linux vsftpd 虚拟用户权限,(原创)Linux下vsftpd基本配置和虚拟用户设置的安全方法...

最新推荐文章于 2022-12-02 16:50:11 发布
最新推荐文章于 2022-12-02 16:50:11 发布
阅读量320 收藏
点赞数
文章标签: linux vsftpd 虚拟用户权限

PS:很长时间偶习惯用sftp。vsftpd很久没用了,现在还是需要使用,偶把基本的配置和虚拟用户设置方法总结一下,vsftpd的虚拟用户实现方法有很多种,个人认为下面的方法还是最简单的。建议在生产环境用普通用户的SFTP取代FTP,因为SFTP传输是加密的,FTP是明文传输,漏洞多。

一、安装vsftpd及相关组件:

yum -y install vsftpd* pam* db4*

二、修改FTP相关帐户:

1、vsftpd服务的宿主用户

useradd vsftpd -s /sbin/nologin

默认的vsftpd的服务宿主用户是root,但是这不符合安全性的需要。这里建立名字为vsftpd的用户,用他来作为支持vsftpd的服务宿主用户。由于该用户仅用来支持vsftpd服务用,因此没有许可他登陆系统的必要,并设定他为不能登陆系统的用户。

2、vsftpd的虚拟宿主用户

useradd virtual -d /var/www/html/ -s /sbin/nologin

chown -R virtual:virtual /var/www/html/

vsftpd的虚拟用户并不是系统用户,也就是说这些FTP的用户在系统中是不存在的。他们的总体权限其实是集中寄托在一个在系统中的某一个用户身上的,所谓vsftpd的虚拟宿主用户,就是这样一个支持着所有虚拟用户的宿主用户。由于他支撑了FTP的所有虚拟的用户,那么他本身的权限将会影响着这些虚拟的用户,因此,处于安全性的考虑,也要非分注意对该用户的权限的控制,该用户也绝对没有登陆系统的必要,这里也设定他为不能登陆系统的用户。

三、vsftpd.conf基本配置:

vim /etc/vsftpd/vsftpd.conf

# Example config file /etc/vsftpd/vsftpd.conf

#

# The default compiled in settings are fairly paranoid. This sample file

# loosens things up a bit, to make the ftp daemon more usable.

# Please see vsftpd.conf.5 for all compiled in defaults.

#

# READ THIS: This example file is NOT an exhaustive list of vsftpd options.

# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's

# capabilities.

#

# Allow anonymous FTP? (Beware - allowed by default if you comment this out).

anonymous_enable=NO

#

# Uncomment this to allow local users to log in.

local_enable=YES

#

# Uncomment this to enable any form of FTP write command.

write_enable=YES

#

# Default umask for local users is 077. You may wish to change this to 022,

# if your users expect that (022 is used by most other ftpd's)

local_umask=022

#

# Uncomment this to allow the anonymous FTP user to upload files. This only

# has an effect if the above global write enable is activated. Also, you will

# obviously need to create a directory writable by the FTP user.

#anon_upload_enable=YES

#

# Uncomment this if you want the anonymous FTP user to be able to create

# new directories.

#anon_mkdir_write_enable=YES

#

# Activate directory messages - messages given to remote users when they

# go into a certain directory.

dirmessage_enable=YES

#

# The target log file can be vsftpd_log_file or xferlog_file.

# This depends on setting xferlog_std_format parameter

xferlog_enable=YES

#

# Make sure PORT transfer connections originate from port 20 (ftp-data).

connect_from_port_20=YES

#

# If you want, you can arrange for uploaded anonymous files to be owned by

# a different user. Note! Using "root" for uploaded files is not

# recommended!

#chown_uploads=YES

#chown_username=whoever

#

# The name of log file when xferlog_enable=YES and xferlog_std_format=YES

# WARNING - changing this filename affects /etc/logrotate.d/vsftpd.log

#xferlog_file=/var/log/xferlog

#

# Switches between logging into vsftpd_log_file and xferlog_file files.

# NO writes to vsftpd_log_file, YES to xferlog_file

xferlog_std_format=YES

#

# You may change the default value for timing out an idle session.

#idle_session_timeout=600

#

# You may change the default value for timing out a data connection.

#data_connection_timeout=120

#

# It is recommended that you define on your system a unique user which the

# ftp server can use as a totally isolated and unprivileged user.

#nopriv_user=ftpsecure

#

# Enable this and the server will recognise asynchronous ABOR requests. Not

# recommended for security (the code is non-trivial). Not enabling it,

# however, may confuse older FTP clients.

#async_abor_enable=YES

#

# By default the server will pretend to allow ASCII mode but in fact ignore

# the request. Turn on the below options to have the server actually do ASCII

# mangling on files when in ASCII mode.

# Beware that on some FTP servers, ASCII support allows a denial of service

# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd

# predicted this attack and has always been safe, reporting the size of the

# raw file.

# ASCII mangling is a horrible feature of the protocol.

#ascii_upload_enable=YES

#ascii_download_enable=YES

#

# You may fully customise the login banner string:

#ftpd_banner=Welcome to blah FTP service.

#

# You may specify a file of disallowed anonymous e-mail addresses. Apparently

# useful for combatting certain DoS attacks.

#deny_email_enable=YES

# (default follows)

#banned_email_file=/etc/vsftpd/banned_emails

#

# You may specify an explicit list of local users to chroot() to their home

# directory. If chroot_local_user is YES, then this list becomes a list of

# users to NOT chroot().

#chroot_list_enable=YES

# (default follows)

#chroot_list_file=/etc/vsftpd/chroot_list

#

# You may activate the "-R" option to the builtin ls. This is disabled by

# default to avoid remote users being able to cause excessive I/O on large

# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume

# the presence of the "-R" option, so there is a strong case for enabling it.

#ls_recurse_enable=YES

#

# When "listen" directive is enabled, vsftpd runs in standalone mode and

# listens on IPv4 sockets. This directive cannot be used in conjunction

# with the listen_ipv6 directive.

listen=YES

listen_port=56880

pasv_min_port=30000

pasv_max_port=35000

#

# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6

# sockets, you must run two copies of vsftpd whith two configuration files.

# Make sure, that one of the listen options is commented !!

#listen_ipv6=YES

pam_service_name=vsftpd.vu

#pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

chroot_local_user=YES

guest_enable=YES

guest_username=virtual

virtual_use_local_privs=YES

#reverse_lookup_enable=NO

user_config_dir=/etc/vsftpd/vsftpd_user_conf

四、生成vsftpd虚拟用户数据库文件:

1、建立虚拟用户名单文件:

vim /etc/vsftpd/ftpuser.txt

内容如下:

ftp1

1234

ftp2

5678

格式很简单:“一行用户名,一行密码!”。

2、生成虚拟用户数据文件:

db_load -T -t hash -f /etc/vsftpd/ftpuser.txt /etc/vsftpd/vsftpd_login.db

chmod 600 /etc/vsftpd/vsftpd_login.db

五、配置PAM验证文件:

vim /etc/pam.d/vsftpd.vu

将以下内容加入到文件最前面(在后面加入无效):

32位系统:

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

64位系统:

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

上一步建立的数据库 vsftpd_login 在此处被使用,建立的虚拟用户将采用PAM进行验证,这是通过/etc/vsftpd/vsftpd.conf文件中的语句pam_service_name=vsftpd.vu来启用的。

六、vsftpd虚拟用户的独立配置:

mkdir -p /etc/vsftpd/vsftpd_user_conf

vim /etc/vsftpd/vsftpd_user_conf/jtxm

配置如下:

anon_world_readable_only=NO

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

local_root=/var/www/html/jtxm

七、vsftpd服务器之间的站点对传:

有时候可能需要开启vsftpd服务器之间的站点对传功能,只需在主配置文件 /etc/vsftpd/vsftpd.conf 里加入如下参数即可:

pasv_promiscuous=YES

port_promiscuous=YES

说明:

port_promiscuous=YES|NO

默认值为NO。为YES时,取消PORT安全检查。该检查确保外出的数据只能连接到客户端上。小心打开此选项。

pasv_promiscuous=YES|NO

默认值为NO。为YES时,将关闭PASV模式的安全检查。该检查确保数据连接和控制连接是来自同一个IP地址。小心打开此选项。此选项唯一合理的用法是存在于由安全隧道方案构成的组织中。

由于取消了数据包的安全检查,允许数据流向非客户端,所以站点对传成功。

配置修改完成后,重启vsftpd服务生效:

/etc/init.d/vsftpd restart

总结:以上配置是经过我多次验证的,如果出现问题,请从以下几方面检查:

1、文件权限和文件属主问题;

2、防火墙iptables没开放相关的端口;

3、SELinux导致的权限问题,建议先关闭SELinux再配置ftp,之后再开启到permissive模式。或者运行这条命令:setsebool -P ftp_home_dir=1 。

十八岁的老女人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vsftpd虚拟用户访问权限控制小结
boob_boy的博客
04-22 2319
一、简述 1.ftp:file transfer protocol,文件传输协议 2.两类连接 命令连接:传输命令 数据连接:传输数据 3.两种模式 主动模式:port server:20/tcp连接客户端的命令连接使用的端口向后第一个可用的端口 被动模式:PASV server:打开一个随机端口,并等待客户端连接。 4.pam:认证框架,库,高度模块化 5.vsftpd: url:ftp://u...
linux7.3 root用户ftp,CentOS7 添加FTP用户设置权限
weixin_34911236的博客
04-29 347
step 1安装配置Vsftp服务器一、配置防火墙,开启FTP服务器需要的端口CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。1、关闭firewall:systemctl stop firewalld.service#停止firewallsystemctl disable firewalld.service#禁止firewall开机启动2、安装ipta...
centos7下配置ftp服务器,各种登录异常排查
andy_521521的博客
06-27 1万+
第一步,安装vsftpd这款ftp服务器软件,yum install -y vsftpd 第二步,设置vsftpd服务开机自启动,然后重启服务,查看ftp服务端口,centos6命令如下: #chkconfig vsftpd on #service vsftpd restart #netstat -antup|grep ftp centos7命令如图 安装完成后重启vsftpd...
sftp
ChampaignWolf的专栏
04-19 977
sftp是Secure File Transfer Protocol的缩写,安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的其中一部分,是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中,已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件信息传输...
Linux下vsftp基于虚拟用户访问
Beta blog
07-03 2089
//系统 # cat /etc/redhat-release CentOS Linux release 7.3.1611 (Core) # uname -r 3.10.0-514.el7.x86_64 //关闭SELinux # setenforce 0 # sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config /...
linux配置vsftpd虚拟用户.pdf
11-04
Linux环境配置VSFTPD(Very Secure File Transfer Protocol Daemon)服务并设置虚拟用户,是为了实现更安全、可控的FTP(File Transfer Protocol)访问。VSFTPD是一个开源的FTP服务器软件,因其安全性高而受到...
linux配置vsftpd虚拟用户[文].pdf
10-12
总的来说,配置Linux下的VSFTPD虚拟用户涉及到多个步骤,包括设置配置文件、创建账号数据库、建立PAM文件、创建本地用户以及调整权限。这些操作确保了FTP服务的安全性和灵活性,使得管理员可以更有效地管理和控制...
vsftpd配置虚拟用户登录的方法
09-14
本篇文章将详细讲解如何配置VSFTPD以支持虚拟用户登录,这种方法可以为用户提供独立的权限控制,提高系统的安全性。 首先,我们需要确保系统已经安装了VSFTPD。在大多数Linux发行版中,可以通过`yum`或`apt-get`来...
浅析Linuxvsftpd服务配置(匿名,用户虚拟用户
01-11
非常高的安全性需求、带宽限制、良好的可伸缩性、可创建虚拟用户、支持IPv6、速率高 小巧轻快,安全易用。 ftp、sftp、vsftp、vsftpd这四个的区别 ftp 是File Transfer Protocol的缩写,文件传输协
vsftpd 虚拟用户配置步骤
09-30
首先,我们需要安装 VSFTPD 和 db4 软件包,这些软件包是虚拟用户配置所需的基本组件。使用以下命令安装: yum -y install vsftpd* yum -y install db4* 创建虚拟用户口令库文件 下一步,我们需要创建一个包含...
linux vsftp创建虚拟用户
weixin_34343689的博客
09-11 443
前言:  FTP有三种登录方式:匿名登录、本地系统用户登录和虚拟用户登录。  虚拟用户是ftp服务器的专用用户,它的特点是只能访问服务器为其提供的FTP服务,而不能访问系统的其它资源。所以,如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其它资源,可以使用虚拟用户来提高系统的安全性。在VSFTP中,认证这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PA...
Linux sftp添加用户及免密登录设置
不思海的专栏
03-07 2880
sftp用户添加 添加用户组 groupadd sftpgroup 添加用户,并添加到组,禁止登录 useradd -s /sbin/nologin -g sftpgroup sftpuser 设置密码 密码需要输入两次 passwd sftpuser 设置用户home目录的权限 chmod 777 /home/sftpuser 修改配置文件,设定sftp的登录用户组和访问根目录,如果不确定...
linux SFTP用户权限控制
热门推荐
u013282159的博客
07-19 2万+
在向服务器上传文件时,现在我们很多都是拿服务器的登录用户,通过第3方工具(wincp,xftp等)直接上传的,这些用户可以进入服务器的大部分目录,下载拥有可读权限的文件,直接拿用户做sftp还是存在风险的,尤其是向第3方人员或服务提供sftp服时,所以在提供专用的sftp用户有必要做好权限的控制   现在对sftp用户的控制方法,一般就是把访问目录限定在用户加目录下,翻看了一些网上资料和自身实...
linux创建sftp账号及访问权限,并配置免密登录
codercom
12-03 4476
创建用户组sftp # groupadd sftp   创建sftp登录账户user,将user用户设置为/bin/false,这样就不会有登陆shell的权限,只能使用sftp连接 # useradd -s /bin/false -G sftp user   为sftp配置密码 # passwd user   编辑/etc/ssh/sshd_config...
FTP服务-实现vsftpd虚拟用户
weixin_30685029的博客
08-26 86
前几篇介绍了基础,这篇将具体实现几个案例 实现基于文件验证的vsftpd虚拟用户,每个用户独立一个文件夹 1、创建用户数据库文件 vim /etc/vsftpd/vusers.txt qq centos momo centos 备注:文件内容格式为奇数行为用户名,偶数行为密码 2、设置权限与编译此文件 cd /etc/vsftpd/ db_load -T -t hash...
vsftpd操作——配置虚拟用户登录的详细步骤
owenxiaobai的博客
12-02 5726
配置虚拟用户,使用独立的用户帐号进行登录vsftp
vsftp新建用户及目录时遇到的坑
萌兔兔MMQ!!
08-12 1417
我在suse上面安装了vsftp,配置好ftp服务器,然后用java编写一个上传文件的应用,在java程序执行上传之前需要到ftp服务器上面去创建文件夹,如何配置ftp服务器能够让java程序一次创建多级目录?
0.vvsftp中文说明
qq_36468169的博客
12-03 207
vsftp中文说明 anonymous_enable=YES 是否允许匿名ftp,如否则选择NO local_enable=YES 是否允许本地用户登录 local_umask=022 默认的umask码 anon_upload_enable=YES 是否允许匿名ftp用户访问 anon_upload_enable=YES 是否允许匿名上传文件...
VSFTPD全攻略
eonbell
09-19 482
/etc/vsftpd/vsftpd.conf文件详解,分好类,方便大家查找与学习 #################匿名权限控制############### anonymous_enable=YES   #是否启用匿名用户 no_anon_password=YES   #匿名用户login时不询问口令 下面这四个主要语句控制这文件和文件夹的上传、下载、创建、删除和重命名。 ano...
vsftpd虚拟用户
最新发布
08-03
vsftpd虚拟用户是指在vsftpd服务器中创建的一种特殊类型的用户,这些用户并不是系统用户,而是通过配置文件进行管理的。虚拟用户的权限和目录是由服务器配置文件中的设置来确定的。在搭建vsftpd服务器时,可以使用虚拟用户来实现更灵活的用户管理和权限控制。 要创建vsftpd虚拟用户,首先需要修改vsftpd配置文件。在文件/etc/vsftpd.conf中,可以设置以下参数来配置虚拟用户: - guest_enable=YES:开启虚拟用户功能。 - guest_username=virtusers:指定虚拟用户的宿主用户。 - user_config_dir=/etc/vsftpd/vuser_conf:指定虚拟用户配置文件目录。 然后,需要创建虚拟用户配置文件。在目录/etc/vsftpd/vuser_conf/中,可以为每个虚拟用户创建一个单独的配置文件,例如/etc/vsftpd/vuser_conf/vuser1。在这个配置文件中,可以设置虚拟用户的权限和目录等信息。 接下来,需要创建虚拟宿主用户虚拟宿主用户是一个系统用户,用于承载所有虚拟用户的权限。可以使用以下命令创建虚拟宿主用户: ``` useradd -d /data/ftproot virtusers -s /sbin/nologin ``` 其中,-d参数指定虚拟宿主用户的home目录,-s参数指定系统用户登录的shell,使用/sbin/nologin可以增强安全性。 最后,需要创建相关的工作目录和设置权限。可以根据需要创建ftp的工作目录,例如/data/ftproot,然后设置相应的权限。 通过以上步骤,就可以成功创建和配置vsftpd虚拟用户,实现使用虚拟用户登录ftp的功能。请根据实际需求进行相应的配置和调整。[1][2][3]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值