CentOS 下基于虛擬用戶的 vsftpd 服務(wù)配置

1、CentOS 下基于虛擬用戶的下基于虛擬用戶的 vsftpd 服務(wù)配置 服務(wù)配置 本文來自:北街小巷 (upall 目錄本文的配置方法不使用系統(tǒng)用戶而采用 vsftpd 的虛擬用戶來操作 ftp, 虛擬用戶 在操作系統(tǒng)中并不存在,只用于登錄管理 ftp,但虛擬用戶登錄成功后需要使用 本地帳號(hào)來管理系統(tǒng)上的文件。關(guān)于 vsftpd 虛擬用戶的介紹可以看看 kangzye 的文章 為 vsftpd 建立虛擬用戶 中開頭的介紹。一、添加本地用戶及其權(quán)限三、建立虛擬用戶數(shù)據(jù)庫四、配置虛擬用戶權(quán)限五、修改 vsftpd 認(rèn)證方式六、完成,記得重啟 vsftpd七、常見問題正文一 、 添加本地用戶及權(quán)限添

2、加本地用戶及權(quán)限:虛擬用戶登錄成功后會(huì)使用它的權(quán)限來管理系統(tǒng)上的文件,此用戶不需要登錄, 所以“/sbin/nologin”,以用戶名 ftpvser 為例:1useradd -d /home/ftpvuser-s /sbin/nologinftpvuser讓 ftpvuser 對(duì) ftp 根目錄 /var/ftp 有讀寫權(quán)限:1 2 chown ftpvuser.ftpvuser /var/ftp chmod 700 /var/ftp如果需要 apache 對(duì)此目錄有操作權(quán)限,可以:12usermod -G ftpvuser apachechmod 770 /var/ftp二 、 修改 修改

3、 vsftpd.conf vsftpd.conf:主配置文件為 /etc/vsftpd/vsftpd.conf, 需要關(guān)閉匿名用戶、 開啟虛擬用戶及其它一 些設(shè)置。配置參考:(見文末 點(diǎn)擊這里轉(zhuǎn)到三 、 建立用戶數(shù)據(jù)庫 建立用戶數(shù)據(jù)庫:第一步 第一步:安裝組件 安裝組件(用于使用其 用于使用其 db_load 命令生成虛擬用戶數(shù)據(jù)庫 命令生成虛擬用戶數(shù)據(jù)庫: 1yum -y install db4-utils db4-devel第二步 第二步:建立虛擬用戶 建立虛擬用戶表 表 :創(chuàng)建用戶表文件 /etc/vsftpd/vusers.txt (其實(shí)就是一個(gè)文本文檔,內(nèi)容為(一行 用戶名,下一行用

4、戶的密碼,依次類推:1234demoerdemoerPasswduser1user1Passwd第三步 第三步:生成虛擬用戶數(shù)據(jù)庫將第二步中創(chuàng)建的用戶表生成為用戶數(shù)據(jù)庫文件(擴(kuò)展名為“.db”并設(shè)置權(quán) 限為 600:第四步 第四步:刪除虛擬用戶表文件最終需要的是生成的虛擬用戶數(shù)據(jù)庫文件,為了安全可以將 /etc/vsftpd/vusers.txt 刪除:或?qū)⒋宋募薷臑槠渌瞬豢勺x:四 、 配置虛擬用戶權(quán)限 配置虛擬用戶權(quán)限:建立用戶控制文件夾 /etc/vsftpd/vusers,其下為以用戶名命名的文件。創(chuàng)建文件 /etc/vsftpd/vusers/demoer, 文件名必須與用戶名相同

5、, 用于配置虛擬用戶 demoer 的 權(quán)限,內(nèi)容:1234567local_root=/var/ftp/demoer # 用戶 demoer 登錄的主目錄anon_umask=022 # 如果需要 apache 也操作,為:002write_enable=YES # 目錄可寫anon_world_readable_only=NO # 不詳anon_upload_enable=YES # 啟用上傳anon_mkdir_write_enable=YES # 允許修改anon_other_write_enable=YES # 允許寫之外的操作,比如“刪除” 參考以上,為 user1 設(shè)置權(quán)限:(略

6、五 、 修改 修改 vsftpd 認(rèn)證關(guān)系 認(rèn)證關(guān)系:清空(記得先備份 /etc/pam.d/vsftpd,添加以下兩行(后邊的用戶數(shù)據(jù)庫文件不 要加“.db”:12auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vusers account required /lib/security/pam_userdb.so db=/etc/vsftpd/vusers六 、 重啟 重啟 vsftpd 服務(wù) 服務(wù):重啟 vsftpd 服務(wù)可以使用這兩個(gè)辦法的一個(gè):12service vsftpd restart七 、 常見問題 常見問題:0

7、、 列表錯(cuò)誤原因 原因:檢查是不是 SELinux 的問題,可以先關(guān)閉 SELinux 試試。1、 登錄后怎么設(shè)置目錄列表都為空原因 原因:local_root 指定的本地目錄沒有可執(zhí)行權(quán)限, 目錄的 x 權(quán)限用于瀏覽目錄, 如果沒有此權(quán)限用戶就不可以將該目錄下的文件列出來, 所以就空了。 參考命令:chmod 777 /var/ftp/demoer。2、 為用戶設(shè)置了寫權(quán)限 為用戶設(shè)置了寫權(quán)限, , 可依舊拒絕訪問原因 原因:除了在 user_config_dir 設(shè)置的目錄中為定義用戶權(quán)限外, 還需要在系統(tǒng)中 為用戶的 local_root 指定的目錄設(shè)置好權(quán)限,如果本地系統(tǒng)都沒權(quán)限 ft

8、p user 無 論如何也不會(huì)有權(quán)限的。3、 vsftp 和 apache 不能相互編輯 不能相互編輯、 、 刪除各自的文件原因 原因:apche 生成的、 ftp 上傳的文件和目錄默認(rèn) umask 為 022, 其他人是不能操 作的。解決文件互操作最簡單的辦法是讓 vsftpd 以 apache 的身份運(yùn)行 (vsftpd.conf 中 guest_username=apache。<完>vsftpd.conf 配置參考 配置參考:使用時(shí)請將行后的注釋刪除。anonymous_enable=NO # 關(guān)閉匿名用戶anon_upload_enable=NO # 關(guān)閉匿名用戶權(quán)限,下同

9、anon_mkdir_write_enable=NOanon_other_write_enable=NOanon_world_readable_only=NOchown_uploads=NO # 不更改上傳文件的屬主#chown_username=whoever # 修改上傳文件的為用戶 whoerer 所有 anon_max_rate=5120000 # 匿名用戶上傳速度# 虛擬用戶:#pam_service_name=vsftpdguest_enable=YES # 啟用虛擬用戶guest_username=ftpvuser # 虛擬用戶使用哪個(gè)本地帳號(hào)的權(quán)限virtual_use_loc

10、al_privs=NOuser_config_dir=/etc/vsftpd/vusers # 保存虛擬用戶權(quán)限的目錄 # 本地帳戶:#local_enable=YES # 啟用本地用戶,虛擬用戶需要其為 YESlocal_umask=02219 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 userlist_enable=YESuserlist_file=/etc/vsftpd/user_listchroot_list

11、_enable=YESchroot_list_file=/etc/vsftpd/chroot_listlocal_max_rate=5120000# 帳戶常規(guī)配置:#write_enable=YESchroot_list_enable=NOchroot_local_user=YESsecure_chroot_dir=/usr/share/emptytext_userdb_names=YESftpd_banner=Welcome to FTP service.dirmessage_enable=YESmessage_file=.message# 系統(tǒng)配置: #nopriv_user=ftpvus

12、erlisten=YESlisten_port=22212 # ftp 端口號(hào),默認(rèn)為 21use_localtime=YESls_recurse_enable=NOidle_session_timeout=600data_connection_timeout=120accept_timeout=60connect_timeout=60tcp_wrappers=YESmax_clients=100max_per_ip=10connect_from_port_20=YESpasv_enable=YES#pasv_promiscuous=NOpasv_min_port=5000 # 被動(dòng)模式最小端

13、口號(hào)(用于設(shè)置防火墻 pasv_max_port=5010 # 被動(dòng)模式最大端口號(hào)(用于設(shè)置防火墻 port_enable=YES#port_promiscuous=NO# 日志:#xferlog_enable=YESxferlog_std_format=NOlog_ftp_protocol=YES57xferlog_file=/var/log/ftpvuser.log 58# 文件傳輸：# 59async_abor_enable=NO 60ascii_upload_enable=YES 61ascii_download_enable=YES 62 63 64 65 66 67 68 防火墻規(guī)則參考： 防火墻規(guī)則參考： # 添加規(guī)則，22212 為 vsftpd 服務(wù)端口，5000:5010 為 ftp 被動(dòng)模式時(shí)使用的 端口范圍 1 iptables -A RH-Firewall-1-INPUT -p tcp -m state -state NEW -m tcp 2 -dport 22212 -j ACCEPT 3 iptables -A RH-Firew