FTP服务器的高级配置
基于虚拟用户的FTP服务器
1. 什么是虚拟用户
虚拟用户:即客户端登录vsftpd服务器时输入的多个用户名在服务器上根本不存在,这些用户名都对应了一个vsftpd服务器上的本地用户。
2. 为什么要用虚拟用户
虚拟用户的特点是只能访问服务器为其提供的FTP服务,而不能访问系统的其它资源。
3. 什么时候用虚拟用户
如果想让用户对FTP服务器站内具有写权限,但又不允许访问系统其它资源,可以使用虚拟用户来提高系统的安全性。
1. 怎么用虚拟用户
在VSFTP中,认证这些虚拟用户使用的是单独的口令库文件(pam_userdb),由可插入认证模块(PAM)认证。使用这种方式更加安全,并且配置更加灵活。
1.建立虚拟用户口令数据库
cd ~
vim login.txt 创建虚拟用户列表文件
-----------------
tom虚拟用户
123密码
jack
123
-------------
rpm -vih db4-utils``` 安装db_load命令对应的软件包
db_load -T -t hash -f login.txt /etc/vsftpd/vsftpd_login.db
将虚拟用户口令文件转换为数据库文件
chmod 600 /etc/vsftpd/vsftpd_login.db
安全起见 设置存有虚拟用户口令的的数据库权限
2.为虚拟用户建立PAM认证文件
ls /etc/pam.d/ 验证文件所在路径
vim /etc/vsftpd/vsftpd.conf
-------------------
pam_service_name=vsftpd 当前pam文件,只能对匿名用户本地用户身份验证
---------------------
vim /etc/pam.d/vsftpd.vu创建虚拟用户身份验证pam文件
------------------------------------
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
-------------------------------------------------
3.准备一个映射账号,用于虚拟用户对应的系统账号
useradd vu -s /sbin/nologin
ls /home/vu
touch /home/vu/file1.txt 标记当前路径,方便识别
一旦使用了虚拟用户,匿名用户就不可用了
4.配置vsftpd server支持虚拟用户
(1)禁用匿名用户相关(一旦支持虚拟用户就不能支持其他)
(2)启用虚拟用户功能,并指定映射账户
(3)使用新的PAM文件
vim /etc/vsftpd/vsftpd.conf
--------------------------------
anonymous_enable=NO 禁用匿名用户相关
guest_enable=YES 启用虚拟用户功能
guest_username=vu 指定映射账户
pam_service_name=vsftpd.vu 使用新的PAM文件
-----------------------------------------
对虚拟用户设置权限的指令 和 对匿名用户设置权限的指令完全相同
-------------------------------
anon_world_readable_only=NO 打开匿名用户浏览功能
--------------------------------
可以看到文件,可以下载不可上传
5、给虚拟用户设置不同权限
zj 游客 上传下载速率50kb 线程5个
zwh VIP 上传下载速率100kb 线程10个
lym 管理员 创建,修改删除等
权限由主配置文件和个人配置文件决定,主配置文件权限尽量小,在个人配置文件当中释放权限。
vim /etc/vsftpd/vsftpd.conf
---------------------------
anon_world_readable_only=NO 开放匿名用户的浏览权限
user_config_dir=/etc/vsftpd/1304B
----------------------------------
cd /etc/vsftpd
mkdir 1304B
创建个人配置文件
vim srj
--------------------
write_enable=YES
anon_max_rate=10000 对匿名用户限速
max_per_ip=5 设置每个IP最大的连接数(线程数)
anon_upload_enable=YES 启用匿名用户上传文件的功能(文件夹不成)
-----------------------
其他类似
重启服务
测试
设置FTP服务器的访问限制
ftpusers :黑名单 其内所有的用户无法登录FTP服务器
如果userlist_enable=YES(主配置文件中设置),user_list黑名单 其内所有的用户无法登录
如果userlist_enable=NO(主配置文件中设置),user_list白名单 其内所有的用户可以登录
通过/etc/hosts.allow和/etc/hosts.deny来控制用户的访问,这种方式称TCPWRAPPER。
Vim /etc/vsftpd/vsftpd.conf
---------------------------------
tcp_wrappers=YES
-----------------------------------
如果用户满足/etc/hosts.allow,那么允许访问。
如果用户不满足/etc/hosts.allow,满足/etc/hosts.deny,那么不允许访问。
如果用户两文件都没有满足,默认是允许访问的。
格式:
服务名: 主机
vsftpd: 172.18.49.99
FTP常规配置应用案例1:
需求:
公司内部现在有一台FTP和WEB服务器,FTP的功能主要用于维护公司的网站内容,包括上传文件、创建目录、更新网页等等哈~公司现有两个部门负责维护任务,他们分别适用team1和team2帐号进行管理。先要求仅允许team1和team2帐号登录FTP服务器,但不能登录本地系统,并将这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录。
分析:
将FTP和WEB服务器做在一起是企业经常采用的方法,这样方便实现对网站的维护,为了增强安全性,首先需要使用仅允许本地用户访问,并禁止匿名用户登录。其次使用chroot功能将team1和team2锁定在/var/www/html目录下。如果需要删除文件则还需要注意本地权限哈~
(1)建立维护网站内容的ftp帐号team1和team2并禁止本地登录,然后设置其密码
useradd -s /sbin/nologin 用户名
(2)配置vsftpd.conf主配置文件并作相应修改
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO:禁止匿名用户登录
local_enable=YES:允许本地用户登录
local_root=/var/www/html:设置本地用户的根目录为/var/www/html
chroot_list_enable=YES:激chroot功能
chroot_list_file=/etc/vsftpd/chroot_list:设置锁定用户在根目录中的列表文件
保存退出
(3)建立/etc/vsftpd/chroot_list文件,添加team1和team2帐号
touch /etc/vsftpd/chroot_list
(4)重启vsftpd服务使配置生效
service vsftpd restart
(5)修改本地权限
Chmod -R o+w /var/www/html
(6)测试
FTP常规配置应用案例2:
企业环境
公司为了宣传最新的产品信息,计划搭建FTP服务器,为客户ftp提供相关文档的下载。对所有权互联网开放共享目录,允许下载产品信息,禁止上传。公司的合作单位vip能够使用FTP服务器进行上传和下载,但不可以删除数据。并且保证服务器的稳定性,进行适当优化设置哈~
需求分析
根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。需考虑到服务器的安全性,所以关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。
1、创建用户数据库
(1)创建用户文本文件
先建立用户文本文件vsftpd_virtualuser.txt,添加两个虚拟帐号,客户账户ftp及合作单位帐号vip
(2)生成数据库
保存虚拟帐号和密码的文本文件无法被系统帐号直接调用,使用db_load命令生成db数据库文件
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
3)修改数据库文件访问权限
数据库文件中保存着虚拟帐号的密码信息,为了防止非法用户盗取,修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写,即600
chmod 600 /etc/vsftpd/vsftpd_virtualuser
2、配置PAM文件
3、创建虚拟帐号对应的系统用户
对于公共帐号和客户帐号,因为需要配置不同的权限,所以可以将两个帐号的目录进行隔离,控制用户的文件访问。公共帐号ftp对应系统帐号ftpuser,并指定其主目录为/var/ftp/share,而客户帐号vip对应系统帐号ftpvip,指定主目录为/var/ftp/vip
chmod -R 500 /var/ftp/share/ :公共帐号ftp只允许下载,修改share目录其他用户权限为rx可读可执行。
chmod -R 700 /var/ftp/vip/ :客户帐号vip允许上传和下载,所以对vip目录权限设置为rwx,可读可写可执行。
如果不设置可执行用户登录会出不能更改目录错误。
(1)修改vsftpd.conf主配置文件
配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段,定义虚拟帐号的配置文件目录
禁用匿名用户登录并启用本地用户登录设置
anonymous_enable=NO
local_enable=YES
将所有本地用户限制在家目录中,NO则不限制
chroot_local_user=YES
pam_service_name=vsftpd:配置vsftpd使用的PAM模块为vsftpd
user_config_dir=/etc/vsftpd/vuserconfig:设置虚拟帐号的主目录为/vuserconfig
max_clients=300:设置FTP服务器最大接入客户端数为300个
max_per_ip=10:设置每个IP地址最大连接数为10个
2)建立虚拟帐号配置文件
在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段哈~
首先建立公共帐号ftp的配置文件
guest_enable=yes:开启虚拟帐号登录
guest_username=ftpuser:设置ftp对应的系统帐号为ftpuser
anon_world_readable_only=no:允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=50000:限定传输速率为50KB/s
然后建立客户帐号的配置文件vip
guest_enable=yes:开启虚拟帐号登录
guest_username=ftpvip:设置ftp对应的系统帐号为ftpvip
anon_world_readable_only=no:允许匿名用户浏览器整个服务器的文件系统
write_enable=yes:允许在文件系统写入权限
anon_mkdir_write_enable=yes:允许创建文件夹
anon_upload_enable=yes:开启匿名帐号的上传功能
anon_max_rate=100000:限定传输速度为100KB/s
重启vsftpd使配置生效 测试