企业环境
公司为了能够方便和合作伙伴沟通最新的产品信息,计划搭建FTP服务器,给合作伙伴提供相关文档的下载。内部管理员对FTP服务器共享目录有上传、下载、删除和修改产品信息的权限。公司的合作伙伴能够使用FTP服务器进行上传和下载,但不可以删除数据。并且保证服务器的稳定性,进行适当优化设置~
需求分析
根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。考虑到服务器的安全性,关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。同时为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。
解决方案
首先用vi打开/etc/vsftpd/vsftpd.conf 这个配置文件,进入编辑模式,将anonymous_enable=YES 的YES改为NO(不让匿名用户访问ftp服务器)
1、建立虚拟用户文件
vi /etc/vsftpd/vsftpd_virtualuser.txt admin #内部管理员账号 desheng_ADMINuser.com #内部管理员账号密码 vip #合作伙伴账号 desheng@VIPuser.cn #合作伙伴账号密码 |
2、生成虚拟用户数据库
要生成用户数据库,需要用到db_load命令,可以用rpm -qa | grep db4命令来查看是否有安装。
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db |
3、配置PAM文件
若要服务器能够使用数据库文件,对客户端进行身份验证,就必须要修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd。用vi打开这个文件有如下内容:
%PAM-1.0
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so
|
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so #auth include system-auth #account include system-auth #session include system-auth #session required pam_loginuid.so
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser |
useradd -d /data/share -s /sbin/nologin ftpadmin useradd -d /data/share -s /sbin/nologin ftpvip |
为2个虚拟账号创建密码,必须要和vsftpd_virtualuser文件里面的密码相同。
passwd ftpadmin #密码 desheng_ADMINuser.com passwd ftpvip #密码 desheng@VIPuser.cn |
pam_service_name=vsftpd |
若使用一个配置文件无法实现此功能,需要为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置。 为了方便管理,在/etc/vsftpd下创建一个存放虚拟用户配置文件的文件夹virtualuser_config,然后进入这个文件夹创建admin和vip配置文件。
mkdir virtualuser_config cd virtualuser_config touch admin touch vip |
#开启虚拟用户登录
guest_enable=YES
#设置admin对应的系统用户ftpadmin
guest_username=ftpadmin
#允许在文件系统写入数据的权限
write_enable=YES
#允许用户浏览整个服务器的文件系统(允许下载)
anon_world_readable_only=NO
#允许用户创建文件夹
anon_mkdir_write_enable=YES
#允许用户修改、删除数据的权限
anon_other_write_enable=YES
#开启用户上传功能
anon_upload_enable=YES
#限定传输速率为120KB/s anon_max_rate=120000 |
#开启虚拟用户登录
guest_enable=YES
#设置vip对应的系统用户ftpvip
guest_username=ftpvip
#允许用户浏览整个服务器的文件系统(允许下载)
anon_world_readable_only=NO
#开启用户上传功能
anon_upload_enable=YES
#限定传输速率为50KB/s
anon_max_rate=50000 |
我们首先来看一下passwd文件的最后两行的内容:
cat /etc/passwd
ftpadmin:x:500:500::/data/share:/sbin/nologin ftpvip:x:501:501::/data/share:/sbin/nologin |
现在我做如下的修改
把ftpvip的uid和gid都改为了ftpadmin的uid和gid,这就相当于ftpadmin这个用户有一个别名了,而且这个别名可以有它自己独立的权限(即只能下载、上传),如果不修改的话ftpvip用户就没有权限访问这个文件夹了。
ftpadmin:x:500:500::/data/share:/sbin/nologin ftpvip:x:500:500::/data/share:/sbin/nologin |
为了能让用户看见/data/share文件夹里面的内容,需要修改一下这个目录的权限。
chmod o+r /data/share |