今天着折腾了下vsftp的搭建,遇到一个问题到现在也没有解决。
首先说明:vsftp配置文件参数很多,具体可以查看 man vsftpd.conf ,安装vsftp的时候多看INSTALL等说明文件。
问题:首先/etc/pam.d/ftp内容如下:
- [root@localhost etc]# cat /etc/pam.d/ftp
- #%PAM-1.0
- auth required /lib/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
- auth required /lib/security/pam_unix.so shadow nullok
- auth required /lib/security/pam_shells.so
- account required /lib/security/pam_unix.so
- session required /lib/security/pam_unix.so
/etc/ftpusers中有一用户max,其他配置正确,但是max可以登录ftp,pam策略没有起作用,不知道要让ftpsers中的用户不能登录还要进行什么设置? 先mark一下。## 经过检查,发现是vsftpd没有加载pam模块造成的。但是很奇怪的时候自己手动编译安装vsftpd的时候死活都没有加载pam模块成功,但是用yum安装vsftpd后问题解决。
1. 一些需要注意的参数:
chroot_local_user=YES(NO)
将用户限制在自己的默认目录之中(chroot)。
chroot_list_enable=YES(NO)
是否将某些实体用户限制在他们的默认目录内?默认为NO,不过,如果想要一些用户无法离开他们的默认目录时,可以考虑将这个设置值改为YES,并且将无法离开目录的用户写在vsftpd.chroot_list中。
chroot_list_file=/etc/vsftpd.chroot_list
如果chroot_list_enable=YES,那么就可以设置这个项目了。它里面可以规定哪一个实体用户被限制在自己的默认目录内无法离开(chroot),一行一个帐号。
那么考虑下列情况
目录切换问题:
chroot_local_user=NO
chroot_list_enable=NO
##则:所有的用户都可以切换目录。
chroot_local_user=YES #本地用户都不可以切换目录。
chroot_list_enable=NO
##则:面两个列子可以看出chroot_local_user是个总开关
chroot_local_user=NO
chroot_list_enable=YES
##则:只有vsftpd.chroot_list中的用户才不能切换目录。
用户控制问题:
vsftp中的对系统用户给与的抵挡机制,主要有两个文件,一个是pam模块管理的,一个是vsftpd主动提供的:
/etc/ftpusers: 由/etc/pam.d/ftp文件的设置所影响;
对此文件,相关的配置参数pam_service_name=ftp ## 我做实验时,正常配置了,但是ftpusers中的用户还是能登录?奇怪!难道真的是ftpusers和vsftpd.user_list都要存在?
/etc/vsftpd.user_list: 由vsftpd.conf的userlist_file所设置。
相关的参数为:userlist_enable=YES ##总开关,只有开启了此参数,下一个参数才有用
userlist_deny=YES ##YES时,userlist_file中的用户禁止登录。
这两个文件的内容是一样的,一般来说是禁止,系统中UID小于500的账户。一行一个帐号。
注意:
userlist_enable=YES
userlist_deny=YES
##则:系统用户中,vsftpd.user_list中的用户不能进行登录,会报530 Permission denied.错误。
userlist_enable=YES
userlist_deny=NO
##则:系统用户中,只有vsftp.user_list中列出的用户可以登录。当vsftp.user_list为空时,就可以禁止所有系统用户。
2. 配置用户,可以登录并且上传文件,能下载文件。
- anonymous_enable=NO
- anon_upload_enable=NO
- anon_mkdir_write_enable=YES
- anon_max_rate=30000 #匿名用户的流速
- data_connection_timeout=60
- idle_session_timeout=600 #以上两项是对连接时间的一些设置
- max_clients=50 #最大客户端数目
- max_per_ip=5 # 同一个ip的最大客户端数目
- pasv_min_port=65400
- pasv_max_port=65410
- write_enable=YES
2011年3月1号,今天接着弄vsftpd,折腾了接近了两个小时了,显示快凌晨一点了,可是vsftpd虚拟用户登录问题还是没有解决。初步判定,是vsftpd没有加载pam认证模块造成的。
ldd /usr/local/sbin/vsftpd 有如下输出:
- linux-gate.so.1 => (0x001fe000)
- libwrap.so.0 => /lib/libwrap.so.0 (0x00339000)
- libnsl.so.1 => /lib/libnsl.so.1 (0x00317000)
- libcrypt.so.1 => /lib/libcrypt.so.1 (0x05b15000)
- libdl.so.2 => /lib/libdl.so.2 (0x001ce000)
- libresolv.so.2 => /lib/libresolv.so.2 (0x00384000)
- libutil.so.1 => /lib/libutil.so.1 (0x00786000)
- libcap.so.1 => /lib/libcap.so.1 (0x00311000)
- libc.so.6 => /lib/libc.so.6 (0x00c61000)
可见vsftpd没有加载pam认证模块,真是奇怪。。。。。。。试着将编译的安装的vsftpd删除,然后用yum进行安装后,ldd检查得到一下信息:
- linux-gate.so.1 => (0x00ed0000)
- libssl.so.6 => /lib/libssl.so.6 (0x00224000)
- libwrap.so.0 => /lib/libwrap.so.0 (0x00316000)
- libnsl.so.1 => /lib/libnsl.so.1 (0x007a2000)
- libpam.so.0 => /lib/libpam.so.0 (0x00fd3000) #!!!惊奇,加载成功了。
- libcap.so.1 => /lib/libcap.so.1 (0x00e18000)
- libdl.so.2 => /lib/libdl.so.2 (0x00669000)
- libc.so.6 => /lib/libc.so.6 (0x0031e000)
- libcrypto.so.6 => /lib/libcrypto.so.6 (0x00477000)
- libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00110000)
- libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x00e37000)
- libcom_err.so.2 => /lib/libcom_err.so.2 (0x00ef0000)
- libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x0013e000)
- libresolv.so.2 => /lib/libresolv.so.2 (0x00165000)
- libz.so.1 => /usr/lib/libz.so.1 (0x00c3f000)
- libaudit.so.0 => /lib/libaudit.so.0 (0x00c9c000)
- /lib/ld-linux.so.2 (0x00b4a000)
- libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00179000)
- libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00182000)
- libselinux.so.1 => /lib/libselinux.so.1 (0x009c2000)
- libsepol.so.1 => /lib/libsepol.so.1 (0x00da2000)
这次居然得到正确的加载了pam模块,额?我勒个去。真奇怪,到底怎么回事? 今天晚上还真有点晚了,先睡觉了。明天早上还有课。
2011年3月1日,新的一天,现在晚上8点40,接着昨天的问题。 yum安装后,以前ftpusers用户不能验证的问题得到解决,pam模块的文件得到解决。现在进行虚拟用户测试。
- 116 anon_upload_enable=NO
- 117 anon_mkdir_write_enable=NO
- 118 anon_other_write_enable=NO
- 119 pam_service_name=vsftpd
- 120 userlist_enable=YES
- 121 userlist_deny=YES
- 122 tcp_wrappers=YES #/etc/hosts.allow,/etc/hosts.deny
- 123 guest_enable=YES
- 124 guest_username=vuser
- auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login.db
- account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login.db
- db_load –T –t hash –f login.txt /etc/vsftpd/vsftpd_login.db)
- /etc/pam.d/vsftpd
- #%PAM-1.0
- session optional pam_keyinit.so force revoke
- auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
- #auth required pam_shells.so
- #auth include system-auth
- #account include system-auth
- auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login #虚拟用户登录需要
- account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login #虚拟用户登录需要
- session include system-auth
- session required pam_loginuid.so
- write_enable=YES #增加写权限
- anon_upload_enable=YES #增加上传权限
- anon_mkdir_write_enable=YES #增加创建目录的权限
a.vi /etc/xinetd.d/vsftpd把disable=no还改成yes,不再需要它了!
b.vi /etc/vsftpd.conf在结尾加上listen=YES
c.service xinetd restart
d./usr/local/sbin/vsftpd /etc/vsftpd.conf &
OK!现在vsftp已经是独立启动的服务了!
2.使用非常规的端口(2121)
a.vi /etc/vsftpd.conf
添加listen_port=2121,保存退出
b.killall -9 vsftpd
c./usr/local/sbin/vsftpd /etc/vsftpd.conf &
OK!现在用ftp 127.0.0.1将提示你连接被拒绝了(ftp:connect:Connetion refuesd)!然后ftp 127.0.0.1 2121输入用户名和密码,OK!可以登录!
3.实现不同用户不同权限
现在我们就来实现三个用户的不同权限:a.upload用户,可以上传下载,可以新建文件夹,但不能删除文件和文件夹,不能重命名原有文件和文件夹;b.download用户,只能下载;c.admin用户,管理员,可以上传,可以下载,可以新建文件夹,可以删除和更改文件和文件夹名。这些用户都不能登录系统,并且用ftp连接时锁定在自己的家目录中不能进入系统文件夹。
a.cat << ! >logins.txt
>upload
>******* #upload用户的密码
>download
>*******
>admin
>****************
>!
说明,此文本文件的格式是:单数行为用户名,偶数行为密码
b.db_load -T -t hash -f logins.txt /etc/vsftpd_login.db
c.chmod 600 /etc/vsftpd_login.db
d.cd vsftpd-1.2.1/EXAMPLE;cp VIRYUAL_USERS/vsftpd.pam /etc/pam.d/ftp.vu (进入你的解包的源码目录,把虚拟用户的认证文件拷贝到/etc/pam.d/下)
e.useradd -d /home/ftpsite virtual;chmod 700 /home/ftpsite;su - virtual -c "echo hello>/homt/ftpsite/test.file(建立虚拟用户所要访问的ftp目录并设置仅virtual用户访问的权限和创建一个供下载实验的文件)
f.vi /etc/vsftpd.conf在此文件中插入下面的配置语句
guest_enable=YES(启用虚拟用户)
guest_username=virtual(将虚拟用户映射为本地virtual用户)
pam_service_name=ftp.vu(指定PAM配置文件为ftp.vu)
user_config_dir=/etc/vsftpd_user_conf(指定不同虚拟用户配置文件的存放路径)
保存退出
g.mkdir /etc/vsftpd_user_conf
h.开放不同用户的不同权限 echo "anon_world_readable_only=NO">/etc/vsftpd_user_conf/download(开放download用户的下载权限——只能下载;注意这个不地方不要写成YES,否则将不能列出文件和目录)
cp /etc/vsftpd_user_conf/download /etc/vsftpd_user_conf/upload
vi /etc/vsftpd_user_conf/upload,添加下列行
write_enable=YES (增加写权限)
anon_upload_enable=YES(增加上传权限)
anon_mkdir_write_enable=YES (增加创建目录的权限)
cp /etc/vsftpd_user_conf/upload /etc/vsftpd_user_conf/admin
增加一行:
anno_other_writer_enable=YES(增加管理员用户的删除/重命名的权限)
i.测试
killall -9 vsftpd;/usr/local/sbin/vsftpd /etc/vsftpd.conf &
ftp 127.0.0.1 2121
以用户名download和你设置的密码登录,ls,可以看到文件,下载,成功!put一个文件,提示
Permission denied。rename test.file同样权限被拒绝;delete test.file同样不成功!
输入quit退出,以upload用户登录,OK!可以上传,下载,mkdir lsf,提示“/lsf" created;rename lsf lsf1提示Permission denied,删除文件同样不成功!
输入quit退出,以admin用户登录,可以有上述所有权限,然后rmdir lsf,提示Remove directory o[eration successful;delete test.file提示Delete operation successful!OK,大功告成了!
转载于:https://blog.51cto.com/alkshao/508256