vsftpd虚拟用户初相识

2332323

1、文件传输协议

一般来讲，人们将电脑联网的首要需求就是获取资料，而文件传输是其中非常重要的方式之一，21世纪的互联网是由几千万台个人电脑、工作站、小型机、大型机等等不同型号、架构的物理设备共同组成的，即便是个人电脑上也可能会装有诸如Linux、Windows、UNIX、DOS等等不同的操作系统，所以为了能够在如此复杂多样的操作设备之间解决文件传输问题，于是便有了统一的FTP文件传输协议（File Transfer Protocol），这是一种能够让使用者在互联网中上传、下载文件的传输协议。很多同学在大学期间只知道FTP协议使用了21端口号，但实际上FTP文件传输协议默认占用了20、21两个端口号，20端口号用于进行数据传输，21端口号用于接受客户端执行的相关FTP命令与参数，FTP服务端普遍更多的应用于内网中，具有易于搭建、方便管理的特点，并且可以借助FTP客户端工具还可以轻松实现文件的多点下载和断点续传技术，FTP协议的传输拓扑如图所示。

2、Vsftpd服务程序

vsftpd作为更加安全的FTP文件传输协议的服务程序，可以让用户分别通过匿名开放、本地用户和虚拟用户三种身份验证方式来登陆到FTP服务器上面。匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机。本地用户是通过Linux系统本地的帐号密码信息进行的验证模式，这种模式相比较匿名开放模式来说比较安全，配置起来也十分简单，不过如果被骇客暴力破解出FTP帐号信息，也就可以通过这个口令登陆到服务器系统中了，从而完全控制整台服务器主机。最后的虚拟用户是相比较最为安全的验证模式，需要为FTP传输服务单独建立用户数据库文件，虚拟出用来口令验证的帐户信息，这些帐号是在服务器系统中不存在的，仅供FTP传输服务做验证使用，因此这样即便骇客破解出了帐号口令密码后也无法登录到服务器主机上面，有效的降低了破坏范围和影响。

---

3、虚拟用户

3.1、虚拟用户初识

虚拟用户模式是一种相比较来说最为安全的验证方式，需要为FTP传输服务单独建立用户数据库文件，虚拟出用来口令验证的帐户信息，这些帐号是在服务器系统中不存在的，仅供FTP传输服务做验证使用，因此这样即便骇客破解出了帐号口令密码后也无法登录到服务器主机上面，有效的降低了破坏范围和影响。所以只要在配置妥当合理的情况下，虚拟用户模式要比前两种验证方式更加的安全，同时配置的流程也稍微会复杂一些。

3.2、虚拟用户思路以及具体配置

1） yum install vsftpd* -y软件安装；

1	yum install vsftpd* db4* -y

2） 安装libdb库、pam认证模块，安装db_load工具；
3） 创建虚拟用户临时文件，存储虚拟用户名和密码；

1 2 3 4 5

cat>/etc/vsftpd/ftpusers.txt<<EOF ftp001 123456 ftp002 123456EOF

4） 基于db_load生成vsftpd_login.db数据库文件；

1 2 3

db_load -T -t hash -f /etc/vsftpd/ftpusers.txt /etc/vsftpd/vsftpd_login.db chmod 700 /etc/vsftpd/ftpusers.txt chmod 700 /etc/vsftpd/vsftpd_login.db

5） 修改/etc/pam.d/vsftpd配置文件，添加数据库认证支持；

1 2 3 4

cat>/etc/pam.d/vsftpd<<EOF auth    sufficient      /lib64/security/pam_userdb.so      db=/etc/vsftpd/vsftpd_login account sufficient      /lib64/security/pam_userdb.so      db=/etc/vsftpd/vsftpd_login EOF

6） 创建系统真实用户，将虚拟用户映射到系统用户，ftpuser，不能登录系统，不用设置密码；

1	useradd -s /sbin/nologin ftpuser

7） 添加虚拟用户配置文件段，添加代码至vsftpd.conf末尾，启用虚拟用户；

1 2 3 4 5 6 7

cat>>/etc/vsftpd/vsftpd.conf<<EOF guest_enable=YES guest_username=ftpuser pam_service_name=vsftpd user_config_dir=/etc/vsftpd/vsftpd_user_conf virtual_use_local_privs=YES EOF

8） 创建虚拟用户配置文件目录，创建虚拟用户对应配置文件名称，并且写入权限设置，绑定虚拟用户的家目录；/home/ftpuser/xxxx；

1 2 3 4 5 6 7

mkdir -p /etc/vsftpd/vsftpd_user_conf/ cat>/etc/vsftpd/vsftpd_user_conf/ftp001 <<EOF local_root=/home/ftpuser/ftp001 write_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YESEOF

注意：/etc/vsftpd/vsftpd_user_conf/下的配置文件，一定要跟虚拟用户的用户名相同，否则无法对应上

9） 创建虚拟用户的家目录，mkdir –p /home/ftpuser/xxx，设置权限chown -R ftpuser.ftpuser /home/ftpuser

1 2 3

mkdir -p /home/ftpuser/ftp001/ chown -R ftpuser.ftpuser /home/ftpuser service vsftpd restart