参考文章地址:Linux下FTP虚拟账号环境部署总结
按照上述文章在配置部署的时候,发现原文有几处不正确的地方,一并在此修改,不同之处使用“*******”线条框起来。
vsftp的用户有三种类型:匿名用户、系统用户、虚拟用户。
1)匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。
2)本地用户登录:使用系统用户登录,在/etc/passwd中。
3)虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户账号可以提供集中管理的FTP根目录,方便了管理员的管理,同时将用于FTP登录的用户名、密码与系统用户账号区别开,进一步增强了FTP服务器的安全性。某种意义上来说,匿名用户也是系统用户,只是系统用户的一个映射。公开的FTP都不会使用系统用户作为FTP帐号,而更多的采用了虚拟用户,这样能保证系统的安全性。使用虚拟用户登录FTP服务器,可以避免使用操作系统帐号作为FTP用户带来的一些安全问题,也便于通过数据库或其它程序来进行管理。虚拟用户的特点是只能访问服务器为其提供的FTP服务,而不能访问系统的其它资源。所以,如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其它资源,可以使用虚拟用户来提高系统的安全性。
在VSFTP中,认证这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PAM)认证。使用这种方式更加安全,并且配置更加灵活。
基本流程:FTP用户访问->PAM配置文件(由vsftpd.conf中pam_service_name指定)->PAM论证->区别用户读取配置文件(由vsftpd.conf中user_config_dir指定配置文件路径,文件名即用户名)
有两种方式建立FTP的虚拟用户,分别是:本地数据文件方式、数据库服务器(MySQL)方式
废话不多说,这里记录下centos6版本下采用本地数据文件方式部署FTP虚拟账号登陆环境的过程及其中遇到的问题:
1)yum安装vsftpd
[root@i-f658wfj6 ~]# yum install -y vsftpd
[root@i-f658wfj6 ~]# yum install -y db4
[root@cms_web vsftpd]# pwd
/etc/vsftpd
2)配置vsftpd(将vsftpd.conf文件备份,然后将配置内容直接粘贴下面内容)
[root@cms_web vsftpd]# cat vsftpd.conf|grep -v "^#"
anonymous_enable=NO //不允许匿名账号访问
local_enable=YES
//本地用户可以访问(采用虚拟账号访问时,这个参数也要开启(虚拟账号要寄宿本地账号),虽然开启但是本地账号是不可以登陆的)
write_enable=YES //可写可上传。这个参数是全局配置,否则上传和下载都会报错550!
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
xferlog_std_format=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to FTP service //登陆FTP时显示的欢迎信息
listen=YES
*****************************************************************************************
*chroot_local_user=YES
//限制所有的本地用户在自家目录,即用户登陆系统后锁定在自家目录。可以配合chroot_list_enable和chroot_list_file使用!
// 注意,原文中该选项配置为NO,其实应该配置为YES较好,然后利用下面的2个参数配置添加例外
*****************************************************************************************
chroot_list_enable=YES //是否启用例外名单
chroot_list_file=/etc/vsftpd/chroot_list
//指定可以离开家目录的用户列表文件,一行一个用户。chroot_local_user=YES时,该名单的用户可以切换到上级目录。
//chroot_local_user=NO时,该名单的用户被锁定在自己的目录,无法切换到上级目录,
//即列表里面的用户登陆ftp后都只能访问其主目录,其他目录都不能访问!
pam_service_name=vsftpd
//指定PAM配置文件,即下面的/etc/pam.d/vsftpd文件要和这里指定的一致,也可以起其他的文件名,与此处的pam_service_name值相同即可。
userlist_enable=YES
tcp_wrappers=YES
virtual_use_local_privs=YES
//这个参数一定要加上,虚拟用户和本地用户有相同的权限;否则ftp连上后不能上传,报错550权限拒绝!
guest_enable=YES //启用虚拟用户
guest_username=nobody //将虚拟用户映射为本地nobody用户(前提是local_enable=YES)
user_config_dir=/etc/vsftpd/vuser_conf //指定不同虚拟用户配置文件的存放路径
connect_from_port_20=YES //通过20端口传输数据
listen_port=2021 //监听的ftp端口
pasv_min_port=40001 //分配给ftp账号的最小端口。被动模式下的配置
pasv_max_port=40100 //分配给ftp账号的最大端口。每个账号分配一个端口,即最大允许100个ftp账号连接。
max_clients=150 //客户端的最大连接数
accept_timeout=5
connect_timeout=1
max_per_ip=5 //每个ip最大连接数
-----------------------------------------------------------------------------------------
温馨提示:
上面的ftp是被动模式下的配置,配置后需要在iptables防火墙开通ftp访问
[root@cms_web vsftpd]# cat /etc/sysconfig/iptables
............
-A INPUT -s 10.68.250.13 -m state --state NEW -m tcp -p tcp --dport 2021 -j ACCEPT
-A INPUT -s 10.68.250.13 -m state --state NEW -m tcp -p tcp --dport 40001:40100 -j ACCEPT
..........
-----------------------------------------------------------------------------------------
设置登陆ftp的虚拟账号文件(格式依次是:第一行是账户名,次行是该账号的密码;即奇数行是账户名,偶数行是对应上一行的账户密码)。
这个虚拟账号是不需要手动创建的,它不是真实存在于系统中的,即/etc/passwd文件里没有的,它是借助于宿主账号nobody。
[root@cms_web vsftpd]# cat vuser_passwd.txt
hqsbcms
hqsbcms_2016@huanqiu.com
生成虚拟用户口令认证的db文件(该文件设定600权限),这是本地数据库文件
[root@cms_web vsftpd]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
[root@cms_web vsftpd]# chmod 600 /etc/vsftpd/vuser_passwd.db
****************************************************************************************
[root@cms_web vsftpd]# cat /etc/vsftpd/chroot_list
hqsbcms
//由于原文对chroot_local_user配置项的理解错误,其实该文件不需要修改
****************************************************************************************
[root@cms_web vsftpd]# mkdir vuser_conf //此目录名是在vsftpd.conf配置中指定的,里面是虚拟用户配置文件(文件名是虚拟用户名)
[root@cms_web vsftpd]# cat vuser_conf/hqsbcms
local_root=/hqsb/ftp //指定虚拟账号登陆后的主目录,目录权限要是宿主账号nobody,这样就可以实现账号映射
write_enable=YES
//写权限
anon_umask=022
anon_world_readable_only=NO //下载权限(当其他四项的YES为NO时,则此账号登陆FTP后只有可读和下载权限了)
anon_upload_enable=YES //上传权限
anon_mkdir_write_enable=YES
//创建目录权限
anon_other_write_enable=YES
//删除和重命名权限
[root@bastion-IDC vsftpd]# ll /lib64/security/pam_userdb.so
-rwxr-xr-x. 1 root root 10280 May 11 2016
/lib64/security/pam_userdb.so
[root@cms_web vsftpd]# cat /etc/pam.d/vsftpd //注释掉文件中原来的内容,添加下面两行内容
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
# 32-bit
#auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
#account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
# 64-bit
*****************************************************************************************
//这个vuser_passwd根据的是vuser_passwd.db
auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
//这里64bit系统,必须用sufficient,否则上面vuser_conf目录下的虚拟主机配置文件无效!
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
*****************************************************************************************
// 实际使用时发现,该配置会导致虚拟账户无法登录,使用32位的语句可以正常登录
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser_passwd
//宿主账号nobody的信息不用做任何修改,shell类型最好是/sbin/nologin,这样可以shell登录操作。
[root@bastion-IDC ~]# cat /etc/passwd|grep nobody
nobody:x:99:99:Nobody:/:/sbin/nologin
//设置虚拟账号hqsbcms指定的主目录的权限为nobody,这样就可以映射到宿主账号nobody
[root@cms_web vsftpd]# chown -R nobody.nobody /hqsb/ftp
[root@cms_web vsftpd]# chmod -R 700 /hqsb/ftp
[root@cms_web vsftpd]# /etc/init.d/vsftpd start
[root@bastion-IDC vsftpd]# ll /hqsb/ftp/
total 4
-rwxrwxrwx. 1 nobody nobody 0 Mar 29 12:53 aaa
drwxrwxrwx. 2 nobody nobody 4096 Mar 29 12:53
test
[root@bastion-IDC vsftpd]# service vsftpd restart
到这一步配置ftp虚拟账户就完成了,可以使用虚拟账户登录ftp。
---------------------------------------------------添加ftp虚拟账户--------------------------------------------------
比如添加账号ops(密码为ops@123),指定目录为/mnt/ops,操作如下:
[root@bastion-IDC vsftpd]# pwd
/etc/vsftpd
[root@bastion-IDC vsftpd]# cat chroot_list
hqsbcms
ops
[root@bastion-IDC vsftpd]# cat vuser_passwd.txt
hqsbcms
hqsbcms_2016@huanqiu.com
ops
ops@123
[root@bastion-IDC vsftpd]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
[root@bastion-IDC vsftpd]# cat vuser_conf/ops
local_root=/mnt/ops/
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@bastion-IDC vsftpd]# chown -R nobody.nobody /mnt/ops
[root@bastion-IDC vsftpd]# chmod -R 777 /mnt/ops
照此操作就可以添加FTP虚拟账号了,每个虚拟账号可以对应一个主目录,并且限定到只能ftp访问该主目录
------------------------------------------------------------
如果想让虚拟账号ops权限为只读以及只能下载(没有上传、删除、重命名、创建文件目录等写权限),那么它的配置修改如下:
[root@bastion-IDC vsftpd]# cat vuser_conf/ops
local_root=/mnt/ops/
write_enable=NO
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
--------------------------------------------------------配置加密ftp------------------------------------------------------------
[root@bastion-IDC ~]# mkdir /etc/vsftpd/sslkey
[root@bastion-IDC ~]# cd /etc/vsftpd/sslkey
[root@bastion-IDC sslkey]# openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem
Generating a 2048 bit RSA private key
.........................................................................................+++
...................................+++
writing new private key to
'vsftpd.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter
'.', the field will be left blank.
-----
// 此处填入你的信息,自己记住即可
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:beijing
Locality Name (eg, city) [Default City]:beijing
Organization Name (eg, company) [Default Company Ltd]:huanqiu
Organizational Unit Name (eg, section) []:technology
Common Name (eg, your name or your server's
hostname) []:huanqiu
Email Address []:wangshibo@huanqiu.cn
[root@bastion-IDC sslkey]# ls
vsftpd.pem
[root@bastion-IDC sslkey]# vim /etc/vsftpd/vsftpd.conf //在文件最底部添加下面几行
ssl_enable=YES
ssl_sslv2=NO
ssl_sslv3=NO
ssl_tlsv1=YES
ssl_ciphers=HIGH
require_ssl_reuse=NO
force_local_logins_ssl=YES
force_local_data_ssl=YES
rsa_cert_file=/etc/vsftpd/sslkey/vsftpd.pem
[root@bastion-IDC sslkey]# /etc/init.d/vsftpd restart