VSFTP介绍
VSFTP(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器,目前已经被许多大型站点所采用,如ftp.redhat.com,ftp.gnome.org等。
在vsftpd服务器中支持3类用户,分别是匿名用户,本地用户,和虚拟账户。用途及区别如下。
1)、匿名用户:名为anonymous 或ftp 的FTP 用户,匿名FTP 用户登录后将FTP 服务器中的/var/ftp 作为FTP 根目录。匿名用户通常用于提供公共文件的下载,如架设公共软件下载的FTP 服务器,所有人都可以使用匿名用户进行软件下载。
2)、本地用户:账号是系统用户账号(/etc/passwd),使用FTP 本地用户账号登录FTP 服务器后,登录目录为本地用户的宿主目录。本地FTP用户账号通常和Web 服务器一起提供虚拟主机服务,作为网页虚拟主机更新网页的途径。
3)、虚拟用户:账号是为了保证FTP 服务器的安全性,由vsftpd 服务器提供的非系统用户账号,相对于FTP的本地用户来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器所提供的资源。虚拟用户FTP 登录后将把指定的目录作为FTP 根目录。虚拟用户与本地用户具有类似的功能,由于虚拟用户账号具有较高的安全性,可以替代本地用户账号使用。
下面将介绍在测试环境中vsftpd虚拟用户应用的配置过程,下面介绍两种方式。
实现基于DB文件验证的vsftpd虚拟用户 yum install vsftpd
1 创建虚拟用户列表文件,将文本文件转化成特定格式的文本文件,添加虚拟用户口令文件
[root@centos vsftpd]#vim /etc/vsftpd/ftpvusers.txt
ftp1 #用户名
123456 #密码
ftp2
centos
2 生成虚拟用户口令认证文件
[root@centos vsftpd]# db_load -T -t hash -f ftpvusers.txt vuser.db
chmod 600 vuser.db #为了安全,使密码不可见
3 创建操作系统的用户和FTP访问目录
useradd -d /var/ftpsite -s /sbin/nologin vuser # 创建ftp访问目录,vuser是系统真是存在用户,以后虚拟用户都映射成vuser,/var/ftpsite自动生成家目录
chmod 555 /var/ftpsite/ # 使vuser用户有读写权限,给目录权限
setfacl -d /var/ftpsite #删除权限
4 创建pam配置文件
systemctl restart vsftpd
4 指定vsftp.conf配置文件
vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd #重启服务
5 配置各自虚拟用户的配置文件
mdkir /etc/vsftpd/vusers.d/ # 创建配置文件存放的路径
cd /etc/vsftpd/vusers.d/ # 进入此目录创建各用户自已的配置文件
出现错误:500 OOPS: bad bool value in config file for: anon_upload_enable Login failed.
421 Service not available, remote server has closed connection
解决方法:ftp1的配置文件末尾出现空格
准备ftp2的目录
mkdir -p /app/ftp2/upload #创建子文件
chown vuser /app/ftp2/upload #给用户vuser权限
6 测试虚拟用户登录FTP
修改ftp2的权限,使其能够创建文件,进行测试。
注意:实验前关闭防火墙和selinux。
基于数据库MYSQL验证vsftpd虚拟用户
Centos7和Centos6的不同:
Centos6: epel源里放了pam_mysql模块,可以yum install pam_mysql
Centos7:需要手动编译pam_mysql模块
1 实验准备
两台虚拟机,一台a主机作为ftp服务器;一台b主机作为mysql数据库服务器。
2 安装MySQL
①直接yum安装mysql-server(centos 6)或者 mariadb-server(centos 7)
centos7:systemctl start mariadb.service # 启动服务
systemctl enable mariadb # 设置为开机启动
centos6:service mysqld restart # 启动服务
chkconfig enable mysqld # 设置为开机启动
②b主机数据库配置:
1) 创建存储虚拟用户的数据库和连接数据库用户
注:在这里我用这种方法添加的虚拟用户密码都是经过MySQL加密的,加密后的密码pam-mysql不能识别(MySQL和pam-mysql兼容性有些问题),因此本次实验使用明文保存密码。
select * from users; #查看用户信息
FLUSH PRIVILEGES; #刷新数据库
2) 验证b主机数据库配置是否成功
3 a主机 ftp服务器配置vsftpd服务
1)安装开发包组和服务包
yum install mariadb vsftpd mariadb-devel pam-devel openssl-devel mariadb vsftpd
yum groupinstall "Development Tools"
注意:yum安装时,出现You could try using --skip-broken to work around the problem.You could try running: rpm -Va --nofiles --nodigest问题。
解决方法:yum remove httpd-tools
yum clean all -->yum update
2)编译安装pam_mysql(centos7) 或yum install pam_mysql(centos6)
tar xvf pam_mysql-0.7RC1.tar.gz
make && make install #编译安装
3)编译MySQL的PAM认证模块
vim /etc/pam.d/vsftp.mysql # 为了方便管理并和以前的pam进行区分,我们创建自己的pam认证配置文件
注意:参考README文档,选择正确的加密方式crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql password()函数加密,3表示md5加密,4表示sha1加密auth 表示认证
pam_mysql.so模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝对路径;后面为给此模块传递的参数
user=vsftpd 为登录mysql的用户
passwd=magedu 登录mysql的的密码
host=mysqlserver mysql服务器的主机名或ip地址
db=vsftpd 指定连接msyql的数据库名称
table=users 指定连接数据库中的表名
usercolumn=name 当做用户名的字段
passwdcolumn=password 当做用户名字段的密码
crypt=2 密码的加密方式为mysql password()函数加密
account 验证账号密码正常使用
required 表示认证要通过
4 建立本地映射用户并设置宿主目录权限
# 建立虚拟用户映射的系统用户及对应的目录
useradd -s /sbin/nologin -d /app/ftpsite ftvuser #创建操作系统账号
# 去除ftp根目录的写权限,否者用户登录将受到文件系统权限的限制;
chmod 555 /app/ftpsite/
mkdir /app/ftpsite/upload
setfacl –m u:ftvuser:rwx /app/ftpsite/upload #为了使得用户能上传文件,我们以acl方式对相关目录设置权限,方便单个管理
5 在MySQL中建立用户口令数据库
# 确保/etc/vsftpd.conf中已经启用了以下选项:
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES # 添加用户映射的选项
guest_enable=YES
guest_username=ftvuser #将普通用户映射ftvuser
pam_service_name=vsftp.mysql # 修改下面一项,原系统用户无法登录;而是基于数据验证登录用户
user_config_dir=/etc/vsftpd/vusers_config # 创建所需要目录,并为虚拟用户提供配置文件
systemctl start vsftpd #重启服务
6 在FTP服务器上配置虚拟用户且具有不同的访问权限
# 说明:vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。
配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可
# 配置虚拟用户的访问权限
虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如果需要让用户user1具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/user1文件。
vim /etc/vsftpd/vusers_config/user1 # 在里面添加如下选项并设置为YES即可,只读则设为NO
anon_upload_enable=YES #打开匿名上传文件
anon_mkdir_write_enable=YES #打开创建目录的权限
anon_other_write_enable=YES #打开删除和重命名的权限
7 测试:
vim /etc/vsftpd/vusers_config/user2
anon_upload_enable=YES #打开匿名上传文件
local_root=/app/ftpsite2/ # 指定user2的目录;user2用户登录上来访问的目录
mkdir /app/ftpsite2/upload # 方便检验
chown ftpvuser /app/ftpsite2/upload #可以让子目录有权限,但家目录不能有权限
注意:需确保对应的映射用户对于文件系统有写权限
测试虚拟用户登录FTP
1.virtual_use_local_privs参数
当virtual_use_local_privs=YES时,虚拟用户和本地用户有相同的权限;
当virtual_use_local_privs=NO时,虚拟用户和匿名用户有相同的权限,默认是NO。
当virtual_use_local_privs=YES,write_enable=YES时,虚拟用户具有写权限(上传、下载、删除、重命名)。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YES,
anon_upload_enable=YES时,虚拟用户不能浏览目录,只能上传文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=NO时,虚拟用户只能下载文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=YES时,虚拟用户只能上传和下载文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_mkdir_write_enable=YES时,虚拟用户只能下载文件和创建文件夹,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_other_write_enable=YES时,虚拟用户只能下载、删除和重命名文件,无其他权限。
2.建立各个虚拟用户自身的配置文件
[root@CentOS7 /]#vi /etc/vsftpd/vsftpd.conf
添加:user_config_dir=/etc/vsftpd/vsftpd_user_conf
[root@CentOS7 /]#mkdir /etc/vsftpd/vsftpd_user_conf
编辑user1的配置文件
[root@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user1
添加:anon_world_readable_only=NO #开放bobyuan的下载权限(只能下载)。注意这个地方千万不能写成YES,否则user1将不能列出文件和目录。
编辑user2的配置文件
[root@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user2
添加:
write_enable=YES #打开写权限
anon_world_readable_only=NO #打开下载权限
anon_upload_enable=YES #打开上传权限
anon_mkdir_write_enable=YES #打开创建目录的权限
anon_other_write_enable=YES #打开删除和重命名的权限
本文转自 优果馥思 51CTO博客,原文链接:http://blog.51cto.com/youguofusi/1976956
