请关注本头条号,每天坚持更新原创干货技术文章。
如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习
1. 前言
本文主要是讲解与演示如何在Linux上配置vsftp 虚拟多用户。虚拟用户不能是系统用户,也不可能用于登录系统,只能用于ftp用户验证,所以对操作系统本身并无安全威胁问题。
2. 安装vsftpd
[root@zcwyou ~]# yum -y install vsftpd
安装vsftpd
3. 设置与vsftp相关的SElinux策略
设置ftp用户拥有所有权限
[root@zcwyou ~]# setsebool -P allow_ftpd_full_access=1
[root@zcwyou ~]# setsebool -P allow_ftpd_anon_write=1
4. 设置防火墙
4.1 CentOS 6防火墙设置
允许20、21端口通过防火墙
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
设置ftp被动模式的端口范围
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 9000:9045 -j ACCEPT
保存防火墙配置:
[root@zcwyou ~]# service iptables save
4.2 CentOS 7防火墙设置
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
4.3 CentOS 6 设置开机自启动服务
[root@zcwyou ~]# chkconfig vsftpd on
4.4 CentOS 7 设置开机自启动服务
[root@zcwyou ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
5. 配置vsftp虚拟用户
所谓虚拟用户就是没有使用真实的帐户,只是通过映射到真实帐户和设置权限的目的。虚拟用户不能登录CentOS系统。
修改配置文件
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
配置vsftp虚拟用户
配置以下内容:
设定不允许匿名访问,即使用账号密码登录
anonymous_enable=NO
设定本地用户可以访问。注:如使用虚拟宿主用户,在该项目设定为NO的情况下所有虚拟用户将无法访问
local_enable=YES
write_enable=YES
允许匿名用户和虚拟用户写文件和目录
anon_upload_enable=YES
anon_mkdir_write_enable=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
指定PAM认证文件名
pam_service_name=vsftpd
以下这些是关于vsftpd虚拟用户支持的重要配置项,默认vsftpd.conf中不包含这些设定项目,需要自己手动添加
设定启用虚拟用户功能
userlist_enable=YES
guest_enable=YES
指定虚拟用户的宿主用户,CentOS中已经有内置的ftp用户了
guest_username=ftp
设定虚拟用户个人vsftp的CentOS FTP服务文件存放路径。
user_config_dir=/etc/vsftpd/vuser_conf
创建chroot用户名单:
[root@zcwyou ~]# vi /etc/vsftpd/chroot_list
把虚拟用户写入这个文件,一行一个用户
test
6. 安装Berkeley DB工具
安装db4和db4-utils工具需要先安装epel仓库。用于建立用户数据库信息
[root@zcwyou ~]# yum install epel-release -y
[root@zcwyou ~]# yum install db4 db4-utils -y
安装Berkeley DB工具
7. 创建用户密码文本
创建文件/etc/vsftpd/vuser_passwd.txt ,注意奇行是用户名,偶行是密码
[root@zcwyou ~]# vi /etc/vsftpd/vuser_passwd.txt
例如,建立test账号,密码为123456,输入以下内容
test
123456
8. 生成虚拟用户认证的数据库文件
[root@zcwyou ~]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
9. 修改pam认证参数
随后,编辑认证文件/etc/pam.d/vsftpd,全部注释掉原来语句,再增加以下两句:
[root@zcwyou ~]# vi /etc/pam.d/vsftpd
不需要添加db后缀名
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
10. 创建虚拟用户配置文件
最后,创建虚拟用户配置文件,文件名等于vuser_passwd.txt里面的账户名,否则下面设置无效
[root@zcwyou ~]# mkdir /etc/vsftpd/vuser_conf/
[root@zcwyou ~]# vi /etc/vsftpd/vuser_conf/test
内容如下:
虚拟用户根目录,根据实际情况修改
local_root=/data/ftp/test
可写权限及文件掩码
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=NO
创建test用户根目录及设置权限
[root@zcwyou ~]# mkdir -p /data/ftp/test/test_data
[root@zcwyou ~]# chmod -R 755 /data/
[root@zcwyou ~]# chmod 555 /data/ftp/test/
[root@zcwyou ~]# chown -R ftp:ftp /data/
最新的vsftpd要求对主目录不能有写的权限所以data为755,主目录下面的子目录再设置755权限或者你想要的权限。这样,test用户就可以对/data/ftp/test/test_data这个目录进行读写操作了。
11. 配置vsftp PASV模式(可选)
vsftpd默认没有开启PASV模式,现在FTP只能通过PORT模式连接,要开启PASV默认需要通过下面的配置
打开/etc/vsftpd/vsftpd.conf,在末尾添加
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
开启PASV模式
pasv_enable=YES
最小端口号
pasv_min_port=40000
最大端口号
pasv_max_port=40080
pasv_promiscuous=YES
配置vsftp PASV模式
在防火墙配置内开启40000到40080端口
CentOS 6防火墙设置:
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 4000:40080 -j ACCEPT
CentOS 6重启防火墙:
[root@zcwyou ~]# service iptables save
[root@zcwyou ~]# service iptables restart
CentOS 7防火墙设置:
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
CentOS 6重启vsftpd:
[root@zcwyou ~]# service vsftpd restart
CentOS 7重启vsftpd:
[root@zcwyou ~]# systemctl restart vsftpd
12. 总结
vsftp是一个使用率非常高的服务,运维人员必须要熟悉配置和使用。
本文已同步至博客站,尊重原创,转载时请在正文中附带以下链接:
https://www.linuxrumen.com/rmxx/757.html
点击了解更多,快速查看更多的技术文章列表。