配置Vsftpd下的虚拟用户

VSFTP介绍VSFTP（Very Secure FTP）是一种在Unix/Linux中非常安全且快速稳定的FTP服务器，目前已经被许多大型站点所采用，如ftp.redhat.com,ftp.gnome.org等。在vsftpd服务器中支持3类用户，分别是匿名用户，本地用户，和虚拟账户。用途及区别如下。1）、匿名用户：名为anonymous 或ftp 的FTP 用户，匿名FTP 用户登录后将FTP 服务器中的/var/ftp 作为FTP 根目录。匿名用户通常用于提供公共文件的下载，如架设公共软件下载的FTP 服务器，所有人都可以使用匿名用户进行软件下载。2）、本地用户：账号是系统用户账号（/etc/passwd），使用FTP 本地用户账号登录FTP 服务器后，登录目录为本地用户的宿主目录。本地FTP用户账号通常和Web 服务器一起提供虚拟主机服务，作为网页虚拟主机更新网页的途径。3）、虚拟用户：账号是为了保证FTP 服务器的安全性，由vsftpd 服务器提供的非系统用户账号，相对于FTP的本地用户来说，虚拟用户只是FTP服务器的专有用户，虚拟用户只能访问FTP服务器所提供的资源。虚拟用户FTP 登录后将把指定的目录作为FTP 根目录。虚拟用户与本地用户具有类似的功能，由于虚拟用户账号具有较高的安全性，可以替代本地用户账号使用。下面将介绍在测试环境中vsftpd虚拟用户应用的配置过程，下面介绍两种方式。实现基于DB文件验证的vsftpd虚拟用户 yum install vsftpd
1 创建虚拟用户列表文件,将文本文件转化成特定格式的文本文件,添加虚拟用户口令文件[root@centos vsftpd]#vim /etc/vsftpd/ftpvusers.txtftp1 #用户名123456 #密码ftp2centos2 生成虚拟用户口令认证文件[root@centos vsftpd]# db_load -T -t hash -f ftpvusers.txt vuser.db


chmod 600 vuser.db #为了安全，使密码不可见3 创建操作系统的用户和FTP访问目录useradd -d /var/ftpsite -s /sbin/nologin vuser # 创建ftp访问目录，vuser是系统真是存在用户，以后虚拟用户都映射成vuser，/var/ftpsite自动生成家目录chmod 555 /var/ftpsite/ # 使vuser用户有读写权限，给目录权限


setfacl -d /var/ftpsite #删除权限4 创建pam配置文件


systemctl restart vsftpd4 指定vsftp.conf配置文件vim /etc/vsftpd/vsftpd.conf


systemctl restart vsftpd #重启服务5 配置各自虚拟用户的配置文件mdkir /etc/vsftpd/vusers.d/ # 创建配置文件存放的路径cd /etc/vsftpd/vusers.d/ # 进入此目录创建各用户自已的配置文件


出现错误：500 OOPS: bad bool value in config file for: anon_upload_enable Login failed.421 Service not available, remote server has closed connection解决方法：ftp1的配置文件末尾出现空格 准备ftp2的目录
mkdir -p /app/ftp2/upload #创建子文件chown vuser /app/ftp2/upload #给用户vuser权限


6 测试虚拟用户登录FTP


修改ftp2的权限，使其能够创建文件，进行测试。


注意：实验前关闭防火墙和selinux。基于数据库MYSQL验证vsftpd虚拟用户Centos7和Centos6的不同：
Centos6: epel源里放了pam_mysql模块，可以yum install pam_mysqlCentos7：需要手动编译pam_mysql模块1 实验准备两台虚拟机，一台a主机作为ftp服务器；一台b主机作为mysql数据库服务器。2 安装MySQL①直接yum安装mysql-server（centos 6）或者 mariadb-server（centos 7）centos7：systemctl start mariadb.service # 启动服务systemctl enable mariadb # 设置为开机启动centos6：service mysqld restart # 启动服务chkconfig enable mysqld # 设置为开机启动②b主机数据库配置：1) 创建存储虚拟用户的数据库和连接数据库用户


注：在这里我用这种方法添加的虚拟用户密码都是经过MySQL加密的，加密后的密码pam-mysql不能识别（MySQL和pam-mysql兼容性有些问题），因此本次实验使用明文保存密码。select * from users; #查看用户信息FLUSH PRIVILEGES; #刷新数据库2) 验证b主机数据库配置是否成功




3 a主机 ftp服务器配置vsftpd服务1）安装开发包组和服务包yum install mariadb vsftpd mariadb-devel pam-devel openssl-devel mariadb vsftpd yum groupinstall "Development Tools" 注意：yum安装时，出现You could try using --skip-broken to work around the problem.You could try running: rpm -Va --nofiles --nodigest问题。解决方法：yum remove httpd-toolsyum clean all -->yum update2）编译安装pam_mysql(centos7) 或yum install pam_mysql(centos6)tar xvf pam_mysql-0.7RC1.tar.gz


make && make install #编译安装3）编译MySQL的PAM认证模块vim /etc/pam.d/vsftp.mysql # 为了方便管理并和以前的pam进行区分，我们创建自己的pam认证配置文件


注意：参考README文档，选择正确的加密方式crypt是加密方式，0表示不加密，1表示crypt(3)加密，2表示使用mysql password()函数加密，3表示md5加密，4表示sha1加密auth 表示认证
pam_mysql.so模块是默认的相对路径，是相对/lib64/security/路径而言，也可以写绝对路径；后面为给此模块传递的参数user=vsftpd 为登录mysql的用户passwd=magedu 登录mysql的的密码host=mysqlserver mysql服务器的主机名或ip地址db=vsftpd 指定连接msyql的数据库名称table=users 指定连接数据库中的表名usercolumn=name 当做用户名的字段passwdcolumn=password 当做用户名字段的密码crypt=2 密码的加密方式为mysql password()函数加密account 验证账号密码正常使用required 表示认证要通过4 建立本地映射用户并设置宿主目录权限# 建立虚拟用户映射的系统用户及对应的目录useradd -s /sbin/nologin -d /app/ftpsite ftvuser #创建操作系统账号# 去除ftp根目录的写权限，否者用户登录将受到文件系统权限的限制；chmod 555 /app/ftpsite/mkdir /app/ftpsite/uploadsetfacl –m u:ftvuser:rwx /app/ftpsite/upload #为了使得用户能上传文件，我们以acl方式对相关目录设置权限，方便单个管理5 在MySQL中建立用户口令数据库# 确保/etc/vsftpd.conf中已经启用了以下选项：
vim /etc/vsftpd/vsftpd.confanonymous_enable=YES # 添加用户映射的选项guest_enable=YESguest_username=ftvuser #将普通用户映射ftvuserpam_service_name=vsftp.mysql # 修改下面一项，原系统用户无法登录；而是基于数据验证登录用户user_config_dir=/etc/vsftpd/vusers_config # 创建所需要目录，并为虚拟用户提供配置文件


systemctl start vsftpd #重启服务6 在FTP服务器上配置虚拟用户且具有不同的访问权限# 说明：vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限，每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录，只需要在vsftpd.conf指定其路径及名称即可


# 配置虚拟用户的访问权限虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如果需要让用户user1具有上传文件的权限，可以修改/etc/vsftpd/vusers_config/user1文件。vim /etc/vsftpd/vusers_config/user1 # 在里面添加如下选项并设置为YES即可,只读则设为NOanon_upload_enable=YES #打开匿名上传文件
anon_mkdir_write_enable=YES #打开创建目录的权限anon_other_write_enable=YES #打开删除和重命名的权限7 测试：


vim /etc/vsftpd/vusers_config/user2
anon_upload_enable=YES #打开匿名上传文件local_root=/app/ftpsite2/ # 指定user2的目录；user2用户登录上来访问的目录mkdir /app/ftpsite2/upload # 方便检验chown ftpvuser /app/ftpsite2/upload #可以让子目录有权限，但家目录不能有权限注意：需确保对应的映射用户对于文件系统有写权限


[b]测试虚拟用户登录FTP
[/b][b]1.virtual_use_local_privs参数
[/b]当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。2.建立各个虚拟用户自身的配置文件[root@CentOS7 /]#vi /etc/vsftpd/vsftpd.conf添加：user_config_dir=/etc/vsftpd/vsftpd_user_conf[root@CentOS7 /]#mkdir /etc/vsftpd/vsftpd_user_conf编辑user1的配置文件[root@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user1添加：anon_world_readable_only=NO #开放bobyuan的下载权限（只能下载）。注意这个地方千万不能写成YES，否则user1将不能列出文件和目录。编辑user2的配置文件[root@CentOS7 /]#vi /etc/vsftpd/vsftpd_user_conf/user2添加：write_enable=YES #打开写权限anon_world_readable_only=NO #打开下载权限anon_upload_enable=YES #打开上传权限anon_mkdir_write_enable=YES #打开创建目录的权限anon_other_write_enable=YES #打开删除和重命名的权限