需求:
要在公司内网搭建一个 ftp 服务,基本满足以下场景即可:
- 研发同学可以使用自己的账号上传/下载文件到各自的 home 目录
- 大家都可以将某些文件放在某个公共目录,所有人都可以免密码通过 ftp 协议在浏览器查看这些公共目录及其中的文件.
第二个需求主要是为了方便美工妹妹: 美工可以登录自己的ftp账号上传原型图,切图等文件,然后将 ftp 协议的 url 发给研发同学们. 研发同学可以在浏览器打开这个 url,或者使用 ftp 软件查看,但不能修改其中的内容.
另1: 美工妹妹用了 Marketch 这个东西做原型,可以把原型做成网页,可以直接在原型图上下载切图,配合浏览器使用,还是很方便的.
另2: 公司内网服务器安装了 CentOs 6.5
搭建:
大家各自访问各自的 home 目录容易实现,网上很多配置vsftp的文章,这里不再赘述.
公共目录的建立也容易,就是修改 /etc/vsftpd/vsftpd.conf
设置匿名用户访问有只读权限即可.
所有实名用户都可以往公共目录仍东西,是受网上某篇大牛的文章启发,在每个人的 home 目录下,建立一个 ftp_public 目录,并用 mount --bind
命令将公共目录绑定到大家的这个目录下.
mount --bind /ftp_public /home/user/ftp_public
这样就可以实现第二个需求了.再利用 linux 权限管理,就可以实现公共目录中的各种文件权限设置了.
因为这个策略随时会有调整,因此并没有把挂载信息写进 fstab 里面去.写了个脚本,每次开机的时候执行下就可以了:
#!/bin/bash
# AUTHOR : liuxu
# DATE : 2016-11-23
# mount public ftp directory for each developer
FTP_DIR=/ftp_public
FTP_DIR_NAME=ftp_public
if [ $UID -ne 0 ]; then
echo "only root can run this script"
else
# 这里执行了一个外部脚本,将用户账号列表导入进来.
# 这样做是为了将脚本与人员配置分开.
source developer_list
for u in ${DEVELOPERS[@]}; do
if [ -d /home/$u ]; then
echo "setup public ftp dir for $u"
d=/home/$u/$FTP_DIR_NAME;
if [ ! -d $d ]; then
mkdir $d
# 因为是用 root 等账户运行该脚本,因此需要把目录权限改成各个账号的
# 开发账号都在一个叫 techops 的组里,因此把属主也改了,便于后续管理
chown "$u:techops" $d
fi
mount --bind $FTP_DIR $d
else
echo "setup public ftp dir for $u, home dir not found"
fi
done
fi
# 下面这两句后面会有介绍的,都与 selinux 的权限有关
setsebool allow_ftpd_full_access on
chcon -R -t public_content_t /ftp_public
人员配置信息被放在了另外的文件,目的是将配置和罗辑分开. 配置文件如下:
#!/bin/bash
# AUTHOR : liuxu
# DATE : 2016-11-23
DEVELOPERS=(\
JonSnow\
RobStark\
SansaStark\
AryaStark\
BrandonStark\
RickonStark\
JaimeLannister\
TyrionLannister\
CeiseLannister\
)
当然我可以这么做是因为用户不多,所以没有开启 vsftpd 虚拟用户功能.
如果开启的虚拟用户,还要建立公共目录,就没再继续研究了.
但是:
岂能尽如人意...似乎没有啥东西能一帆风顺的搞下来.(好吧,其实是好搞的大家记不住).
主要是各种权限问题.一开始看 vsftpd 配置文件没错,没有头绪.后来查到,奇怪的权限问题,多半是 SeLinux 的设置问题导致的.
网上有说直接关掉 SeLinux 的,一了百了.其实在我的使用场景上也是可以这么做的.因为公司小,人少,又是内网,关了完全没问题.
但作为一个文(zhuang)艺(bi)程序员,怎么能干这么不优雅的事情呢.还是要动手解决.
权限问题:
遇到了很多权限问题,当时没有记录下来,大体有
- "550 Permission Deny" 问题
- 浏览器不能列出公共目录问题
- 文件浏览器 (both windows and ubuntu) 不能浏览ftp目录问题
因为遇到问题时没有记录,没法分条写下解决方案.但其实套路就是:
- 查看 /etc/vsftpd/vsftpd.conf 相关配置是否正确
- 打开默认关闭的 SeLinux 相关选项
- 用户登录问题可能需要修改 PAM: /etc/pam.d/vsftpd . 因为没遇到类似问题,因此没深入了解.
vsftpd 的配置方法网上铺天盖地,不赘述.
ftp 与 SeLinux 相关的内容,个人觉得网上各位的叙述太杂乱了.不过这也没办法,大家遇到的问题各自不一样,各自的环境也不一样.
但其实,没必要那么麻烦遇到每个 SeLinux 相关问题都去网上找的.自己看看相关配置,很快就可以搞定的.
首先查看与 ftp 相关的选项:
$ getsebool -a | grep ftp
allow_ftpd_anon_write --> off
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> on
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off
然后... 自己挨个查查每个选项的意思吧,然后试试,看看把哪个选项打开能解决自己的问题.
其实看着这些字段名,再稍微搜索下,各种权限问题就都可以很快解决的.
$ setsebool ftpd_use_passive_mode on
$ setsebool allow_ftpd_full_access on
配置防火墙端口问题:
主动模式下配置 iptables 开启 20 及 21 端口即可:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT</pre>
被动模式下需要开一个端口号段:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 7500:7600 -j ACCEPT</pre>
这段打算用到时再研究, 内网安全不重要, 先保证能用就成.
公共目录配置 SeLinux 权限问题:
然后就是遇到了一个怎么搜索都没搜到解决办法的问题:
某次服务器重启后,无论实名还是匿名访问公共目录,目录下的目录可以显示,但目录下的文件都显示不出来了.访问其他目录都正常.
各种地方都搜了,都没有搜到有人碰到类似问题. 后来自己尝试调了下上文列出的 SeLinux 参数,实名用户倒是可以正常访问公共目录了. 但匿名用户依然有问题.
再后来,因为查另一个问题,去了 redhat 官网,顺便搜了下这个问题. 这才解决掉.
其实就是执行下面这句:
chcon -R -t public_content_t /ftp_public</pre>
chcon
用于修改某对象的安全上下文. 上面那句就是说,设置要把某目录对匿名用户 (nobody) 开放. 这还是 SeLinux 的相关设置.
但为什么 ftp 公共目录在重启服务器前是可以正常访问的,我就不知道了. 有空还得详细的研究下 SeLinux .
总结:
上面遇到的全部问题,在 redhat 官网的这份文档中都已经给予解答了,只是我们总是想找快餐式答案,忽略了这些根基性的优质文档.
建议各位想要在 CentOS 上搭建 vsftp, 之前又没有经验的同学,先把这篇文档读通,多数问题就都知道怎么办了. 文档地址如下:
vsftpd deploy guide