VSFTP介绍 VSFTP(Very Secure FTP)是一种在Unix/Linux中非常安全且快速稳定的FTP服务器,目前已经被许多大型站点所采用,如ftp.redhat.com,ftp.gnome.org等。 在vsftpd服务器中支持3类用户,分别是匿名用户,本地用户,和虚拟账户。用途及区别如下。 1)、匿名用户:名为anonymous 或ftp 的FTP 用户,匿名FTP 用户登录后将FTP 服务器中的/var/ftp 作为FTP 根目录。匿名用户通常用于提供公共文件的下载,如架设公共软件下载的FTP 服务器,所有人都可以使用匿名用户进行软件下载。 2)、本地用户:账号是系统用户账号(/etc/passwd),使用FTP 本地用户账号登录FTP 服务器后,登录目录为本地用户的宿主目录。本地FTP用户账号通常和Web 服务器一起提供虚拟主机服务,作为网页虚拟主机更新网页的途径。 3)、虚拟用户:账号是为了保证FTP 服务器的安全性,由vsftpd 服务器提供的非系统用户账号,相对于FTP的本地用户来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器所提供的资源。虚拟用户FTP 登录后将把指定的目录作为FTP 根目录。虚拟用户与本地用户具有类似的功能,由于虚拟用户账号具有较高的安全性,可以替代本地用户账号使用。
下面将介绍在测试环境中vsftpd虚拟用户应用的配置过程,下面介绍两种方式。 实现基于DB文件验证的vsftpd虚拟用户 yum install vsftpd
1 创建虚拟用户列表文件,将文本文件转化成特定格式的文本文件,添加虚拟用户口令文件 [iyunv@centos vsftpd]#vim /etc/vsftpd/ftpvusers.txt ftp1 #用户名 123456 #密码 ftp2 centos
2 生成虚拟用户口令认证文件 [iyunv@centos vsftpd]# db_load -T -t hash -f ftpvusers.txt vuser.db
chmod 600 vuser.db #为了安全,使密码不可见 3 创建操作系统的用户和FTP访问目录 useradd -d /var/ftpsite -s /sbin/nologin vuser # 创建ftp访问目录,vuser是系统真是存在用户,以后虚拟用户都映射成vuser,/var/ftpsite自动生成家目录 chmod 555 /var/ftpsite/ # 使vuser用户有读写权限,给目录权限
setfacl -d /var/ftpsite #删除权限 4 创建pam配置文件
systemctl restart vsftpd 4 指定vsftp.conf配置文件 vim /etc/vsftpd/vsftpd.conf
systemctl restart vsftpd #重启服务 5 配置各自虚拟用户的配置文件 mdkir /etc/vsftpd/vusers.d/ # 创建配置文件存放的路径 cd /etc/vsftpd/vusers.d/ # 进入此目录创建各用户自已的配置文件
出现错误:500 OOPS: bad bool value in config file for: anon_upload_enable Login failed. 421 Service not available, remote server has closed connection 解决方法:ftp1的配置文件末尾出现空格 准备ftp2的目录
mkdir -p /app/ftp2/upload #创建子文件 chown vuser /app/ftp2/upload #给用户vuser权限
6 测试虚拟用户登录FTP
修改ftp2的权限,使其能够创建文件,进行测试。
注意:实验前关闭防火墙和selinux。
基于数据库MYSQL验证vsftpd虚拟用户 Centos7和Centos6的不同:
Centos6: epel源里放了pam_mysql模块,可以yum install pam_mysql Centos7:需要手动编译pam_mysql模块 1 实验准备 两台虚拟机,一台a主机作为ftp服务器;一台b主机作为mysql数据库服务器。 2 安装MySQL ①直接yum安装mysql-server(centos 6)或者 mariadb-server(centos 7) centos7:systemctl start mariadb.service # 启动服务 systemctl enable mariadb # 设置为开机启动 centos6:service mysqld restart # 启动服务 chkconfig enable mysqld # 设置为开机启动 ②b主机数据库配置: 1) 创建存储虚拟用户的数据库和连接数据库用户
注:在这里我用这种方法添加的虚拟用户密码都是经过MySQL加密的,加密后的密码pam-mysql不能识别(MySQL和pam-mysql兼容性有些问题),因此本次实验使用明文保存密码。 select * from users; #查看用户信息 FLUSH PRIVILEGES; #刷新数据库 2) 验证b主机数据库配置是否成功
3 a主机 ftp服务器配置vsftpd服务 1)安装开发包组和服务包 yum install mariadb vsftpd mariadb-devel pam-devel openssl-devel mariadb vsftpd yum groupinstall "Development Tools" 注意:yum安装时,出现You could try using --skip-broken to work around the problem.You could try running: rpm -Va --nofiles --nodigest问题。 解决方法:yum remove httpd-tools yum clean all -->yum update 2)编译安装pam_mysql(centos7) 或yum install pam_mysql(centos6) tar xvf pam_mysql-0.7RC1.tar.gz
make && make install #编译安装 3)编译MySQL的PAM认证模块 vim /etc/pam.d/vsftp.mysql # 为了方便管理并和以前的pam进行区分,我们创建自己的pam认证配置文件
注意:参考README文档,选择正确的加密方式crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysql password()函数加密,3表示md5加密,4表示sha1加密auth 表示认证
pam_mysql.so模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝对路径;后面为给此模块传递的参数 user=vsftpd 为登录mysql的用户 passwd=magedu 登录mysql的的密码 host=mysqlserver mysql服务器的主机名或ip地址 db=vsftpd 指定连接msyql的数据库名称 table=users 指定连接数据库中的表名 usercolumn=name 当做用户名的字段 passwdcolumn=password 当做用户名字段的密码 crypt=2 密码的加密方式为mysql password()函数加密 account 验证账号密码正常使用 required 表示认证要通过
4 建立本地映射用户并设置宿主目录权限 # 建立虚拟用户映射的系统用户及对应的目录 useradd -s /sbin/nologin -d /app/ftpsite ftvuser #创建操作系统账号 # 去除ftp根目录的写权限,否者用户登录将受到文件系统权限的限制; chmod 555 /app/ftpsite/ mkdir /app/ftpsite/upload setfacl –m u:ftvuser:rwx /app/ftpsite/upload #为了使得用户能上传文件,我们以acl方式对相关目录设置权限,方便单个管理 5 在MySQL中建立用户口令数据库 # 确保/etc/vsftpd.conf中已经启用了以下选项:
vim /etc/vsftpd/vsftpd.conf anonymous_enable=YES # 添加用户映射的选项 guest_enable=YES guest_username=ftvuser #将普通用户映射ftvuser pam_service_name=vsftp.mysql # 修改下面一项,原系统用户无法登录;而是基于数据验证登录用户 user_config_dir=/etc/vsftpd/vusers_config # 创建所需要目录,并为虚拟用户提供配置文件
systemctl start vsftpd #重启服务 6 在FTP服务器上配置虚拟用户且具有不同的访问权限 # 说明:vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。 配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可
# 配置虚拟用户的访问权限 虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如果需要让用户user1具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/user1文件。 vim /etc/vsftpd/vusers_config/user1 # 在里面添加如下选项并设置为YES即可,只读则设为NO anon_upload_enable=YES #打开匿名上传文件
anon_mkdir_write_enable=YES #打开创建目录的权限 anon_other_write_enable=YES #打开删除和重命名的权限 7 测试:
vim /etc/vsftpd/vusers_config/user2
anon_upload_enable=YES #打开匿名上传文件 local_root=/app/ftpsite2/ # 指定user2的目录;user2用户登录上来访问的目录 mkdir /app/ftpsite2/upload # 方便检验 chown ftpvuser /app/ftpsite2/upload #可以让子目录有权限,但家目录不能有权限 注意:需确保对应的映射用户对于文件系统有写权限
测试虚拟用户登录FTP
1.virtual_use_local_privs参数
当virtual_use_local_privs=YES时,虚拟用户和本地用户有相同的权限; 当virtual_use_local_privs=NO时,虚拟用户和匿名用户有相同的权限,默认是NO。 当virtual_use_local_privs=YES,write_enable=YES时,虚拟用户具有写权限(上传、下载、删除、重命名)。 当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YES, anon_upload_enable=YES时,虚拟用户不能浏览目录,只能上传文件,无其他权限。 当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO, anon_upload_enable=NO时,虚拟用户只能下载文件,无其他权限。 当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO, anon_upload_enable=YES时,虚拟用户只能上传和下载文件,无其他权限。 当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO, anon_mkdir_write_enable=YES时,虚拟用户只能下载文件和创建文件夹,无其他权限。 当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO, anon_other_write_enable=YES时,虚拟用户只能下载、删除和重命名文件,无其他权限。 2.建立各个虚拟用户自身的配置文件 [iyunv@CentOS7 /]#vi /etc/vsftpd/vsftpd.conf 添加:user_config_dir=/etc/vsftpd/vsftpd_user_conf [iyunv@CentOS7 /]#mkdir /etc/vsftpd/vsftpd_user_conf 编辑user1的配置文件 [iyunv@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user1 添加:anon_world_readable_only=NO #开放bobyuan的下载权限(只能下载)。注意这个地方千万不能写成YES,否则user1将不能列出文件和目录。 编辑user2的配置文件 [iyunv@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user2 添加: write_enable=YES #打开写权限 anon_world_readable_only=NO #打开下载权限 anon_upload_enable=YES #打开上传权限 anon_mkdir_write_enable=YES #打开创建目录的权限 anon_other_write_enable=YES #打开删除和重命名的权限
|