爛泥：ubuntu下vsftpd虛擬用戶配置

本文由ilanniweb提供友情贊助，首發於爛泥行天下

想要得到更多的文章，能夠關注我微信ilanniweb。

之前搭建vsftpd都是在centos下，本覺得在ubuntu按照之前的步驟搭建便可。但是實際狀況告訴我是，我太想固然了。通過一番的折騰終於把ubuntu下vsftpd虛擬用戶的配置搞定了，下面就把個人配置步驟貼出來供得爲參考。

1、業務要求

如今要求建立一個FTP帳號ailanni，該帳號只能登陸到/www目錄下，不能切換到上級目錄。同時處於安全考慮還要求該帳號上傳的文件權限爲644，即上傳的文件具備可讀可寫權限，可是沒有可執行權限。

除此以外還要求該用戶不能是系統用戶，即便用vsftpd的虛擬用戶。

要求看起來比較簡單，下面咱們開始進行配置。

PS：如下實驗所有在ubuntu server 14.04 X64上進行。有關centos的操做能夠參考這篇文章《爛泥：Vsftpd使用虛擬用戶，訪問FTP》。

2、vsftpd安裝

在配置vsftpd以前，咱們先安裝vsftpd，vsftpd的安裝比較簡單。咱們再次直接使用apt-get進行安裝，以下：

sudo apt-get -y install vsftpd

vsftpd的安裝很簡單，咱們如今來查看下vsftpd都安裝了那些文件。以下：

dpkg -L vsftpd |tac

經過上圖，咱們能夠看出vsftpd在安裝時，生成了不少文件，其中/etc/init/vsftpd.conf、/etc/vsftpd.conf比較重要。

/etc/init/vsftpd.conf是vsftpd的初始化文件，而/etc/vsftpd.conf是vsftpd的配置文件。

如今咱們來查看下/etc/init/vsftpd.conf文件。以下：

cat /etc/init/vsftpd.conf

經過上圖，咱們能夠很明顯的看出vsftpd初始化時使用的配置文件就是/etc/vsftpd.conf文件。

爲何在此我要指出這一點呢？是由於我原覺得ubuntu下vsftpd和centos下的同樣，能夠把vsftpd的配置文件存放到/etc/vsftpd/目錄下。這一點是和centos不一樣的。

除此以外，還有一點不一樣，就是vsftpd的啓動、中止、重啓腳本。

在ubuntu下要啓動、中止、重啓vsftpd，咱們必須使用如下命令：

sudo service vsftpd stop

sudo service vsftpd start

sudo service vsftpd restart

而在centos下，咱們可使用如下命令：

service vsftpd stop

/etc/init.d/vsftpd stop

最後，咱們再來查看下vsftpd的服務腳本。以下：

cat /lib/systemd/system/vsftpd.service

3、vsftpd配置

vsftpd安裝完畢後，咱們如今開始配置vsftpd，不過在正式配置以前，咱們還有幾步工做要作。

3.1 用戶相關配置

由於是使用vsftpd的虛擬用戶，因此咱們須要先在系統中建立一個用戶，而且該用戶對/www目錄具備可讀可寫可執行權限。

建立用戶，以下：

sudo useradd -m -s /bin/bash ftpilanni

cat /etc/passwd |grep ftpilanni

注意：建立的用戶ftpilanni如今是沒法登陸到系統的，由於沒有給該用戶設置密碼。在此，咱們也無需ftpilanni登陸到系統，這樣相對來講比較安全。

用戶建立完畢後，咱們來建立對應的目錄並修改其所屬用戶，以下：

sudo mkdir /www

sudo chown -R ftpilanni:ftpilanni /www/

有關用戶相關配置結束後，咱們開始設置登陸vsftp的用戶與密碼文件login.txt。以下：

sudo mkdir /etc/vsftpd/

sudo vim /etc/vsftpd/login.txt

ailanni

ailannipassword

login.txt爲登陸vsftpd的用戶與密碼文件。

login.txt設置完畢後，咱們要使用db_load進行加密。而db_load須要db-util這個軟件。因此須要咱們如今安裝db-util，以下：

sudo apt-get -y install db-util

db-util安裝完畢後，如今開始使用db_load對loginx.txt進行加密。以下：

sudo db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db

loginx.txt加密完成後，咱們如今開始配置vsftpd的PAM驗證。

3.2 PAM驗證配置

vsftpd的PAM驗證，在此我沒有使用vsftpd安裝時所生成的/etc/pam.d/vsftpd文件。

由於通過我屢次的測試，發現若是使用該文件進行驗證的話，沒法驗證經過。不知道爲何，猜測頗有多是vsftpd的一個BUG。

建立驗證文件，以下：

sudo vim /etc/pam.d/vsftpd.virtual

auth required pam_userdb.so db=/etc/vsftpd/login

account required pam_userdb.so db=/etc/vsftpd/login

vsftpd.virtual文件的內容，也能夠根據OS的版本進行調整。我如今使用的是ubuntu x64，因此也能夠填寫爲：

auth required /lib/x86_64-linux-gnu/security/pam_userdb.so db=/etc/vsftpd/login

account required /lib/x86_64-linux-gnu/security/pam_userdb.so db=/etc/vsftpd/login

其中/etc/vsftpd/login對應/etc/vsftpd/login.db文件

3.3 vsftp權限配置

如今正式配置vsftpd，vsftpd的幾乎全部配置項都在/etc/vsftpd.conf文件中進行。

根據業務要求vsftpd.conf配置內容以下：

grep -vE "^#|^$" /etc/vsftpd.conf

listen=YES

listen_ipv6=NO

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

use_localtime=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

chroot_local_user=YES

chroot_list_enable=NO

allow_writeable_chroot=YES

secure_chroot_dir=/var/run/vsftpd/empty

pam_service_name=vsftpd

rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

ssl_enable=NO

guest_enable=YES

pam_service_name=vsftpd.virtual

user_config_dir=/etc/vsftpd/vu

pasv_enable=YES

pasv_min_port=30000

pasv_max_port=31000

在以上配置文件中，有幾點須要重點指出。

local_enable=YES

write_enable=YES

local_umask=022

這兩項是啓用系統用戶的寫權限。特別是write_enable=YES項必定要啓用，不然vsftpd虛擬用戶將沒法登陸vsftpd。

爲何會是這樣？由於虛擬用戶依賴與系統用戶。

chroot_local_user=YES

chroot_list_enable=NO

allow_writeable_chroot=YES

這三項是配置vsftpd用戶禁止切換上級目錄的權限。

guest_enable=YES

pam_service_name=vsftpd.virtual

user_config_dir=/etc/vsftpd/vu

這三項是啓用vsftpd虛擬用以及虛擬用戶帳號配置目錄。

pasv_enable=YES

pasv_min_port=30000

pasv_max_port=31000

這三項是啓用vsftpd被動模式及相關端口。

3.4 虛擬用戶相關配置

vsftpd配置文件修改文件後，如今開始配置虛擬用戶的相關權限。以下：

sudo mkdir /etc/vsftpd/vu

sudo vim /etc/vsftpd/vu/ailanni

guest_username=ftpilanni

local_root=/www/

virtual_use_local_privs=YES

anon_umask=133

以上配置參數，其中guest_username=ftpilanni表示的是設置FTP對應的系統用戶爲ftpilanni

local_root=/www/表示使用本地用戶登陸到ftp時的默認目錄。

virtual_use_local_privs=YES虛擬用戶和本地用戶有相同的權限。

anon_umask表示文件上傳的默認掩碼。計算方式是777減去anon_umask就是上傳文件的權限。在此咱們設置的是133，也就是說上傳後文件的權限是644。即上傳的文件對所屬用戶來講只有讀寫權限，沒有執行權限。

以上所有配置完畢後，咱們來重啓vsftpd，以下：

sudo service vsftpd restart

4、測試

如今咱們來使用ailanni用戶登陸vsftpd進行測試。

經過以上兩張圖，咱們能夠很明顯的看到vsftpd的配置已經達到了業務的要求。

5、IPtables配置

在實際生產環境中，爲了安全起見，咱們通常是開啓防火牆的。

在ubuntu上，咱們也可使用IPtables來進行防禦。

IPtables配置以下：

sudo iptables-save >/home/ilanni/iptables.rule

sudo iptables-restore < /home/ilanni/iptables.rule

sudo iptables -nL

sudo vim /etc/network/interfaces

pre-up iptables-restore < /home/ilanni/iptables.rule

post-down iptables-save < /home/ilanni/iptables.rule