vsftpd虛擬用戶
1.1 vsftpd虛擬用戶
虛擬用戶原理:算法
1) 生成N個用戶,N個用戶無需存在Linux系統,N個用戶均可以登陸,保證Linux系統的安全。數據庫
2) 那麼N個用戶怎麼登陸到Linux中,來訪問vsftpd服務器,僅須要建立一個系統用戶(不容許登陸系統),其餘的虛擬用戶訪問Linux系統請求映射到系統上的vsftpd文件服務器。vim
3) 虛擬用戶登陸主要查找/etc/pam.d/vsftpd模塊實現權限的訪問,因此說建立虛擬用戶的臨時文件(ftpusers.txt的帳號、密碼),而且須要是db_load命令來生成db數據庫,由於pam.d模塊須要讀取虛擬用戶的數據庫。安全
pam_service_name=vsftpd服務器
4) 經過這個參數,vsftpd服務器才能訪問db數據庫中的帳號和密碼,ftp將訪問的請求轉到實際存在的系統用戶上,系統用戶讀取虛擬用戶的配置文件,提取相應的目錄和權限,完成虛擬用戶的請求訪問。session
1.2 Vsftpd虛擬用戶的部署
1) 安裝vsftpd(yum部署)yum install pam* libdb-utils libdb* --skip-broken -y
app
2) 建立虛擬用戶的用戶名和密碼文件tcp
Vim /etc/vsftpd/ftpusers.txtide
jingfeng1測試
123
jingfeng2
123
#用戶名密碼文件必須是單行帳號,雙行密碼格式
3) 建立pam模塊須要的db數據庫文件
db_load –T :開啓數據庫加密算法
-t :指定算法爲hash
-f :指定生成數據庫的配置文件
4) 建立系統用戶登陸Linux
useradd -s /sbin/nologin ftpuser
5) 建立pam模塊認證文件
auth:認證、受權(檢查用戶的名字、密碼正確與否);
account:檢查用戶的賬戶是否到期、禁用等。
required:必須經過此認證,不然再也不往下認證下去,直接退出;
pam_userdb.so 設定獨立用戶賬號數據庫認證
db=指定的vsftpd_login文件用戶名和密碼數據庫文件
6) 修改主配置文件
#config virtual user FTP
pam_service_name=vsftpd 虛擬用戶啓用pam認證;
guest_enable=YES 啓用虛擬用戶;
guest_username=ftpuser 映射虛擬用戶至系統用戶ftpuser;
user_config_dir=/etc/vsftpd/vsftpd_user_conf 設置虛擬用戶配置文件所在的目錄;
virtual_use_local_privs=YES 虛擬用戶使用與本地用戶相同的權限。
allow_writeable_chroot=YES
禁錮虛擬用戶的主目錄,同時禁止訪問除主目錄以外的目錄
(1) 以下分別爲虛擬用戶jingfeng一、jingfeng2用戶建立配置文件:
vim /etc/vsftpd/vsftpd_user_conf/jingfeng1,同時建立私有的虛擬目錄,代碼以下:
| local_root=/home/ftpuser/jingfeng1 write_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES |
vim /etc/vsftpd/vsftpd_user_conf/jingfeng2,同時建立私有的虛擬目錄,代碼以下:
| local_root=/home/ftpuser/jingfeng2 write_enable=YES anon_world_readable_only=YES anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES |
虛擬用戶配置文件內容詳解:
| local_root=/home/ftpuser/jingfeng2 jingfeng2虛擬用戶配置文件路徑; write_enable=YES 容許登錄用戶有寫權限; anon_world_readable_only=YES 容許匿名用戶下載,而後讀取文件; anon_upload_enable=YES 容許匿名用戶上傳文件權限,只有在write_enable=YES時該參數才生效; anon_mkdir_write_enable=YES 容許匿名用戶建立目錄,只有在write_enable=YES時該參數才生效; anon_other_write_enable=YES 容許匿名用戶其餘權限,例如刪除、重命名等。 |
權限設定
mkdir -p /home/ftpuser/jingfeng{1..2};chown -R ftpuser:ftpuser /home/ftpuser/
chmod 755 /home/ftpuser
1.3 主動和被動模式
主動模式:ftp服務器主動向客戶端發起連接請求
被動模式:ftp服務器等待客戶端發起連接請求(默認模式)
選擇模式的原則:
1) 客戶端沒有防火牆,選用主動模式
2) 服務端沒有防火牆,選用被動模式
3) 雙方都有防火牆,vsftpd能夠設置端口範圍,服務端打開端口範圍,客戶端選用被動模式連接
配置服務器端開啓被動模式
修改/etc/vsftpd/vsftpd.conf參數爲如下
Pasv_enable=YES:開啓被動模式
Pasv_min_port=5010
Pasv_max_port=5015
設定被動模式數據端口範圍
Connect_from_port_20=NO
關閉20數據傳輸端口
開啓防火牆進行測試,在客戶端鏈接上後建立文件測試
測試結果以下
開啓主動模式配置
修改配置文件/etc/vsftpd/vsftpd.conf
Pasv_enable=NO:關閉被動模式,自動開啓主動模式
Connect_from_port_20=YES
關閉20數據傳輸端口
使用客戶端建立文件進行測試,結果以下
開啓21 20端口防火牆
附Vsftpd參數詳解
1.默認配置:
1>容許匿名用戶和本地用戶登錄。
anonymous_enable=YES
local_enable=YES
2>匿名用戶使用的登錄名爲ftp或anonymous,口令爲空;匿名用戶不能離開匿名 用戶家目錄/var/ftp,且只能下載不能上傳。
3>本地用戶的登陸名爲本地用戶名,口令爲此本地用戶的口令;本地用戶能夠在本身家目錄中進行讀寫操做;本地用戶能夠離開自家目錄切換至有權限訪問的其餘目錄,並在權限容許的狀況下進行上傳/下載。
write_enable=YES
4>寫在文件/etc/vsftpd.ftpusers中的本地用戶禁止登錄。
2.配置文件格式:
vsftpd.conf 的內容很是單純,每一行即爲一項設定。如果空白行或是開頭爲#的一行,將會被忽略。內容的格式只有一種,以下所示
option=value
要注意的是,等號兩邊不能加空白。
3.匿名用戶(anonymous)設置
anonymous_enable=YES/NO(YES)
控制是否容許匿名用戶登入,YES 爲容許匿名登入,NO 爲不容許。默認值爲YES。
write_enable=YES/NO(YES)
是否容許登錄用戶有寫權限。屬於全局設置,默認值爲YES。
no_anon_password=YES/NO(NO)
如果啓動這項功能,則使用匿名登入時,不會詢問密碼。默認值爲NO。
ftp_username=ftp
定義匿名登入的使用者名稱。默認值爲ftp。
anon_root=/var/ftp
使用匿名登入時,所登入的目錄。默認值爲/var/ftp。注意ftp目錄不能是777的權限屬性,即匿名用戶的家目錄不能有777的權限。
anon_upload_enable=YES/NO(NO)
若是設爲YES,則容許匿名登入者有上傳文件(非目錄)的權限,只有在write_enable=YES時,此項纔有效。固然,匿名用戶必需要有對上層目錄的寫入權。默認值爲NO。
anon_world_readable_only=YES/NO(YES)
若是設爲YES,則容許匿名登入者下載可閱讀的檔案(能夠下載到本機閱讀,不能直接在FTP服務器中打開閱讀)。默認值爲YES。
anon_mkdir_write_enable=YES/NO(NO)
若是設爲YES,則容許匿名登入者有新增目錄的權限,只有在write_enable=YES時,此項纔有效。固然,匿名用戶必需要有對上層目錄的寫入權。默認值爲NO。
anon_other_write_enable=YES/NO(NO)
若是設爲YES,則容許匿名登入者更多於上傳或者創建目錄以外的權限,譬如刪除或者重命名。(若是anon_upload_enable=NO,則匿名用戶不能上傳文件,但能夠刪除或者重命名已經存在的文件;若是anon_mkdir_write_enable=NO,則匿名用戶不能上傳或者新建文件夾,但能夠刪除或者重命名已經存在的文件夾。)默認值爲NO。
chown_uploads=YES/NO(NO)
設置是否改變匿名用戶上傳文件(非目錄)的屬主。默認值爲NO。
chown_username=username
設置匿名用戶上傳文件(非目錄)的屬主名。建議不要設置爲root。
anon_umask=077
設置匿名登入者新增或上傳檔案時的umask 值。默認值爲077,則新建檔案的對應權限爲700。
deny_email_enable=YES/NO(NO)
如果啓動這項功能,則必須提供一個檔案/etc/vsftpd/banner_emails,內容爲email address。如果使用匿名登入,則會要求輸入email address,若輸入的email address 在此檔案內,則不容許進入。默認值爲NO。
banned_email_file=/etc/vsftpd/banner_emails
此文件用來輸入email address,只有在deny_email_enable=YES時,纔會使用到此檔案。如果使用匿名登入,則會要求輸入email address,若輸入的email address 在此檔案內,則不容許進入。
4.本地用戶設置
local_enable=YES/NO(YES)
控制是否容許本地用戶登入,YES 爲容許本地用戶登入,NO爲不容許。默認值爲YES。
local_root=/home/username
當本地用戶登入時,將被更換到定義的目錄下。默認值爲各用戶的家目錄。
write_enable=YES/NO(YES)
是否容許登錄用戶有寫權限。屬於全局設置,默認值爲YES。
local_umask=022
本地用戶新增檔案時的umask 值。默認值爲077。
file_open_mode=0755
本地用戶上傳檔案後的檔案權限,與chmod 所使用的數值相同。默認值爲0666。
5.歡迎語設置
dirmessage_enable=YES/NO(YES)
若是啓動這個選項,那麼使用者第一次進入一個目錄時,會檢查該目錄下是否有.message這個檔案,若是有,則會出現此檔案的內容,一般這個檔案會放置歡迎話語,或是對該目錄的說明。默認值爲開啓。
message_file=.message
設置目錄消息文件,可將要顯示的信息寫入該文件。默認值爲.message。
banner_file=/etc/vsftpd/banner
當使用者登入時,會顯示此設定所在的檔案內容,一般爲歡迎話語或是說明。默認值爲無。若是歡迎信息較多,則使用該配置項。
ftpd_banner=Welcome to BOB's FTP server
這裏用來定義歡迎話語的字符串,banner_file是檔案的形式,而ftpd_banner 則是字符串的形式。預設爲無。
6.控制用戶是否容許切換到上級目錄
在默認配置下,本地用戶登入FTP後可使用cd命令切換到其餘目錄,這樣會對系統帶來安全隱患。能夠經過如下三條配置文件來控制用戶切換目錄。
chroot_list_enable=YES/NO(NO)
設置是否啓用chroot_list_file配置項指定的用戶列表文件。默認值爲NO。
chroot_list_file=/etc/vsftpd.chroot_list
用於指定用戶列表文件,該文件用於控制哪些用戶能夠切換到用戶家目錄的上級目錄。
chroot_local_user=YES/NO(NO)
用於指定用戶列表文件中的用戶是否容許切換到上級目錄。默認值爲NO。
經過搭配能實現如下幾種效果:
①當chroot_list_enable=YES,chroot_local_user=YES時,在/etc/vsftpd.chroot_list文件中列出的用戶,能夠切換到其餘目錄;未在文件中列出的用戶,不能切換到其餘目錄。
②當chroot_list_enable=YES,chroot_local_user=NO時,在/etc/vsftpd.chroot_list文件中列出的用戶,不能切換到其餘目錄;未在文件中列出的用戶,能夠切換到其餘目錄。
③當chroot_list_enable=NO,chroot_local_user=YES時,全部的用戶均不能切換到其餘目錄。
④當chroot_list_enable=NO,chroot_local_user=NO時,全部的用戶都可以切換到其餘目錄。
7.數據傳輸模式設置
FTP在傳輸數據時,可使用二進制方式,也可使用ASCII模式來上傳或下載數據。
ascii_upload_enable=YES/NO(NO)
設置是否啓用ASCII 模式上傳數據。默認值爲NO。
ascii_download_enable=YES/NO(NO)
設置是否啓用ASCII 模式下載數據。默認值爲NO。
8.訪問控制設置
兩種控制方式:一種控制主機訪問,另外一種控制用戶訪問。
①控制主機訪問:
tcp_wrappers=YES/NO(YES)
設置vsftpd是否與tcp wrapper相結合來進行主機的訪問控制。默認值爲YES。若是啓用,則vsftpd服務器會檢查/etc/hosts.allow 和/etc/hosts.deny 中的設置,來決定請求鏈接的主機,是否容許訪問該FTP服務器。這兩個文件能夠起到簡易的防火牆功能。
好比:若要僅容許192.168.0.1—192.168.0.254的用戶能夠鏈接FTP服務器,則在/etc/hosts.allow文件中添加如下內容:
vsftpd:192.168.0. :allow
all:all :deny
②控制用戶訪問:
對於用戶的訪問控制能夠經過/etc目錄下的vsftpd.user_list和ftpusers文件來實現。
userlist_file=/etc/vsftpd.user_list
控制用戶訪問FTP的文件,裏面寫着用戶名稱。一個用戶名稱一行。
userlist_enable=YES/NO(NO)
是否啓用vsftpd.user_list文件。
userlist_deny=YES/NO(YES)
決定vsftpd.user_list文件中的用戶是否可以訪問FTP服務器。若設置爲YES,則vsftpd.user_list文件中的用戶不容許訪問FTP,若設置爲NO,則只有vsftpd.user_list文件中的用戶才能訪問FTP。
/etc/vsftpd/ftpusers文件專門用於定義不容許訪問FTP服務器的用戶列表(注意:若是userlist_enable=YES,userlist_deny=NO,此時若是在vsftpd.user_list和ftpusers中都有某個用戶時,那麼這個用戶是不可以訪問FTP的,即ftpusers的優先級要高)。默認狀況下vsftpd.user_list和ftpusers,這兩個文件已經預設置了一些不容許訪問FTP服務器的系統內部帳戶。若是系統沒有這兩個文件,那麼新建這兩個文件,將用戶添加進去便可。
9.訪問速率設置
anon_max_rate=0
設置匿名登入者使用的最大傳輸速度,單位爲B/s,0 表示不限制速度。默認值爲0。
local_max_rate=0
本地用戶使用的最大傳輸速度,單位爲B/s,0 表示不限制速度。預設值爲0。
10.超時時間設置
accept_timeout=60
設置創建FTP鏈接的超時時間,單位爲秒。默認值爲60。
connect_timeout=60
PORT 方式下創建數據鏈接的超時時間,單位爲秒。默認值爲60。
data_connection_timeout=120
設置創建FTP數據鏈接的超時時間,單位爲秒。默認值爲120。
idle_session_timeout=300
設置多長時間不對FTP服務器進行任何操做,則斷開該FTP鏈接,單位爲秒。默認值爲300 。
11.日誌文件設置
xferlog_enable= YES/NO(YES)
是否啓用上傳/下載日誌記錄。若是啓用,則上傳與下載的信息將被完整紀錄在xferlog_file 所定義的檔案中。預設爲開啓。
xferlog_file=/var/log/vsftpd.log
設置日誌文件名和路徑,默認值爲/var/log/vsftpd.log。
xferlog_std_format=YES/NO(NO)
若是啓用,則日誌文件將會寫成xferlog的標準格式,如同wu-ftpd 通常。默認值爲關閉。
log_ftp_protocol=YES|NO(NO)
若是啓用此選項,全部的FTP請求和響應都會被記錄到日誌中,默認日誌文件在/var/log/vsftpd.log。啓用此選項時,xferlog_std_format不能被激活。這個選項有助於調試。默認值爲NO。
12.定義用戶配置文件
在vsftpd中,能夠經過定義用戶配置文件來實現不一樣的用戶使用不一樣的配置。
user_config_dir=/etc/vsftpd/userconf
設置用戶配置文件所在的目錄。當設置了該配置項後,用戶登錄服務器後,系統就會到/etc/vsftpd/userconf目錄下,讀取與當前用戶名相同的文件,並根據文件中的配置命令,對當前用戶進行更進一步的配置。
例如:定義user_config_dir=/etc/vsftpd/userconf,且主機上有使用者 test1,test2,那麼咱們就在user_config_dir 的目錄新增文件名爲test1和test2兩個文件。如果test1 登入,則會讀取user_config_dir 下的test1 這個檔案內的設定。默認值爲無。利用用戶配置文件,能夠實現對不一樣用戶進行訪問速度的控制,在各用戶配置文件中定義local_max_rate=XX,便可。
13.FTP的工做方式與端口設置
FTP有兩種工做方式:PORT FTP(主動模式)和PASV FTP(被動模式)
listen_port=21
設置FTP服務器創建鏈接所監聽的端口,默認值爲21。
connect_from_port_20=YES/NO
指定FTP使用20端口進行數據傳輸,默認值爲YES。
ftp_data_port=20
設置在PORT方式下,FTP數據鏈接使用的端口,默認值爲20。
pasv_enable=YES/NO(YES)
若設置爲YES,則使用PASV工做模式;若設置爲NO,則使用PORT模式。默認值爲YES,即便用PASV工做模式。
pasv_max_port=0
在PASV工做模式下,數據鏈接可使用的端口範圍的最大端口,0 表示任意端口。默認值爲0。
pasv_min_port=0
在PASV工做模式下,數據鏈接可使用的端口範圍的最小端口,0 表示任意端口。默認值爲0。
14.與鏈接相關的設置
listen=YES/NO(YES)
設置vsftpd服務器是否以standalone模式運行。以standalone模式運行是一種較好的方式,此時listen必須設置爲YES,此爲默認值。建議不要更改,有不少與服務器運行相關的配置命令,須要在此模式下才有效。若設置爲NO,則vsftpd不是以獨立的服務運行,要受到xinetd服務的管控,功能上會受到限制。
max_clients=0
設置vsftpd容許的最大鏈接數,默認值爲0,表示不受限制。若設置爲100時,則同時容許有100個鏈接,超出的將被拒絕。只有在standalone模式運行纔有效。
max_per_ip=0
設置每一個IP容許與FTP服務器同時創建鏈接的數目。默認值爲0,表示不受限制。只有在standalone模式運行纔有效。
listen_address=IP地址
設置FTP服務器在指定的IP地址上偵聽用戶的FTP請求。若不設置,則對服務器綁定的全部IP地址進行偵聽。只有在standalone模式運行纔有效。
setproctitle_enable=YES/NO(NO)
設置每一個與FTP服務器的鏈接,是否以不一樣的進程表現出來。默認值爲NO,此時使用ps aux |grep ftp只會有一個vsftpd的進程。若設置爲YES,則每一個鏈接都會有一個vsftpd的進程。
15.虛擬用戶設置
虛擬用戶使用PAM認證方式。
pam_service_name=vsftpd
設置PAM使用的名稱,默認值爲/etc/pam.d/vsftpd。
guest_enable= YES/NO(NO)
啓用虛擬用戶。默認值爲NO。
guest_username=ftp
這裏用來映射虛擬用戶。默認值爲ftp。
virtual_use_local_privs=YES/NO(NO)
當該參數激活(YES)時,虛擬用戶使用與本地用戶相同的權限。當此參數關閉(NO)時,虛擬用戶使用與匿名用戶相同的權限。默認狀況下此參數是關閉的(NO)。
16.其餘設置
text_userdb_names= YES/NO(NO)
設置在執行ls –la之類的命令時,是顯示UID、GID仍是顯示出具體的用戶名和組名。默認值爲NO,即以UID和GID方式顯示。若但願顯示用戶名和組名,則設置爲YES。
ls_recurse_enable=YES/NO(NO)
如果啓用此功能,則容許登入者使用ls –R(能夠查看當前目錄下子目錄中的文件)這個指令。默認值爲NO。
hide_ids=YES/NO(NO)
若是啓用此功能,全部檔案的擁有者與羣組都爲ftp,也就是使用者登入使用ls -al之類的指令,所看到的檔案擁有者跟羣組均爲ftp。默認值爲關閉。
download_enable=YES/NO(YES)
若是設置爲NO,全部的文件都不能下載到本地,文件夾不受影響。默認值爲YES。
- 1. vsftpd虛擬用戶
- 2. Vsftpd 虛擬用戶
- 3. vsftpd設置虛擬用戶
- 4. vsftpd虛擬用戶配置
- 5. VSFTPD虛擬用戶配置
- 6. vsftpd配置虛擬用戶
- 7. vsftpd虛擬用戶賬號
- 8. vsftpd虛擬用戶登錄
- 9. Vsftpd虛擬用戶(進階)
- 10. vsftpd 配置虛擬用戶
- 更多相關文章...
- • MySQL刪除用戶(DROP USER) - MySQL教程
- • MySQL創建用戶(CREATE USER) - MySQL教程
- • Composer 安裝與使用
- • 使用Rxjava計算圓周率
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vsftpd虛擬用戶
- 2. Vsftpd 虛擬用戶
- 3. vsftpd設置虛擬用戶
- 4. vsftpd虛擬用戶配置
- 5. VSFTPD虛擬用戶配置
- 6. vsftpd配置虛擬用戶
- 7. vsftpd虛擬用戶賬號
- 8. vsftpd虛擬用戶登錄
- 9. Vsftpd虛擬用戶(進階)
- 10. vsftpd 配置虛擬用戶