FTP服务的高级应用详解

FTP服务器的高级配置

基于虚拟用户的FTP服务器

1. 什么是虚拟用户

虚拟用户:即客户端登录vsftpd服务器时输入的多个用户名在服务器上根本不存在,这些用户名都对应了一个vsftpd服务器上的本地用户。

2.   为什么要用虚拟用户

虚拟用户的特点是只能访问服务器为其提供的FTP服务,而不能访问系统的其它资源。

3.    什么时候用虚拟用户

如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其它资源,可以使用虚拟用户来提高系统的安全性。

1. 怎么用虚拟用户

在VSFTP中,认证这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PAM)认证。使用这种方式更加安全,并且配置更加灵活。

1.建立虚拟用户口令数据库

cd ~

vim login.txt   创建虚拟用户列表文件

-----------------

tom虚拟用户

123密码

jack

123

-------------

rpm -vih db4-utils``` 安装db_load命令对应的软件包

db_load -T -t hash -f login.txt /etc/vsftpd/vsftpd_login.db

将虚拟用户口令文件转换为数据库文件

chmod 600 /etc/vsftpd/vsftpd_login.db

安全起见 设置存有虚拟用户口令的的数据库权限

2.为虚拟用户建立PAM认证文件

ls /etc/pam.d/ 验证文件所在路径

vim /etc/vsftpd/vsftpd.conf

-------------------

pam_service_name=vsftpd 当前pam文件,只能对匿名用户本地用户身份验证

---------------------

vim /etc/pam.d/vsftpd.vu创建虚拟用户身份验证pam文件

------------------------------------

auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login

account required pam_userdb.so db=/etc/vsftpd/vsftpd_login

-------------------------------------------------

3.准备一个映射账号,用于虚拟用户对应的系统账号

useradd vu -s /sbin/nologin

ls /home/vu

touch /home/vu/file1.txt 标记当前路径,方便识别

一旦使用了虚拟用户,匿名用户就不可用了

4.配置vsftpd server支持虚拟用户

(1)禁用匿名用户相关(一旦支持虚拟用户就不能支持其他)

(2)启用虚拟用户功能,并指定映射账户

(3)使用新的PAM文件

vim /etc/vsftpd/vsftpd.conf

--------------------------------

anonymous_enable=NO 禁用匿名用户相关

guest_enable=YES  启用虚拟用户功能

guest_username=vu  指定映射账户

pam_service_name=vsftpd.vu 使用新的PAM文件

-----------------------------------------

对虚拟用户设置权限的指令 和 对匿名用户设置权限的指令完全相同

-------------------------------

anon_world_readable_only=NO 打开匿名用户浏览功能

--------------------------------

可以看到文件,可以下载不可上传

5、给虚拟用户设置不同权限

zj 游客 上传下载速率50kb 线程5个

zwh  VIP  上传下载速率100kb 线程10个

lym 管理员 创建,修改删除等

权限由主配置文件和个人配置文件决定,主配置文件权限尽量小,在个人配置文件当中释放权限。

vim /etc/vsftpd/vsftpd.conf

---------------------------

anon_world_readable_only=NO  开放匿名用户的浏览权限

user_config_dir=/etc/vsftpd/1304B

----------------------------------

cd /etc/vsftpd

mkdir 1304B

创建个人配置文件

vim srj

--------------------

write_enable=YES

anon_max_rate=10000  对匿名用户限速

max_per_ip=5   设置每个IP最大的连接数(线程数)

anon_upload_enable=YES  启用匿名用户上传文件的功能(文件夹不成)

-----------------------

其他类似

重启服务

测试

设置FTP服务器的访问限制

ftpusers :黑名单 其内所有的用户无法登录FTP服务器

如果userlist_enable=YES(主配置文件中设置),user_list黑名单  其内所有的用户无法登录

如果userlist_enable=NO(主配置文件中设置),user_list白名单  其内所有的用户可以登录

通过/etc/hosts.allow和/etc/hosts.deny来控制用户的访问,这种方式称TCPWRAPPER。

Vim  /etc/vsftpd/vsftpd.conf

---------------------------------

tcp_wrappers=YES

-----------------------------------

如果用户满足/etc/hosts.allow,那么允许访问。

如果用户不满足/etc/hosts.allow,满足/etc/hosts.deny,那么不允许访问。

如果用户两文件都没有满足,默认是允许访问的。

格式:

服务名:    主机

vsftpd:  172.18.49.99

FTP常规配置应用案例1:

需求:

公司内部现在有一台FTP和WEB服务器,FTP的功能主要用于维护公司的网站内容,包括上传文件、创建目录、更新网页等等哈~公司现有两个部门负责维护任务,他们分别适用team1和team2帐号进行管理。先要求仅允许team1和team2帐号登录FTP服务器,但不能登录本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。

分析:

将FTP和WEB服务器做在一起是企业经常采用的方法,这样方便实现对网站的维护,为了增强安全性,首先需要使用仅允许本地用户访问,并禁止匿名用户登录。其次使用chroot功能将team1和team2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限哈~

(1)建立维护网站内容的ftp帐号team1和team2并禁止本地登录,然后设置其密码

useradd -s /sbin/nologin 用户名

(2)配置vsftpd.conf主配置文件并作相应修改

vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO:禁止匿名用户登录

local_enable=YES:允许本地用户登录

local_root=/var/www/html:设置本地用户的根目录为/var/www/html

chroot_list_enable=YES:激chroot功能

chroot_list_file=/etc/vsftpd/chroot_list:设置锁定用户在根目录中的列表文件

保存退出

(3)建立/etc/vsftpd/chroot_list文件,添加team1和team2帐号

touch /etc/vsftpd/chroot_list

(4)重启vsftpd服务使配置生效

service vsftpd restart

(5)修改本地权限

Chmod -R o+w /var/www/html

(6)测试

FTP常规配置应用案例2:

企业环境

公司为了宣传最新的产品信息,计划搭建FTP服务器,为客户ftp提供相关文档的下载。对所有权互联网开放共享目录,允许下载产品信息,禁止上传。公司的合作单位vip能够使用FTP服务器进行上传和下载,但不可以删除数据。并且保证服务器的稳定性,进行适当优化设置哈~

需求分析

根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。需考虑到服务器的安全性,所以关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。

1、创建用户数据库

(1)创建用户文本文件

先建立用户文本文件vsftpd_virtualuser.txt,添加两个虚拟帐号,客户账户ftp及合作单位帐号vip

(2)生成数据库

保存虚拟帐号和密码的文本文件无法被系统帐号直接调用,使用db_load命令生成db数据库文件

db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db

3)修改数据库文件访问权限

数据库文件中保存着虚拟帐号的密码信息,为了防止非法用户盗取,修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写,即600

chmod 600 /etc/vsftpd/vsftpd_virtualuser

2、配置PAM文件

3、创建虚拟帐号对应的系统用户

对于公共帐号和客户帐号,因为需要配置不同的权限,所以可以将两个帐号的目录进行隔离,控制用户的文件访问。公共帐号ftp对应系统帐号ftpuser,并指定其主目录为/var/ftp/share,而客户帐号vip对应系统帐号ftpvip,指定主目录为/var/ftp/vip

chmod -R 500 /var/ftp/share/ :公共帐号ftp只允许下载,修改share目录其他用户权限为rx可读可执行。

chmod -R 700 /var/ftp/vip/ :客户帐号vip允许上传和下载,所以对vip目录权限设置为rwx,可读可写可执行。

如果不设置可执行用户登录会出不能更改目录错误。

(1)修改vsftpd.conf主配置文件

配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段,定义虚拟帐号的配置文件目录

禁用匿名用户登录并启用本地用户登录设置

anonymous_enable=NO

local_enable=YES

将所有本地用户限制在家目录中,NO则不限制

chroot_local_user=YES

pam_service_name=vsftpd:配置vsftpd使用的PAM模块为vsftpd

user_config_dir=/etc/vsftpd/vuserconfig:设置虚拟帐号的主目录为/vuserconfig

max_clients=300:设置FTP服务器最大接入客户端数为300个

max_per_ip=10:设置每个IP地址最大连接数为10个

2)建立虚拟帐号配置文件

在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段哈~

首先建立公共帐号ftp的配置文件

guest_enable=yes:开启虚拟帐号登录

guest_username=ftpuser:设置ftp对应的系统帐号为ftpuser

anon_world_readable_only=no:允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=50000:限定传输速率为50KB/s

然后建立客户帐号的配置文件vip

guest_enable=yes:开启虚拟帐号登录

guest_username=ftpvip:设置ftp对应的系统帐号为ftpvip

anon_world_readable_only=no:允许匿名用户浏览器整个服务器的文件系统

write_enable=yes:允许在文件系统写入权限

anon_mkdir_write_enable=yes:允许创建文件夹

anon_upload_enable=yes:开启匿名帐号的上传功能

anon_max_rate=100000:限定传输速度为100KB/s

重启vsftpd使配置生效  测试

时间: 2024-10-04 10:54:01

FTP服务的高级应用详解的相关文章

redis服务部署及配置详解

Redis是一种高级key-value数据库.它跟memcached类似,不过数据可以持久化,而且支持的数据类型很丰富.有字符串,链表,集合和有序集合.支持在服务器端计算集合的并,交和补集(difference)等,还支持多种排序功能.所以Redis也可以被看成是一个数据结构服务器. Redis的所有数据都是保存在内存中,然后不定期的通过异步方式保存到磁盘上(这称为"半持久化模式"):也可以把每一次数据变化都写入到一个append only file(aof)里面(这称为"全

开机启动服务:chkconfig命令详解

1.查看系统运行级别 # cat /etc/inittab # Default runlevel. The runlevels used are:#   0 - halt (Do NOT set initdefault to this)#   1 - Single user mode#   2 - Multiuser, without NFS (The same as 3, if you do not have networking)#   3 - Full multiuser mode#  

Python中的高级数据结构详解

这篇文章主要介绍了Python中的高级数据结构详解,本文讲解了Collection.Array.Heapq.Bisect.Weakref.Copy以及Pprint这些数据结构的用法,需要的朋友可以参考下 数据结构 数据结构的概念很好理解,就是用来将数据组织在一起的结构.换句话说,数据结构是用来存储一系列关联数据的东西.在Python中有四种内建的数据结构,分别是List.Tuple.Dictionary以及Set.大部分的应用程序不需要其他类型的数据结构,但若是真需要也有很多高级数据结构可供选择

基于DKHadoop的智慧政务服务平台开发案例详解

基于DKHadoop的智慧政务服务平台开发案例详解大数据技术的应用与发展正在让我们的生活经历一场深刻的"变革",而且这种变革几乎让所有人都感觉非常舒服,自然而然的就完成了这样的一个变化.最根本的原因其实是大数据技术的应用真正帮助我们解决了问题.我想也正是基于大数据技术的超强实用性吧,它才会被上升到国家战略层面的高度得以出现在政府工作报告中.大数据技术的应用于,对于建设智慧政务平台的可谓功不可没.智慧政务云平台的建设技术以及方案,可以说是比较成熟了,当然前提是必须与大的.开发团队强的大数

ftp用户类型、配置文件详解以及“425 Security:Bad IP connection”解决方式

一:ftp用户类型 1:匿名用户anonymous,实际登陆访问文件目录时,是使用本地系统用户ftp登陆,访问ftp的家目录即/var/ftp,默认此目录只有root才有写权限(ftp的安全机制),推荐在此目录下创建目录并赋予ftp写权限 2:本地系统用户,登陆时会直接访问此用户的家目录,为了安全起见在操作系统创建用户时添加"-d /bin/nologin",设置此用户为不可登陆操作系统 3:虚拟用户,使用mysql等数据库管理用户,需在配置文件上将用户映射到某一本地系统用户 二:ft

SSH服务器之OpenSSH使用详解

一.什么是Openssh  OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现.SSH协议族可以用来进行远程控制, 或在计算机之间传送文件.而实现此功能的传统方式,如telnet(终端仿真协议). rcp ftp. rlogin.rsh都是极为不安全的,并且会使用明文传送密码.OpenSSH提供了服务端后台程序和客户端工具,用来加密远程控件和文件传输过程中的数据,并由此来代替原来的类似服务. 知识延伸:     ssh协议有两个版本:         v1:基于CRC-

postfix 邮件服务的安装及详解

sendmail:性能好,设置复杂,适合老手 qmail:体积小260+k ,模块化.需要做二次开发,适合对邮件性能有要求的 postfix:前身是sendmail,postfix原本是sendmail里面的一个模块,红帽6默认安装好postfix zmailer:近几年才出来的邮件 coremail:国内做的最好的商业平台,运行在linux上 Pop:允许客户端下载邮件,移动标记已读等操作  不会反馈到服务器. Imap4:双向通讯,客户端的操作会反馈到服务器,提供想更过的功能,听歌更好的邮件

Rsync 服务部署与参数详解

Rsync 简介 rsync 是一款开源的.快速的.多功能的.可实现全量及增量的本地或远程数据同步备份的优秀工具.Rsync软件适用于unix/linux/windows等多种操作系统平台. 传统的 scp 和 cp 工具拷贝每次均为完整拷贝,而rsync除了可以完整拷贝外,还具备增量拷贝功能.因此,从同步数据的性能及效率上,Rsync工具更胜一筹. 官网地址: 1 https://download.samba.org/pub/rsync/rsync.html 2 # 或者 3 https://

高性能Web服务之nginx应用详解

一.Nginx特性 * *模块化,目前只能将模块编译进Nginx,暂时不支持动态装卸模块.(httpd优势) * *可靠性,一个主进程(master)控制多个工作进程(worker),工作进程响应用户多个请求(httpd劣势) * *低内存消耗,(httpd劣势) * *支持热部署,(httpd相同) * *支持事件驱动I/O,AI/O,支持mmap(httpd2.4才算支持event,劣势) 二.Nginx基本架构 Nginx由一个master进程生成多个worker进程,每个worker进程