vsftp虚拟用户方式访问

需求:外部人员需要对公司服务器上某个文件夹内容进行读写操作

文件目录信息:/opt/abc

drwxr-xr-x 9 www  www       4096 12月  4 13:02 abc   #注意最初abc的www用户组没有写权限

为了后面的ftp用户能够对此文件具备写操作,需要添加www用户组的写权限:

chmod g+w /opt/abc -R

drwxrwxr-x 9 www  www       4096 12月  4 13:02 abc

一、安装vsftpd服务

确保selinux关闭以及防火墙关闭或开启21端口

yum  install vsftpd

systemctl start vsftpd

systemctl enable vsftpd

netstat -tanlp|grep vsftpd

二、配置vsftpd

修改配置前养成好习惯,先备份一下

cp /etc/vsftpd/vsftpd.conf   /etc/vsftpd/vsftpd.conf.bak

这里使用虚拟用户访问ftp服务器

若基于Vsftpd系统用户访问FTP服务器,系统用户越多越不利于管理,而且不利于系统安全管理,鉴于此,为了能更加的安全使用VSFTPD,需使用Vsftpd虚拟用户方式。

Vsftpd虚拟用户原理:虚拟用户就是没有实际的真实系统用户,而是通过映射到其中一个真实系统用户(没有密码,也不具备登陆权限)以及设置相应的权限来实现访问验证,虚拟用户不能登录Linux系统,从而让系统更加的安全可靠。

配置步骤如下:

1、安装Vsftpd虚拟用户需用到的软件及认证模块:

yum  install  pam*  libdb-utils  libdb*  --skip-broken  -y

2、创建虚拟用户临时用户文件/etc/vsftpd/ftpusers.txt,新建虚拟用户和密码,其中ftp1为虚拟用户名,123为密码,如果有多个用户,依如下格式填写即可

ftp1

123

3、生成Vsftpd虚拟用户数据库认证文件,并设置权限700:

db_load  -T  -t  hash  -f  /etc/vsftpd/ftpusers.txt  /etc/vsftpd/vsftpd_login.db  # 每次在/etc/vsftpd/ftpusers.txt添加了新的虚拟用户后,需要再次执行此命令

解释:(不一定准确)

db_load做数据库生成;

-T 允许应用程序能够将文本文件转译载入进数据库。由于我们之后是将虚拟用户的信息以文件方式存储在文件里的,为了让Vsftpd这个应用程序能够通过文本来载入用户数据,必须要使用这个选项。指定了选项-T,那么一定要追加子选项-t;

-t 追加在在-T选项后,用来指定转译载入的数据库类型;

hash就是使用hash码加密

-f 参数后面接包含用户名和密码的文本文件,文件的内容是:奇数行用户名、偶数行密码。

chmod  700  /etc/vsftpd/vsftpd_login.db   #将vsftpd_login.db隐藏,除root用户外,其他用户无法查询到虚拟用户信息

4、配置PAM认证文件,让PAM采用相应的认证模块和刚刚建立的用户数据库,/etc/pam.d/vsftpd行首加入如下两行(最好是将其他行删除):

auth      required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

account   required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

5、所有Vsftpd虚拟用户需要映射到一个系统用户,该系统用户不需要密码,也不需要登录,主要用于虚拟用户映射使用,创建命令如下:

useradd    -s   /sbin/nologin    ftpuser

6、完整vsftpd.conf配置文件代码如下:

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

userlist_enable=YES

tcp_wrappers=YES  

# 以下配置为开启虚拟用户功能

pam_service_name=vsftpd       # 虚拟用户启用pam认证;vsftpd是pam认证指定的文件

guest_enable=YES    # 启用虚拟用户;

guest_username=ftpuser  # 映射虚拟用户至系统用户ftpuser;

user_config_dir=/etc/vsftpd/vsftpd_user_conf  # 设置虚拟用户配置文件所在的目录;

virtual_use_local_privs=YES  # 虚拟用户使用与本地用户相同的权限。

# 以下配置为锁定虚拟用户在自己的目录,不能查看到其他目录(如不配置,通过ftp工具可以查看到系统所有目录虽然无写权限)

chroot_local_user=YES

allow_writeable_chroot=YES

7、为虚拟用户ftp1创建配置专有的配置文件以及家目录,如果有多个虚拟用户同此操作

在/etc/vsftpd/vsftpd_user_conf下创建ftp1虚拟用户的配置文件

mkdir  -p    /etc/vsftpd/vsftpd_user_conf/ftp1

内容如下:

ocal_root=/home/ftpuser/ftp1  # 虚拟用户家目录所在位置

write_enable=YES    # 允许登陆用户有写权限

anon_world_readable_only=YES   # 允许匿名用户下载,然后读取文件

anon_upload_enable=YES    # 允许匿名用户上传文件权限,只有在write_enable=YES时该参数才生效;

anon_mkdir_write_enable=YES  # 允许匿名用户创建目录,只有在write_enable=YES时该参数才生效;

anon_other_write_enable=YES  # 允许匿名用户其他权限,例如删除、重命名等。

8、创建虚拟用户家目录目录:

mkdir -p /home/ftpuser/ftp1

chown -R ftpuser:ftpuser /home/ftpuser   # 递归更改虚拟用户主目录以及家目录的所有者和属组,才能具备相应权限。

chmod -R 777 /home/ftpuser   # root帐号在ftp1下面创建了多级目录和文件后,需要授权,客户端ftp1登录了才能够对其删除和修改。

三、虚拟用户访问家目录之外的目录

以上操作,ftp1这个用户已经可以访问ftp服务器,并在其家目录中进行上传下载添加删除等操作,但用户要访问服务器上其他目录怎么办?操作如下:

第一反应是对需要访问(abc文件)的目录做一个软连接,成功的失败了 --_--,不是说不能做链接,只是做了后不能达到想要的效果。

最终通过革命先贤的智慧知道还可以将abc文件mount到ftp1家目录下:

1、先到ftp1家目录中创建abc文件夹,用户挂载使用

mkdir -p /home/ftpuser/ftp1/abc

2、挂载目录

mount --bind /opt/abc   /home/ftpuser/ftp1/abc

3、如果以后需要解除挂载,执行如下命令把/home/ftpuser/ftp1/abc目录的umount即可

umount   /home/ftpuser/ftp1/abc

4、以上步骤仅仅是成功挂载了,虚拟用户ftp1仅仅能对abc目录中的文件进行下载操作,但无上传、删除等操作,需要如下操作

1)将ftpuser用户加入到www用户组,因为abc这个目录属于www用户组

#查看当前ftpuser用户信息

id ftpuser 

uid=1005(ftpuser) gid=1005(ftpuser) 组=1005(ftpuser)

#不改变原来用户信息下添加至www用户组

usermod -a -G www ftpuser

#再次ftpuser用户信息,ftpuser已经加入到了www用户组中

id ftpuser

uid=1005(ftpuser) gid=1005(ftpuser) 组=1005(ftpuser),1004(www)

2)让/opt/abc下所有文件所属组具备写权限

chmod g+w /opt/abc -R

至此虚拟用户ftp1已可对abc文件进行任何操作。

排错思路:

1、查看SELinux、防火墙

2、查看vsftpd进程

3、查看vsftpd.conf主配置文件

4、查看虚拟用户配置文件

5、查看数据库,查看Pam模块,新添加虚拟用户后需要重新生成数据库文件

6、查看home/ftpuser下虚拟用户家目录是否创建

7、修改配置后重启vsftpd服务

上一篇:vsftp 虚拟用户测试


下一篇:javascript小实例,多种方法实现数组去重问题