Linux vsftpd配置(含匿名帐户本地用户虚拟用户).docx

Linux vsftpd配置Linux下的ftp最常用的一種是vsftp(very security ftp)，服務名稱叫做vsftpd，檢查vsftpd是否已安裝：rpm qa | grep vsftpd，如果未安裝通過rpm ivh vsftpd*或yum y install vsftpd(已製作yum)來進行安裝，service vsftpd stop/start/restart/status開啟停止等操作，chkconfig vsftpd on/off或ntsysv命令打開圖形界面來管理該服務是否開機啟動。Vsftp的配置文檔存放于/etc/vsftpd/vsftpd.conf，它支持兩種登錄方式，一種是匿名登錄，另一種是認證登錄，其中認證登錄又分為本地帳戶認證和虛擬帳戶認證。剛開始學習vsftpd的配置時建議備份一份默認的配置：cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak。一 匿名登錄該方式只要安裝好了vsftpd默認就可直接使用，登錄映射到的目錄是/var/ftp/，里面只有一個pub文件夾，pub只有只讀權限，改不了的，但可以在/var/ftp目錄下新建其它的文件夾則是可以通過修改/etc/vsftpd/vsftpd.conf來設定相關權限的。二 本地帳戶登錄該類帳戶是Linux系統本地帳戶，只要你有Linux帳號那么就可以登錄到FTP。但有一點需要注意，該類帳號默認登錄到的ftp目錄是本地帳戶的家目錄。所以可以通過useradd s account_name /sbin/nologin來創建無法登錄到Linux系統的帳戶來做ftp帳戶，但是要確保該帳號的家目錄被創建了哦，不然是會登錄不了的。1. 新建ftp1帳號，密碼123456，家目錄/var/ftp1。useradd ftp1 -d /var/ftp1 -s /sbin/nologin 創建ftp1帳號passwd ftp1 修改ftp1的密碼 2. 將/etc/vsftpd/vsftpd.conf配置文件修改為如下內容，#注釋被刪除了。anonymous_enable=YES /允許匿名登錄local_enable=YES /允許本地帳戶登錄write_enable=YES /是否允許寫入local_umask=022 /默認權限anon_upload_enable=YES /是否允許匿名上傳anon_mkdir_write_enable=YES /是否允許匿名用戶創建目錄dirmessage_enable=YES xferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESftpd_banner=Welcome to blah FTP service. /登錄FTP的歡迎提示chroot_list_enable=YES /是否限定可登錄用戶chroot_list_file=/etc/vsftpd/chroot_list /被限定的可登錄的用戶清單listen=YESpam_service_name=vsftpduserlist_enable=YES /登錄黑名單是否開啟，/etc/ftpusers，/etc/user_list兩個文檔的帳號一致，清單里的帳號是不能登錄FTP的。tcp_wrappers=YESservice vsftpd restart重啟vsftpd服務3創建限定可登錄名單,只有名單中的帳戶可登錄。 Vi /etc/chroot_list ftp14現在就可以直接登錄，但是以匿名登錄的，點右鍵選擇login as，輸入ftp1及其密碼登錄。如果出現無法登錄的問題，首先檢查下目錄權限問題，不僅是FTP家目錄，其上層，上上層一直到根的層次權限都要正確，例如ftp家目錄上上層權限是drwx- root root那么你仍然是無法進入家目錄里面的，因為進入目錄是一層層進入的，所以所有上層目錄權限都要有。三 虛擬帳戶：該類帳戶是最好的，可先在本機創建一個本地帳戶，將針對本地帳戶創建多個FTP虛擬帳戶，每個虛擬帳戶則是一個FTP帳號，每個帳號可以設置權限。下面舉例說明！1. 確保安裝軟件包rootfihser-v49 # rpm -qa | grep db4db4-4.3.29-10.el5db4-utils-4.3.29-10.el5db4-devel-4.3.29-10.el52. 創建登錄的虛擬帳戶vi /u2/ftp/loginuser.txt 奇數行是帳戶名，偶數行是密碼ftpadmin123456ftpuser123456ftpguest1234563. 生成數據庫文件db_load -T -t hash -f /u2/ftp/loginuser.txt /etc/vsftpd/vsftpd_login.dbchmod 600 /etc/vsftpd/vsftpd_login.db4. 配置PAM文件vi /etc/pam.d/vsftpd.vu 內容如下：auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_loginaccount required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login5. 為虛擬用戶創建映射的本地帳戶useradd ftpvirtual -d /u2/ftp/ftpvirtual -s /bin/falsechown ftpvirtual.ftpvirtual /u2/ftp/ftpvirtual6. 配置vsftp.conf文件anonymous_enable=NOlocal_enable=YESwrite_enable=YESdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=YESlocal_umask=022userlist_enable=YESchroot_local_user=YEStcp_wrappers=YESguest_enable=YESguest_username=ftpvirtualpam_service_name=vsftpd.vuuser_config_dir=/etc/vsftpd/vsftpd_user_confvirtual_use_local_privs=YESpasv_min_port=50000pasv_max_port=60000pasv_enable=yesmax_clients=200max_per_ip=4idle_session_timeout=600ftpd_banner=Welcome to opendoc FTP service.7. 製作虛擬用戶權限配置文件mkdir /etc/vsftpd/vsftpd_user_conf# vi /etc/vsftpd/vsftpd_user_conf/ftpadmin 所有权限write_enable=YESanonymous_enable=NOanon_world_readable_only=NOanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESdownload_enable=Yeslocal_root=/u2/ftp/ftpvirtual# vi /etc/vsftpd/vsftpd_user_conf/ftpuser 上传权限write_enable=YESanon_world_readable_only=NOanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESdownload_enable=NOlocal_root=/u2/ftp/ftpvirtual# vi /etc/vsftpd/vsftpd_user_conf/ftp 只能下载write_enable=NOanon_world_readable_only=NOanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOdownload_enable=yeslocal_root=/u2/ftp/ftpvirtual8. 測試連接rootfihser-v49 # ftp -n localhostConnected to FIHSER-V49.220 Welcome to blah FTP service.530 Please login with USER and PASS.530 Please login with USER and PASS.KERBEROS_V4 rejected as an authentication typeftp use ftpadmin331 ease specify the password.Password:230 Login successful.ftp四 多類型用戶并存配置上面分別舉例一一演示了匿名，本地帳戶，虛擬帳戶的配置，但無法實現虛擬用戶和本地用戶同時可用，下面通過實例配置匿名，本地，虛擬用戶並在的配置。需求描述：本地帳號virtual映射3虚拟用户fileadmin、ituser、itadmin，和一个本地用户sysadmin开放匿名访问，任何用户可以从/var/ftp/file/目录下载资料虛擬用户fileadmin可以对/var/ftp/file/目录进行管理虛擬用户ituser可以从/var/ftp/it/目录下载资料虛擬用户itadmin可以对/var/ftp/it/目录进行管理本地用户sysadmin可以对/var/ftp/sysadmin/目录进行管理所有上传的文件均去除非属主位的写（w）权限服务器中没有明确授权的其他目录均禁止以上用户访问密碼全部統一為1234561. 建立FTP目錄mkdir /var/ftp/filemkdir /var/ftp/itmkdir /var/ftp/sysadmin 2. 創建虛擬用戶并生成數據庫文件vi /etc/vsftpd/vusers.list /奇數行是虛擬用戶名，偶數行是密碼fileadmin123456ituser123456itadmin123456使用工具db_load将列表文件转化为DB数据库文件，-f选项用于指定用户名/密码列表文件，-T选项允许非Berkeley DB的应用程序从文本格式转化的DB数据文件，-t hash选项指定读取数据文件的基本方法。rootfihser-v49 vsftpd#cd /etc/vsftpd/rootfihser-v49 vsftpd# db_load -T -t hash -f vusers.list vusers.db使用命令file查看文件类型，类型为Berkeley DB格式的数据库文件rootfihser-v49 vsftpd# file vusers.dbvusers.db: Berkeley DB (Hash, version 8, native byte-order)rootfihser-v49 vsftpd# chmod 600 /etc/vsftpd/vusers.* /修改用戶文件權限3. 建立本地帳號rootfihser-v49 vsftpd# useradd -s /sbin/nologin virtual /虛擬用戶映射的本地帳號，該帳號必須有一個家目錄，否則虛擬用戶無法登錄rootfihser-v49 # useradd sysadminrootfihser-v49 # passwd sysadmin4. 建立PAM認證文件/etc/pam.d/vsftpd为本地用户的验证文件，如果创建其他文件如vsftpd.vu表示虚拟用户的認證文件，如果说将虚拟用户的配置写入本地用户的验证文件，就可以实現本地用户和虚拟同时登录ftp了。rootfihser-v49 # cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak /做個備份以防不測rootfihser-v49 # vi /etc/pam.d/vsftpd /使其內容如下#%PAM-1.0auth sufficient pam_userdb.so db=/etc/vsftpd/vusersaccount sufficient pam_userdb.so db=/etc/vsftpd/vuserssession optional pam_keyinit.so force revokeauth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedauth required pam_shells.soauth include system-authaccount include system-authsession include system-authsession required pam_loginuid.so参数說明auth 是authentication(认证)的缩写，account(账户) required(必须) sufficient (足够的) PAM配置文件，主要用为程序提供用户认证控制，需要.pam_userdb.so文件，vusers表示建立的用户数据库文件，后缀名.db可以不写。注意这2行必须写在第一行，因为系统读取是从上往下看的。Sufficient也表示为递归，最上2行表示虚拟用户配置文件，下面的都是本地用户配置文件。当上面查找不到时，查找下面的。表示可以同时登录虚拟用户和本地用户。如果为required，则只能登录虚拟用户。5. 配置vsftpd.conf文件rootfihser-v49 # vi /etc/vsftpd/vsftpd.confanonymous_enable=YESanon_umask=022 /實現沒有明確授權禁止非owner的W權限local_enable=YESwrite_enable=YESlocal_umask=022local_root=/var/ftp/ftprootchroot_local_user=YES /實現禁止以上用戶訪問其它目錄，禁錮ftp的宿主目錄即可dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESftpd_banner=Welcome to blah FTP service.listen=YESpam_service_name=vsftpduser_config_dir=/etc/vsftpd/vusers_dir /指定用戶配置文件目錄userlist_enable=YEStcp_wrappers=YES这里千万不要添加guest_enable=yes，guest_username=virtual，否则本地用户无法写入文件，就算权限足够也不行，只能登陆访问。6. 設置用戶配置文件rootfihser-v49 # mkdir /etc/vsftpd/vusers_dir /創建用戶配置文件目錄rootfihser-v49 # cd /etc/vsftpd/vusers_dir/rootfihser-v49 vusers_dir# vi fileadmin /設置