Linux FTP服務器-VSFTPD虛擬用戶配置

Linux FTP服務器-VSFTPD虛擬用戶配置

VSFTP是一個基於GPL發佈的類Unix系統上使用的FTP服務器軟件，它的全稱是Very Secure FTP 今後名稱能夠看出來，編制者的初衷是代碼的安全。安全性是編寫VSFTP的初衷，除了這與生俱來的安全特性之外，高速與高穩定性也是VSFTP的兩個重要特色。
在速度方面：使用ASCII代碼的模式下載數據時，VSFTP的速度是Wu-FTP的兩倍，若是Linux主機使用2.4.*的內核，在千兆以太網上的下載速度可達86MB/S。
在穩定方面：VSFTP就更加的出色，VSFTP在單機（非集羣）上支持4000個以上的併發用戶同時鏈接，根據RedHat的Ftp服務器(ftp.redhat.com)的數據，VSFTP服務器能夠支持15000個併發用戶
本文主要介紹一下VSFTP虛擬用戶模式配置方法：
安裝VSFTP：sudo apt-get install vsftpd
安裝DB軟件包:sudo apt-get install db-util
配置虛擬用戶（進入/etc/vsftpd下操做）
1. 創建虛擬用戶口令庫文件
# vim vusers.list （第一行寫 用戶名，第二行寫 密碼，保存退出）
user1
user1pwd
user2
user2pwd
2. 生成vsftpd的認證文件
# db_load -T -t hash -f vusers.list /etc/vsftpd/vsftpd_login.db （生成認證文件）
# chmod 600 /etc/vsftpd/vsftpd_login.db （賦權）
3. 創建虛擬用戶所需的PAM配置文件
# vim /etc/pam.d/vsftpd （加入下面內容，其餘所有註釋。）
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
4. 創建虛擬用戶要訪問的目錄並設置權限
# useradd -d /home/ftp -s /sbin/nologin virtual
# chmod 777 /home/ftp/
在 vsftpd.conf 添加如下參數配置項：
guest_enable=YES
guest_username=virtual
5. 對不一樣虛擬用戶設置不一樣權限
# mkdir /etc/vsftpd/vsftpd_user_conf
# vim /etc/vsftpd/vsftpd_user_conf/user1 （創建用戶單獨配置文件，文件名就是用戶名）
local_root=/home/ftp/user1 #這裏的虛擬用戶目錄能夠根據實際狀況修改
write_enable=YES
virtual_use_local_privs=YES #虛擬用戶具備寫權限（上傳、下載、刪除、重命名）
在 vsftpd.conf 添加如下參數配置項：
user_config_dir=/etc/vsftpd/vsftpd_user_conf
6. 禁錮FTP用戶在宿主目錄
將須要禁錮的用戶名寫入「vsftpd.chroot_list」文件
# vim /etc/vsftpd.chroot_list
user1
user2
在 vsftpd.conf 添加如下參數配置項：
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
下面補充說明一下ftp被動鏈接端口設置，FTP協議有兩種工做方式：PORT方式和PASV方式，中文意思爲主動式和被動式。
PORT（主動）方式的鏈接過程是：客戶端向服務器的FTP端口（默認是21）發送鏈接請求，服務器接受鏈接，創建一條命令鏈路。當須要傳送數據時，客戶端在命令鏈路上用PORT命令告訴服務器：「我打開了XXXX端口，你過來鏈接我」。因而服務器從20端口向客戶端的XXXX端口發送鏈接請求，創建一條數據鏈路來傳送數據。
PASV（被動）方式的鏈接過程是：客戶端向服務器的FTP端口（默認是21）發送鏈接請求，服務器接受鏈接，創建一條命令鏈路。當須要傳送數據時，服務器在命令鏈路上用PASV命令告訴客戶端：「我打開了XXXX端口，你過來鏈接我」。因而客戶端向服務器的XXXX端口發送鏈接請求，創建一條數據鏈路來傳送數據。
若是FTP客戶端軟件設置的是被動鏈接，那麼VSFTP配置文件須要設置被動端口：

在 vsftpd.conf 添加如下參數配置項：
pasv_min_port=3000
pasv_max_port=3010
若是開啓iptables防火牆，須要配置：
iptables -A INPUT -p tcp -s 0/0 --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 3000:3010 -j ACCEPT
若是開始SELinux，須要解除selinux阻止：
#setsebool -P ftpd_disable_trans 1
#service vsftpd restart
備註：virtual_use_local_privs參數
當virtual_use_local_privs=YES時，虛擬用戶和本地用戶有相同的權限；
當virtual_use_local_privs=NO時，虛擬用戶和匿名用戶有相同的權限，默認是NO。

當virtual_use_local_privs=YES，write_enable=YES時，虛擬用戶具備寫權限（上傳、下載、刪除、重命名）。

當virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，
anon_upload_enable=YES時，虛擬用戶不能瀏覽目錄，只能上傳文件，無其餘權限。

當virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=NO時，虛擬用戶只能下載文件，無其餘權限。

當virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=YES時，虛擬用戶只能上傳和下載文件，無其餘權限。

當virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_mkdir_write_enable=YES時，虛擬用戶只能下載文件和建立文件夾，無其餘權限。

當virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_other_write_enable=YES時，虛擬用戶只能下載、刪除和重命名文件，無其餘權限。