用pureftpd+pureDB虚拟用户,建立一个简单安全(不需要数据库支持)的linux ftp站
关键字:ubuntu linux Pure-FTPD pureftpd pureDB虚拟用户
规划:
目的:
建一个有多个虚拟用户的ftp站点,可匿名访问,也可验证访问。匿名用户只可下载可上传。验证用户可下载,也可上传。
虚拟用户使用ftpgroup组的ftpuser帐户访问。
admin2帐户不属于ftpgroup组,而属于管理员组admin2。
目录结构:
1,pureftpd的数据文件存放目录:/var/ftpd/*,属主admin2,组admin2。
/var/ftpd/source/public [存放公共资料,匿名anonymous可访问。权限:777]。
/var/ftpd/source [存放伙伴用户群内交流的资料,伙伴用户vuser可访问,权限:777。]
/var/ftpd/home [存放管理员等高级人员的资料,管理用户admin2可访问,权限:755。]
2,pureftpd的可执行文件存放位置:/usr/local/pureftpd/*,属主:root,组root。
/usr/local/pureftpd/etc/ 里面有“参数及配置文件夹”:etc;pureftpd自动生成的bin,man,sbin文件夹等
/usr/local/pureftpd/etc/ 有文件:ftpmsg(自创),pureftpd.log(自创),pure-ftpd.conf(从编译中拷贝),pureftpd.pdb(程序自动生成),pureftpd.passwd(程序自动生成)。
用户分配
虚拟用户:包括anonymous、vuser、admin2。
匿名用户:anonymous
可访问资源:/var/ftpd/source/public/* [可访问公共目录下面的所有资料public/* ]
上传:不允许
下载速率:受限
伙伴用户:vuser
可访问资源:/var/ftpd/source/* [可访问群内用户的所有资料,可创建、删除子目录,可创建、覆盖文件:source/*,包括/source/public/*]
上传:允许
上传空间:受限
速率:受限
管理用户:admin2
可访问资源:/var/ftpd/* [可访ftp所有资料,可创建、删除子目录,可创建、覆盖文件:包括home/*,source/*,/source/public/*]
上传:允许
上传空间:受限
速率:不限
执行:
建立数据文件目录、设置属主、权限 :
代码:
--------------------------------------------------------------------------------
#su
#mkdir /var/ftpd
#mkdir /var/ftpd/home
#mkdir /var/ftpd/source
#mkdir /var/ftpd/source/public
#groupadd admin2
#useradd admin2 -g admin2 -d /home/admin2 -s /bin/bash
#passwd admin2
#cd /var
#chown -R admin2 ftpd
#chgrp -R admin2 ftpd
#chmod -R 755 ftpd
#cd /var/ftpd
#chmod -R 777 source
--------------------------------------------------------------------------------
建立pureftpd的可执行文件目录 :
代码:
--------------------------------------------------------------------------------
#cd /usr
#mkdir /usr/local/pureftpd
#mkdir /usr/local/pureftpd/etc
#mkdir /usr/local/pureftpd/temp ##安装程序用的临时目录,用完后,可删除
--------------------------------------------------------------------------------
安装pureftpd
下载: http://www.pureftpd.org
拷贝、解压
代码:
--------------------------------------------------------------------------------
#cp pure-ftpd-1.0.21.tar.gz /usr/local/pureftpd/temp
#cd /usr/local/pureftpd/temp
#tar xzvf pure-ftpd-1.0.21.tar.gz
#cd pure-ftpd-1.0.21
--------------------------------------------------------------------------------
编译
代码:
---------------------------------------------------------------------------------------------
./configure --prefix=/usr/local/pureftpd --with-everything --with-rfc2640
---------------------------------------------------------------------------------------------
#注:
--prefix是安装的目标目录
--with-eyerything是安装所有功能
--with-rfc2640,此参数UTF-8,gb2312等异构系统的语言集转换
另外如果需要与mysql连接,修改提示语言等还需要在此指定,例如:
--with-mysql=/opt/mysql
--with-language=simplified-chinese
本文不涉及。
安装
代码:
--------------------------------------------------------------------------------
#make
#make check
#make install
--------------------------------------------------------------------------------
2.3 配置pureftpd
拷贝配置文件到指定目录
代码:
--------------------------------------------------------------------------------
#chmod 755 configuration-file/pure-config.pl
#cp configuration-file/pure-config.pl /usr/local/pureftpd/sbin/
#cp configuration-file/pure-ftpd.conf /usr/local/pureftpd/etc/
#cd /usr/local/pureftpd/etc/
#gedit pure-ftpd.conf
--------------------------------------------------------------------------------
pure-ftpd.conf全文注释(直接粘贴也可以):
--------------------------------------------------------------------------------
############################################################
# #
# Configuration file for pure-ftpd wrappers #
# #
############################################################
# 如果你想要使用配置文件代替命令行选项来运行 Pure-FTPd ,请运行下面的命令:
#/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf
# RPM 缺省使用另外一个配置文件:
# /etc/sysconfig/pure-ftpd
#
# 请不要忘了浏览一下 http://www.pureftpd.org/documentation.html 的
# 文档,查看全部的选项列表。
# 限制所有用户在其主目录中
ChrootEveryone yes
# 如果前一个指令被设置为了 "no",下面组的成员(GID)就不受主目录的限制了。而其他的用户还是
# 会被限制在自己的主目录里。如果你不想把任何用户限制在自己的主目录里,只要注释掉 ChrootEveryone
# 和 TrustedGID 就可以了。
# TrustedGID 100
# 兼容ie等比较非正规化的ftp客户端
BrokenClientsCompatibility yes
# 服务器总共允许同时连接的最大用户数
MaxClientsNumber 50
# 做为守护(doemon)进程运行(Fork in background)
Daemonize yes
# 同一IP允许同时连接的用户数(Maximum number of sim clients with the same IP address)
MaxClientsPerIP 10
# 如果你要记录所有的客户命令,设置这个指令为 "yes"。
# This directive can be duplicated to also log server responses.
VerboseLog no
# 即使客户端没有发送 ‘-a‘ 选项也列出隐藏文件( dot-files )。
DisplayDotFiles no
# 不允许认证用户 - 仅作为一个公共的匿名FTP。
AnonymousOnly no
# 不允许匿名连接,仅允许认证用户使用。
NoAnonymous no
# Syslog facility (auth, authpriv, daemon, ftp, security, user, local*)
# 缺省的功能( facility )是 "ftp"。 "none" 将禁止日志。
SyslogFacility ftp
# 定制用户登陆后的显示信息(Display fortune cookies)
FortunesFile /usr/local/pureftpd/etc/ftpmsg
# 在日志文件中不解析主机名。日志没那么详细的话,就使用更少的带宽。在一个访问量很大
# 的站点中,设置这个指令为 "yes" ,如果你没有一个能工作的DNS的话。
DontResolve yes
# 客户端允许的最大的空闲时间(分钟,缺省15分钟)
MaxIdleTime 15
# LDAP 配置文件 (参考 README.LDAP)
# LDAPConfigFile /etc/pureftpd-ldap.conf
# MySQL 配置文件 (参考 README.MySQL)
# MySQLConfigFile /etc/pureftpd-mysql.conf
# Postgres 配置文件 (参考 README.PGSQL)
# PGSQLConfigFile /etc/pureftpd-pgsql.conf
# PureDB 用户数据库 (参考 README.Virtual-Users)
PureDB /usr/local/pureftpd/etc/pureftpd.pdb
# pure-authd 的socket 路径(参考 README.Authentication-Modules)
# ExtAuth /var/run/ftpd.sock
# 如果你要启用 PAM 认证方式, 去掉下面行的注释。
# PAMAuthentication yes
# 如果你要启用 简单的 Unix系统 认证方式(/etc/passwd), 去掉下面行的注释。
# UnixAuthentication yes
# 请注意,LDAPConfigFile, MySQLConfigFile, PAMAuthentication 和
# UnixAuthentication 这些指令只能被使用一次,不过,他们能被混合在一起用。例如:如果你使用了
# MySQLConfigFile 和 UnixAuthentication,那么 SQL 服务器将被访问。如果因为用户名未找
# 到而使 SQL 认证失败的话,就会在/etc/passwd 和 /etc/shadow 中尝试另外一种认证,如果因
# 为密码错误而使 SQL 认证失败的话,认证就会在此结束了。认证方式由它们被给出来的顺序而被链
# 接了起来。
# ‘ls‘ 命令的递归限制。第一个参数给出文件显示的最大数目。第二个参数给出最大的子目录深度。
LimitRecursion 2000 8
# 允许匿名用户创建新目录?
AnonymousCanCreateDirs yes
# 如果系统被 loaded 超过下面的值,匿名用户会被禁止下载。
MaxLoad 10
# 被动连接响应的端口范围。- for firewalling.
# PassivePortRange 30000 50000
# 强制一个IP地址使用被动响应( PASV/EPSV/SPSV replies)。 - for NAT.
# Symbolic host names are also accepted for gateways with dynamic IP
# addresses.
# ForcePassiveIP 192.168.0.1
# 匿名用户的上传/下载的比率。
# AnonymousRatio 1 10
# 所有用户的上传/下载的比率。
# UserRatio 1 10
# 不接受所有者为 "ftp" 的文件的下载。例如:那些匿名用户上传后未被本地管理员验证的文件。
AntiWarez no
# 服务监听的IP 地址和端口。(缺省是所有IP地址和21端口)
# Bind 127.0.0.1,21
# 匿名用户的最大带宽(KB/s)。
# AnonymousBandwidth 8
# 所有用户的最大带宽(KB/s),包括匿名用户。
# Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.
UserBandwidth 1000
# 新建目录及文件的属性掩码值。<文件掩码>:<目录掩码> .
# 177:077 if you feel paranoid.
Umask 133:022
# 认证用户允许登陆的最小组ID(UID) 。
MinUID 100
# 仅允许认证用户进行 FXP 传输。
AllowUserFXP no
# 对匿名用户和非匿名用户允许进行匿名 FXP 传输。
AllowAnonymousFXP no
# 用户不能删除和写点文件(文件名以 ‘.‘ 开头的文件),即使用户是文件的所有者也不行。
# 如果 TrustedGID 指令是 enabled ,文件所属组用户能够访问点文件(dot-files)。
ProhibitDotFilesWrite yes
# 禁止读点文件(文件名以 ‘.‘ 开头的文件) (.history, .ssh...)
ProhibitDotFilesRead yes
# 永不覆盖文件。当上传的文件,其文件名已经存在时,自动重命名,如: file.1, file.2, file.3, ...
AutoRename yes
# 不接受匿名用户上传新文件( no = 允许上传)
AnonymousCantUpload no
# 仅允许来自以下IP地址的非匿名用户连接。你可以使用这个指令来打开几个公网IP来提供匿名FTP,
# 而保留一个私有的防火墙保护的IP来进行远程管理。你还可以只允许一内网地址进行认证,而在另外
# 一个IP上提供纯匿名的FTP服务。
#TrustedIP 10.1.1.1
# 如果你要为日志每一行添加 PID 去掉下面行的注释。
#LogPID yes
# 使用类似于Apache的格式创建一个额外的日志文件,如:
# fw.c9x.org - jedi [13/Dec/1975:19:36:39] "GET /ftp/linux.tar.bz2" 200 21809338
# 这个日志文件能被 www 流量分析器处理。
# AltLog clf:/var/log/pureftpd.log
# 使用优化过的格式为统计报告创建一个额外的日志文件。
# AltLog stats:/var/log/pureftpd.log
# 使用标准的W3C格式创建一个额外的日志文件。(与大部分的商业日志分析器兼容)
AltLog w3c:/usr/local/pureftpd/etc/pureftpd.log
# 不接受 CHMOD 命令。用户不能更改他们文件的属性。
NoChmod yes
# 允许用户恢复和上传文件,却不允许删除他们。
KeepAllFiles no
# 用户主目录不存在的话,自动创建。
#CreateHomeDir yes
# 启用虚拟的磁盘限额。第一个数字是最大的文件数。
# 第二个数字是最大的总的文件大小(单位:Mb)。
# 所以,1000:10 就限制每一个用户只能使用 1000 个文件,共10Mb。
Quota 2000:1000
# 如果你的 pure-ftpd 编译时加入了独立服务器( standalone )支持,你能够改变 pid 文件
# 的位置。缺省位置是 /var/run/pure-ftpd.pid 。
#PIDFile /var/run/pure-ftpd.pid
# 如果你的 pure-ftpd 编译时加入了 pure-uploadscript 支持,这个指令将会使 pure-ftpd
# 发送关于新上传的情况信息到 /var/run/pure-ftpd.upload.pipe,这样 pure-uploadscript
# 就能读然后调用一个脚本去处理新的上传。
#CallUploadScript yes
# 这个选项对允许匿名上传的服务器是有用的。当 /var/ftp 在 /var 里时,需要保留一定磁盘空间
# 来保护日志文件。当所在磁盘分区使用超过百分之 X 时,将不在接受新的上传。
MaxDiskUsage 99
# 如果你不想要你的用户重命名文件的话,就设置为 ‘yes‘ 。
NoRename no
# 是 ‘customer proof‘ : 工作区(workaround)反对普通的客户错误,类似于:‘chmod 0 public_html‘ 的错误。
# 那是一个有效的命令,不过,将导致无知的客户所定他们自己的文件,将使你的技术支持忙于愚蠢的的问题中。
# 如果你确信你所有的用户都有基本的Unix知识的话,这个特性将没什么用了。不过,如果你是一个主机提供商
# 的话,启用它。
CustomerProof yes
# 每一个用户的并发限制。只有在添加了 --with-peruserlimits 编译选项进行编译后,这个指令才起
# 作用。(大部分的二进制的发布版本就是例子)
# 格式是 : <每一个用户最大允许的进程>:<最大的匿名用户进程>
# 例如: 3:20 意思是同一个认证用户最大可以有3个同时活动的进程。而且同时最多只能有20个匿名用户进程。
PerUserLimits 10:200
# When a file is uploaded and there is already a previous version of the file
# with the same name, the old file will neither get removed nor truncated.
# Upload will take place in a temporary file and once the upload is complete,
# the switch to the new version will be atomic. For instance, when a large PHP
# script is being uploaded, the web server will still serve the old version and
# immediatly switch to the new one as soon as the full file will have been
# transfered. This option is incompatible with virtual quotas.
# NoTruncate yes
# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don‘t use SSL/TLS security mechanisms,
# including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.
# TLS 1
# Listen only to IPv4 addresses in standalone mode (ie. disable IPv6)
# By default, both IPv4 and IPv6 are enabled.
# IPV4Only yes
# Listen only to IPv6 addresses in standalone mode (ie. disable IPv4)
# By default, both IPv4 and IPv6 are enabled.
# IPV6Only yes
#可对服务器端和客户端的字符集进行自定义,如果服务器端和客户端所属的字符集不一样,可分别定义
#但如果你想下面的参数生效,在程序编译的时候要加上参数--with-rfc2640
FileSystemCharset UTF-8
ClientCharset gbk
--------------------------------------------------------------------------------
虚拟用户公共帐号设置
代码:
--------------------------------------------------------------------------------
#groupadd ftpgroup
#useradd ftpuser -g ftpgroup -d /dev/null -s /etc
或:
#mkdir /home/null
#chmod 777 /home/null
#useradd ftpuser -g ftpgroup -d /home/null -s /etc
--------------------------------------------------------------------------------
添加ftp用户,让匿名支持:
-------------------------------------------------------------------------------
#useradd ftp -g ftpgroup #添加一个用户“ftp”必须是这个名,它与其它ftp用户都从属于上面的ftpgroup。
(如果ftp用户已经存在,请修改ftp的默认组: #usermod -g ftpgroup ftp)
#usermod -d /var/ftpd/source/public ftp #更改“ftp”这个用户的主目录。
#chown ftp.ftpgroup /var/ftpd/source/public
---------------------------------------------------------------------------------
虚拟用户帐号设置
代码:
--------------------------------------------------------------------------------
#cd /usr/local/pureftpd/bin
#./pure-pw useradd vuser -u ftpuser -d /var/ftpd/source
#./pure-pw useradd admin2 -u admin2 -d /var/ftpd
--------------------------------------------------------------------------------
##说明:vuser是用户名,-u ftpuser是其实际的linux用户,-d指定起始目录,并锁定于该目录。如果不锁定,则用-D
##如果需要限制IP段的加上: -r 192.168.0.0/24
建立用户数据库
代码:
--------------------------------------------------------------------------------
#./pure-pw mkdb /usr/local/pureftpd/etc/pureftpd.pdb
--------------------------------------------------------------------------------
#说明:今后每添加或修改用户数据库都应该执行一次mkdb,执行后不需要重起ftp
启动pureftpd
代码:
------------------------------------------------------------------------------------------------------
#/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf
------------------------------------------------------------------------------------------------------
或设置执行文件pureftpd.sh为系统服务:
# vi pureftpd.sh
内容:
#!/bin/sh
echo ""
/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf
然后:
#chmod 755 pureftpd.sh
执行以下命令立即生效,#./pureftpd.sh
重新启动系统,测试安装效果。
原文链接:https://blog.csdn.net/dongfengyee/article/details/2087238