

The xorg.conf file usually resides in /etc/X11. If no xorg.conf file
is present there, Xorg will probe the system to autoconfigure itself.
You can run Xorg -configure to generate a xorg.conf file based on
the results of autoconfiguration, or let this program produce a base
xorg.conf file for your configuration and fine-tune it.

Before continuing with this program, make sure you know what video card
you have, and preferably also the chipset it uses and the amount of video
memory on your video card, as well as the specifications of your monitor.

Press enter to continue, or ctrl-c to abort.

3，我们ENTER
First specify a mouse protocol type. Choose one from the following list:

1. Auto
2. VUID
3. SysMouse
4. MouseSystems
5. PS/2
6. Microsoft
7. Busmouse
8. IMPS/2
9. ExplorerPS/2
10. GlidePointPS/2
11. MouseManPlusPS/2
12. NetMousePS/2
13. NetScrollPS/2
14. ThinkingMousePS/2

The recommended protocol is Auto. If you have a very old mouse
or don't want OS support or auto detection, and you have a two-button
or three-button serial mouse, it is most likely of type Microsoft.

Enter a protocol number:

4，选择鼠标的种类，这里我们选5，PS2

If your mouse has only two buttons, it is recommended that you enable
Emulate3Buttons.

Please answer the following question with either 'y' or 'n'.
Do you want to enable Emulate3Buttons?

5，要不要用鼠标的第三个键，废话当然用

Now give the full device name that the mouse is connected to, for example
/dev/tty00. Just pressing enter will use the default, /dev/kdmouse.

Mouse device:

6，鼠标的设备名，用默认的。

Please select one of the following keyboard types that is the better
description of your keyboard. If nothing really matches,
choose 1 (Generic 101-key PC)

1 Sun Type 6 USB
2 Sun Type 6 USB (European layout)
3 Sun Type 6 USB (Japanese layout)
4 Sun Type 6 USB (Unix layout)
5 Generic 101-key PC
6 Generic 102-key (Intl) PC
7 Generic 104-key PC
8 Generic 105-key (Intl) PC
9 Sun Type 4
10 Sun Type 4 (Canadian layout)
11 Sun Type 4 (Japanese layout)
12 Sun Type 4 (European layout)
13 Sun Type 5
14 Sun Type 5 (European layout)
15 Sun Type 5 (Japanese layout)
16 Sun Type 5 (Unix layout)

Enter a number to choose the keyboard.

7，选择键盘的类型，现在没烂键盘了吧。选7

1 U.S. English
2 U.S. English w/ ISO9995-3
3 U.S. English w/ deadkeys
4 Albanian
5 Arabic
6 Armenian
7 Azerbaijani
8 Belarusian
9 Belgian
10 Bengali
11 Bosnian
12 Brazilian
13 Bulgarian
14 Burmese
15 Canadian
16 French Canadian
17 Croatian
18 Croatian (US)

Enter a number to choose the country.
Press enter for the next page

8，语言用第一个，US

Please enter a variant name for 'us' layout. Or just press enter
for default variant

9，回车用默认的。

Please answer the following question with either 'y' or 'n'.
Do you want to select additional XKB options (group switcher,
group indicator, etc.)?

10，接下来是功能健的设置。我们选Y进去看看

1 Right Alt key switches group while pressed
2 Left Alt key switches group while pressed
3 Left Win-key switches group while pressed
4 Right Win-key switches group while pressed
5 Both Win-keys switch group while pressed
6 Right Alt key changes group
7 Left Alt key changes group
8 Caps Lock key changes group
9 Shift+CapsLock changes group
10 Both Shift keys together change group
11 Both Alt keys together change group
12 Both Ctrl keys together change group
13 Control+Shift changes group
14 Alt+Control changes group
15 Alt+Shift changes group
16 Menu key changes group
17 Left Win-key changes group
18 Right Win-key changes group
19 Left Shift key changes group
20 Right Shift key changes group
21 Left Ctrl key changes group
22 Right Ctrl key changes group

Please select the option or just press enter if none

11，根据自己的喜好随意设置吧，不过应该没人会动吧

   Third level choosers

1 Press Right Control to choose 3rd level
2 Press Left Alt key to choose 3rd level
3 Press Right Alt key to choose 3rd level
4 Press any of Alt keys to choose 3rd level
5 Press Menu key to choose 3rd level
6 Press any of Win-keys to choose 3rd level
7 Press Left Win-key to choose 3rd level
8 Press Right Win-key to choose 3rd level

Please select the option or just press enter if none

12，默认回车

   Control Key Position

1 Make CapsLock an additional Control
2 Swap Control and Caps Lock
3 Control key at left of 'A'
4 Control key at bottom left
5 Right Control key works as Right Alt

Please select the option or just press enter if none

13，随意

   Use keyboard LED to show alternative group

1 Num_Lock LED shows alternative group
2 Caps_Lock LED shows alternative group
3 Scroll_Lock LED shows alternative group

Please select the option or just press enter if none

14，三个LED灯的设置

   CapsLock key behavior

1 uses internal capitalization. Shift cancels Caps.
2 uses internal capitalization. Shift doesn't cancel Caps.
3 acts as Shift with locking. Shift cancels Caps.
4 acts as Shift with locking. Shift doesn't cancel Caps.

Please select the option or just press enter if none

15，大写字母锁定键指示灯的设置

   Alt/Win key behavior

1 Add the standard behavior to Menu key.
2 Alt and Meta on the Alt keys (default).
3 Meta is mapped to the Win-keys.
4 Meta is mapped to the left Win-key.
5 Super is mapped to the Win-keys (default).
6 Hyper is mapped to the Win-keys.
7 Right Alt is Compose
8 Right Win-key is Compose
9 Menu is Compose
10 Kana Lock key is locking
11 Shift with numpad keys works as in MS Windows.
12 Special keys (Ctrl+Alt+) handled in a server.

Please select the option or just press enter if none

16，ALT+WIN键的设置。

Now we want to set the specifications of the monitor. The two critical
parameters are the vertical refresh rate, which is the rate at which the
the whole screen is refreshed, and most importantly the horizontal sync rate,
which is the rate at which scanlines are displayed.

The valid range for horizontal sync and vertical sync should be documented
in the manual of your monitor. If in doubt, check the monitor database
/usr/X11/share/doc/Monitors to see if your monitor is there.

Press enter to continue, or ctrl-c to abort.

17，检查显卡的数据库，回车

You must indicate the horizontal sync range of your monitor. You can either
select one of the predefined ranges below that correspond to industry-
standard monitor types, or give a specific range.

It is VERY IMPORTANT that you do not specify a monitor type with a horizontal
sync range that is beyond the capabilities of your monitor. If in doubt,
choose a conservative setting.

    hsync in kHz; monitor type with characteristic modes
1 31.5; Standard VGA, 640x480 @ 60 Hz
2 31.5 - 35.1; Super VGA, 800x600 @ 56 Hz
3 31.5, 35.5; 8514 Compatible, 1024x768 @ 87 Hz interlaced (no 800x600)
4 31.5, 35.15, 35.5; Super VGA, 1024x768 @ 87 Hz interlaced, 800x600 @ 56 Hz
5 31.5 - 37.9; Extended Super VGA, 800x600 @ 60 Hz, 640x480 @ 72 Hz
6 31.5 - 48.5; Non-Interlaced SVGA, 1024x768 @ 60 Hz, 800x600 @ 72 Hz
7 31.5 - 57.0; High Frequency SVGA, 1024x768 @ 70 Hz
8 31.5 - 64.3; Monitor that can do 1280x1024 @ 60 Hz
9 31.5 - 79.0; Monitor that can do 1280x1024 @ 74 Hz
10 31.5 - 82.0; Monitor that can do 1280x1024 @ 76 Hz
11 Enter your own horizontal sync range

Enter your choice (1-11):

18，我选7，文献也是这样选的

You must indicate the vertical sync range of your monitor. You can either
select one of the predefined ranges below that correspond to industry-
standard monitor types, or give a specific range. For interlaced modes,
the number that counts is the high one (e.g. 87 Hz rather than 43 Hz).

1 50-70
2 50-90
3 50-100
4 40-150
5 Enter your own vertical sync range

Enter your choice:

19，选2

You must now enter a few identification/description strings, namely an
identifier, a vendor name, and a model name. Just pressing enter will fill
in default names.

The strings are free-form, spaces are allowed.
Enter an identifier for your monitor definition:

20，用默认的吧

Now we must configure video card specific settings. At this point you can
choose to make a selection out of a database of video card definitions.
Because there can be variation in Ramdacs and clock generators even
between cards of the same model, it is not sensible to blindly copy
the settings (e.g. a Device section). For this reason, after you make a
selection, you will still be asked about the components of the card, with
the settings from the chosen database entry presented as a strong hint.

The database entries include information about the chipset, what driver to
run, the Ramdac and ClockChip, and comments that will be included in the
Device section. However, a lot of definitions only hint about what driver
to run (based on the chipset the card uses) and are untested.

If you can't find your card in the database, there's nothing to worry about.
You should only choose a database entry that is exactly the same model as
your card; choosing one that looks similar is just a bad idea (e.g. a
GemStone Snail 64 may be as different from a GemStone Snail 64+ in terms of
hardware as can be).

Do you want to look at the card database?

21，是否要看显卡的数据库？文献税这里键入Y和YES是不一样的结果，我看一样。。。

0 * Generic VESA compatible                         -
1 * Generic VGA compatible                          -
2 * Unsupported VGA compatible                      -
3 ** 3DLabs, TI (generic)               [glint]     -
4 ** 3Dfx (generic)                     [tdfx]      -
5 ** ATI (generic)                      [ati]       -
6 ** ATI Radeon (generic)               [radeon]    -
7 ** ATI Rage 128 based (generic)       [r128]      -
8 ** Alliance Pro Motion (generic)      [apm]       -
9 ** Ark Logic (generic)                [ark]       -
10 ** Chips and Technologies (generic)   [chips]     -
11 ** Cirrus Logic (generic)             [cirrus]    -
12 ** Cyrix MediaGX (generic)            [cyrix]     -
13 ** DEC TGA (generic)                  [tga]       -
14 ** Intel i740 (generic)               [i740]      -
15 ** Intel i810 (generic)               [i810]      -
16 ** Linux framebuffer (generic)        [fbdev]     -
17 ** Matrox Graphics (generic)          [mga]       -

Enter a number to choose the corresponding card definition.
Press enter for the next page, q to continue configuration.

22，因为我在虚拟机里这页没有，回车下一页，如果是实体安装，就要选择相应的显卡

18 ** NVIDIA (generic)                   [nv]        -
19 ** NeoMagic (generic)                 [neomagic] -
20 ** Number Nine I128 (generic)         [i128]      -
21 ** Rendition (generic)                [rendition] -
22 ** S3 (not ViRGE or Savage) (generic) [s3]        -
23 ** S3 Savage (generic)                [savage]    -
24 ** S3 ViRGE (generic)                 [s3virge]   -
25 ** SiS (generic)                      [sis]       -
26 ** Silicon Motion (generic)           [siliconmotion]-
27 ** Trident (generic)                  [trident]   -
28 ** Tseng Labs (generic)               [tseng]     -
29 ** VMWare guest OS (generic)          [vmware]    -
30 2 the Max MAXColor S3 Trio64V+                    -
31 2-the-Max MAXColor 6000                           ET6000
32 3DLabs Oxygen GMX                                 PERMEDIA 2
33 928Movie                                          S3 928
34 AGX (generic)                                     AGX-014/15/16
35 ALG-5434(E)                                       CL-GD5434

Enter a number to choose the corresponding card definition.
Press enter for the next page, q to continue configuration.

23，在虚拟机里，选29。

Your selected card definition:

Identifier: ** VMWare guest OS (generic)          [vmware]
Chipset:    -
Driver:     vmware

Press enter to continue, or ctrl-c to abort.

24，确认

Now you must give information about your video card. This will be used for
the "Device" section of your video card in xorg.conf.

It is probably a good idea to use the same approximate amount as that detected
by the server you intend to use. If you encounter problems that are due to the
used server not supporting the amount memory you have, specify the maximum
amount supported by the server.

How much video memory do you have on your video card:

1 256K
2 512K
3 1024K
4 2048K
5 4096K
6 8192K
7 16384K
8 32768K
9 65536K
10 131072K
11 262144K
12 Other

25，显存，文献上说用4M或8M都可以，我选8M

You must now enter a few identification/description strings, namely an
identifier, a vendor name, and a model name. Just pressing enter will fill
in default names (possibly from a card definition).

Your card definition is ** VMWare guest OS (generic)          [vmware].

The strings are free-form, spaces are allowed.
Enter an identifier for your video card definition:

26，给你的显存写描述

For each depth, a list of modes (resolutions) is defined. The default
resolution that the server will start-up with will be the first listed
mode that can be supported by the monitor and card.
Currently it is set to:

"1280x1024" "1024x768" "800x600" "640x480" for 8-bit
"1280x1024" "1024x768" "800x600" "640x480" for 16-bit
"1280x1024" "1024x768" "800x600" "640x480" for 24-bit

Modes that cannot be supported due to monitor or clock constraints will
be automatically skipped by the server.

1 Change the modes for 8-bit (256 colors)
2 Change the modes for 16-bit (32K/64K colors)
3 Change the modes for 24-bit (24-bit color)
4 The modes are OK, continue.

Enter your choice:

27，选择色深。文献是16位的，我也跟风。。。

Select modes from the following list:

1 "640x400"
2 "640x480"
3 "800x600"
4 "1024x768"
5 "1280x1024"
6 "320x200"
7 "320x240"
8 "400x300"
9 "1152x864"
a "1600x1200"
b "1800x1400"
c "512x384"
d "1400x1050"

Please type the digits corresponding to the modes that you want to select.
For example, 432 selects "1024x768" "800x600" "640x480", with a
default mode of 1024x768.

Which modes?

28，分辨率的设置，可以多选，我选5432

You can have a virtual screen (desktop), which is screen area that is larger
than the physical screen and which is panned by moving the mouse to the edge
of the screen. If you don't want virtual desktop at a certain resolution,
you cannot have modes listed that are larger. Each color depth can have a
differently-sized virtual screen

Please answer the following question with either 'y' or 'n'.
Do you want a virtual screen that is larger than the physical screen?

29，设置鼠标是否可以越过虚拟桌面，一般选N，但文献说选Y很好玩。。。。所以选Y

For each depth, a list of modes (resolutions) is defined. The default
resolution that the server will start-up with will be the first listed
mode that can be supported by the monitor and card.
Currently it is set to:

"1280x1024" "1024x768" "800x600" "640x480" for 8-bit
"1280x1024" "1024x768" "800x600" "640x480" for 16-bit
"1280x1024" "1024x768" "800x600" "640x480" for 24-bit

Modes that cannot be supported due to monitor or clock constraints will
be automatically skipped by the server.

1 Change the modes for 8-bit (256 colors)
2 Change the modes for 16-bit (32K/64K colors)
3 Change the modes for 24-bit (24-bit color)
4 The modes are OK, continue.

Enter your choice:

30，又回到原来的地方了。选4确认模式。

Please specify which color depth you want to use by default:

1 1 bit (monochrome)
2 4 bits (16 colors)
3 8 bits (256 colors)
4 16 bits (65536 colors)
5 24 bits (16 million colors)

Enter a number to choose the default depth.

31，默认的色深。16位的，选4

I am going to write the xorg.conf file now. Make sure you don't accidently
overwrite a previously configured one.

Shall I write it to /etc/X11/xorg.conf?

32，是否要保存配置文件？那还用说！！

File has been written. Take a look at it before starting an X server. Note that
the xorg.conf file must be in one of the directories searched by the server
(e.g. /etc/X11) in order to be used. Within the server press
ctrl, alt and '+' simultaneously to cycle video resolutions. Pressing ctrl,
alt and backspace simultaneously immediately exits the server (use if
the monitor doesn't sync for a particular mode).

For further configuration, refer to the xorg.conf(5) manual page.

33，提示OK
接下来sync;init 6重启

好大的桌面啊～～～^o^

本文转自: http://tb.blog.csdn.net/TrackBack.aspx?PostId=616106

宋针还 2007-12-06 19:49 发表评论

LINUX的VSFTP配置

宋针还 — Thu, 06 Dec 2007 09:25:00 GMT
以下文章介绍Liunx 环境下vsftpd的三种实现方法

一、前言
Vsftp(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用，如ftp.redhat.com,ftp.kde.org,ftp.gnome.org.等。Vsftpd的实现有三种方式
1、匿名用户形式：在默认安装的情况下，系统只提供匿名用户访问
2、本地用户形式：以/etc/passwd中的用户名为认证方式
3、虚拟用户形式：支持将用户名和口令保存在数据库文件或数据库服务器中。相对于FTP的本地用户形式来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源，这大大增强系统本身的安全性。相对于匿名用户而言，虚拟用户需要用户名和密码才能获取FTP服务器中的文件，增加了对用户和下载的可管理性。对于需要提供下载服务，但又不希望所有人都可以匿名下载；既需要对下载用户进行管理，又考虑到主机安全和管理方便的FTP站点来说，虚拟用户是一种极好的解决方案。

二、获取最新版的Vsftp程序
代码:
# cd /home/xuchen
# tar xzvf vsftpd-2.0.3.tar.gz //解压缩程序
# cd vsftpd-2.0.3
三、三种方式的实现
1、匿名用户形式实现
# vi builddefs.h  \编辑builddefs.h 文件，文件内容如下：

#ifndef VSF_BUILDDEFS_H

#define VSF_BUILDDEFS_H
#undef VSF_BUILD_TCPWRAPPERS
#define VSF_BUILD_PAM
#undef VSF_BUILD_SSL

#endif /* VSF_BUILDDEFS_H */
将以上undef的都改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL

# make  //直接在vsftpd-2.0.3里用make编译
# ls -l vsftpd
-rwxr-xr-x  1 root root 86088 Jun  6 12:29 vsftpd  //可执行程序已被编译成功

创建必要的帐号，目录：
# useradd nobody  //可能你的系统已经存在此帐号，那就不用建立
# mkdir /usr/share/empty  //可能你的系统已经存在此目录，那就不用建立
# mkdir /var/ftp  //可能你的系统已经存在此目录，那就不用建立
# useradd -d /var/ftp ftp  //可能你的系统已经存在此帐号，那就不用建立
# chown root:root /var/ftp
# chmod og-w /var/ftp
请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:
# install -m 755 vsftpd /usr/local/sbin/vsftpd-ano
# install -m 644 vsftpd.8 /usr/share/man/man8
# install -m 644 vsftpd.conf.5 /usr/share/man/man5
# install -m 644 vsftpd.conf /etc/vsftpd-ano.conf
这样就安装完成了，那么我们开始进行简单的配置

# vi /etc/vsftpd-ano.conf ,将如下三行加入文件
listen=YES
listen_port=21
tcp_wrappers=YES
anon_root=/var/ftp //设置匿名用户本地目录，和ftp用户目录必须相同
listen=YES的意思是使用standalone启动vsftpd，而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式)
# /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf &  //以后台方式启动vsftpd
注意：每行的值都不要有空格，否则启动时会出现错误，举个例子，假如我在listen=YES后多了个空格，那我启动时就出现如下错误：
500 OOPS: bad bool value in config file for: listen

测试搭建好的匿名用户方式
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): ftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> quit
221 Goodbye.
#
OK，已经完成了，very nice.

高级配置
细心的朋友可能已经看出来我们只在默认配置文件增加了四行，就实现了FTP连接（也证明了vsftpd的易用性），那么让我们传个文件吧，呀！！传输失败了（见图1）
为什么呢？因为 vsftpd 是为了安全需要，/var/ftp目录不能把所有的权限打开，所以我们这时要建一个目录pub，当然也还是需要继续修改配置文件的。
# mkdir /var/ftp/pub
# chmod -R 777 /var/ftp/pub

为了测试方便，我们先建立一个名为kill-ano的脚本，是为了杀掉FTP程序的
#!/bin/bash
a=`/bin/ps -A | grep vsftpd-ano | awk '{print }'`
kill -9 $a
那么现在大家看看我的匿名服务器配置文件吧
anonymous_enable=YES  //允许匿名访问，这是匿名服务器必须的
write_enable=YES  //全局配置可写
no_anon_password=YES //匿名用户login时不询问口令
anon_umask=077  //匿名用户上传的文件权限是-rw----
anon_upload_enable=YES  //允许匿名用户上传文件
anon_mkdir_write_enable=YES  //允许匿名用户建立目录
anon_other_write_enable=YES  //允许匿名用户具有建立目录，上传之外的权限，如重命名，删除
dirmessage_enable=YES  //当使用者转换目录,则会显示该目录下的.message信息
xferlog_enable=YES //记录使用者所有上传下载信息
xferlog_file=/var/log/vsftpd.log  //将上传下载信息记录到/var/log/vsftpd.log中
xferlog_std_format=YES //日志使用标准xferlog格式
idle_session_timeout=600  //客户端超过600S没有动作就自动被服务器踢出
data_connection_timeout=120  //数据传输时超过120S没有动作被服务器踢出
chown_uploads=YES
chown_username=daemon  //上传文件的属主
ftpd_banner=Welcome to d-1701.com FTP service.  //FTP欢迎信息
anon_max_rate=80000  //这是匿名用户的下载速度为80KBytes/s
check_shell=NO  //不检测SHELL
现在再测试，先kill掉再启动FTP程序
# ./kill-ano
# /usr/local/sbin/vsftpd-ano /etc/vsftpd-ano.conf &
上传一个文件测试一下，怎么样？OK了吧，下载刚上传的那个文件，恩？不行，提示
550 Failed to open file.
传输已失败！
传输队列已完成
1 个文件传输失败

没有关系，你记得咱们设置了anon_umask=077了吗？所以你下载不了，如果你到服务器上touch 一个文件（644），测试一下，是可以被下载下来的，好了，匿名服务器就说到这里了。

本地用户形式实现
# cd /home/xuchen/vsftpd-2.0.3  //进入vsftpd-2.0.3的源代码目录
# make clean  //清除编译环境
# vi builddefs.h  \继续编辑builddefs.h 文件，文件内容如下：
#ifndef VSF_BUILDDEFS_H

#define VSF_BUILDDEFS_H
#define VSF_BUILD_TCPWRAPPERS
#define VSF_BUILD_PAM
#define VSF_BUILD_SSL

#endif /* VSF_BUILDDEFS_H */
将以上define VSF_BUILD_PAM行的define改为undef，支持tcp_wrappers，不支持PAM认证方式，支持SSL，记住啊，如果支持了PAM认证方式，你本地用户是不能登陆的。

# make  //直接在vsftpd-2.0.3里用make编译
# ls -l vsftpd
-rwxr-xr-x  1 root root 84712 Jun  6 18:56 vsftpd  //可执行程序已被编译成功
创建必要的帐号，目录：
# useradd nobody  //可能你的系统已经存在此帐号，那就不用建立
# mkdir /usr/share/empty  //可能你的系统已经存在此目录，那就不用建立
# mkdir /var/ftp  //可能你的系统已经存在此目录，那就不用建立
# useradd -d /var/ftp ftp  //可能你的系统已经存在此帐号，那就不用建立
# chown root:root /var/ftp
# chmod og-w /var/ftp
请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:
# install -m 755 vsftpd /usr/local/sbin/vsftpd-loc
# install -m 644 vsftpd.8 /usr/share/man/man8
# install -m 644 vsftpd.conf.5 /usr/share/man/man5
# install -m 644 vsftpd.conf /etc/vsftpd-loc.conf
这样就安装完成了，那么我们开始进行简单的配置
# vi /etc/vsftpd-loc.conf ,将如下三行加入文件
listen=YES
listen_port=21
tcp_wrappers=YES //支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES的意思是使用standalone启动vsftpd，而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式)，注意事项请参看匿名用户的配置。
anonymous_enable=NO
local_enable=YES  //这两项配置说不允许匿名用户登陆，允许本地用户登陆
# /usr/local/sbin/vsftpd-loc /etc/vsftpd-loc.conf & //以后台方式启动vsftpd

测试搭建好的匿名用户方式，先测试root用户吧：）
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/root"
ftp> quit
221 Goodbye.
我们看到root用户可以登陆到ftp，他的登陆目录就是自己的主目录
再测试一个系统用户，那我们先建立一个用户名叫sss的
# useradd sss
# passwd sss
Changing password for user sss.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
建立好了，让我们开始测试吧！！
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): sss
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/home/sss"
ftp> quit
221 Goodbye.
我们看到sss用户可以登陆到ftp，他的登陆目录也是自己的主目录。哈哈，又完成了！

高级配置
细心的朋友可能已经看出来如果我们不支持PAM认证方式，那么本地用户就可以登陆，而默认编译的vsftpd支持PAM认证方式，所以是不支持本地用户登陆的。恩，从这点说，这也是vsftp安全的一个表现----禁止本地用户登陆。
我们登陆后进行测试，传一个文件上去，得，失败了，那下载个文件下来吧，恩，这是成功的（见图2），而且我们发现我们可以进入到系统根目录（见图3），这样很危险。

那么改配置文件吧，为了测试方便，我们先建立一个名为kill-loc的脚本，也是为了杀掉FTP程序的
#!/bin/bash
a=`/bin/ps -A | grep vsftpd-loc | awk '{print }'`
kill -9 $a

现在提供我的本地用户验证服务器配置文件吧（在匿名里写过的注释我就不在这里写了）
listen=YES
listen_port=21
tcp_wrappers=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022  //本地用户文件上传后的权限是-rw-r-r
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
connect_from_port_20=YES
chroot_local_user=YES //限制用户在自己的主目录
#local_root=/ftp  //你可以指定所有本地用户登陆后的目录,如果不设置此项，用户都会登陆于自己的主目录，就跟咱们前面测试的结果是一样的
local_max_rate=500000  //本地用户的下载速度为500KBytes/s
idle_session_timeout=600
data_connection_timeout=120
nopriv_user= nobody //设定服务执行者为nobody,vsftpd推荐使用一个权限很低的用户，最好是没有家目录(/dev/null)，没有登陆shell（/sbin/nologin),系统会更安全
ftpd_banner=Welcome to d-1701.com FTP service.
check_shell=NO

userlist_enable=YES
userlist_deny=YES
userlist_file=/etc/vsftpd.denyuser
以上三条设定不允许登陆的用户,用户列表存放在/etc/vsftpd.denyuser中,一行一个帐号如果我把xuchen这个用户加到vsftpd.denyuser里，那么登陆时会出现如下错误：
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 Welcome to d-1701.com FTP service.
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): xuchen
530 Permission denied.
Login failed.
呵呵，有意思吧，自己测试吧，本地用户登陆方式就介绍到这里吧！
3、虚拟用户形式实现（db及mysql形式）
# cd /home/xuchen/vsftpd-2.0.3  //进入vsftpd-2.0.3的源代码目录
# make clean  //清除编译环境
# vi builddefs.h  \继续编辑builddefs.h 文件，文件内容如下：
#ifndef VSF_BUILDDEFS_H

#define VSF_BUILDDEFS_H
#define VSF_BUILD_TCPWRAPPERS
#undef VSF_BUILD_PAM
#define VSF_BUILD_SSL

#endif /* VSF_BUILDDEFS_H */
将以上define VSF_BUILD_PAM行的undef改为define，支持tcp_wrappers，支持PAM认证方式，支持SSL，和匿名用户形式是一样的。

# make  //直接在vsftpd-2.0.3里用make编译
# ls -l vsftpd
-rwxr-xr-x  1 root root 86088 Jun  6 22:26 vsftpd  //可执行程序已被编译成功
创建必要的帐号，目录：
# useradd nobody  //可能你的系统已经存在此帐号，那就不用建立
# mkdir /usr/share/empty  //可能你的系统已经存在此目录，那就不用建立
# mkdir /var/ftp  //可能你的系统已经存在此目录，那就不用建立
# useradd -d /var/ftp ftp  //可能你的系统已经存在此帐号，那就不用建立
# chown root:root /var/ftp
# chmod og-w /var/ftp
请记住，如果你不想让用户在本地登陆，那么你需要把他的登陆SHELL设置成/sbin/nologin，比如以上的nobody和ftp我就设置成/sbin/nologin

安装vsftp配置文件，可执行程序，man等:
# install -m 755 vsftpd /usr/local/sbin/vsftpd-pam
# install -m 644 vsftpd.8 /usr/share/man/man8
# install -m 644 vsftpd.conf.5 /usr/share/man/man5
# install -m 644 vsftpd.conf /etc/vsftpd-pam.conf
这样就安装完成了，那么我们开始进行简单的配置
对于用DB库存储用户名及密码的方式来说：
（1）查看系统是否有相应软件包

# rpm –qa | grep db4
db4-devel-4.2.52-7.1
db4-4.2.52-7.1
db4-utils-4.2.52-7.1
（2）建立一个logins.txt的文件，单行为用户名，双行为密码，例如
# vi /home/logins.txt

xuchen
12345
（3）建立数据库文件并设置文件属性
# db_load -T -t hash -f /home/logins.txt /etc/vsftpd_login.db
# chmod 600 /etc/vsftpd_login.db
（4）建立认证文件
# vi /etc/pam.d/ftp 插入如下两行
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
（5）建立一个虚拟用户
useradd -d /home/vsftpd -s /sbin/nologin vsftpd
ls -ld /home/vsftpd
drwx------  3 vsftpd vsftpd 1024 Jun  6 22:55 /home/vsftpd/
（6）编写配置文件(注意事项请参看匿名用户的配置，这里不再赘述)
# vi /etc/vsftpd-pam.conf
listen=YES
listen_port=21
tcp_wrappers=YES //支持tcp_wrappers,限制访问(/etc/hosts.allow,/etc/hosts.deny)
listen=YES的意思是使用standalone启动vsftpd，而不是super daemon(xinetd)控制它 (vsftpd推荐使用standalone方式)
anonymous_enable=NO
local_enable=YES  //PAM方式此处必须为YES，如果不是将出现如下错误：
500 OOPS: vsftpd: both local and anonymous access disabled!
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
chroot_local_user=YES
guest_enable=YES
guest_username=vsftpd //这两行的意思是采用虚拟用户形式
virtual_use_local_privs=YES //虚拟用户和本地用户权限相同
pasv_enable=YES //建立资料联机采用被动方式
pasv_min_port=30000 //建立资料联机所可以使用port 范围的上界，0表示任意。默认值为0。
pasv_max_port=30999 //建立资料联机所可以使用port 范围的下界，0表示任意。默认值为0。
（7）启动程序
# /usr/local/sbin/vsftpd-pam /etc/vsftpd-pam.conf &
（8）测试连通及功能
# vi /home/vsftpd/test //建立一个文件，内容如下
1234567890
# chown vsftpd.vsftpd /home/vsftpd/test

# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): xuchen
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> size test
213 11
ftp> quit
221 Goodbye.
OK，用户名为xuchen,密码为12345可以连接到FTP服务器，看不到文件列表，但可以下载已知文件名的文件，不能上传文件，非常安全吧！！
如果我们需要用户看到文件，怎么办？也好办,在配置文件中加入如下语句：
anon_world_readable_only=NO  //匿名登入者不能下载可阅读的档案，默认值为YES

如果需要让用户上传文件和下载文件分开，建议如下这么做
# vi /home/logins.txt
xuchen
12345
upload
45678
//首先建立虚拟用户upload，密码为45678
# db_load -T -t hash -f /home/logins.txt /etc/vsftpd_login.db //更新数据文件

# mkdir /home/vsftpd/upload
# vi /etc/vsftpd-pam.conf 加入如下语句
user_config_dir=/etc/vsftpd_user_conf
# mkdir /etc/vsftpd_user_conf
# vi /etc/vsftpd_user_conf/upload 文件内容如下
local_root=/home/vsftpd/upload
write_enable=YES
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

# chmod 700 /home/vsftpd/upload
# chown vsftpd.vsftpd /home/vsftpd/upload/

这样，xuchen用户可以下载/home/vsftpd里的文件及upload里的文件，而upload用户可以上传和下载/home/vsftpd/upload文件夹的东西，但不能到/home/vsftpd里下载文件，很简单得实现了分用户上传和下载
对于用Mysql库存储用户名及密码的方式来说：
就是把用户名和密码放在mysql库里，实现起来也相当简单
（1）建立一个库并设置相应权限
# mysql –p
mysql>create database ftpd;
mysql>use ftpd;
mysql>create table user(name char(20) binary,passwd char(20) binary);
mysql>insert into user (name,passwd) values ('test1','12345');
mysql>insert into user (name,passwd) values ('test2','54321');
mysql>grant select on ftpd.user to ftpd@localhost identified by '123456';
mysql>flush privileges; 刷新权限设置
mysql>quit
（2）下载libpam-mysql进行安装编译
下载地址如下：
http://nchc.dl.sourceforge.net/s ... am_mysql-0.5.tar.gz
假设我们把它放在了/home/xuchen目录下
# cd /home/xuchen
# tar xzvf pam_mysql-0.5.tar.gz
# cd pam_mysql
# make
# cp pam_mysql.so /lib/security

（3）建立PAM认证信息
# vi /etc/pam.d/ftp ,内容如下
auth required /lib/security/pam_mysql.so user=ftpd passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0

account required /lib/security/pam_mysql.so user=ftpd passwd=123456 host=localhost db=ftpd table=user usercolumn=name passwdcolumn=passwd crypt=0

注意：
crypt= n
crypt=0: 明文密码
crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt()，encrypt()随机产生salt)
crypt=2: 使用MYSQL中的password()函数加密
crypt=3：表示使用md5的散列方式
（4）建立本地虚拟用户
# useradd -d /home/ftpd -s /sbin/nologin ftpd

（5）下面就差修改vsftpd.conf文件了，我把我的提供给大家参考吧：）
# vi /etc/vsftpd-pam1.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
chroot_local_user=YES
（6）# /usr/local/sbin/vsftpd-pam /etc/vsftpd-pam1.conf & //以后台方式启动

（7）测试连通
# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): test1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> quit
221 Goodbye.
看，成功了！！这样就实现了mysql的认证方式，很简单吧？？

guest_enable=YES
guest_username=ftpd
listen=YES
listen_port=21
pasv_enable=YES
pasv_min_port=30000
pasv_max_port=30999
anon_world_readable_only=NO
virtual_use_local_privs=YES

#user_config_dir=/etc/vsftpd_user_conf
可以看出，和前面的用db库来验证没有多大区别，其实就是一个东西，一个用mysql来验证，一个用db库，我个人比较倾向于用db库来验证，在这个环境下，相对于Mysql来说，安全系数更高一点。

4、为FTP增加磁盘配额，从而避免恶意用户用垃圾数据塞满你的硬盘
我首先要说的是这个功能是系统自带的，而不是vsftp 的功能之一，千万别搞混了。好了，我们先假设我们的系统用户ftpd的主目录是/home/ftpd，它是建立在/home分区中,那么如果我们要对ftpd用户进行磁盘限额，那我们需要修改/etc/fstab中根分区的记录，将/home分区的第4个字段改成defaults,usrquota，如下:
LABEL=/home /home ext3 defaults,usrquota    1 2
# reboot  //重新启动系统使设置生效
也可以用
# mount -o remount /dev/sda6  ///dev/sda6的挂接点就是/home,这样可以不用启动系统。
这里我还要说明一下，如果我们对一个组进行磁配额，那我们需要增加参数grpquota，例如
LABEL=/home /home ext3 defaults,grpquota    1 2
也可以
LABEL=/home /home ext3 defaults,usrquota,grpquota    1 2
你想怎么限制都可以，自己组合参数吧。
# quotacheck -avu
说明：a-自动开启挂载文件系统的配额，v-显示信息，u-启用用户配额or g-启用组配额
# edquota ftpd //为用户ftpd设置磁盘配额
OR
# edquota -g grp  //为组grp设置磁盘配额
系统会自动打开配额文件,如下:
Disk quotas for user ftpd (uid 502):
Filesystem       blocks    soft    hard    inodes    soft    hard
/dev/sda6          424       0       0       13       0       0
第一列是启用了配额的文件系统的名称。第二列显示了用户当前使用的块数，单位为KB。随后的两列用来设置用户在该文件系统上的软硬块限度。inodes 列显示了用户当前使用的i节点数量。最后两列用来设置用户在该文件系统上的软硬i节点限度.硬限是用户或组群可以使用的磁盘空间的绝对最大值。达到了该限度后，磁盘空间就不能再被用户或组群使用了。软限定义可被使用的最大磁盘空间量。和硬限不同的是，软限可以在一段时期内被超过。这段时期被称为过渡期（grace period），默认七天的超越。过渡期可以用秒钟、分钟、小时、天数、周数、或月数表示。如果以上值中的任何一个被设置为 0，那个限度就不会被设置。我设置了硬块限度为1KB，是为了测试方便。
# quotaon  -avu  //打开磁盘配额监控进程，u是用户g是组，这里我没设置g参数
要校验用户的配额是否被设置，我们可以使用以下命令：
# quota ftpd
Disk quotas for user ftpd (uid 502):
Filesystem  blocks quota limit grace files quota limit grace
/dev/sda6    424* 0    1          13    0    0
# edquota –t（-g）来设置过渡期（grace period） //当然只针对软限制而言
和另一个 edquota 命令相似，这个命令也会在文本编辑器中打开当前的文件系统配额：
Grace period before enforcing soft limits for users:
Time units may be: days, hours, minutes, or seconds
Filesystem          Block grace period    Inode grace period
/dev/sda6                   7days                7days
按你的需要修改后存盘退出
用以下命令显示磁盘配额使用状态
# repquota  -a  或 repquota  /dev/sda6（用户配额）
# repquota -g -a 或 repquota -a /dev/sda6 (组的配额)
如果一切按照你的意思实施了，那么我们就进行测试了！如下图4

我们传了一个>1k的文件，没有成功，这样我们就成功的为用户ftpd增添了磁盘配额，要是哪一天你不想加磁盘配额了，怎么办？参看如下命令：
取消某个文件系统的配额限制
#quotaoff  -vug /dev/sda6  //删除home分区的磁盘限额
#删除/etc/fstab中设置配额的部分
修改软配额的最大超越时间
注意：
/，/boot/,/proc,/mnt/cdrom等不要使用配额，没用。而且磁盘配额不适合FAT和FAT32系统。
以后当新设置了某个用户的配额，可以使用如下命令，马上生效。
# quotacheck -auvgm    --是不尝试重新挂载文件系统
备注：
1、vsftpd配置参数详细整理
#接受匿名用户
anonymous_enable=YES
#匿名用户login时不询问口令
no_anon_password=YES
#匿名用户主目录
anon_root=(none)
#接受本地用户
local_enable=YES
#本地用户主目录
local_root=(none)
#如果匿名用户需要密码,那么使用banned_email_file里面的电子邮件地址的用户不能登录
deny_email_enable=YES
#仅在没有pam验证版本时有用,是否检查用户有一个有效的shell来登录
check_shell=YES
#若启用此选项,userlist_deny选项才被启动
userlist_enable=YES
#若为YES,则userlist_file中的用户将不能登录,为NO则只有userlist_file的用户可以登录
userlist_deny=NO
#如果和chroot_local_user一起开启,那么用户锁定的目录来自/etc/passwd每个用户指定的目录(这个不是很清楚,很哪位熟悉的指点一下)
passwd_chroot_enable=NO
#定义匿名登入的使用者名称。默认值为ftp。
ftp_username=FTP
#################用户权限控制###############
#可以上传(全局控制).
write_enable=YES
#本地用户上传文件的umask
local_umask=022
#上传文件的权限配合umask使用
#file_open_mode=0666
#匿名用户可以上传
anon_upload_enable=NO
#匿名用户可以建目录
anon_mkdir_write_enable=NO
匿名用户其它的写权利(更改权限?)
anon_other_write_enable=NO
如果设为YES，匿名登入者会被允许下载可阅读的档案。默认值为YES。
anon_world_readable_only=YES
#如果开启,那么所有非匿名登陆的用户名都会被切换成guest_username指定的用户名
#guest_enable=NO
所有匿名上传的文件的所属用户将会被更改成chown_username
chown_uploads=YES
匿名上传文件所属用户名
chown_username=lightwiter
#如果启动这项功能，则所有列在chroot_list_file之中的使用者不能更改根目录
chroot_list_enable=YES
#允许使用"async ABOR"命令,一般不用,容易出问题
async_abor_enable=YES
管控是否可用ASCII 模式上传。默认值为NO。
ascii_upload_enable=YES
#管控是否可用ASCII 模式下载。默认值为NO。
ascii_download_enable=YES
#这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限，当vsftpd 不需要file system 的权限时，就会将使用者限制在此数据夹中。默认值为/usr/share/empty
secure_chroot_dir=/usr/share/empty
###################超时设置##################
#空闲连接超时
idle_session_timeout=600
#数据传输超时
data_connection_timeout=120
#PAVS请求超时
ACCEPT_TIMEOUT=60
#PROT模式连接超时
connect_timeout=60
################服务器功能选项###############
#开启日记功能
xferlog_enable=YES
#使用标准格式
xferlog_std_format=YES
#当xferlog_std_format关闭且本选项开启时,记录所有ftp请求和回复,当调试比较有用.
#log_ftp_protocol=NO
#允许使用pasv模式
pasv_enable=YES
#关闭安全检查,小心呀.
#pasv_promiscuous+NO
#允许使用port模式
#port_enable=YES
#关闭安全检查
#prot_promiscuous
#开启tcp_wrappers支持
tcp_wrappers=YES
#定义PAM 所使用的名称，预设为vsftpd。
pam_service_name=vsftpd
#当服务器运行于最底层时使用的用户名
nopriv_user=nobody
#使vsftpd在pasv命令回复时跳转到指定的IP地址.(服务器联接跳转?)
pasv_address=(none)
#################服务器性能选项##############
#是否能使用ls -R命令以防止浪费大量的服务器资源
#ls_recurse_enable=YES
#是否使用单进程模式
#one_process_model
#绑定到listen_port指定的端口,既然都绑定了也就是每时都开着的,就是那个什么standalone模式
listen=YES
#当使用者登入后使用ls -al 之类的指令查询该档案的管理权时，预设会出现拥有者的UID，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。
text_userdb_names=NO
#显示目录清单时是用本地时间还是GMT时间,可以通过mdtm命令来达到一样的效果
use_localtime=NO
#测试平台优化
#use_sendfile=YES

################信息类设置################
#login时显示欢迎信息.如果设置了banner_file则此设置无效
ftpd_banner=欢迎来到湖南三辰Fake-Ta FTP 网站.
#允许为目录配置显示信息,显示每个目录下面的message_file文件的内容
dirmessage_enable=YES
#显示会话状态信息,关!
#setproctitle_enable=YES
############## 文件定义 ##################
#定义不能更改用户主目录的文件
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
#定义限制/允许用户登录的文件
userlist_file=/etc/vsftpd/vsftpd.user_list
#定义登录信息文件的位置
banner_file=/etc/vsftpd/banner
#禁止使用的匿名用户登陆时作为密码的电子邮件地址
banned_email_file=/etc/vsftpd.banned_emails
#日志文件位置
xferlog_file=/var/log/vsftpd.log
#目录信息文件
message_file=.message
############## 目录定义 #################
#定义用户配置文件的目录
user_config_dir=/etc/vsftpd/userconf
#定义本地用户登陆的根目录,注意定义根目录可以是相对路径也可以是绝对路径.相对路径是针对用户家目录来说的.
local_root=webdisk #此项设置每个用户登陆后其根目录为/home/username/webdisk
#匿名用户登陆后的根目录
anon_root=/var/ftp
#############用户连接选项#################
#可接受的最大client数目
max_clients=100
#每个ip的最大client数目
max_per_ip=5
#使用标准的20端口来连接ftp
connect_from_port_20=YES
#绑定到某个IP,其它IP不能访问
listen_address=192.168.0.2
#绑定到某个端口
#listen_port=2121
#数据传输端口
#ftp_data_port=2020
#pasv连接模式时可以使用port 范围的上界，0 表示任意。默认值为0。
pasv_max_port=0
#pasv连接模式时可以使用port 范围的下界，0 表示任意。默认值为0。
pasv_min_port=0
##############数据传输选项#################
#匿名用户的传输比率(b/s)
anon_max_rate=51200
#本地用户的传输比率(b/s)
local_max_rate=5120000
########################################
别外,如果要对每个用户进行单独的控制,只需要在user_config_dir中建立username文件,内容为数据传输和用户权利里面设置个人的合适的选项,用户自定义文件同样适合用pam支持的虚拟用户
附: FTP 数字代码的意义
110 重新启动标记应答。
120 服务在多久时间内ready。
125 数据链路埠开启，准备传送。
150 文件状态正常，开启数据连接端口。
200 命令执行成功。
202 命令执行失败。
211 系统状态或是系统求助响应。
212 目录的状态。
213 文件的状态。
214 求助的讯息。
215 名称系统类型。
220 新的联机服务ready。
221 服务的控制连接埠关闭，可以注销。
225 数据连结开启，但无传输动作。
226 关闭数据连接端口，请求的文件操作成功。
227 进入passive mode。
230 使用者登入。
250 请求的文件操作完成。
257 显示目前的路径名称。
331 用户名称正确，需要密码。
332 登入时需要账号信息。
350 请求的操作需要进一部的命令。
421 无法提供服务，关闭控制连结。
425 无法开启数据链路。
426 关闭联机，终止传输。
450 请求的操作未执行。
451 命令终止：有本地的错误。
452 未执行命令：磁盘空间不足。
500 格式错误，无法识别命令。
501 参数语法错误。
502 命令执行失败。
503 命令顺序错误。
504 命令所接的参数不正确。
530 未登入。
532 储存文件需要账户登入。
550 未执行请求的操作。
551 请求的命令终止，类型未知。
552 请求的文件终止，储存位溢出。
553 未执行请求的的命令，名称不正确。

2、VSFTPD官方资料翻译版（不完整版）---摘自中国Linux公社
翻译了部分VSFTPD的官方资料。
有些知道是什么意思，但难于翻译。有些涉及专业的知识，我自己也不懂，只好按字面翻译。有些我自己看不懂，只好尽量翻译。
如果看了其中一部分觉得糊涂，请参阅官方文挡。

安装篇
===============
这个文件详细介绍了如何从VSFTPD的.tar.gz分发包开始，建立和安装并运行VSFTPD。

1）建立VSFTPD
先进入解压.tar.gz文件后产生的目录内。如下：
cd vsftpd-2.0.1

编辑"builddefs.h"以操作compile-time设定。（tcp_wrappers build,等）

输入make,回车（如果它不工作请发邮件通知我  .
这将产生一个二进制文件，你可以验证一下。如下：
[chris@localhost vsftpd]$ ls -l vsftpd
-rwxrwxr-x 1 chris chris 61748 Sep 27 00:26 vsftpd

2）满足VSFTPD安装所需的一些条件
VSFTPD默认设置需要一个"nobody"用户，如果这个用户不存在，那么添加它。如下：
[root@localhost root]# useradd nobody
useradd: user nobody exists

VSFTPD默认设置需要一个空目录：/usr/share/empty.增加这个目录，如果它还不存在的话。如下：
[root@localhost root]# mkdir /usr/share/empty/
mkdir: cannot create directory `/usr/share/empty': File exists

如果容许匿名用户（anonymous)，那么你将需要一个"ftp"用户和其home目录（这个home目录不属于“ftp”用户，而且“ftp"用户也对其没有写权限）在你的系统中存在。
以下命令用来创建一个"ftp"用户，如果它还不存在的话。
[root@localhost root]# mkdir /var/ftp/
[root@localhost root]# useradd -d /var/ftp ftp

（即使你的"ftp"用户已经存在，完成以下这两步也是很有好处的：）
[root@localhost root]# chown root.root /var/ftp
[root@localhost root]# chmod og-w /var/ftp

3）安装VSFTPD的配置、执行和帮助文件。
输入"make install"后会将二进制文件和帮助文件拷贝到适当的目录。
你也可以手工拷贝这些文件：
cp vsftpd /usr/local/sbin/vsftpd
cp vsftpd.conf.5 /usr/local/man/man5
cp vsftpd.8 /usr/local/man/man8

"make install"不会拷贝默认的配置文件，所以建议你手工拷贝：
cp vsftpd.conf /etc
daidong注：根据你系统版本的不同，也可能是 cp vsftpd.conf /etc/vsftpd

4)测试（无inetd影响）
VSFTPD能运行在独立模式（standalone)或者通过inetd(xinetd)来启动。
你能通过inetd来运行vsftpd以更好地控制它。但我们在首次运行时不这么做，以便检查系统是否现在配置正常。
编辑/etc/vsftpd.conf（daidong注：也可能是/etc/vsftpd/vsftpd.conf)，并在最下面加入以下这一行：
listen=YES
这将告诉VSFTPD不要从inetd启动。
OK，现在试着启动FTP。
以ROOT登录。
确定你没有运行其他FTP服务（否则VSFTPD不能占用FTP所需的21端口）。
运行那个二进制文件，如下：
[root@localhost root]# /usr/local/sbin/vsftpd &
[1] 2104

如果一切正常，那么你将连上FTP服务器，如下：
[chris@localhost chris]$ ftp localhost
Connected to localhost (127.0.0.1).
220 (vsFTPd 1.1.1)
Name (localhost:chris): ftp
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (127,0,0,1,229,133)
150 Here comes the directory listing.
d--x--x--x 2 0 0 4096 Jan 14 2002 bin
d--x--x--x 2 0 0 4096 Apr 21 20:52 etc
drwxr-xr-x 2 0 0 4096 Apr 21 20:52 lib
drwxr-sr-x 2 0 50 4096 Jul 26 22:58 pub
226 Directory send OK.
ftp>
5）从inetd或者类似方式启动（官方推荐使用standalone方式）
你也许想通过inetd或者类似方式启动VSFTPD，因为这能给你更多的感受。例如xinetd就有很多的设置。
（注意：VSFTPD的内在机制屏蔽了xinetd的大多数的有用的设置）。

如果使用标准的"inetd",你需要编辑/etc/inetd.conf,在其中加入以下一行：
ftp stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/vsftpd

（确定你删除或者注释掉一些已存在的FTP服务配置行。如果你没有安装tcp_wrappers,或者不想使用它们，那么请去掉/usr/sbin/tcpd part).

inetd需要指定并重新载入它的配置文件：
kill -SIGHUP `pidof inetd`

如果你想使用"xinetd",请参阅我们提供的范例 /EXAMPLE/INTERNET_SITE/README. 而其他范例文件将告诉你如何调配出更强大的xinetd功能。

6）为本地登录配置PAM文件（可选）
如果你在一台激活了PAM的设备上运行VSFTPD，你需要提供一个 /etc/pam.d/ftp 文件。否则非匿名用户将无法登录服务器。
（注：如果你的PAM版本比较老，那么这个文件也许是 /etc/pam.conf).

做为一个标准设置，你可以拷贝一个已提供的范例文件，如下：
cp RedHat/vsftpd.pam /etc/pam.d/ftp

7）自定义你的配置文件
完成以上的配置后，建议你安装一个配置文件。默认的配置文件位置是/etc/vsftpd.conf. 在VSFTPD软件分发包内有一个范例配置文件。
你可以拷贝其为/etc/vsftpd.conf以做进一步修改。
cp vsftpd.conf /etc
（daidong注：也可能是 cp vsftpd.conf /etc/vsftpd ).

这个默认配置即不容许本地登录也不容许匿名用户上传，也许你希望更改这个配置。

其它
===================
测试平台（已通过）
-流行的，功能完善的平台都能测试通过。在以下平台的较新版本，VSFTPD工作得很好。在其大部分较早的版本下，也运行正常。
- RedHat Linux
- RedHat Enterprise Linux
- Solaris / GNU tools (Solaris 8 or newer)
- SuSE Linux
- Debian Linux
- OpenBSD
- FreeBSD
- NetBSD
- HP-UX / GNU tools
- IRIX / GNU tools
- Mac OS X (note; older versions have setgroups() problem. 10.3.4 reported OK)
虚拟用户1
=============
这个例子示范了如何为虚拟用户设置VSFTPD/PAM。
虚拟用户是一个在系统中并不作为一个登录实体而存在的用户。使用虚拟用户比使用真实的用户更安全，因为这个账号只能用于FTP服务器。

虚拟用户经常用来提供给不大可信任的用户访问某些资源，而这些资源通常是其他普通用户不能访问的。

1）创建虚拟用户数据库
我们将使用pam_userdb来认证虚拟用户。这需要提供一个“db"格式（一种通用数据库格式）的用户名/密码文件。
创建一个"db"格式的文件，首先要创建一个标准文本文件，并把用户名，密码以竖直排列方式输入。如logins.txt：
tom
foo
fired
bar
这个例子中,tom用户的密码是foo.fired用户的密码是bar.
以ROOT登录，创建一个数据库文件，如下：
db_load -T -t hash -f logins.txt /etc/vsftpd_login.db
（这要求berkeley db程序已经安装）
(注：一些系统也许安装了多个版本的"db",所以某些情况下你可能使用"db3_load"才是正确的。对于一些 Debian系统就是这样。
关键在于要让pam_userdb相信它的登录数据库是哪一个db版本所产生（一般都是db3，尽管你的系统里可能安装的是db4).）

这将创建/etc/vsftpd_login.db文件。显然，你希望设定这个文件的权限：
chmod 600 /etc/vsftpd_login.db
2）用你的新数据库创建一个PAM文件
请参考范例vsftpd.pam，它包含2行：
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login

这是告诉PAM用新的数据库去验证用户。把这个PAM文件拷贝到PAM目录，一般是/etc/pam.d
cp vsftpd.pam /etc/pam.d/ftp

3)为虚拟用户设置home目录
useradd -d /home/ftpsite virtual
ls -ld /home/ftpsite
(which should give):
drwx------ 3 virtual virtual 4096 Jul 30 00:39 /home/ftpsite

我们已经创建了一个名叫"virtual"的用户，home目录是"/home/ftpsite".
我们拷贝一些东西到这个下载目录：
cp /etc/hosts /home/ftpsite
chown virtual.virtual /home/ftpsite/hosts

4）创建你的vsftpd.conf配置文件
请参考这个目录下的例子。让我们一行行地看一看这些配置：
anonymous_enable=NO
local_enable=YES
安全起见，屏蔽了匿名用户，只启用了非匿名用户（即虚拟用户使用的账号）

write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

为了安全请确认这几个配置，这将关闭写的权限。

chroot_local_user=YES

这将把虚拟用户锁定在我们在以上设置的/home/ftpsite目录内。

guest_enable=YES
guest_username=virtual

guest_enable非常重要-它激活了虚拟用户！而guest_username说明所有的虚拟用户都对应我们在上面设置的真实用户：“virtual".
这同时确定了虚拟用户在文件系统中的位置，也就是说，虚拟用户的home目录即"virtual"用户的home目录：/home/ftpsite。

listen=YES
listen_port=10021

这让VSFTPD以独立模式(standalone)运行，而不是从inetd方式启动。也就是说，你运行VSFTPD可执行文件就启动了FTP服务。
同时也让VSFTPD启用非标准端口10021来监听FTP请求（FTP一般使用21端口）。

pasv_min_port=30000
pasv_max_port=30999

这设定了被动模式的FTP请求端口。当你配置了一个防火墙的时候，这个配置就很好用。
拷贝范例配置文件到/etc
cp vsftpd.conf /etc/
(daidong注：也可能是/etc/vsftpd)

5)启动VSFTPD
到VSFTPD二进制文件所在的目录，输入：
./vsftpd

如果一切正常，这个命令将生效。否则，你将会看到一些错误信息的反馈。

6）测试
启动另一个会话。（或者ctrl-z，再输入"bg",让VSFTPD在后台运行）。
这是一个FTP会话的例子：

ftp localhost 10021
Connected to localhost (127.0.0.1).
220 ready, dude (vsFTPd 1.1.0: beat me, break me)
Name (localhost:chris): tom
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/"
ftp> ls
227 Entering Passive Mode (127,0,0,1,117,135)
150 Here comes the directory listing.
226 Transfer done (but failed to open directory).
ftp> size hosts
213 147
ftp>

注释：
密码是"foo"
出现”failed to open directory“的话，别担心。这是因为/home/ftpsite目录不容许被任意浏览。
（我们可以更改anon_world_readable_only=NO以消除告警，但为了安全，还是保留这个配置）。
我们能通过size命令看到我们已经访问了被我们拷贝到这里的"hosts"文件。

vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
chroot_local_user=YES
guest_enable=YES
guest_username=virtual
listen=YES
listen_port=10021
pasv_min_port=30000
pasv_max_port=30999
虚拟用户2
===============
这个例子将演示如何扩展“VIRTUAL_USERS”那个范例，从而实现更复杂一点的配置。

让我们假定我们需要2种不同的虚拟用户：一种只能浏览并下载资源，另一种能上传文件并浏览站内资源。

要激活这个设置，我们将使用VSFTPD的强大的“单个用户配置”功能（是V1.1.0后出现的新功能）。

在前一个虚拟用户范例中，我们创建了2个用户-tom和fred.
我们将实现fred有写权限以上传新文件，同时tom只能下载文件。

宋针还 2007-12-06 17:25 发表评论

VSFTP配置手册

宋针还 — Thu, 06 Dec 2007 08:53:00 GMT

Redhat Linux AS + VSFTPD-1.2.0-4

匿名服务器的连接（独立的服务器）
在/etc/vsftpd/vsftpd.conf配置文件中添加如下几项：

anonymous_enable=yes (允许匿名登陆)
dirmessage_enable=yes （切换目录时，显示目录下.message的内容）
local_umask=022 (FTP上本地的文件权限，默认是077)
connect_form_port_20=yes （启用FTP数据端口的数据连接）*
xferlog_enable=yes （激活上传和下传的日志）
xferlog_std_format=yes (使用标准的日志格式)
ftpd_banner=XXXXX （欢迎信息）
pam_service_name=vsftpd （验证方式）*
listen=yes （独立的VSFTPD服务器）*
功能：只能连接FTP服务器，不能上传和下传
注：其中所有和日志欢迎信息相关连的都是可选项,打了星号的无论什么帐户都要添加，是属于FTP的基本选项

开启匿名FTP服务器上传权限
在配置文件中添加以下的信息即可：

Anon_upload_enable=yes (开放上传权限)
Anon_mkdir_write_enable=yes （可创建目录的同时可以在此目录中上传文件）
Write_enable=yes (开放本地用户写的权限)
Anon_other_write_enable=yes (匿名帐号可以有删除的权限)
开启匿名服务器下传的权限
在配置文件中添加如下信息即可：

Anon_world_readable_only=no
注：要注意文件夹的属性，匿名帐户是其它（other）用户要开启它的读写执行的权限
（R）读-----下传（W）写----上传（X）执行----如果不开FTP的目录都进不去

普通用户FTP服务器的连接（独立服务器）
在配置文件中添加如下信息即可：

Local_enble=yes （本地帐户能够登陆）
Write_enable=no （本地帐户登陆后无权删除和修改文件）
功能：可以用本地帐户登陆vsftpd服务器，有下载上传的权限
注：在禁止匿名登陆的信息后匿名服务器照样可以登陆但不可以上传下传

用户登陆限制进其它的目录，只能进它的主目录
设置所有的本地用户都执行chroot

Chroot_local_user=yes （本地所有帐户都只能在自家目录）
设置指定用户执行chroot

Chroot_list_enable=yes （文件中的名单可以调用）
Chroot_list_file=/任意指定的路径/vsftpd.chroot_list
注意：vsftpd.chroot_list 是没有创建的需要自己添加，要想控制帐号就直接在文件中加帐号即可

限制本地用户访问FTP
Userlist_enable=yes (用userlistlai 来限制用户访问)
Userlist_deny=no (名单中的人不允许访问)
Userlist_file=/指定文件存放的路径/ （文件放置的路径）
注：开启userlist_enable=yes匿名帐号不能登陆

安全选项
Idle_session_timeout=600(秒) （用户会话空闲后10分钟）
Data_connection_timeout=120（秒）（将数据连接空闲2分钟断）
Accept_timeout=60（秒）（将客户端空闲1分钟后断）
Connect_timeout=60（秒）（中断1分钟后又重新连接）
Local_max_rate=50000（bite）（本地用户传输率50K）
Anon_max_rate=30000（bite）（匿名用户传输率30K）
Pasv_min_port=50000 （将客户端的数据连接端口改在
Pasv_max_port=60000 50000—60000之间）
Max_clients=200 （FTP的最大连接数）
Max_per_ip=4 （每IP的最大连接数）
Listen_port=5555 （从5555端口进行数据连接）
查看谁登陆了FTP,并杀死它的进程
ps –xf |grep ftp
kill 进程号

vsFTP服务器的配置
VSFTPD的高手篇

版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明

[原文出处 http://www.5ilinux.com/vsftp02.html]

我可不是高手！！！^_^我只不过是个菜鸟，尽我的能力写出了我这个菜鸟觉得的高手篇，所以有什么错误请大家指正哦！！！

环境：linux as 3.0 + vsftpd -1.2.0-4的系统架构，是在独立服务器下的哦！讨厌XINETD^_^

配置本地组访问的FTP
首先创建用户组 test和FTP的主目录

groupadd test
mkdir /tmp/test
然后创建用户

useradd -G test –d /tmp/test –M usr1
注：G：用户所在的组 d：表示创建用户的自己目录的位置给予指定

M：不建立默认的自家目录，也就是说在/home下没有自己的目录

useradd –G test –d /tmp/test –M usr2
接着改变文件夹的属主和权限

chown usr1.test /tmp/test ----这表示把/tmp/test的属主定为usr1
chmod 750 /tmp/test ----7表示wrx 5表示rx 0表示什么权限都没有
这个实验的目的就是usr1有上传、删除和下载的权限

而usr2只有下载的权限没有上传和删除的权限

当然啦大家别忘了我们的主配置文件vsftpd.conf

要确定local_enable=yes、write_enable=yes、chroot_local_usr=yes这三个选项是有的哦！

配置独立FTP的服务器的非端口标准模式进行数据连接
这个非常容易：在VSFTPD。CONF中添加

Listen_port=33333
就可以了啦！

配置单独的虚拟FTP，使用虚拟FTP用户，并使建立的四个帐户中有不同的权限
（两个有读目录的权限，一个有浏览、上传、下载的权限，一个有浏览、下载、删除和改文件名的权限）

A：配置网卡
第一块网卡地址是10.2.3.4 掩码是255.255.0.0

ifconfig eth0:1 211.131.4.253 netmask 255.255.255.0 up
B：写入/etc/sysconfig中（为了重起后IP地址不会丢失）
cd /etc/sysconfig/network-scripts
cp ifcfg-eth0 ifcfg-eth0:1
vi ifcfg-eth0:1在其中修改内容如下
DEVICE=eth0:1
BROADCAST=211.131.4.255
HWADDR=该网卡的MAC地址
IPADDR=211.131.4.253
NETMASK=255.255.255.0
NETWORK=211.131.4.0
onBOOT=yes
TYPE=Ethernet
wq退出
C：进入vsftpd.conf所在的文件夹
cp vsftpd.conf vsftpd2.conf
修改vsftpd.conf添加以下信息

Listen_address=10.2.3.4
修改vsftpd2.conf添加以下信息

Listen_address=211.131.4.253
Ftpd_banner=this is a virtual ftp test
到此虚拟的FTP服务器建立好了

D：建立logins.txt
vi /tmp/logins.txt
添加入下信息：

longlei------------用户名
longlei------------密码
zhangweibo
zhangweibo
jinhui
jinhui
lxp
lxp
格式要按照我的来哦，一个用户名，一个密码啦

E：建立访问者的口令库文件,然后修改其权限
db_load –T –t hash –f /tmp/logins.txt /etc/vsftpd_login.db
F：进如/etc/pam.d/中创建ftp.vu
在此文件中添加如下信息

auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
G：在/var/ftp/创建目录并改变其属性和它的属主
useradd -d /var/ftp/test qiang
chmod 700 /var/ftp/test
在目录中添加test_file测试文件

H：进入vsftpd2.conf修改其中的信息
Listen_yes
Anonymous_enable=no
Local_enable=yes
Write_enable=no
Anon_upload_enable=no
Anon_mkdir_write_enable=no
Anon_other_write_enable=no
Chroot_local_user=yes
Guest_enable=yes----------起用虚拟用户
Guest_username=qiang------将虚拟用户映射为本地用户
Listen_port=5555
Max_client=10
Max_per_ip=1
Ftpd_banner=this is a virtual server and users
Pam_service_name=ftp.vu
注：在主配置文件中给的权限越低，在后面分用户管理的时候对拥护的权限划分的空间就越大，因为主配置文件最高的限制服务先读主配置文件，然后再读用户的配置文件

重起服务。到此虚拟USER就建好了

I：在vsftpd.comf所在的目录中创建virtaul文件目录并在文件目录中创建以你用户名命名的配置文件
Longlei zhangweibo jinhui lxp
在longlei中添加：

Anon_world_readable_only=no
在lxp中添加

Anon_world_readable_only=no
这样此两个用户就有了浏览目录的权限了

在jinhui中添加

Anon_world_readable_only=no
Write_enable=yes
Anon_upload_enable=yes
此用户就有了上传、下载和浏览的权限

在zhangweibo中添加

Anon_world_readable_only=no
Write_enable=yes
Anon_upload_enable=yes
Anon_other_write_enable=yes
此用户就有了上传、下载、删除文件目录、修改文件名和浏览的权限

J：修改vsftpd2.conf
加入user_config_dir=/vsftpd.conf所在的目录/virtual

重起服务器就搞定了

vsftpd.conf中的所有配置信息

vsftpd.conf的参数： Anonymous_enable=yes 允许匿名登陆
Dirmessage_enable=yes 切换目录时，显示目录下.message的内容
Local_umask=022 FTP上本地的文件权限，默认是077
Connect_form_port_20=yes 启用FTP数据端口的数据连接 *
Xferlog_enable=yes 激活上传和下传的日志
Xferlog_std_format=yes 使用标准的日志格式
Ftpd_banner=XXXXX 欢迎信息
Pam_service_name=vsftpd 验证方式 *
Listen=yes 独立的VSFTPD服务器 *
Anon_upload_enable=yes 开放上传权限
Anon_mkdir_write_enable=yes 可创建目录的同时可以在此目录中上传文件
Write_enable=yes 开放本地用户写的权限
Anon_other_write_enable=yes 匿名帐号可以有删除的权限
Anon_world_readable_only=no 放开匿名用户浏览权限
Ascii_upload_enable=yes 启用上传的ASCII传输方式
Ascii_download_enable=yes 启用下载的ASCII传输方式
Banner_file=/var/vsftpd_banner_file 用户连接后欢迎信息使用的是此文件中的相关信息
Idle_session_timeout=600(秒) 用户会话空闲后10分钟
Data_connection_timeout=120（秒）将数据连接空闲2分钟断
Accept_timeout=60（秒）将客户端空闲1分钟后断
Connect_timeout=60（秒）中断1分钟后又重新连接
Local_max_rate=50000（bite）本地用户传输率50K
Anon_max_rate=30000（bite）匿名用户传输率30K
Pasv_min_port=50000 将客户端的数据连接端口改在
Pasv_max_port=60000 50000—60000之间
Max_clients=200 FTP的最大连接数
Max_per_ip=4 每IP的最大连接数
Listen_port=5555 从5555端口进行数据连接
Local_enble=yes 本地帐户能够登陆
Write_enable=no 本地帐户登陆后无权删除和修改文件
下面这是一组
Chroot_local_user=yes 本地所有帐户都只能在自家目录
Chroot_list_enable=yes 文件中的名单可以调用
Chroot_list_file=/任意指定的路径/vsftpd.chroot_list 前提是chroot_local_user=no
这又是一组
Userlist_enable=yes 在指定的文件中的用户不可以访问
Userlist_deny=yes
Userlist_file=/指定的路径/vsftpd.user_list
又开始单的了
Banner_fail=/路径/文件名连接失败时显示文件中的内容
Ls_recurse_enable=no
Async_abor_enable=yes
one_process_model=yes
Listen_address=10.2.2.2 将虚拟服务绑定到某端口
Guest_enable=yes 虚拟用户可以登陆
Guest_username=所设的用户名将虚拟用户映射为本地用户
User_config_dir=/任意指定的路径/为用户策略自己所建的文件夹指定不同虚拟用户配置文件的路径
又是一组
Chown_uploads=yes 改变上传文件的所有者为root
Chown_username=root
又是一组
Deny_email_enable=yes 是否允许禁止匿名用户使用某些邮件地址
Banned_email_file=//任意指定的路径/xx/
又是单的
Pasv_enable=yes 服务器端用被动模式
User_config_dir=/任意指定的路径//任意文件目录指定虚拟用户存放配置文件的路径

vsFTP服务器的维护
现在这里还没有关于维护vsftp服务器的资料。欢迎大家编辑2

vsFTP使用的一些补充
补充一：如何有选择的把用户限制在家目录中呢？
我们要自己建一个文件，在/etc目录中

#touch /etc/vsftpd.chroot_list
以beinan和nanbei这两个用户限制在他们所在的家目录中，而其它的FTP用户不做此限制。

在vsftpd.chroot_list这个文件中，把beinan和nanbei添上去就行，注意，每个用户占一行。

beinan
nanbei
然后改/etc/vsftpd/vsftpd.conf文件，找如下的两行

#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
把前面的#号去掉，也就是这样的

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
如果没有这样的两行，就可以自己添加上去也是一样的。

设置好后，重新vsFTPD服务器。

补充一之补充：如何把系统内所有的FTP用户都限制在家目录中呢？？经juliaugong兄的提示，我查找了vsFTPd的洋文说明，证明这个选项是一刀切的解决所有的用户都能限制在家目录中

我们可以通过更改vsftpd.conf文件，加入如下的一行

chroot_local_user=YES
改完配制文件，不要忘记重启vsFTPd服务器

[root@linuxsir001 root]# /etc/init.d/vsftpd restart
关闭 vsftpd： [ 确定 ]
为 vsftpd 启动 vsftpd： [ 确定 ]
[root@linuxsir001 root]#
补充二：打开vsFTP服务器的日志功能
把下面xferlog_file前面的#号对掉，也就是把vsftp的log功能打开，这样我们就能在/var/log目录下查看vsftpd.log。这是vsFTP的日志功能，这对于我们来说是极为重要的。

#xferlog_file=/var/log/vsftpd.log
补充三：如何让绑定IP到vsFTP？
也就是说，如何让用户只能通过某个IP来访问FTP。其实这个功能很有意思。如果绑定的是内网的IP，外部是没有办法访问的。如果绑定的是对外服务的IP，内网也只能通过对外服务的IP来访问FTP

在/etc/vsftpd/vsftpd.conf中加一行，以我的局域网为例，请看第一帖中的操作环境，这样外网就不能访问我的FTP了，内网也可能通过192.168.0.2来访问FTP

listen_address=192.168.0.2
加完后，要重启vsFTP服务器

[root@linuxsir001 root]# /etc/init.d/vsftpd restart
关闭 vsftpd： [ 确定 ]
为 vsftpd 启动 vsftpd： [ 确定 ]
[root@linuxsir001 root]#
补充四：如何让vsFTP服务器限制链接数，以及每个IP最大的链接数？？
答：应该改vsFTP服务器的配制文件vsftpd.conf，加入下面的两行：

max_clients=数字
max_per_ip=数字
举例：我想让我的vsFTP最大支持链接数为100个，每个IP，最多能支持5个链接，所以我应该在vsftpd.conf中加上如下的两行：

max_clients=100
max_per_ip=5
改好了配制文件，不要忘记启动vsftp服务器。

补充五：如何限制下载的速度？
anon_max_rate=数字注：这是匿名的下载速度 local_max_rate=数字注：这是vsFTP服务器上普通用户的下载速度

注：这个数字的单位是字节，所以我们要计算一下。比如我想让匿名用户和vsFTP上的用户都以80KB下载，所以这个数字应该是1024x80=81920 所以我们要在vsftpd.conf中加入下面的两行

anon_max_rate=81920
local_max_rate=81920
不要忘记重启vsftpd服务

补充六：我的硬盘空间有限，怎么办？
我的硬盘空间有限，如何把帐号ftp默认的路径/var/ftp更改到别处？或者是，我的linux所有的目录都放在/根分区，因为空间紧张，我能否把ftp这个用户的默认路径放到别的分区？

可以，应该如下操作!

首先要把ftp这个用户删除

#userdel -r ftp
会有错误信息，不过不用理，这是正常的。

然后我们再把这个用户添加上，比如我想为帐号ftp的家目录设置在/mnt/LinG/ftp，我们就可以如下操作

[root@linuxsir001 root]# mkdir /mnt/LinG
[root@linuxsir001 root]# adduser -d /mnt/LinG/ftp -g ftp -s /sbin/nologin ftp
仅仅是这样做还不行，因为这样还是不能让匿名用户找到它的家目录，所以我们必须改变/mnt/LinG/ftp这个目录的权限。

[root@linuxsir001 root]# chmod 755 /mnt/LinG/ftp/
[root@linuxsir001 root]# chown -R root.root /mnt/LinG/ftp/

补充七：如何定制欢迎信息
如何在我们登入有些FTP之后，会出现类似：欢迎您来到LinuxSir FTP，在这里，您会得到最真诚的帮助，如果有什么问题和建议，请来信，多谢。

实现这个并不难，我们可以查看vsftpd.cof文件中，是否有这行。

dirmessage_enable=YES
如果没有就加上，如果dirmessage_enable=YES前面有#号，就把#号去掉。

然后我们制定一个.message文件，写上您想要写的东西，比如是.message的内容是如下的：

欢迎您来到LinuxSir FTP！
在这里，您会得到最真诚的帮助；
如果有什么问题和建议，请来信，多谢。
我们可以用编辑器来写这个.message，我想这个过程就不用说了吧。

然后我们把.message这个文件复制到各个用户的家目录中。比如我的FTP的一个用户是beinan，这个用户所在的家目录是/home/beinan

我们就要把.message放在/home/beinan这个目录下。如果系统用户ftp，他的目录就是/var/ftp这个目录，这个是默认的，当匿名用户登入时就访问的是/var/ftp这个目录。我们要让匿名用户能看到欢迎信息。就要把.message放在/var/ftp目录中。其它的用户，也无非就是类似的操作。

补充八：如何实现虚拟路径？
比如： /home/a 映射为ftp://localhost/a /home/b/c 则为ftp://localhost/c

其实这个不能说是vsFTPd的内容，其实我们早就接触过了，可能我们没有注意，我们可以通过如下的方法来实现。

#mount --bind [原有的目录] [新目录]
比如我的ftp的默认目录是/var/ftp，我想把/mnt/LinG/WinSoft文件夹，映射到/var/ftp目录中，我就如下操作

我们要先在/var/ftp目录中建一个目录

#mkdir /var/ftp/WinSoft
然后执行mount命令

#mount --bind /mnt/LinG/WinSoft /var/ftp/WinSoft
这样就OK了。

补充九：如何上匿名访问、上传，并支持下载和执行？
在默认的情况下，vsftp是不支持匿名用户的访问的，所以我们要自己打开相应的选项。现在我针对这个问题，我们要打开如下的选项。

anonymous_enable=YES 注：允许匿名访问
anon_upload_enable=YES 注：允许上传
anon_mkdir_write_enable=YES 注：允许建立相应的目录
anon_umask=022 把上传到FTP的文件或者目录改变权限
当然打开这些选项还是不行的，我们还要让匿名写入文件的上一级目录有写入权，以我所做的FTP为例，我所做的FTP的匿名访问的目录是/var/ftp，在vsFTPd中，/var/ftp这个目录是不能让匿名用户有写入权限的，这是为了安全考虑，所以我们必须自己在/var/ftp目录中建一个目录，让这个目录有写入权。

比如：我在/var/ftp目录建一个upload目录，然后把它的权限设置成777，这样匿名用户就能写入了。

#mkdir /var/ftp/upload
#chmod 777 /var/ftp/upload
改了一系列的文件，不要忘记重启vsFTPd服务器

我是用standalone模式的，当然用下面的方法

[root@linuxsir001 root]# service vsftpd restart
关闭 vsftpd： [ 确定 ]
为 vsftpd 启动 vsftpd： [ 确定 ]
[root@linuxsir001 root]#
如果您用的是xinetd模式来启动vsFTPd，我们要重启xinetd服务器

[root@linuxsir001 root]# service xinetd restart
停止 xinetd： [ 确定 ]
启动 xinetd： [ 确定 ]
[root@linuxsir001 root]# ]

补充十：通过pam认证方式，添加虚拟用户

通过pam认证，用db_load添加用户，是真正的虚拟用户。现在我们简单的介绍一下，通过以后的学习，我们再深入补充：

1。在/etc/pam.d/目录中创建一个文件ftp

[root@linuxsir001 root]# touch /etc/pam.d/ftp
2。在/etc/pam.d/ftp里面加上如下的两行

auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
3。创建一系统的用户名用密码的文件logins.txt

[root@linuxsir001 root]# touch logins.txt
在logins.txt文件中，输入如下的内容。这个内容您可以自己来定。比如我下面的。其实linuxsir007是FTP的虚拟用户名，123456是linuxsir007的密码；linuxsir008是虚拟用户名，234567是linuxsir008的密码，以此类推，您想加入几个就是几个；下面是我添加的FTP的虚拟用户名和密码。

linuxsir007
123456
linuxsir008
234567
linuxsir009
567890
linuxsir010
678901
linuxsir011
789012
4。创建一个真实的用户名linuxsir006，这个linuxsir006的用户，所在的家目录由您来定。我在这里不多说了。我是按系统默认的来添加的。

[root@linuxsir001 root]# useradd linuxsir006
5。把/etc/hosts复制到/home/linuxsir006，并改变它的属主

[root@linuxsir001 root]#cp /etc/hosts /home/linuxsir006/hosts
[root@linuxsir001 root]#chown linuxsir006.linuxsir006 /home/linuxsir006/hosts
6。通过db_load来创建虚拟用户的库文件。我们在前面建的logins.txt文件，我是放在了/root用户目录下。所以咱们得把目录切换到/root目录来创建虚拟用户的库文件。

[root@linuxsir001 root]# db_load -T -t hash -f logins.txt /etc/vsftpd_login.db
7。更改vsftpd.conf文件，加入如下的几行

pam_service_name=ftp
guest_enable=YES
guest_username=linuxsir006
anon_world_readable_only=NO
8。重启vsFTPd服务器；改了一系列的文件，不要忘记重启vsFTPd服务器

我是用standalone模式的，当然用下面的方法

[root@linuxsir001 root]# service vsftpd restart
关闭 vsftpd： [ 确定 ]
为 vsftpd 启动 vsftpd： [ 确定 ]
[root@linuxsir001 root]#
如果您用的是xinetd模式来启动vsFTPd，我们要重启xinetd服务器

[root@linuxsir001 root]# service xinetd restart
停止 xinetd： [ 确定 ]
启动 xinetd： [ 确定 ]
[root@linuxsir001 root]#
9。如果您想让用户登入FTP时，登入成功的相应的信息，请把您制作的.message复制到您的用户的家目录中，这方面的请参考前面的补充。

10。测试：

[root@linuxsir001 root]# ftp 192.168.0.1
Connected to 192.168.0.1.
220 (vsFTPd 1.1.3)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.1:root): linuxsir007
331 Please specify the password.
Password:
230-欢迎光临LinuxSir自由FTP
230-在这里，您将得到最真诚的帮助！
230-本站限度为30KB！
230-每个IP限四个线程
230-请大家遵守FTP的有关规定。
230-多谢合作！
230-
230-LinuxSir管理部
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,0,1,85,171)
150 Here comes the directory listing.
-rw-r--r-- 1 ftp ftp 174 Jun 01 12:59 hosts
drwxr-xr-x 3 ftp ftp 4096 Jun 01 13:29 linuxsir008
drwxr-xr-x 2 ftp ftp 4096 Jun 01 13:24 sun
226 Directory send OK.
ftp>
补充十一：如何把系统默认用standalone启动改为用xinetd启动？
如何把Redhat 9.0中系统默认安装的vsftpd-1.1.3-8.i386.rpm，系统默认vsFTPd是用standalone启动方式，改为xinetd启动方式？如果是用源码包安装的，安装后就是xinetd模式，如果是用RPM包安装的，在Redhat 9.0中，应该用下面的方法来解决。

1.在/etc/xinetd.d/目录中创建一个文件vsftpd

[root@linuxsir001 root]# touch /etc/xinetd.d/vsftpd
/etc/xinetd.d/vsftpd内容如下：

service ftp
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
# server_args =
# log_on_success += DURATION USERID
# log_on_failure += USERID
nice = 10
disable = no
}
2。复制vsftpd.conf到/etc/目录下，因为xinetd对vsFTPd配制文件应该在/etc目录下，所以我们就必须把这个文件复制到/etc目录下，否则会出现系统中local用户无法登入，也就是说，不复制这个文件会出现ftp非匿名用户无法访问，只能用匿名用户访问。

[root@linuxsir001 root]# cp /etc/vsftpd/vsftpd.conf /etc/vsftpd.conf
3。更改配制文件/etc/vsftpd.conf，把如下的项注掉：也就是把

listen=YES
改为

#listen=YES
或者是把这行删除也行。

4。把/etc/init.d/vsftpd这个文件删除。其实最好的备份到别处，因为我们有时实验来实验去，可能还会转到standalone模式启动。我就直接移动到别的目录，比如是/root下面的backup目录。

[root@linuxsir001 root]#mkdir /root/backup
[root@linuxsir001 root]# mv /etc/init.d/vsftpd /root/backup
5。运行ntsysv，把vsftpd的服务取消

[root@linuxsir001 root]#ntsysv
[ ] vsftpd
6。重启xinetd服务

[root@linuxsir001 root]# service xinetd restart

本文转自:http://www.5ilinux.com/vsftp01.html

宋针还 2007-12-06 16:53 发表评论

LINUX9中vsftpd的配置手册

宋针还 — Thu, 06 Dec 2007 05:58:00 GMT
本文档基于RedHat Linux 9和VSFTPD-1.1.3-8。如果有不同版本，则有专门文字说明。

1、VSFTPD简述

　　如果试问哪种FTP服务器最安全？那么在UNIX和Linux中，首推的就是VSFTP（Very Secure FTP Daemon，非常安全的FTP服务器）。顾名思义，VSFTPD设计的出发点就是安全性。同时随着版本的不断升级，VSFTPD在性能和稳定性上也取得了极大的进展。象RedHat、SUSE、Debian、GNU、GNOME、KDE等一些大型站点都采用VSFTPD作为它们的FTP服务器。大家可以到http://vsftpd.beasts.org/了解它的最新情况。

2、VSFTPD的安装

2.1、RHL9+vsftpd-.1.1.3-8.i386.rpm包的安装

　　VSFTPD的安装很简单。在RHL9中，在图形界面下依次执行“Main Menu”－“System Settings”－“Add/Remove Applications”－选择FTP服务器－“更新”，或者在字符界面中执行以下命令，就可以完成安装。
　　rpm -ivh vsftpd-1.1.3-8.i386.rpm

2.2、vsftpd-1.2.0.tar.gz的安装

　　⑴准备条件

　　VSFTPD默认配置中需要“nobody”用户。在系统中添加此用户，如果用户已经存在，useradd命令有相应提示。
　　[root@hpe45 root]# useradd nobody
　　useradd: user nobody exists

　　VSFTPD默认配置中需要“/usr/share/empty”目录。在系统中此目录，如果目录已经存在，mkdir命令有相应提示。
　　[root@hpe45 root]# mkdir /usr/share/empty/
　　mkdir: cannot create directory '/usr/share/empty': File exists

　　VSFTPD提供匿名FTP服务时，需要“ftp”用户和一个有效的匿名目录。
　　[root@hpe45 root]# mkdir /var/ftp/
　　[root@hpe45 root]# useradd -d /var/ftp ftp
　　接下来的操作对于ftp用户是否已经存在都是有用的。
　　[root@hpe45 root]# chown root.root /var/ftp
　　[root@hpe45 root]# chmod og-w /var/ftp

　　⑵编译VSFTPD

　　从官方站点下载到/root目录，执行以下命令：
　　[root@hpe45 root]# tar zxvf vsftpd-1.2.0.tar.gz
　　[root@hpe45 root]# cd vsftpd-1.2.0
　　[root@hpe45 vsftpd-1.2.0]# make

　　⑶安装编译好的VSFTPD

　　执行“make install”将编译好的二进制文件、手册等复制到相应目录。在RHL9上，可能需要手动执行以下复制：
　　[root@hpe45 vsftpd-1.2.0]# cp vsftpd /usr/local/sbin/vsftpd
　　[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf.5 /usr/local/share/man/man5
　　[root@hpe45 vsftpd-1.2.0]# cp vsftpd.8 /usr/local/share/man/man8
　　此外，“make install”没有复制简单的配置文件，建议执行以下命令：
　　[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf /etc

　　⑷为本地用户设置PAM

　　如果允许本地用户登录VSFTPD，执行以下操作：
　　[root@hpe45 vsftpd-1.2.0]# cp RedHat/vsftpd.pam /etc/pam.d/ftp

3、VSFTPD的文件结构

　　VSFTPD的文件结构是很简洁的，主要包括：
　　/usr/sbin/vsftpd ---- VSFTPD的主程序
　　/etc/rc.d/init.d/vsftpd ---- 启动脚本
　　/etc/vsftpd/vsftpd.conf ---- 主配置文件
　　/etc/pam.d/vsftpd ---- PAM认证文件
　　/etc/vsftpd.ftpusers ---- 禁止使用VSFTPD的用户列表文件
　　/etc/vsftpd.user_list ---- 禁止或允许使用VSFTPD的用户列表文件
　　/var/ftp ---- 匿名用户主目录
　　/var/ftp/pub　　　　　　---- 匿名用户的下载目录
　　此外，还有一些说明文档和手册文件。

　　此外VSFTPD的日志文件位于/etc/logrotate.d/vsftpd.log。

4、VSFTPD的启动与停止

　　VSFTPD可以单独(Standalone)方式运行，如同httpd、named这类的服务器的运行方式，这是RHL9中默认的方式；也可以采用xinetd方式运行，这是RHL7.x、8中的默认方式。具体的运行方式由参数listen决定。从RHL中VSFTPD的运行方式，也可以看出VSFTPD的逐步发展。

　　当listen参数值为YES时，RHL9中的默认值，VSFTPD单独运行，我们可以使用脚本/etc/rc.d/init.d/vsftpd来启动、关闭以及重启VSFTPD。命令如下：
　　/etc/rc.d/init.d/vsftpd start|stop|restart

　　如果说在RHL9上，您还希望使用Xinetd启动VSFTPD的运行方式，那么首先要将vsftpd.conf配置文件中的listen参数值改为NO。其次，生成一个/etc/xinetd.d/vsftpd文件，内容如下：
　　service vsftpd
　　{
　　disable = no
　　socket_type = stream
　　wait = no
　　user = root
　　server = /usr/sbin/vsftpd
　　port = 21
　　log_on_success += PID HOST DURATION
　　log_on_failure += HOST
　　}
　　通过修改disable值为no或yes，并重新启动xinetd，从而启动或停止VSFTPD。

　　由于VSFTPD的单独模式已经拥有足够的能力，所以后面6中讨论到的应用，都是以单独模式来运行的，而非Xinetd方式。

　　注：还可以直接执行vsftpd来启动FTP服务，关闭时使用“kill”命令。
　　[root@hpe45 root]# /usr/local/sbin/vsftpd &

5、VSFTPD的设置选项

　　VSFTPD的配置文件/etc/vsftpd/vsftpd.conf是个文本文件。以“#”字符开始的行是注释行。每个选项设置为一行，格式为“option=value”，注意“=”号两边不能留空白符。除了这个主配置文件外，还可以给特定用户设定个人配置文件，具体介绍见后。
　　VSFTPD包中所带的vsftpd.conf文件配置比较简单，而且非常偏执狂的（文档自称:-)）。我们可以根据实际情况对其进行一些设置，以使得VSFTPD更加可用。

5.1、连接选项

　　本部分主要是一些与建立FTP链接相关的选项。

5.1.1、监听地址与控制端口

　　listen_address=ip address
　　此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义了在主机的哪个IP地址上监听FTP请求，即在哪个IP地址上提供FTP服务。对于只有一个IP地址的主机，不需要使用此参数。对于多址主机，不设置此参数，则监听所有IP地址。默认值为无。

　　listen_port=port_value
　　指定FTP服务器监听的端口号(控制端口)，默认值为21。此选项在standalone模式下生效。

5.1.2、FTP模式与数据端口

　　FTP 分为两类，PORT FTP和PASV FTP，PORT FTP是一般形式的FTP。这两种FTP在建立控制连接时操作是一样的，都是由客户端首先和FTP服务器的控制端口(默认值为21)建立控制链接，并通过此链接进行传输操作指令。它们的区别在于使用数据传输端口(ftp-data)的方式。PORT FTP由FTP服务器指定数据传输所使用的端口，默认值为20。PASV FTP由FTP客户端决定数据传输的端口。PASV FTP这种做法，主要是考虑到存在防火墙的环境下，由客户端与服务器进行沟通(客户端向服务器发出数据传输请求中包含了数据传输端口)，决定两者之间的数据传输端口更为方便一些。

　　port_enable=YES|NO
　　如果你要在数据连接时取消PORT模式时，设此选项为NO。默认值为YES。

　　connetc_from_port_20=YES|NO
　　控制以PORT模式进行数据传输时是否使用20端口(ftp-data)。YES使用，NO不使用。默认值为NO，但RHL自带的vsftpd.conf文件中此参数设为YES。

　　ftp_data_port=port number
　　设定ftp数据传输端口(ftp-data)值。默认值为20。此参数用于PORT FTP模式。

　　port_promiscuous=YES|NO
　　默认值为NO。为YES时，取消PORT安全检查。该检查确保外出的数据只能连接到客户端上。小心打开此选项。

　　pasv_enable=YES|NO
　　YES，允许数据传输时使用PASV模式。NO，不允许使用PASV模式。默认值为YES。

　　pasv_min_port=port number
　　pasv_max_port=port number
　　设定在PASV模式下，建立数据传输所可以使用port范围的下界和上界，0 表示任意。默认值为0。把端口范围设在比较高的一段范围内，比如50000-60000，将有助于安全性的提高。

　　pasv_promiscuous=YES|NO
　　此选项激活时，将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。默认值为NO。

　　pasv_address=
　　此选项为一个数字IP地址，作为PASV命令的响应。默认值为none，即地址是从呼入的连接套接字(incoming connectd socket)中获取。

5.1.3 ASCII模式

　　默认情况下，VSFTPD是禁止使用ASCII传输模式。即使FTP客户端使用asc命令，指明要使用ASCII模式，但是，VSFTPD表面上接受了asc命令，而在实际传输文件时，还是使用二进制方式。下面选项控制VSFTPD是否使用ASCII传输模式。

　　ascii_upload_enable=YES|NO
　　控制是否允许使用ascii模式上传文件，YES允许，NO不允许，默认为NO。

　　ascii_download_enable=YES|NO
　　控制是否允许使用ascii模式下载文件，YES允许，NO不允许，默认为NO。

5.2、性能与负载控制

5.2.1、超时选项

　　idle_session_timeout=
　　空闲（发呆）用户会话的超时时间，若是超出这时间没有数据的传送或是指令的输入，则会强迫断线。单位为秒，默认值为300。

　　data_connection_timeout=
　　空闲的数据连接的超时时间。默认值为300 秒。

　　accept_timeout=numerical value
　　接受建立联机的超时设定，单位为秒。默认值为60。

　　connect_timeout=numerical value
　　响应PORT方式的数据联机的超时设定，单位为秒。默认值为60。以上两个选项针对客户端的，将使客户端空闲1分钟后自动中断连接，并在中断1分钟后自动激活连接。

5.2.2 负载控制

　　max_clients=numerical value
　　此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义了FTP服务器最大的并发连接数，当超过此连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。

　　max_per_ip=numerical value
　　此参数在VSFTPD使用单独(standalone)模式下有效。此参数定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将影响到象网际快车这类的多进程下载软件。默认值为0，表示不限制。

　　anon_max_rate=value
　　设定匿名用户的最大数据传输速度value，以Bytes/s为单位。默认无。

　　local_max_rate=value
　　设定用户的最大数据传输速度value，以Bytes/s为单位。默认无。此选项对所有的用户都生效。此外，也可以在用户个人配置文件中使用此选项，以指定特定用户可获得的最大数据传输速率。
　　步骤如下：
　　①在vsftpd.conf中指定用户个人配置文件所在的目录，如：
　　user_config_dir=/etc/vsftpd/userconf
　　②生成/etc/vsftpd/userconf目录。
　　③用户个人配置文件是在该目录下，与特定用户同名的文件，如：
　　/etc/vsftpd/userconf/xiaowang
　　④在用户的个人配置文件中设置local_max_rate参数，如：
　　local_max_rate=80000
　　以上步骤设定FTP用户xiaowang的最大数据传输速度为80KBytes/s。

　　VSFTPD 对于速度控制的变化范围大概在80%到120%之间。比如我们限制最高速度为100KBytes/s，但实际的速度可能在80KBytes/s 到120KBytes/s 之间。当然，若是线路带宽不足时，速率自然会低于此限制。

5.3 用户选项

　　VSFTPD的用户分为三类：匿名用户、本地用户（local user）以及虚拟用户（guest）。

5.3.1、匿名用户

　　anonymous_enable=YES|NO
　　控制是否允许匿名用户登录，YES允许，NO不允许，默认值为YES。

　　ftp_username=
　　匿名用户所使用的系统用户名。默认下，此参数在配置文件中不出现，值为ftp。

　　no_anon_password=YES|NO
　　控制匿名用户登入时是否需要密码，YES不需要，NO需要。默认值为NO。
　　
　　deny_email_enable=YES|NO
　　此参数默认值为NO。当值为YES时，拒绝使用banned_email_file参数指定文件中所列出的e-mail地址进行登录的匿名用户。即，当匿名用户使用banned_email_file文件中所列出的e-mail进行登录时，被拒绝。显然，这对于阻击某些Dos攻击有效。当此参数生效时，需追加banned_email_file参数

　　banned_email_file=/etc/vsftpd.banned_emails
　　指定包含被拒绝的e-mail地址的文件，默认文件为/etc/vsftpd.banned_emails。

　　anon_root=
　　设定匿名用户的根目录，即匿名用户登入后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/。

　　anon_world_readable_only=YES|NO
　　控制是否只允许匿名用户下载可阅读文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。默认值为YES。

　　anon_upload_enable=YES|NO
　　控制是否允许匿名用户上传文件，YES允许，NO不允许，默认是不设值，即为NO。除了这个参数外，匿名用户要能上传文件，还需要两个条件：一，write_enable参数为YES;二，在文件系统上，FTP匿名用户对某个目录有写权限。

　　anon_mkdir_write_enable=YES|NO
　　控制是否允许匿名用户创建新目录，YES允许，NO不允许，默认是不设值，即为NO。当然在文件系统上，FTP匿名用户必需对新目录的上层目录拥有写权限。

　　anon_other_write_enable=YES|NO
　　控制匿名用户是否拥有除了上传和新建目录之外的其他权限，如删除、更名等。YES拥有，NO不拥有，默认值为NO。

　　chown_uploads=YES|NO
　　是否修改匿名用户所上传文件的所有权。YES，匿名用户所上传的文件的所有权将改为另外一个不同的用户所有，用户由chown_username参数指定。此选项默认值为NO。

　　chown_username=whoever
　　指定拥有匿名用户上传文件所有权的用户。此参数与chown_uploads联用。不推荐使用root用户。

5.3.2、本地用户

　　在使用FTP服务的用户中，除了匿名用户外，还有一类在FTP服务器所属主机上拥有账号的用户。VSFTPD中称此类用户为本地用户（local users），等同于其他FTP服务器中的real用户。

　　local_enable=YES|NO
　　控制vsftpd所在的系统的用户是否可以登录vsftpd。默认值为YES。

　　local_root=
　　定义所有本地用户的根目录。当本地用户登入时，将被更换到此目录下。默认值为无。

　　user_config_dir=
　　定义用户个人配置文件所在的目录。用户的个人配置文件为该目录下的同名文件。个人配置文件的格式与vsftpd.conf格式相同。例如定义user_config_dir=/etc/vsftpd/userconf，并且主机上有用户xiaowang,lisi，那我们可以在user_config_dir的目录新增名为xiaowang、lisi的两个文件。当用户lisi 登入时，VSFTPD则会读取user_config_dir下lisi这个文件中的设定值，应用于用户lisi。默认值为无。

5.3.3、虚拟用户

　　guest_enable=YES|NO
　　若是启动这项功能，所有的非匿名登入者都视为guest。默认值为关闭。

　　guest_username=
　　定义VSFTPD的guest用户在系统中的用户名。默认值为ftp。

5.4、安全措施

5.4.1、用户登录控制

　　pam_service_name=vsftpd
　　指出VSFTPD进行PAM认证时所使用的PAM配置文件名，默认值是vsftpd，默认PAM配置文件是/etc/pam.d/vsftpd。

　　/etc/vsftpd.ftpusers
　　VSFTPD禁止列在此文件中的用户登录FTP服务器。这个机制是在/etc/pam.d/vsftpd中默认设置的。

　　userlist_enable=YES|NO
　　此选项被激活后，VSFTPD将读取userlist_file参数所指定的文件中的用户列表。当列表中的用户登录FTP服务器时，该用户在提示输入密码之前就被禁止了。即该用户名输入后，VSFTPD查到该用户名在列表，VSFTPD就直接禁止掉该用户，不会再进行询问密码等后续步聚。默认值为NO。

　　userlist_file=/etc/vsftpd.user_list
　　指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpd.user_list。

　　userlist_deny=YES|NO
　　决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。此选项在userlist_enable 选项启动后才生效。YES，默认值，禁止文件中的用户登录，同时也不向这些用户发出输入口令的提示。NO，只允许在文件中的用户登录FTP服务器。
　　
　　tcp_wrappers=YES|NO
　　在VSFTPD中使用TCP_Wrappers远程访问控制机制，默认值为YES。

5.4.2、目录访问控制

　　chroot_list_enable=YES|NO
　　锁定某些用户在自家目录中。即当这些用户登录后，不可以转到系统的其他目录，只能在自家目录(及其子目录)下。具体的用户在chroot_list_file参数所指定的文件中列出。默认值为NO。

　　chroot_list_file=/etc/vsftpd/chroot_list
　　指出被锁定在自家目录中的用户的列表文件。文件格式为一行一用户。通常该文件是/etc/vsftpd/chroot_list。此选项默认不设置。

　　chroot_local_users=YES|NO
　　将本地用户锁定在自家目录中。当此项被激活时，chroot_list_enable和chroot_local_users参数的作用将发生变化，chroot_list_file所指定文件中的用户将不被锁定在自家目录。本参数被激活后，可能带来安全上的冲突，特别是当用户拥有上传、shell访问等权限时。因此，只有在确实了解的情况下，才可以打开此参数。默认值为NO。

　　passwd_chroot_enable
　　当此选项激活时，与chroot_local_user选项配合，chroot()容器的位置可以在每个用户的基础上指定。每个用户的容器来源于/etc/passwd中每个用户的自家目录字段。默认值为NO。

5.4.3、文件操作控制

　　hide_ids=YES|NO
　　是否隐藏文件的所有者和组信息。YES，当用户使用"ls -al"之类的指令时，在目录列表中所有文件的拥有者和组信息都显示为ftp。默认值为NO。

　　ls_recurse_enable=YES|NO
　　YES，允许使用"ls -R" 指令。这个选项有一个小的安全风险，因为在一个大型FTP站点的根目录下使用"ls -R"会消耗大量系统资源。默认值为NO。

　　write_enable=YES|NO
　　控制是否允许使用任何可以修改文件系统的FTP 的指令，比如STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。默认值为NO，不过自带的简单配置文件中打开了该选项。

　　secure_chroot_dir=
　　这选项指向一个空目录，并且ftp用户对此目录无写权限。当vsftpd不需要访问文件系统时，这个目录将被作为一个安全的容器，用户将被限制在此目录中。默认目录为/usr/share/empty。

5.4.4、新增文件权限设定

　　anon_umask=
　　匿名用户新增文件的umask 数值。默认值为077。

　　file_open_mode=
　　上传档案的权限，与chmod 所使用的数值相同。如果希望上传的文件可以执行，设此值为0777。默认值为0666。

　　local_umask=
　　本地用户新增档案时的umask 数值。默认值为077。不过，其他大多数的FTP服务器都是使用022。如果您的用户希望的话，可以修改为022。在自带的配置文件中此项就设为了022。

5.5、提示信息

　　ftpd_banner=login banner string
　　此参数定义了login banner string（登录欢迎语字符串）。用户可以自行修改。预设值为无。当ftpd_banner设置后，将取代系统原来的欢迎词。

　　banner_file=/directory/vsftpd_banner_file
　　此项指定一个文本文件，当使用者登入时，会显示此该文件的内容，通常为欢迎话语或是说明。默认值为无。与ftpd_banner相比，banner_file是文本文件的形式，而ftpd_banner是字串格式。banner_file选项将取代ftpd_banner选项。

　　dirmessage_enable=YES|MO
　　控制是否启用目录提示信息功能。YES启用，NO不启用，默认值为YES。此功能启用后，当用户进入某一个目录时，会检查该目录下是否有message_file选项所指定的文档，若是有，则会出现此文档的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。

　　message_file=
　　此选项，仅在dirmessage_enable选项激活方生效。默认值为.message。

5.6、日志设置

　　xferlog_enable=YES|NO
　　控制是否启用一个日志文件，用于详细记录上传和下载。该日志文件由xferlog_file选项指定。默认值为NO，但简单配置文件中激活此选项。

　　xferlog_file=
　　这个选项设定记录传输日志的文件名。默认值为/var/log/vsftpd.log。

　　xferlog_std_format=YES|NO
　　控制日志文件是否使用xferlog的标准格式，如同wu-ftpd一样。使用xferlog格式，可以重新使用已经存在的传输统计生成器。然而，默认的日志格式更为可读性。默认值为NO，但自带的配置文件中激活了此选项。

　　log_ftp_protocol=YES|NO
　　当此选项激活后，所有的FTP请求和响应都被记录到日志中。提供此选项时，xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。

5.7、其他设置

　　setproctitle_enable=YES|NO
　　YES，VSFTPD将在系统进程列表中显示每个会话(session)的状态。也就是说，进程报告将显示每个vsftpd会话在做什么(挂起、下载等)，如用ps -ef|grep ftp。出于安全的目的，可以考虑将此选项关闭。NO，进程报告只显示一个vsftpd进程在运行。默认值为NO。

　　text_userdb_names=YES|No
　　当使用者登入后使用ls -al 之类指令时，目录列表的用户和组信息域，默认是出现拥有者的UID，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。默认值为NO。

　　user_localtime=YES|NO
　　默认为NO。YES，VSFTPD显示目录列表时使用你本地时区的时间。默认是显示GMT时间。同样，由ftp命令“MDTM”返回的时间值也受此选项影响。

　　check_shell=YES|NO
　　此选项仅对不使用PAM方式的VSFTPD生效。当此选项关闭后，当本地用户登录时，VSFTPD不会检查/etc/shells文件以寻找一个有效的用户shell。默认为YES。

　　nopriv_user=
　　指定一个用户，当VSFTPD不想要什么权限时，使用此用户身份。这用户最好是一个专用的用户，而不是用户nobody。在大多数的机器上，nobody用户被用于大量重要的事情。默认值为nobody。

　　pam_service_name=
　　指明VSFTPD使用用PAM验证服务时的PAM配置文件名。默认值为ftp。

6、VSFTPD应用

　　本部分介绍VSFTPD的具体应用方法。

6.1、允许匿名用户上传文件

　　在vsftpd.conf文件中修改或增加以下选项：
　　write_enable=YES
　　anon_world_readable_only=NO
　　anon_upload_enable=YES
　　anon_mkdir_write_enable=YES

　　然后创建供匿名用户上传文件的目录，并设定权限：
　　# mkdir /var/ftp/incoming
　　# chmod o+w /var/ftp/incoming
　　由于匿名用户（ftp）上传文件，需要对incoming目录进行操作，而incoming为root所有，匿名用户（ftp）对于incoming来说是其他用户，所以要加入其他用户（o）的写权限。

6.2、限制用户在自家目录

　　在默认配置中，本地用户可以切换到自家目录以外的目录进行浏览，并在权限范围内进行上传和下载，这无疑是个不安全因素。
　　我们可以设置chroot，让本地用户登录后只能访问自家目录，无法访问其他目录。相关的选项有三个：chroot_local_user、chroot_list_enable、chroot_list_file。限制用户在自家目录有两种做法：
　　1、限制所有的本地用户在自家目录
　　chroot_local_user=YES
　　这种做法，可能会带来一些安全性上的冲突。参见前面的chroot_local_user选项描述。
　　2、限制部分本地用户在自家目录
　　chroot_local_user=NO
　　chroot_list_enable=YES
　　chroot_list_file=/etc/vsftpd.chroot_list
　　在/etc/vsftpd.chroot_list文件中加入要限制的本地用户名。注意一个用户名一行。

6.3、配置高安全级别的匿名FTP服务器

　　VSFTPD自带的简单配置文件已经自称是偏执狂了，这里看看能否更加偏执一些，:)。有些选项默认已经采用安全性的设置，这里就不再写出了。

　　#只允许匿名访问，不允许本地用户访问
　　anonymous_enable=YES
　　local_enable=NO

　　#使用ftpd_banner取代VSFTPD默认的欢迎词，免得泄漏相关信息
　　ftpd_banner=Welcome to this FTP Server
　　#只让匿名用户浏览可阅读的文件，不可以浏览整个系统
　　anon_world_readable_only=YES
　　#隐藏文件的所有者和组信息，匿名用户看到的文件的所有者和组全变为ftp
　　hide_ids=YES

　　#取消写权限
　　write_enable=NO
　　anon_upload_enable=NO
　　anon_mkdir_write_enable=NO
　　anon_other_write_enable=NO

　　#使用单独模式，并指定监听的IP地址
　　listen_address=ip address
　　#对连接进行控制，还有超时时间，那就根据具体情况再说了。
　　connect_from_port_20=YES
　　pasv_min_port=50000
　　pasv_max_port=60000
　　#控制并发数，限定每个IP地址的并发数，这个嘛，根据用户自已定了。
　　max_clients=numerical value
　　max_per_ip=numerical value
　　#限定下载速度，具体限多大，就由用户自己定了，80KB/s，也很快了吧。
　　anon_max_rate=80000

　　#启用详细的日志记录格式
　　xferlog_enable=YES

6.4、基于IP地址的虚拟FTP服务器

　　假定服务器有两个IP地址，192.168.0.1和192.168.0.2。VSFTPD是建立在192.168.0.1上的，现在我们在192.168.0.2上再提供一个虚拟FTP服务器。如何在一台服务器上使用多个IP 地址，请参考相关文档。

　　1、创建虚拟FTP服务器的根目录。
　　mkdir -p /var/ftp2/pub
　　确保/var/ftp2和/var/ftp2/pub目录的拥有者和组均为root，掩码为755。

　　2、增加虚拟FTP服务器的匿名用户帐号。原先的FTP服务器使用系统用户ftp作为其匿名用户帐号。我们要增加一个ftp2用于虚拟FTP服务器。
　　useradd -d /var/ftp2 -M ftp2

　　3、创建虚拟FTP服务器的配置文件。复制原来的vsftpd.conf作为虚拟FTP服务器的配置文件，并修改相关参数。
　　cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf
　　新添或修改以下参数：
　　listen=YES
　　listen_address=192.168.0.2
　　ftp_username=ftp2

　　注：由于VSFTPD默认是监听所有的IP地址，当我们设定基于IP的虚拟FTP服务器时，为防止原来的FTP服务器与虚拟FTP服务器发生监听上的冲突，原FTP服务器需要指定监听的IP地址。在这里，原来的配置文件中就要设置listen_address=192.168.0.1。

　　4、启动虚拟FTP服务器。

　　/etc/rc.d/init.d/vsftpd脚本在启动时，扫描/etc/vsftpd/目录下所有的*.conf文件，按照*.conf文件的先后，依次启用vsftpd进程，每个vsftpd进程对应一个.conf文件。即，“ls /etc/vsftpd/”列表的次序与“ps -aux |grep vsftpd”中的顺序一样。当然了，“ps -aux | grep vsftpd”中也显示出vsftpd所使用的配置文件，从中也可以看哪个vsftpd进程对应哪个FTP服务器。如果没有列出配置文件，那就是默认的vsftpd.conf，那么该进程也就是原来的FTP服务器进程。
　　由于第3步中虚拟FTP服务器的配置文件被命名为vsftpd2.conf文件，所以我们可以用/etc/rc.d/init.d/vsftpd脚本同时启动或关闭原FTP服务器和新加的虚拟FTP服务器。
　　以下命令单独启动虚拟FTP服务器：
　　/usr/sbin/vsftpd /etc/vsftpd/vsftpd2.conf &
　　单独关闭虚拟FTP服务器，用“ps -aux | grep vsftpd”查出进程号，再用kill指令杀死虚拟FTP的进程。

6.5、虚拟用户的配置

6.5.1、VSFTPD的虚拟用户介绍

　　VSFTPD的本地用户本身是系统的用户，除了可以登录FTP服务器外，还可以登录系统使用其他系统资源，而VSFTPD的虚拟用户则是FTP服务的专用用户，虚拟用户只能访问FTP服务器资源。对于只需要通过FTP对系统有读写权限，而不需要其他系统资源的用户或情况来说，采用虚拟用户方式是很适合的。
　　VSFTPD的虚拟用户采用单独的用户名/口令保存方式，与系统账号（passwd/shadow）分离，这大大增强了系统的安全性。VSFTPD可以采用数据库文件来保存用户/口令，如hash;也可以将用户/口令保存在数据库服务器中，如MySQL等。VSFTPD验证虚拟用户，则采用PAM方式。由于虚拟用户的用户名/口令被单独保存，因此在验证时，VSFTPD需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证，这就是guest用户，这正如同匿名用户也需要有一个系统用户ftp一样。当然，guest用户也可以被认为是用于映射虚拟用户。
　　配置虚拟用户分为几部分：guest用户的创建、用户/口令的保存、PAM认证配置、vsftpd.conf文件设置等。具体的配置方法，参考下面小节。注：在后面的例子中，假定存在虚拟用户xiaotong和xiaowang。

6.5.2 用户创建和目录设置

　　在系统中添加vsftpdguest用户，作为虚拟用户在系统中的代表。

　　useradd vsftpdguest

　　当虚拟用户登录后，所在的位置为vsftpdguest的自家目录/home/vsftpdguest。如果要让虚拟用户登录到/var/ftp等其他目录，修改vsftpdguest的自家目录即可。

6.5.3、配置文件的设置

6.5.3.1、基本设置。

　　在vsftpd.conf配置文件中，加入以下参数：
　　guest_enable=YES
　　guest_username=vsftpdguest

6.5.3.2、虚拟用户的权限配置。

　　VSFTPD-1.2.0添加了virtual_use_local_privs参数，当该参数激活（YES）时，虚拟用户使用与本地用户相同的权限。当此参数关闭（NO）时，虚拟用户使用与匿名用户相同的权限，这也就是VSFTPD-1.2.0之前版本对虚拟用户权限的处理方法。这两者种做法相比，后者更加严格一些，特别是在有写访问的情形下。默认情况下此参数是关闭的（NO）。
　　下面先介绍virtual_use_local_privs=NO时，即VSFTPD-1.2.0之前版本对虚拟用户权限的配置方法：

　　①控制虚拟用户浏览目录
　　如果让用户不能浏览目录，但仍可以对文件操作，那么需要执行以下二个步骤：一，配置文件中，anon_world_readable_only=YES。二，虚拟用户目录的权限改为只能由vsftpdguest操作：
　　[root@hpe45 vsftpd]# chown vsftpdguest.vsftpdguest /home/vsftpdguest
　　[root@hpe45 vsftpd]# chmod 700 /home/vsftpdguest
　　②允许虚拟用户上传文件
　　write_enable=YES
　　anon_upload_enable=YES
　　③允许虚拟用户修改文件名和删除文件
　　anon_other_write_enable=YES
　　由于以上选项的设置同样会对匿名用户生效。如果不想匿名用户趁机拥有同样的权限，最好是禁止匿名用户登录。

　　在VSFTPD-1.2.0中当virtual_use_local_privs=YES时，只需write_enable=YES，虚拟用户就可以就拥有写权限。

6.5.3.3、虚拟用户的其他配置

　　①限定虚拟用户在自家目录。

　　chroot_local_user=NO
　　chroot_list_enable=YES
　　chroot_list_file=/etc/vsftpd.chroot_list
　　在/etc/vsftpd.chroot_list文件中加入xiaotong和xiaowang。
　　或者，chroot_local_user=YES

　　②虚拟用户的个人配置。

　　如果想让个别的虚拟用户拥有自己特别的配置，同样可以建立虚拟用户的个人配置文件。在主配置文件中加入：
　　user_config_dir=/etc/vsftpd/vsftpd_user_conf
　　生成/etc/vsftpd/vsftpd_user_conf目录，在该目录下建立与特定虚拟用户同名的文件：
　　[root@hpe45 vsftpd]# mkdir vsftpd_user_conf
　　[root@hpe45 vsftpd]# cd vsftpd_user_conf
　　[root@hpe45 vsftpd_user_conf]# touch xiaowang
　　然后在xiaowang文件中就可以加入专对xiaowang生效的选项设置了。
　　注：如果在个人配置文件中加入chroot_local_user=YES是无效的。

6.5.3.4、虚拟用户个人目录设置

　　大家可以发现，无论是哪个虚拟用户，登录后所在的目录都是/home/vsftpdguest，即都是guest_username用户的自家目录。下面，介绍如何为每个虚拟用户建立自家目录。
　　一种作法是在虚拟用户的个人配置文件中使用local_root选项指定虚拟用户的自家目录。以xiaowang为例，在第上步的基础上，首先/etc/vsftpd/vsftpd_user_conf/xiaowang文件中加入：
　　local_root=/home/xiaowang
　　新建xiaowang目录，并将权限设为vsftpdguest：
　　[root@hpe45 home]# mkdir xiaowang
　　[root@hpe45 home]# chown vsftpdguest.vsftpdguest ./xiaowang

6.5.4、MySQL保存虚拟用户

　　本节介绍如何将虚拟用户的用户名和口令保存在MySQL的数据库中。这主要分二个部分，一是将用户和口令保存在数据库，二是设置相应的PAM认证。为了方便论述，做如下假定：数据库vsftpdvu，表users，字段name和passwd用于保存虚拟用户的用户名和口令；为了安全，只授权vsftpdguest读vsftpdvu数据库的users表。

　　1、虚拟用户的用户名/口令的保存。这部分在MySQL数据库中完成。首先，创建数据库vsftpdvu以及表users，并插入虚拟用户xiaotong、xiaowang。执行以下命令：
　　[root@hpe45 vsftpd]#mysql -p
　　mysql>create database vsftpdvu;
　　mysql>use vsftpdvu;
　　mysql>create table users(name char(16) binary,passwd char(16) binary);
　　mysql>insert into users (name,passwd) values ('xiaotong',password('qqmywife'));
　　mysql>insert into users (name,passwd) values ('xiaowang',password('ttmywife'));
　　mysql>quit

　　然后，授权vsftpdguest只能读vsftpdvu数据库的users表。执行以下命令：
　　[root@hpe45 vsftpd]#mysql -u root mysql -p
　　mysql>grant select on vsftpdvu.users to vsftpdguest@localhost identified by 'i52serial0';
　　mysql>quit

　　如果要验证刚才的操作是否成功可以执行下面命令：
　　[root@hpe45 vsftpd]#mysql -u vsftpdguest -pi52serial0 vsftpdvu
　　mysql>select * from users;
　　如果成功，将会列出xiaotong、xiaowang和加密后的密码。

　　2、设置PAM认证。这里我们要用到一个利用mysql进行pam验证的开源项目（http://sourceforge.net/projects/pam-mysql/）。首先从网站下载它的程序包pam_myql-0.5.tar.gz，复制到/root目录中。在编译安装之前，要确保mysql-devel的RPM包已经安装在你的机器上，如果没有请从RHL安装光盘中安装该包。然后，执行以下命令：
　　[root@hpe45 root]#tar xvzf pam_mysql-0.5.tar.gz
　　[root@hpe45 root]#cd pam_mysql
　　[root@hpe45 pam_mysql]#make
　　[root@hpe45 pam_mysql]#make install
　　make install这一步可能会出现错误，那只好手动将该目录下生成的pam_mysql.o复制到/lib/security目录下。
　　接下来，我们要设置vsftpd的PAM验证文件。打开/etc/pam.d/vsftpd文件，加入以下内容：
　　auth required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2
　　account required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2
　　上面涉及到的参数，只要对应前面数据库的设置就可以明白它们的含义。这里需要说明的是crypt参数，crypt=0，口令以明文方式（不加密）保存在数据库中；crypt=1，口令使用UNIX系统的DES加密方式加密后保存在数据库中；crypt=2，口令经过MySQL的password()函数加密后保存。

宋针还 2007-12-06 13:58 发表评论