Vsftpd完全攻略（六）建立多个虚拟用户支持ftp不同访问权限

qns_fengyusong

解决方案:
1.创建用户数据库（1）创建用户文本文件

　　本博客转移到 www.51buyhost.com centos论坛.... 更详细的教程请到 http://www.51buyhost.com

先建立用户文本文件vsftpd_login.txt
添加两个虚拟帐号，普通帐号public和专用帐号personal

[iyunv@red-hat-5 ~]# touch /etc/vsftpd/vsftpd_login.txt
[iyunv@red-hat-5 ~]# echo public >>/etc/vsftpd/vsftpd_login.txt  生成public账号
[iyunv@red-hat-5 ~]# echo PUBLIC >>/etc/vsftpd/vsftpd_login.txt  生成public密码
[iyunv@red-hat-5 ~]# echo personal >>/etc/vsftpd/vsftpd_login.txt  生成personal账号
[iyunv@red-hat-5 ~]# echo PERSONAL >>/etc/vsftpd/vsftpd_login.txt 生成personal密码

[iyunv@red-hat-5 ~]# cat /etc/vsftpd/vsftpd_login.txt
Public   账号
PUBLIC  密码
Personal 账号
PERSONAL 密码

（2）生成数据库

保存虚拟帐号和密码的文本文件无法被系统帐号直接调用哈~我们需要使用db_load命令生成db口令数据库文件
db_load -T -t hash -f /etc/vsftpd/vsftpd_login.txt /etc/vsftpd/vsftpd_login.db
要使用db_load这个命令,需要安装三个文件,
db4-4.3.29-9.fc6.i386.rpm
db4-devel-4.3.29-9.fc6.i386.rpm
db4-utils-4.3.29-9.fc6.i386.rpm
[iyunv@red-hat-5 ~]# rpm -qa|grep db4 只安装了一个
db4-4.3.29-9.fc6
[iyunv@red-hat-5 mnt]# mount /dev/cdrom /mnt/cdrom/  挂载光驱
mount: block device /dev/cdrom is write-protected, mounting read-only
[iyunv@red-hat-5 cdrom]# cd Server/
[iyunv@red-hat-5 Server]# rpm -ivh db4-devel-4.3.29-9.fc6.i386.rpm
warning: db4-devel-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing...                ########################################### [100%]
   1:db4-devel              ########################################### [100%]
[iyunv@red-hat-5 Server]# rpm -ivh db4-utils-4.3.29-9.fc6.i386.rpm
warning: db4-utils-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing...                ########################################### [100%]
   1:db4-utils              ########################################### [100%]
[iyunv@red-hat-5 Server]# cd /
[iyunv@red-hat-5 /]# rpm -qa|grep db4
db4-4.3.29-9.fc6
db4-utils-4.3.29-9.fc6
db4-devel-4.3.29-9.fc6
[iyunv@red-hat-5/]#db_load -T -t hash –f /etc/vsftpd/vsftpd_login.txt /etc/vsftpd/vsftpd_login.db
[iyunv@red-hat-5 /]# ll /etc/vsftpd/
总计 48
-rw-r--r-- 1 root root   197 12-25 19:57 chroot_list
-rw------- 1 root root   126 12-25 20:06 ftpusers
-rw-r--r-- 1 root root    32 12-25 22:22 vsftpd_login.txt
-rw------- 1 root root   367 12-25 20:37 user_list
-rw------- 1 root root  4449 12-25 20:34 vsftpd.conf
-rwxr--r-- 1 root root   338 2007-12-13 vsftpd_conf_migrate.sh
-rw-r--r-- 1 root root 12288 12-25 23:12 vsftpd_login.db 生成数据库成功
-rw-r--r-- 1 root root    32 12-25 22:42 vsftpd_login.txt
-rw-r--r-- 1 root root     7 12-25 22:40 vtpd_login.txtsf

（3）修改数据库文件访问权限

数据库文件中保存着虚拟帐号的密码信息，为了防止非法用户盗取哈，我们可以修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写，即600

[iyunv@red-hat-5 /]# chmod 600 /etc/vsftpd/vsftpd_login.db
[iyunv@red-hat-5 /]# ll /etc/vsftpd/vsftpd_login.db
-rw------- 1 root root 12288 12-25 23:12 /etc/vsftpd/vsftpd_login.db

2.配置PAM文件

为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM模块.PAM(Plugable Authentication Module)为可插拔认证模块，不必重新安装应用系统，通过修改指定的配置文件，调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录，此目录下保存着大量与认证有关的配置文件，并以服务名称命名。

[iyunv@red-hat-5 /]# vi /etc/pam.d/vsftpd
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
auth       include      system-auth
account    include      system-auth
session    include      system-auth
session    required     pam_loginuid.so

修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd，将默认配置使用“#”全部注释，添加相应字段


[iyunv@red-hat-5 /]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
#auth       include     system-auth
#account    include     system-auth
#session    include     system-auth
#session    required     pam_loginuid.so
auth    required    /lib/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_login
account   required    /lib/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_login

注意：db=/etc/vsftpd/vsftpd_login 格式是这样的，去掉.db后缀


3. 创建虚拟帐号对应的系统用户

对于普通帐号和专用帐号，因为需要配置不同的权限，所以可以将两个帐号的目录进行隔离，控制用户的文件访问。

普通帐号public对应系统帐号ftp_public，并指定其主目录为/var/ftp/public

chmod -R 500 /var/ftp/public/：
普通帐号public只允许下载，修改public目录其他用户权限为rx可
读可执行。

专用帐号personal对应系统帐号ftp_personal，指定主目录为/var/ftp/personal
chmod -R 700 /var/ftp/ personal/：
专用帐号personal允许上传和下载，所以对personal目录权限设置为rwx，可读可写可执行。如果不设置可执行用户登录会出不能更改目录错误。

[iyunv@red-hat-5 ftp]# useradd -d /var/ftp/personal/ -s /sbin/nologin ftp_personal
[iyunv@red-hat-5 ftp]# useradd -d /var/ftp/public/ -s /sbin/nologin  ftp_public
[iyunv@red-hat-5 ftp]# ll
drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal
drwxr-xr-x 2 root         root         4096 12-25 09:12 pub
drwx------ 2 ftp_public   ftp_public   4096 12-26 00:41 public

[iyunv@red-hat-5 ftp]# chmod -R 500 /var/ftp/public/
[iyunv@red-hat-5 ftp]# chmod -R 700 /var/ftp/personal/
[iyunv@red-hat-5 ftp]# ll
总计 12
drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal
drwxr-xr-x 2 root         root         4096 12-25 09:12 pub
dr-x------ 2 ftp_public   ftp_public   4096 12-26 00:41 public


4.建立配置文件

设置多个虚拟帐号的不同权限，若使用一个配置文件无法实现此功能，需要为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置。（1）修改vsftpd.conf主配置文件

配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段，定义虚拟帐号的配置文件目录,并

anonymous_enable=NO（修改配置）      
禁用匿名用户登录
write_enable=YES （默认开启）         
允许使用任何可以修改文件系统的FTP的指令
local_enable=YES  （默认开启）         
启用本地用户登录设置
chroot_local_enable=YES （自建配置）   
将所有本地用户限制在家目录中
pam_service_name=vsftpd：（默认开启）   
配置vsftpd使用的PAM模块为vsftpd
user_config_dir=/etc/vsftpd/ vsftpd_login：（自建配置）
设置虚拟帐号的主目录为/vsftpd_login
max_clients=300：（自建配置）              
设置FTP服务器最大接入客户端数为300个
max_per_ip=10：  （自建配置）            
设置每个IP地址最大连接数为10个
port_enable=NO  （自建配置）              
取消PORT模式进行数据传输
connect_from_port_20=NO （修改配置）     
PORT模式进行数据传输部使用20端口
pasv_enable=YES   （自建配置）            
允许PASV模式进行数据传输
pasv_min_port=65341 （自建配置）         
PASV模式下数据传输所使用port范围下界
pasv_max_port=65351 （自建配置）         
PASV模式下数据传输所使用port范围上界



注意：主配置文件是虚拟账号共享的配置，所以主配置文件的设置对于虚拟账号是生效的



提示：每行的值都不要有空格,否则启动时会出现错误,举个例子,假如我在listen=YES后多了个空格,那我启动时就出现如下错误:500 OOPS: bad bool value in config file for: listen
（2）建立虚拟帐号配置文件


在user_config_dir指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段
[iyunv@red-hat-5 vsftpd]# mkdir /vsftpd_login
[iyunv@red-hat-5 vsftpd]# touch /etc/vsftpd/vsftpd_login/public
[iyunv@red-hat-5 vsftpd]# touch /etc/vsftpd//vsftpd_login/personal

首先建立普通帐号public的配置文件

[iyunv@red-hat-5 vsftpd_login]# echo guest_enable=yes >>public
[iyunv@red-hat-5 vsftpd_login]# echo guest_username=ftp_public >>public
[iyunv@red-hat-5 vsftpd_login]# echo anon_world_readable_only=no >>public
[iyunv@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >>public
[iyunv@red-hat-5 vsftpd_login]# cat public
guest_enable=yes              
开启虚拟帐号登录

guest_username=ftp_public     
设置ftp对应的系统帐号为ftp_public
anon_world_readable_only=no   
允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=50000   
限定传输速率为50KB/s

注意：
vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈，而是在80%~120%之间变化哈~比如设置100KB/s则实际是速度在80KB/s~120KB/s之间变化哈~

接着建立专用帐号的配置文件personal

[iyunv@red-hat-5 vsftpd_login]# echo guest_enable=yes >> personal
[iyunv@red-hat-5 vsftpd_login]# echo guest_username=ftp_personal >> personal
[iyunv@red-hat-5 vsftpd_login]# echo anon_world_readable_only=no >> personal
[iyunv@red-hat-5 vsftpd_login]# echo anon_mkdir_write_enable=yes >> personal
[iyunv@red-hat-5 vsftpd_login]# echo anon_upload_enable=yes >> personal
[iyunv@red-hat-5 vsftpd_login]# echo anon_world_readable_only=no >> personal
[iyunv@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >> personal
[iyunv@red-hat-5 vsftpd_login]# cat personal
guest_enable=yes：           
开启虚拟帐号登录
guest_username=ftp_ personal：
设置ftp对应的系统帐号为ftp_personal
anon_other_write_enable=YES:  
允许匿名账号具有删除.更名权限
anon_mkdir_write_enable=yes：
允许创建文件夹
anon_upload_enable=yes：   
开启匿名帐号的上传功能
anon_world_readable_only=no   
允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=100000：     
限定传输速度为100KB/s

[iyunv@red-hat-5 ~]# service vsftpd restart
关闭vsftpd：                                             [确定]
为vsftpd启动vsftpd：                                     [确定]

如果还是连不上，建议重新启动一下系统
5.测试权限是否生效


[iyunv@red-hat-5 viong]# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): public
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

ftp> put hong.txt
550 Permission denied
ftp> del viong.txt
550 Permission denied.
ftp> mkdir hong
550 Permission denied.
ftp> mget viong.txt
mget viong.txt?
227 Entering Passive Mode (127,0,0,1,181,255)
150 Opening BINARY mode data connection for viong.txt (0 bytes).
226 File send OK.

通过测试得知public这个用户只支持下载权限，说明设置成功

C:\Users\Administrator>ftp 192.168.184.129
连接到 192.168.184.129。
220 (vsFTPd 2.0.5)
用户(192.168.184.129:(none)): personal
331 Please specify the password.
密码:
230 Login successful.

ftp> mput hong.txt
mput hong.txt?
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 File receive OK.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
hong.txt
viong.txt
226 Directory send OK.
ftp: 收到 99 字节，用时 0.00秒 33.00千字节/秒。

ftp> mkdir viong
257 "/viong" created

ftp> get MAK密钥激活次数查看器.rar
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for MAK密钥激活次数查看器.rar (2000998 bytes).

226 File send OK.
ftp: 收到 2000998 字节，用时 38.71秒 51.69千字节/秒。

ftp> deleteMAK密钥激活次数查看器.rar
250 Delete operation successful.

ftp> rename hong.txt viong.txt
350 Ready for RNTO.
250 Rename successful.


通过测试得知personal这个用户支持上传.下载.删除.更改权限，说明设置成功


关于把上传数据发布到普通虚拟用户家目录下提供下载！

[iyunv@red-hat-5 ~]# cp /var/ftp/personal/* /var/ftp/public/
把上传数据发布到普通虚拟用户家目录下提供下载
[root@red-hat-5 ~]# chown -R ftp_public.ftp_public /var/ftp/public/  
更改public目录的所有者和属组为ftp_public，这样public用户才能下载


还有一种方法就是在personal配置文件加入以下两个参数

chown_uploads=YES 激活匿名用户所上传文件的修改所有权
chown_username=root 拥有匿名用户上传文件所有权的用户


然后就可以直接拷贝文件到public目录下