需求:外部人员需要对公司服务器上某个文件夹内容进行读写操作
文件目录信息:/opt/abc
drwxr-xr-x 9 www www 4096 12月 4 13:02 abc #注意最初abc的www用户组没有写权限
为了后面的ftp用户能够对此文件具备写操作,需要添加www用户组的写权限:
chmod g+w /opt/abc -R
drwxrwxr-x 9 www www 4096 12月 4 13:02 abc
一、安装vsftpd服务
确保selinux关闭以及防火墙关闭或开启21端口
yum install vsftpd
systemctl start vsftpd
systemctl enable vsftpd
netstat -tanlp|grep vsftpd
二、配置vsftpd
修改配置前养成好习惯,先备份一下
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
这里使用虚拟用户访问ftp服务器
若基于Vsftpd系统用户访问FTP服务器,系统用户越多越不利于管理,而且不利于系统安全管理,鉴于此,为了能更加的安全使用VSFTPD,需使用Vsftpd虚拟用户方式。
Vsftpd虚拟用户原理:虚拟用户就是没有实际的真实系统用户,而是通过映射到其中一个真实系统用户(没有密码,也不具备登陆权限)以及设置相应的权限来实现访问验证,虚拟用户不能登录Linux系统,从而让系统更加的安全可靠。
配置步骤如下:
1、安装Vsftpd虚拟用户需用到的软件及认证模块:
yum install pam* libdb-utils libdb* --skip-broken -y
2、创建虚拟用户临时用户文件/etc/vsftpd/ftpusers.txt,新建虚拟用户和密码,其中ftp1为虚拟用户名,123为密码,如果有多个用户,依如下格式填写即可
ftp1
123
3、生成Vsftpd虚拟用户数据库认证文件,并设置权限700:
db_load -T -t hash -f /etc/vsftpd/ftpusers.txt /etc/vsftpd/vsftpd_login.db # 每次在/etc/vsftpd/ftpusers.txt添加了新的虚拟用户后,需要再次执行此命令
解释:(不一定准确)
db_load做数据库生成;
-T 允许应用程序能够将文本文件转译载入进数据库。由于我们之后是将虚拟用户的信息以文件方式存储在文件里的,为了让Vsftpd这个应用程序能够通过文本来载入用户数据,必须要使用这个选项。指定了选项-T,那么一定要追加子选项-t;
-t 追加在在-T选项后,用来指定转译载入的数据库类型;
hash就是使用hash码加密
-f 参数后面接包含用户名和密码的文本文件,文件的内容是:奇数行用户名、偶数行密码。
chmod 700 /etc/vsftpd/vsftpd_login.db #将vsftpd_login.db隐藏,除root用户外,其他用户无法查询到虚拟用户信息
4、配置PAM认证文件,让PAM采用相应的认证模块和刚刚建立的用户数据库,/etc/pam.d/vsftpd行首加入如下两行(最好是将其他行删除):
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
5、所有Vsftpd虚拟用户需要映射到一个系统用户,该系统用户不需要密码,也不需要登录,主要用于虚拟用户映射使用,创建命令如下:
useradd -s /sbin/nologin ftpuser
6、完整vsftpd.conf配置文件代码如下:
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
userlist_enable=YES
tcp_wrappers=YES
# 以下配置为开启虚拟用户功能
pam_service_name=vsftpd # 虚拟用户启用pam认证;vsftpd是pam认证指定的文件
guest_enable=YES # 启用虚拟用户;
guest_username=ftpuser # 映射虚拟用户至系统用户ftpuser;
user_config_dir=/etc/vsftpd/vsftpd_user_conf # 设置虚拟用户配置文件所在的目录;
virtual_use_local_privs=YES # 虚拟用户使用与本地用户相同的权限。
# 以下配置为锁定虚拟用户在自己的目录,不能查看到其他目录(如不配置,通过ftp工具可以查看到系统所有目录虽然无写权限)
chroot_local_user=YES
allow_writeable_chroot=YES
7、为虚拟用户ftp1创建配置专有的配置文件以及家目录,如果有多个虚拟用户同此操作
在/etc/vsftpd/vsftpd_user_conf下创建ftp1虚拟用户的配置文件
mkdir -p /etc/vsftpd/vsftpd_user_conf/ftp1
内容如下:
ocal_root=/home/ftpuser/ftp1 # 虚拟用户家目录所在位置
write_enable=YES # 允许登陆用户有写权限
anon_world_readable_only=YES # 允许匿名用户下载,然后读取文件
anon_upload_enable=YES # 允许匿名用户上传文件权限,只有在write_enable=YES时该参数才生效;
anon_mkdir_write_enable=YES # 允许匿名用户创建目录,只有在write_enable=YES时该参数才生效;
anon_other_write_enable=YES # 允许匿名用户其他权限,例如删除、重命名等。
8、创建虚拟用户家目录目录:
mkdir -p /home/ftpuser/ftp1
chown -R ftpuser:ftpuser /home/ftpuser # 递归更改虚拟用户主目录以及家目录的所有者和属组,才能具备相应权限。
chmod -R 777 /home/ftpuser # root帐号在ftp1下面创建了多级目录和文件后,需要授权,客户端ftp1登录了才能够对其删除和修改。
三、虚拟用户访问家目录之外的目录
以上操作,ftp1这个用户已经可以访问ftp服务器,并在其家目录中进行上传下载添加删除等操作,但用户要访问服务器上其他目录怎么办?操作如下:
第一反应是对需要访问(abc文件)的目录做一个软连接,成功的失败了 --_--,不是说不能做链接,只是做了后不能达到想要的效果。
最终通过革命先贤的智慧知道还可以将abc文件mount到ftp1家目录下:
1、先到ftp1家目录中创建abc文件夹,用户挂载使用
mkdir -p /home/ftpuser/ftp1/abc
2、挂载目录
mount --bind /opt/abc /home/ftpuser/ftp1/abc
3、如果以后需要解除挂载,执行如下命令把/home/ftpuser/ftp1/abc目录的umount即可
umount /home/ftpuser/ftp1/abc
4、以上步骤仅仅是成功挂载了,虚拟用户ftp1仅仅能对abc目录中的文件进行下载操作,但无上传、删除等操作,需要如下操作
1)将ftpuser用户加入到www用户组,因为abc这个目录属于www用户组
#查看当前ftpuser用户信息
id ftpuser
uid=1005(ftpuser) gid=1005(ftpuser) 组=1005(ftpuser)
#不改变原来用户信息下添加至www用户组
usermod -a -G www ftpuser
#再次ftpuser用户信息,ftpuser已经加入到了www用户组中
id ftpuser
uid=1005(ftpuser) gid=1005(ftpuser) 组=1005(ftpuser),1004(www)
2)让/opt/abc下所有文件所属组具备写权限
chmod g+w /opt/abc -R
至此虚拟用户ftp1已可对abc文件进行任何操作。
排错思路:
1、查看SELinux、防火墙
2、查看vsftpd进程
3、查看vsftpd.conf主配置文件
4、查看虚拟用户配置文件
5、查看数据库,查看Pam模块,新添加虚拟用户后需要重新生成数据库文件
6、查看home/ftpuser下虚拟用户家目录是否创建
7、修改配置后重启vsftpd服务