vsftpd虚拟用户访问权限控制小结

已于 2023-07-13 10:47:32 修改
阅读量2.3k 收藏 7
点赞数
分类专栏: Linux基础 文章标签: 服务器 linux 网络
于 2020-04-22 22:43:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boob_boy/article/details/105667416
版权

一、简述
1.ftp:file transfer protocol,文件传输协议
2.两类连接
命令连接:传输命令
数据连接:传输数据
3.两种模式
主动模式:port
server:20/tcp连接客户端的命令连接使用的端口向后第一个可用的端口
被动模式:PASV
server:打开一个随机端口,并等待客户端连接。
4.pam:认证框架,库,高度模块化
5.vsftpd:
url:ftp://username:password@host:port/path/to/file
路径映射:每个用户的url映射到当前用户的家目录
vsftpd以ftp用户的身份运行进程,默认用户即为ftp用户,匿名用户的默认路径及FTP用户的家目录/var/ftp.
ftp,anonymous
注意:一个用户通过文件共享服务访问文件系统上的文件的生效权限为此二者的交集,例:FTP用户的权限为文件/目录权限和配置参数交集。
6.ftp协议是明文,不安全。抓取网络包可从报文中读取用户数据
二、程序环境
1.主程序:/usr/sbin/vsftpd
2.主配置文件:/etc/vsftpd/vsftpd.conf
3.数据根目录:/var/ftp
4.Systemd unit File:/usr/lib/systemd/system/vsftpd.service
三、配置vsftpd
1.用户类别
匿名用户:anonymous --ftp, /var/ftp
系统用户:至少禁止系统用户访问ftp服务,/etc/vsftpd/ftpusers中文件默认被禁止访问ftp服务, PAM(/etc/pam.d/vsftpd)设置
虚拟用户:非系统用户,用户账号不能登录操作系统的用户账号(非/etc/passwd中用户);
注意:用户通过vsftpd服务访问到的默认路径,是用户的家目录;默认可以自己有权限访问所有路径间切换;禁锢用户于家目录中
2.配置文件
/etc/vsftpd/vsftpd.conf
directive=value
注意:directive之前不能有多余字符,包括空格,要顶行第一个字符写起,“=”两侧不能有空格。
(1)匿名用户:
anonymous_enable=YES 启用匿名用户(默认)
anon_upload_enable=YES 启用匿名用户上传权限
anon_mkdir_write_enable=YES 启用匿名用户创建文件/目录权限
anon_other_write_enable=YES 启用匿名用户重命名,删除权限
anon_umask=077 匿名用户文件默认掩码(上次的文件权限为700,即去掉组和其它的所有权限)
(2)系统用户:
local_enable=YES 启用本地用户(默认)
write_enable=YES 启用写权限(默认,包括上传,创建,删除,下载,重命名)
local_umask=022(默认上传文件权限644,控制上传文件权限)
辅助配置文件/etc/vsftpd/ftpusers:
列在此文件中的用户,均禁止使用ftp服务;
chroot_local_user=yes
禁锢所有本地用户于其家目录:需要事先去掉用户对家目录的写权限, 否则登录失败

组合使用,禁锢列表中用户于家目录
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list	
	禁锢列表文件chroot_list中存在的用户于其家目录中:需要事先去除对家目录的写权限
传输日志:
	xferlog_enable=YES
	xferlog_file=/var/log/xferlog
	xferlog_std_format=YES
控制可登录vsftpd服务的用户列表:组合使用
	userlist_enable=YES 启用/etc/vsftpd/user_list文件来控制可登录ftp服务用户
	userlist_deny=YES|NO
		YES:黑名单,不能登录
		NO:白名单,能登录
上传下载速率
	anon_max_rate=0 无限制
	local_max_rate=0 无限制
并发连接数限制:
	max_clients=2000 客户端最大并发2K
	max_per_ip=50 单IP最大启用连接50个
	(3)虚拟用户
			a.用户账号存在哪里?文件、MySQL、redis等
			b.vsftpd:认证功能托管给pam:
				基于何种存储服务实现存储用户信息,以及对存储服务的驱动靠pam实现
			c.pam_mysql
				#yum install mariadb-devel pam-devel
			d.使用pam_mysql-0.7RC1.tar.gz手动编译,包见附件
				#./configure  --with-pam=/usr --with-mysql=/usr --with-pam-mods-dir=/usr/lib64/security
				#make && make install
			e.创建数据库、授权用户、创建账号密码
				/etc/pam.d/vsftpd.vusers配置文件,用pam+mysql存储用户认证
				auth required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=vsftpd host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
				account required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=vsftpd host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2 
				MySQL中/etc/my.cnf.d/server.cnf
					[mysqld]
					skip_name_resolve=ON
					innodb_file_per_table=ON
					log_bin=mysql-bin
				登录:	#mysql -uuser -ppasswd -hlocalhost
				授权用户:
				MariaDB [(none)]>GRANT SELECT ON vsftpd.* TO vsftpd@'192.168.100.132' IDENTIFIED BY 'vsftpd'
				f.虚拟用户配置vsftpd,添加或修改以下选项:
					pam_service_name=vsftpd.vuser  /etc/pam.d/vsftpd.vuser认证文件(必选)
					guest_enable=YES  启用虚拟用户(必选)
					guest_username=vuser   虚拟用户映射用户(系统用户)
				g.实现不同用户有不同权限(ftp核心功能,系统用户所有用户权限都一样)
					user_config_dir=/etc/vsftpd/vusers_config/	
				h.虚拟用户的写权限,通过匿名一样的指令进行定义;
					anon_world_readable_only=no  下载
					anon_upload_enable=YES  上传
					anon_mkdir_write_enable=YES   创建
					anon_other_write_enable=YES     删除

四、常见问题统计
1.服务开启,创建用户后不能登录,报500错误
a.开启禁锢了家目录,没有去掉用户家目录写权限
b.防火墙、selinux没有关闭,导致登录失败
c./etc/pam.d/vsftpd.xxx 使用虚拟用户时,pam认证文件配置错误
d.使用虚拟用户时,数据库连接失败
e.账号、密码错误
f./etc/vsftpd/vsftpd.conf配置文件错误
2.创建系统账号
注意:useradd -d /user/local/ningx/html -s /sbin/nologin user
a.手动指定家目录,登录shells类型
b. chown -R user.user /user/local/ningx/html
递归指定给家目录及子目录的用户及组
c.chmod -R 755 /user/local/ningx/html
递归指定家目录及子目录的文件目录权限
3.创建一个ftp用户,想让它禁锢在家目录,不能切换上级目录,不能登录操作系统,并且拥有上传,下载,创建,删除权限
allow_writeable_chroot=YES
chroot_local_user=YES
4.登录报530错误
a.确认账号、密码
b.查看shell类型
在这里插入图片描述

5.查看ftp配置
[root@slave2 ~]# grep [#] /etc/vsftpd/vsftpd.conf
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/xferlog
xferlog_std_format=YES
ftpd_banner=Welcome to blah FTP service.
listen=YES
chroot_local_user=YES
allow_writeable_chroot=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

鸡翅土豆泥
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ftp虚拟用户的权限控制
weixin_36709539的博客
12-03 48
FTP 是File Transfer Protocol(文件传输协议)的英文简称,它工作在OSI模型的第七层,TCP模型的第四层上,即应用层,使用TCP传输而不是UDP,这样FTP客户在和服务器建立连接前就要经过一个被广为熟知的”三次握手”的过程,它带来的意义在于客户与服务器之间的连接是可靠的,而且是面向连接,为数据的传输提供了可靠的保证。只能上传下载,不能删除、创建等-----------------------------------------------done。下面是列也的全部参数,供大家参考!
vsftpd操作——配置虚拟用户登录的详细步骤
owenxiaobai的博客
12-02 5737
配置虚拟用户,使用独立的用户帐号进行登录vsftp
vsftpd虚拟用户设置权限
04-30
vsftpd虚拟用户设置权限
[vsftp服务]——ftp虚拟用户、权限设置等的实验
weixin_30616969的博客
06-28 592
搭建ftp服务器,满足以下要求: 1、允许匿名用户登录服务器并下载文件,下载速度设置为最高2MB/s 2、不允许本地用户登录ftp服务器 3、在服务器添加虚拟用户vuser01、vuser02、vuser03,密码自己设置。其中: (1)vuser01用户的下载速度最高为3MB/s,vuser02为4MB/s,vuser03为5MB...
[Linux]vsftp配置大全---超完整版
最新发布
2301_79009758的博客
05-31 877
这样,xuchen用户可以下载/home/vsftpd里的文件及upload里的文件,而upload用户可以上传和下载/home/vsftpd/upload文件夹的东西,但不能到/home/vsftpd里下载文件,很简单得实现了分用户上传和下载。恩,从这点说,这也是vsftp安全的一个表现----禁止本地用户登陆。可以看出,和前面的用db库来验证没有多大区别,其实就是一个东西,一个用mysql来验证,一个用db库,我个人比较倾向于用db库来验证,在这个环境下,相对于Mysql来说,安全系数更高一点。
(二)vsftpd服务配置多用户多目录权限
liuhm的博客
07-26 6019
应用部公共目录/home/vsftpuser/publish(任何用户可下载,特殊用户可上传下载删除)当挂载目录的时候,如果所被挂载的目录有文件数据,那么挂载完以后原来的数据就看不见了。当解除挂载后又能看到。员工个人独立目录/home/vsftpuser/app/{xxx}(只能当前用户才能上传下载删除)注mount-B是保存在内存中,重启服务器失效,故需要将配置放入/etc/rc.local中。应用部共享目录/home/vsftpuser/share(任何用户可删除可上传可下载)............
【超详细】阿里云CentOS7.9搭建FTP服务器,mysql+vsftpd虚拟用户实现ftp用户拥有不同权限
我爱写代码 我爱写代码 我爱写代码
07-24 2838
1.阿里云CentOS7.9搭建FTP服务器 2.创建ftp服务器管理员:ftpadmin,权限为可创建、删除、修改、下载、上传目录和文件 3.创建ftp服务器用户ftpuser1,权限为仅下载文件、目录 4.创建ftp服务器用户ftpuser2,权限为仅上传文件、目录...
FTP服务使用用户控制、文件访问控制
君逍遥o
06-07 1825
ABC公司有一台服务器,已安装Centos7操作系统。公司将使用FTP做文件服务器协议。为了使用公司匿名FTP服务安全可靠,这次就要进行一下匿名访问对文件权限的控制。同时如果是本地用户,需要测试VSFTPD用户控制
vsftpd虚拟用户
XMYX-0
11-01 535
centos7.x系统上边安装vsftpd,并配置虚拟用户以上是centos上边部署vsftpd 虚拟用户的方法
vsftpd 虚拟用户配置步骤
09-30
虚拟用户配置是 VSFTPD 中的一种高级配置方式,允许管理员创建虚拟用户账户,并为其分配不同的权限和访问控制。下面将详细介绍 VSFTPD 虚拟用户配置步骤。 安装 VSFTPD 和 db4 首先,我们需要安装 VSFTPD 和 db4 ...
vsftpd虚拟用户的配置
08-08
vsftpd虚拟用户的配置
ftp服务器搭建以及用户权限的配置
07-13
ftp服务的搭建以及运用vsftp的方式配置用户权限
vsftpd配置虚拟用户登录的方法
09-14
本篇文章将详细讲解如何配置VSFTPD以支持虚拟用户登录,这种方法可以为用户提供独立的权限控制,提高系统的安全性。 首先,我们需要确保系统已经安装了VSFTPD。在大多数Linux发行版中,可以通过`yum`或`apt-get`来...
centos 6 安装vsftpd与PAM虚拟用户的方法
09-15
在本文中,我们将详细介绍如何在CentOS 6上安装和配置VSFTPD,以及使用PAM虚拟用户的方法。 首先,通过`yum`包管理器安装所需的组件: ``` yum install vsftpd pam pam-* db4 db4-* ``` 这将安装VSFTPD服务、PAM库...
linux篇——CentOS7安装vsftpd3.0.2、用户权限配置
小贰的博客
05-19 1937
linux安装ftp服务,ftp用户权限配置
vsftp权限控制
魔法标记
07-03 1082
当virtual_use_local_privs=YES时,虚拟用户和本地用户有相同的权限; 当virtual_use_local_privs=NO时,虚拟用户和匿名用户有相同的权限,默认是NO。 当virtual_use_local_privs=YES,write_enable=YES时,虚拟用户具有写权限(上传、下载、删除、重命名)。 当virtual_use_local_p
linux怎么设置vsftp用户访问目录权限
weixin_30644369的博客
03-07 518
1.在指定的目录创建文件夹(访问的目录): mkdir picture 2.创建一个用户组(zdhgroup): groupadd zdhgroup 3.创建一个用户并指定路径和组: useradd -d /mnt/zdh/picture -g zdhgroup zdhuser 4.设置用户的密码: passwd zdhuser 5.设置配置文件(指定目录访问,不可用访问其他目录)...
ftp三种用户权限设置
热门推荐
zhangbaoan_abc的博客
09-09 2万+
修改配置文件vsftpd.conf Vi /etc/vsftpd/vsftpd.conf 修改匿名用户为禁止 2在禁止登录名单里删除root vi /etc/vsftpd/user_list vi /etc/vsftpd/ftpuser 然后按dd删除root 在/etc/vsftpd目录下创建一个文件,vuser.List 然后编辑文件 奇数行为用户,偶数行为密...
vsftpd配置虚拟用户访问
06-03
好的,下面是配置vsftpd虚拟用户访问的步骤: 1. 安装vsftpd软件和db-util工具: ``` sudo apt-get update sudo apt-get install vsftpd sudo apt-get install db-util ``` 2. 创建虚拟用户数据库文件并添加用户: ``` sudo mkdir /etc/vsftpd sudo touch /etc/vsftpd/vuser.db sudo db_load -T -t hash -f /etc/vsftpd/vuser.txt /etc/vsftpd/vuser.db ``` 其中,vuser.txt是一个文本文件,用于存储虚拟用户用户名和密码,格式如下: ``` username1 password1 username2 password2 ... ``` 3. 创建PAM认证文件: ``` sudo touch /etc/pam.d/vsftpd.virtual sudo chmod 640 /etc/pam.d/vsftpd.virtual sudo echo "auth required pam_userdb.so db=/etc/vsftpd/vuser" >> /etc/pam.d/vsftpd.virtual sudo echo "account required pam_userdb.so db=/etc/vsftpd/vuser" >> /etc/pam.d/vsftpd.virtual ``` 4. 配置vsftpd: ``` sudo nano /etc/vsftpd.conf ``` 在文件中添加以下内容: ``` listen=YES anonymous_enable=NO local_enable=NO virtual_use_local_privs=YES write_enable=YES local_umask=022 dirmessage_enable=YES use_localtime=YES xferlog_enable=YES connect_from_port_20=YES chroot_local_user=YES secure_chroot_dir=/var/run/vsftpd/empty pam_service_name=vsftpd.virtual guest_enable=YES user_sub_token=$USER local_root=/var/www/$USER hide_ids=YES ``` 5. 重启vsftpd服务: ``` sudo service vsftpd restart ``` 这样就完成了vsftpd虚拟用户访问的配置。您可以使用vuser.txt文件中的虚拟用户名和密码进行测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值