生产环境搭建ftp并配置虚拟用户
虚拟用户的特点是只能访问服务器为其提供的FTP服务,而不能访问系统的其它资源。所以,如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其它资源,可以使用虚拟用户来提高系统的安全性。
在VSFTP中,认证这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PAM)认证。
虚拟用户并非系统上的用户,但它必须映射到系统上的某个用户,虚用户的家目录属主和属组就这系统上的这个用户。并且每个虚用户有自己的用户名和密码,每个虚用户也可以单独设定对家目录的访问权限。使用文件的方式创建并依此建立一个数据库文件,PAM可以读取这个数据库文件完成用户认证目的。
安装配置步骤
1、安装相关包(vsftpd,lftp,db4-utils)
ftp服务端:vsftpd
ftp客户端:lftp
由文本文件生成数据库文件:db4-utils
2、创建虚拟用户口令文件并依此生成数据文件
3、在PAM认证中添加ftp
4、添加虚拟用户的权限配置文件
5、创建虚拟用户对应本地用户,并授权访问虚拟用户的家目录
6、根据以上内容修改vsftpd.conf总配置文件
7、启动服务
8、验证服务是否可用
1、安装相关包(vsftpd,lftp,db4-utils)
1
|
yum install vsftpd lftp db4-utils
|
(系统环境centos6.6)
2、创建虚拟用户口令文件并依此生成数据文件
1
2
3
4
|
cd /etc/vsftpd/
vi vuserpass.txt
jdsfeftp hH+GRu22pCa14eXoifEpqA== |
说明1:第一行是用户名,第二行是密码,可以添加多个用户和密码
说明2:/usr/share/doc/vsftpd-2.2.2/EXAMPLE/VIRTUAL_USERS/logins.txt 是示例文档
说明3:rpm -ql vsftpd可以查看其他版本生成的示例文档的位置
说明4:openssl rand -base64 16 可生成随机密钥
1
2
|
db_load -T -t hash -f /etc/vsftpd/vuserpass .txt /etc/vsftpd/vftpuser .db
chmod 600 vftpuser.db
|
说明:vftpuser.db就是PAM认证时读取的数据库文件
3、在PAM认证中添加ftp
1
2
3
|
vim /etc/pam .d /vsftpd
auth required /lib64/security/pam_userdb .so db= /etc/vsftpd/vftpuser
account required /lib64/security/pam_userdb .so db= /etc/vsftpd/vftpuser
|
说明1:/lib64/security/pam_userdb.so检查是否存在该文件,此处是64位系统,所以是/lib64/,32位系统在/lib/下。
说明2:db=/etc/vsftpd/vftpuser无需".db"后缀名
说明3:/etc/pam.d/vsftpd有示例文件在/usr/share/doc/vsftpd-2.2.2/EXAMPLE/VIRTUAL_USERS/vsftpd.pam
4、添加虚拟用户的权限配置文件
1
2
|
mkdir -p /etc/vsftpd/vsftpd_user_conf
cd /etc/vsftpd/vsftpd_user_conf
|
以虚拟用户名创建同名文件
1
2
3
4
5
6
7
8
|
vi jdsfeftp
local_root= /home/apps/ftpsite/public
#虚拟用户的家目录 write_enable=YES anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES |
5、创建虚拟用户对应本地用户,并授权该本地用户访问虚拟用户的家目录
1
2
3
|
useradd -s /sbin/nologin virtual
mkdir -p /home/apps/ftpsite/public
chown -R virtual:virtual /home/apps/ftpsite/
|
6、根据以上内容修改vsftpd.conf总配置文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
|
vi /etc/vsftpd/vsftpd .conf
guest_enable=YES #开启虚拟用户的功能 guest_username=virtual #虚拟用户对应的本地用户名 user_config_dir= /etc/vsftpd/vsftpd_user_conf
#虚拟用户的权限配置目录 local_enable=YES #必须允许本地用户访问 pam_service_name=vsftpd #pam目录下的文件名pasv_enable=YES pasv_min_port=30000 pasv_max_port=30999 pasv_address=192.168.1.137 #注意修改被动IP,使用ifconfig查看 pasv_addr_resolve= yes
listen=YES anonymous_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES userlist_enable=YES tcp_wrappers=YES |
7、启动服务
1
2
3
|
/etc/init .d /vsftpd start
#需要开启防火墙的话 #iptables -t filter -A INPUT -m state –state NEW -p tcp -m tcp –dport 30000:30999 –syn -j ACCEPT |
8、验证服务
lftp ftp://IP -u jdsfeftp
输入密码:
ls
!ls /tmp
put /tmp/testfile
mkdir testdir
登录服务器查看文件
ls /home/apps/ftpsite/public