建立vsftpd权限控制

最新推荐文章于 2024-05-09 13:16:42 发布
最新推荐文章于 2024-05-09 13:16:42 发布
阅读量3k 收藏 6
点赞数 1
分类专栏: linux 文章标签: ftp linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzlsunice88/article/details/80175444
版权

允许三种认证模式登录ftp服务:匿名、本地用户模式、虚拟用户模式。
虚拟用户模式是一种最安全的模式,本章采用此种模式。
实现的具体需求:
一种需求:
用户beijing可以上传文件到beijing,tianjin,shanghai等7个城市的目录,但不能下载
用户beijing外,其他用户tianjin,shanghai等只能上传文件到tianjin,shanghai等各自的目录,不能上传文件到其他城市的目录,但可以看到北京目录的内容。都不能下载
另外一种需求:
用户beijing可以上传文件到beijing,tianjin,shanghai等7个城市的目录,可以下载
用户beijing外,其他用户tianjin,shanghai等只能上传文件到tianjin,shanghai等各自的目录,不能上传文件到其他城市的目录,但可以下载北京目录的内容;只能看到除了北京和自己目录下的文件,不能下载

实现思路:
先用vsftpd进行权限控制,然后通过虚拟用户和本地用户具有相同的权限,对文件夹的权限进行设置。来达到同一用户访问不同文件夹具有不同权限的目的。


1. 安装
    yum install vsftpd
2  配置文件
   mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.confbak
   grep -v "#" /etc/vsftpd/vsftpd.confbak > /etc/vsftpd/vsftpd.conf
3  检查是否采用了seclinux
   getsebool -a | grep ftp
   如果采用了seclinux进行设置

   setsebool -P ftpd_full_access=on

 有的linux可能跟上面不同,需要根据查找的结果进行设置。用如下的命令

setsebool -P allow_ftpd_full_access=on
4  进行用户和密码配置
  cd /etc/vsftpd
  vim vuser.list
  第一行用户名,第二行密码
  db_load -T -t hash -f vuser.list vuser.db
  chmod 600 vuser.db
5 创建beijing、tianjin、shanghai,virtual等用户,默认ftp上传路径

    useradd -d /data/meiziftp -s /sbin/nologin virtual

注意:如果不使用各个用户的权限,上传文件的属性就是virtual

    useradd -d /data/meiziftp -s /sbin/nologin beijing
  ls -ld /data/meiziftp
  chmod -Rf 755 /data/meiziftp
  ls -ld /data/meiziftp
  mkdir  /data/meiziftp/beijing
  chown beijing:beijing  /data/meiziftp/beijing
  为了让其他帐号能够看到beijing目录的内容,对beijing目录权限进行如下设置
  chmod 705 /data/meiziftp/beijing

 useradd -d /data/meiziftp/tianjin -s /sbin/nologin tianjin
为了让beijing用户能够上传文件到tianjin目录,进行如下设置:
chgrp beijing tianjin
chmod 770 tianjin
同理其他用户如shanghai参照上面设置。

 

6 配置pam认证
  vim /etc/pam.d/vsftpd.vu
内容如下:
auth    required pam_userdb.so  db=/etc/vsftpd/vuser
account required pam_userdb.so  db=/etc/vsftpd/vuser
7 修改配置文件
 vim /etc/vsftpd/vsftpd.conf
内容如下:
anonymous_enable=NO
local_enable=YES
guest_enable=YES
guest_username=virtual
#allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
#不能下载
download_enable=NO

pam_service_name=vsftpd.vu
userlist_enable=YES
tcp_wrappers=YES
user_config_dir=/etc/vsftpd/vusers_dir
chroot_list_enable=YES 是否启用用户禁锢在家目录文件
chroot_list_file=/etc/vsftpd/chroot_list 指定禁锢文件,文件中的用户将被禁锢
chroot_local_user=YES 是否允许所有系统用户禁锢在家目录

编辑文件vi /etc/vsftpd/chroot_list,加入用户
beijing
shanghai
tianjin

注释:
chroot_local_user=YES是否将所有用户锁定在主目录,YES为启用,NO禁用.(包括注释掉也为禁用)。
chroot_list_enable=NO是否启动锁定用户的名单,YES为启用,NO禁用(包括注释掉也为禁用)。


chroot_local_user=YES和chroot_list_enable=NO一起使用表示禁止所有用户切换到上级目录。


8  设置各个用户的权限

 mkdir /etc/vsftpd/vusers_dir
 cd /etc/vsftpd/vusers_dir/
 vim beijing
需要根据各个用户的权限进行配置如beijing设置如下:

local_root=/data/meiziftp
guest_username=beijing
virtual_use_local_privs=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

其他用户参照上述设置

注释:
local_root=/data/meiziftp表示使用本地用户登录到ftp时的默认目录
virtual_use_local_privs=YES 虚拟用户和本地用户有相同的权限
anon_umask表示文件上传的默认掩码。计算方式是777减去anon_umask就是上传文件的权限。如果我们设置的是133,也就是说上传后文件的权限是644。
即上传的文件对所属用户来说只有读写权限,没有执行权限。

一定记得把后面的//注释去掉,同时空格清干净, 我在这里卡半天

9 重启服务
service vsftpd restart
chkconfig vsftpd on

10 具体操作可参见如下连接 https://www.ilanni.com/?p=5341

 

11  相关参数说明:

在vsftpd.conf内,主要两个配置项相关,运行man vsftpd.conf可以看到:
file_open_mode
              The permissions with which uploaded files  are  created.  Umasks
              are applied on top of this value. You may wish to change to 0777
              if you want uploaded files to be executable.

              Default: 0666

local_umask
              The  value  that the umask for file creation is set to for local
              users. NOTE! If you want to specify octal values,  remember  the
              "0"  prefix  otherwise  the  value  will be treated as a base 10
              integer!

              Default: 077
需要上传后的文件权限为755,则应该这么配置:
file_open_mode=0755
local_unmask=022 (这个配置表示从file_open_mode赋予的权限中去掉22,即owner group和others的写权限)

从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。

allow_writeable_chroot=YES

如果有用对用户做更精细的的全新控制,可以把相关的参数设置到各个用户目录里面/etc/vsftpd/users_dir/,比如allow_writeable_chroot=YES可以设置到各个用户目录中。

12 用本地用户做认证进行简单的ftp传输,配置如下:

 

#anonymous_enable=NO
anonymous_enable=NO
#guest_enable=YES   虚拟用户使用
#guest_username=virtual   虚拟用户
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
#pam_service_name=vsftpd.vu   虚拟用户使用
pam_service_name=vsftpd      
userlist_enable=YES
tcp_wrappers=YES
#user_config_dir=/etc/vsftpd/vusers_dir
chroot_list_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

 

使用命令
useradd -d /data/meiziftp -s /sbin/nologin xxxx

 

 

wzlsunice88
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
vsftpd权限控制
bbj1030的博客
01-17 2320
vsftpd有三种不同方式进行权限控制 匿名用户 如果使用匿名用户进行登陆,如何让匿名用户能够拥有所有权限,下面是列出要点不是完整步骤 第一个要点, /etc/vsftpd/vsftpd.conf anonymous_enable=YES anon_umask=022 anon_upload_enable=Yes anon_mkdir_write_enable=Yes anon_other_write_enable=Yes 第二个要点,不能将/var/ftp目录的权限修改过大,否则会登陆
2024年最全Linux——vsftpd服务配置(匿名,用户,虚拟用户(2),2024年最新深入理解Flutter动画原理
2401_83620654的博客
05-04 751
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
CentOS7安装及配置vsftpd (FTP服务器FTP账号创建以及权限设置)
12-26 3261
如图1所示,安装VSFTPD的 yum -y install vsftpd 2,设置开机启动 systemctl enable vsftpd 3,启动FTP服务 systemctl start vsftpd.service 如图4所示,打开防火墙,开放21端口(centos7.4以后默认关闭防火墙防火墙) 1 firewall-cmd --zone=public --add...
2024年最全shell完成VSftp配置虚拟用户_sh文件配置vsftp虚拟用户权限(3),2024年最新Linux运维屏幕适配很难嘛其实也就那么回事
最新发布
m0_61549984的博客
05-09 434
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?10、什么叫CDN?
VSFTP部署及虚拟用户权限管理
07-28 1512
centos上装vsftpd
Linux安装配置FTP用户登陆后只允许访问指定的目录。并解决vsftpd的”530 Login incorrect”错误
Rudon滨海渔村的博客
03-09 1万+
最终效果装有Ubuntu的VPS终于可以使用FTP登陆了,而且用户登陆后只能读+写指定的目录:/var/www/。解决了vsftpd的”530 Login incorrect”错误。(办法在下面的“报错修正”部分)服务器环境Ubuntu 14.04vsftpd: version 3.0.2目标FTP用户只能读写/var/www/步骤sudo -i apt-get install vsftpd na...
vsftpd配置详解——控制用户目录权限
热门推荐
ZhangGQ专栏
11-07 1万+
一、控制目录权限 1、参数说明: chroot_local_user:是否将所有用户限制在主目录,YES为启用 NO禁用.(该项默认值是NO,即在安装vsftpd后不做配置的话,ftp用户是可以向上切换到要目录之外的); chroot_list_enable:是否启动限制用户的名单 YES为启用  NO禁用(包括注释掉也为禁用); chroot_list_file:是否限制在主目录下的用户...
利用Metasploit对VSFTPD2.3.4渗透攻击提权
渗透测试
05-06 1657
文章目录前言一、Metasploit中使用数据库二、利用msf中nmap扫描三、VSFTPD2.3.4渗透攻击1.威胁建模2.攻击3.提权总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、Metasploit中使用数据库 开启步骤 root@kali:~# service postgresql start root@kali:~
Linux 配置用户vsftpd权限
qq_38194621的博客
08-13 1020
1、新建用户 useradd -d /xxx/xxx -s /sbin/nologin username # -d 指定目录,-s 禁用登录服务器 2、设置密码 psswd username 3、设置只读权限 chmod username -R -w /xxx/xxx 从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。 要修复这个错误,可以用命令chmod user -w /home/user去除用户主目录的
建立基于虚拟用户VSftpd服务
09-15
建立基于虚拟用户VSftpd服务主要是通过创建虚拟用户口令文件、生成口令认证文件、配置PAM、建立用户目录和调整配置文件,最终实现对虚拟用户的安全控制。这种方式可以有效地隔离不同用户之间的文件访问权限,提高...
vsftpd虚拟用户设置权限
04-30
权限控制: 在 vsftpd 中,似乎没有单独设置每个目录权限的地方。然而,可以利用 Linux 文件系统的文件权限设置来达到此目的。例如,可以通过把 `pub` 目录设置成只读来控制 `normal` 用户只读 `pub` 的权限。管理...
vsftpd 虚拟用户配置步骤
09-30
虚拟用户配置是 VSFTPD 中的一种高级配置方式,允许管理员创建虚拟用户账户,并为其分配不同的权限和访问控制。下面将详细介绍 VSFTPD 虚拟用户配置步骤。 安装 VSFTPD 和 db4 首先,我们需要安装 VSFTPD 和 db4 ...
vsftpd虚拟用户建立,无错版
02-21
VSFTPD 虚拟用户建立需要安装和配置 VSFTPD 服务,建立虚拟用户帐户,调整配置文件,设置上传权限,设置日志记录功能,设置目录标语功能和设置 PORT 过渡连接。通过这些步骤,可以实现虚拟用户FTP 访问。
vsftp建立虚拟用户不同目录分配不同权限操作步骤详解
09-30
本篇文章将详细讲解如何使用`vsftp`建立虚拟用户,并为这些用户分配不同的目录和权限。 首先,虚拟用户的主要优点在于它们与系统用户账号分离,这样可以更好地控制FTP服务的访问,增强安全性。在`vsftp`的配置文件`...
Linux添加FTP用户并设置权限
人生是自己设计的一次快乐旅行
06-11 9313
linux中添加ftp用户,并设置相应的权限,操作步骤如下: 1、环境:ftpvsftp。被限制用户名为test。被限制路径为/home/test 2、建用户:在root用户下: useradd -d /home/test test //增加用户test,并制定test用户的主目录为/home/test passwd test //为test设置密码 3、更改用户相应的权限设置:
FTP 限制用户只访问HOME目录
jj3341332的博客
09-10 8452
在/etc/vsftpd/下有个文件vsftpd.conf 修改下面这三行 chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list 如果设置为 chroot_local_user=YES chroot_list_ena
linux ftp禁锢宿主目录,linux 搭建ftp服务并设置限制访问目录
weixin_39681058的博客
04-29 212
服务器有好几个项目,新项目前端外包,因为要微信授权登陆,所以前端没有办法本地调试,必须上次ftp在我们服务器上调试代码,当然要限制ftp访问的目录,否则整个服务器项目都能看到了.安装vsftpdsudo apt install vsftpdRedHat系yum install vsftpd添加ftp用户添加ftp账户 myusername 设置限定访问目录 /home/wwwroot/webfo...
linux系统下vsftpd用户创建,指定文件夹
阿达丶
04-15 1734
工作记录20190415 需求:由于内网传输 非敏感信息提供ftp传输,就不采用sftp了 安全措施:目录加权,账号密码 #linux创建ftp用户 #root用户下执行: useradd -d /home/test -m test usermod -s /sbin/nologin test   (限定用户test不能telnet,只能ftp) #usermod -s /sbin/bash...
vsftp禁锢系统用户在其家目录,并有写的权限
PlatoWG的博客
11-05 1920
为了系统安全,需要设置系统用户在访问ftp资源的时候只能访问其家目录,不能随意跳转其他目录 修改/etc/vsftpd/vsftpd.conf配置文件,在最下面添加以下两行 1、chroot_local_user=YES #开启此参数后,vsftpd会检查用户家目录是否有写权限,如果没有则在用户连接时提示权限的错误 错误如下: [root@room8pc205 ~]# ftp loc...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值