FTP, VSFTPD 설치 및 설정

- FTP 설치

# yum install ftp

- VSFTPD 설치

# yum install vsftpd

부팅 시 시작되도록 추가

# chkconfig vsftpd on

# chkconfig --list vsftpd

vsftpd 서비스 상태

# service vsftpd status

설정 파일(옵션 사이에 공백이 있으면 안 됨)

# vi /etc/vsftpd/vsftpd.conf

# Active Mode

port_enable=YES

# Passive Mode

pasv_enable=NO

# 숨김 파일 숨기기

hide_file={^.*}

## 아래 설정들은 주석을 제거하여 활성화 시키면 된다.

# chroot_local_user를 설정하면 자신의 계정에서 상위 디렉터리로 이동 불가 (모든 계정에 적용)

chroot_local_user=YES

# chroot_list_enable를 설정하면 list에 있는 계정에 대해서만 상위 디렉터리로 이동 불가 (블랙리스트 방식)

# 단, chroot_local_user 옵션이 비활성화되어 있어야 한다.

# 만약 chroot_local_user 옵션이 활성화되어 있을 경우, chroot_list_file에 있는 사용자를 제외하고 모든 계정에 적용 (화이트리스트 방식)

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

anonymous 설정 시 기본적으로 /var/ftp/ 로 되어있다.

아래에 나오는 내용은 화이트리스트 방식으로 설정한 내용이다.

파일 생성하여 root 추가

# cat > /etc/vsftpd/chroot_list

root

[Ctrl+D]

root 접속을 허용할 경우 아래 파일에서 root 주석 처리

/etc/vsftpd/ftpusers

/etc/vsftpd/user_list

# vi /etc/vsftpd/ftpusers

ftpusers 파일 초기 상태

root 주석 처리 후 저장

# vi /etc/vsftpd/user_list

user_list 파일 초기 상태

root 주석 처리 후 저장

iptables 방화벽 등록

(Active Mode)

# iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

(Passive Mode)

# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

# iptables -A INPUT -p tcp --dport 1024:65535 -j ACCEPT

# service iptables save

# service vsftpd start

내부에 있는 다른 컴퓨터에서 ftp를 이용하여 접속

$ ftp

$ ftp root@10.211.55.3

- 에러 관련 내용

500 OOPS: cannot change directory:/home/[계정명]

(root로 로그인 시 /root 로 표기됨)

ftp: Login failed

이와 같이 에러가 발생하는 이유는 SELinux에서 기본적으로 사용자의 home 디렉터리에 접근할 경우 막기 때문이다.

따라서 허용을 하기 위해서는 아래와 같은 명령어를 이용해서 home 디렉터리 접근 권한을 허용해주면 된다.

# setsebool -P ftp_home_dir 1

-P 은 재부팅 후에도 변경된 정책이 유지되도록 적용해주는 옵션

아래 명령어를 이용하여 SELinux의 설정들을 on/off 형태로 볼 수 있다.

# getsebool -a

/etc/sysconfig/selinux 또는 /etc/selinux/config 파일 내용을 수정해서 SELinux 자체를 Disabled 할 수 있다.

심볼릭 링크가 걸려있기 때문에 하나만 수정해주면 된다.