配置vsftpd

----------------------------------------------------------------------------------------------------

vsftpd的配置文件:

用户认证配置文件:/etc/pam.d/vsftpd

服务脚本:/etc/rc.d/init.d/vsftpd

配置文件目录:/etc/vsftpd/

/etc/vsftpd/vsftpd.conf    ###主配置文件

/etc/vsftpd/ftpusers    ###不能访问FTP的用户列表

ftpusers列表内的用户不能访问FTP:这是vsftpd服务在启动后已经决定的,只要在这个列表里面用户都不能访问FTP,没有其它的开关可以控制

/etc/vsftpd/user_list    ###不能访问FTP的用户列表

user_list列表内的用户能否访问FTP,取决于主配置文件vsftpd.conf内定义的两个开关

userlist_enable={YES|NO}

userlist_deny={YES|NO}



匿名用户(映射为ftp用户)共享资源位置:/var/ftp

系统用户通过ftp访问的资源的位置:用户自己的家目录

虚拟用户通过ftp访问的资源的位置:给虚拟用户指定的映射成为的系统用户的家目录



匿名用户的配置:

anonymous_enable=YES


anon_upload_enable=YES    ###是否允许匿名用户上传文件

anon_mkdir_write_enable=YES    ###是否允许匿名用户创建目录

anon_ohter_write_enable=YES    ###是否允许匿名用户删除文件



系统用户的配置:

local_enable=YES


write_enable=YES    ###是否允许本地用户具有写权限

local_umask=022    ###控制本地用户上传文件后的默认权限


禁锢所有的ftp本地用户于其家目录中:

chroot_local_user=YES


禁锢文件中指定的ftp本地用户于其家目录中:

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list



目录消息(可在某个目录下创建.massage文件,填入消息,当用户切换至此目录时会出现提示)

dirmessage_enable=YES



日志:

xferlog_enable=YES    ###是否开启FTP的传输日志

xferlog_std_format=YES    ###传输日志是否使用标准格式

xferlog_file=/var/log/xferlog    ###指定日志文件路径



改变上传文件的属主:

chown_uploads=YES    ###是否改变上传文件的属主

chown_username=whoever    ###指定用户名



vsftpd使用pam完成用户认证,指明其用到的pam配置文件:(/etc/pam.d目录下)

pam_service_name=vsftpd



是否启用控制用户登录的列表文件

userlist_enable=YES

userlist_deny=YES|NO


文件:/etc/vsftpd/user_list


如果userlist_enable=NO,表示无论此表内或表外的本地用户均能登录访问ftp

如果userlist_deny=NO,表示只允许此表内的本地用户登录访问ftp,默认值为YES



超时相关:

idle_session_timeout=600    ###空闲会话的超时时长

data_connection_timeout=120    ###数据连接的超时时长



连接限制:

max_clients   ###最大并发连接数

max_per_ip   ###每个IP可同时发起的并发请求数

 

 

传输速率:

anon_max_rate   ###匿名用户的最大传输速率, 单位是“字节/秒”

local_max_rate   ###本地用户的最大传输速率, 单位是“字节/秒”

 

 

虚拟用户:

所有的虚拟用户会被统一映射为一个指定的系统账号,访问的共享位置即为此系统账号的家目录;

 

各虚拟用户可被赋予不同的访问权限;

通过匿名用户的权限控制参数进行指定;

 

虚拟用户账号的存储方式:

1、文件形式:编辑文件

奇数行为用户名

偶数行为密码

 

此文件需要被编码为hash格式;

 

2、关系型数据库中的表中:

即时查询数据库完成用户认证;

 

mysql库,

pam要依赖于pam_mysql模块,需要额外安装

# yum -y install pam_mysql

 

注意:pam_mysql由epel源提供

 

 

 

vsftpd+pam_mysql+MariaDB

----------------------------------------------------------------------------------------------------

一、在vsftp服务器上,安装pam_mysql,用于支持数据库用户认证

# yum -y install pam_mysql

 

 

二、在MariaDB服务器上,准备数据库及相关表

 

1、创建存储虚拟用户的数据库:

[root@centos7 mysql]# mysql

Welcome to the MariaDB monitor.  Commands end with ; or \g.

Your MariaDB connection id is 4

Server version: 5.5.46-MariaDB-log MariaDB Server

 

Copyright (c) 2000, 2015, Oracle, MariaDB Corporation Ab andothers.

 

Type 'help;' or '\h' for help. Type '\c' to clear the currentinput statement.

 

MariaDB [(none)]> create database vsftpd;    ###创建一个名为vsftpd的数据库

Query OK, 1 row affected (0.00 sec)

 

MariaDB [(none)]> show databases;

+--------------------+

| Database           |

+--------------------+

| information_schema |

| mysql              |

| performance_schema |

| test               |

+--------------------+

 

MariaDB [(none)]> use vsftpd;    ###设定vsftpd为默认库

Database changed

 

 

2、创建用于管理数据库的用户,并授权

MariaDB [vsftpd]> grant select on vsftpd.* tovsftp@'172.16.2.%' identified by 'magelinux';

 

说明:创建用户vsftp,密码为"magelinux",并授权该用户对vsftpd这个数据库远程访问权限

 

MariaDB [vsftpd]> flush privileges;

Query OK, 0 rows affected (0.01 sec)

 

说明:刷新权限

 

 

3、在数据库创建表:

MariaDB [vsftpd]> create table users (

-> id INT UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,

-> name VARCHAR(50) BINARY NOT NULL,

-> password CHAR(48) BINARY NOT NULL );

Query OK, 0 rows affected (0.06 sec)

 

说明:在该数据库中创建名为users的表,建立3个字段:

id(无符号,不能为空,自动增长,把id定义成主键)

name(长度20个字符,区分字符大小写,不能为空)

passwd(长度48个字符,区分字符大小写,不能为空)

 

MariaDB [vsftpd]> show tables from vsftpd;

+------------------+

| Tables_in_vsftpd |

+------------------+

| users            |

+------------------+

1 row in set (0.00 sec)

 

 

MariaDB [vsftpd]> desc users;

+----------+------------------+------+-----+---------+----------------+

| Field    | Type             | Null | Key | Default |Extra          |

+----------+------------------+------+-----+---------+----------------+

| id       | int(10)unsigned | NO   | PRI | NULL    | auto_increment |

| name     |varchar(50)      | NO   |    | NULL    |                |

| password | char(48)        | NO   |     | NULL   |                |

+----------+------------------+------+-----+---------+----------------+

 

 

4、在表中插入用户

MariaDB [vsftpd]> insert into users(name,password)values('user1',password('abc12345'));

MariaDB [vsftpd]> insert into users(name,password)values('user2',password('abc12345'));

 

说明:在users表中插入用户数据,分别为"user1、user2",密码为"abc123,",使用passwod加密

 

MariaDB [vsftpd]> select * from users;

+----+-------+-------------------------------------------+

| id | name  |password                                 |

+----+-------+-------------------------------------------+

|  1 | user1 |*25817BCE9A997710F8A129AF52153A903AB9254F |

|  2 | user2 |*25817BCE9A997710F8A129AF52153A903AB9254F |

+----+-------+-------------------------------------------+

2 rows in set (0.00 sec)

 

 

 

 

三、在vsftpd服务器上连接MariaDB服务器测试:

[root@centos6 ~]# mysql -u vsftp -h 172.16.2.16 -p

Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 7

Server version: 5.5.46-MariaDB-log MariaDB Server

 

Copyright (c) 2000, 2013, Oracle and/or its affiliates. Allrights reserved.

 

Oracle is a registered trademark of Oracle Corporation and/orits

affiliates. Other names may be trademarks of their respective

owners.

 

Type 'help;' or '\h' for help. Type '\c' to clear the currentinput statement.

 

已连接成功!

 

 

四、配置vsftpd

1、建立pam认证所需文件

[root@centos6 ~]# vim /etc/pam.d/vsftpd.mysql

添加如下两行:

authrequired pam_mysql.so user=vsftp passwd=magelinux host=172.16.2.16 db=vsftpdtable=users usercolumn=name passwdcolumn=password crypt=2

accountrequired pam_mysql.so user=vsftp passwd=magelinux host=172.16.2.16 db=vsftpdtable=users usercolumn=name passwdcolumn=password crypt=2

 

2、建立虚拟用户映射的系统用户及对应的目录

[root@centos6 ~]# useradd -s /sbin/nologin -d/var/ftp/ftproot vftpuser

 

修改该目录权限,为了让其他用户能登录后进入该目录并具有读权限

[root@centos6 ~]# chmod go+rx /var/ftp/ftproot

[root@centos6 ~]# ll -d /var/ftp/ftproot

drwxr-xr-x. 3 vftpuser vftpuser 4096 Oct 28 09:51/var/ftp/ftproot

 

 

五、请确保/etc/vsftpd/vsftpd.conf中已经启用了以下选项

anonymous_enable=YES

local_enable=YES

write_enable=YES

anon_upload_enable=NO

anon_mkdir_write_enable=NO

chroot_local_user=YES

 

添加以下选项

guest_enable=YES

guest_username=vftpuser

 

并确保pam_service_name选项的值如下所示

pam_service_name=vsftpd.mysql

 

 

六、重启vsftpd服务,并把vsftpd服务设为开启自启动

[root@centos6 ~]# service vsftpd restart

Shutting down vsftpd:                                      [  OK  ]

Starting vsftpd for vsftpd:                                [  OK  ]

[root@centos6 ~]# chkconfig vsftpd on

 

 

此时,在数据库vsftpd中users表中的用户均能登录访问了

但是,它们被默认映射为匿名账号,因此无法上传数据

     

wKiom1YwVRLiaSW5AAIKpD-E8Rw557.jpg

wKioL1YwVUbR8vM-AAGKbHF5Dgk135.jpg

wKioL1YwVUfRTDGvAAGMIhneTmY806.jpg

 

 

七、为每个用户启用不同的权限

vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可。

 

1、配置vsftpd为虚拟用户使用配置文件目录

编辑主配置文件,添加如下选项:

[root@centos6 ~]# vim /etc/vsftpd/vsftpd.conf

user_config_dir=/etc/vsftpd/vusers_config

 

2、创建所需要目录,并为虚拟用户提供配置文件

[root@centos6 ~]# mkdir /etc/vsftpd/vusers_config/

[root@centos6 ~]# cd /etc/vsftpd/vusers_config/

[root@centos6 vusers_config]# touch user1 user2

 

3、配置虚拟用户的访问权限

虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的

比如,如果需要让tom用户具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/tom文件,在里面添加如下选项即可。

[root@centos6 vusers_config]# vim user1

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

 

 

重启vsftpd服务,重新登录用户验证,此时权限已生效


wKiom1YwVRPDYSIcAAIy570qVdg984.jpg