Linux FTP虚拟用户实现之vsftpd

288次阅读

共计 10241 个字符，预计需要花费 26 分钟才能阅读完成。

vsftpd 可以支持虚拟用户，这样这些用户跟系统用户不搭嘎，只能访问 FTP 服务提供的资源，系统势必就要安全的多了。我们实现 FTP 匿名用户可以有两种方式，可以把虚拟用户列表保存到本地一个数据文件中，也可以把数据保存至数据库文件中。下面分别介绍两种实现方式：

本地数据文件方式：

环境及需求：CentOS5.8

软件包：vsftpd, db4-utils(要用到其提供的 db_load 工具把文本格式的用户列表转换成二进制的数据格式供 vsftpd 使用）

1、安装所需软件包

yum –y install vsftpd db4-utils

2、创建用户口令文件

[root@ha1 vsftpd]# cd /etc/vsftpd/
[root@ha1 vsftpd]# vim vuser

tom /* 奇数行为用户名
tompwd /* 偶数行为上面用户的密码
jerry
jerrypwd

3、生成用户口令文件，并记得更改文件权限只有 root 有读写权限

[root@ha1 vsftpd]# db_load -T -t hash -f vuser vuser.db
[root@ha1 vsftpd]# ls
chroot_list ssl vsftpd.conf vuser
ftpusers user_list vsftpd_conf_migrate.sh vuser.db

[root@ha1 vsftpd]# chmod 700 vuser vuser.db
[root@ha1 vsftpd]# ll vuser vuser.db
-rwx—— 1 root root 26 Oct 29 13:40 vuser
-rwx—— 1 root root 12288 Oct 29 13:42 vuser.db

4、为其提供 PAM 的配置文件

[root@ha1 vsftpd]# cd /etc/pam.d/
[root@ha1 pam.d]# vim vsftpd.vuser

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser 注意这里 db 文件名后面的.db 不用带上，这个相当于后缀吧，.db 前面的才是文件名
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser

5、创建虚拟用户映射的系统用户，指定其家目录，不需要登陆权限及密码

[root@ha1 pam.d]# useradd -d /var/ftp/vuser -s /sbin/nologin vftpuser
[root@ha1 pam.d]# ll -d /var/ftp/vuser/
drwx—— 3 vftpuser vftpuser 4096 Oct 29 13:55 /var/ftp/vuser/

6、编辑 vsftpd 配置文件使其支持虚拟用户

[root@ha1 pam.d]# vim /etc/vsftpd/vsftpd.conf #添加以下几行

guest_enable=YES /* 启用虚拟用户
guest_username=vftpuser /* 指定 FTP 虚拟用户映射到的系统用户
pam_service_name=vsftpd.vuser /* 定义 PAM 认证文件

保存退出，重启 vsftpd 服务

service vsftpd restart

7、用虚拟账号登陆验证，可以看到可以成功使用 tom 账号登陆 ftp 并且上传文件，文件位于 vftpuser 家目录 /var/ftp/vuser 下

[root@ha1 pam.d]# !ftpftp 192.168.188.128 Connected to 192.168.188.128.220 (vsFTPd 2.0.5) 530 Please login with USER and PASS.530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (192.168.188.128:root): tom 331 Please specify the password. Password:230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd 257“/“ ftp> lcd /etc/Local directory now /etc ftp> put issue local: issue remote: issue 227 Entering Passive Mode (192,168,188,128,231,93) 150 Ok to send data.226 File receive OK.47 bytes sent in 0.0045 seconds (10 Kbytes/s) ftp> bye 221 Goodbye. [root@ha1 pam.d]# ls /var/ftp/vuser/issue

更多详情见请继续阅读下一页的精彩内容： http://www.linuxidc.com/Linux/2013-11/92210p2.htm

推荐阅读：

玩转 vsftpd 服务器的四大高级配置：http://www.linuxidc.com/Linux/2013-09/90565.htm

vsFTPd 配置教程：http://www.linuxidc.com/Linux/2013-09/90562.htm

Ubuntu 实用简单的 FTP 架设 http://www.linuxidc.com/Linux/2012-02/55346.htm

Ubuntu 上架设 FTP 服务器和 Apache 服务器 http://www.linuxidc.com/Linux/2011-04/35295.htm

Ubuntu 13.04 安装 LAMP\vsftpd\Webmin\phpMyAdmin 服务及设置 http://www.linuxidc.com/Linux/2013-06/86250.htm

RHEL6 平台下 SeLinux 和 vsftpd 的匿名上传的简单案例 http://www.linuxidc.com/Linux/2013-04/82300.htm

Linux 系统 vsftpd 源码安装 http://www.linuxidc.com/Linux/2013-03/81475.htm

vsftpd 的安全配置案例分析 http://www.linuxidc.com/Linux/2012-12/76501.htm

通过 MySQL 数据库服务器提供口令数据

1、安装 mysql

yum –y install mysql-server mysql-devel

2、编译安装 pam-mysql

下载地址：http://nchc.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz

下载完解压，编译安装，configure 只要指定一下—with-mysql 即可，

[root@ha1~]# tar xf pam_mysql-0.7RC1.tar.gz [root@ha1~]# cd pam_mysql-0.7RC1[root@ha1 pam_mysql–0.7RC1]# lsacinclude.m4 config.status install–sh mkinstalldirs pkg.m4 aclocal.m4 config.sub libtool NEWS README ChangeLog configure ltmain.sh pam_mysql.c stamp–h config.guess configure.in Makefile pam_mysql.la stamp–h.in config.h COPYING Makefile.am pam_mysql.lo config.h.in CREDITS Makefile.in pam_mysql.spec config.log INSTALL missing pam_mysql.spec.in [root@ha1 pam_mysql–0.7RC1]# ./configure –with-mysql=/usr

[root@ha1 pam_mysql-0.7RC1]# make && make install

3、创建用户口令数据库

创建一个用户文件 vim /etc/vsftpd/vuser (字段之间用 Tab 键隔开，由于我的表有个 id 字段，所以第一个字段直接加个 Tab)

tom tom

jerry jerry

mysql>CREATEDATABASE vsftpd; //创建数据库 Query OK, 1 row affected (0.03 sec) mysql>USE vsftpd; //切到数据库 vsftpd Database changed mysql>CREATETABLE vuser //创建用户表 -> (id SMALLINTNOTNULL AUTO_INCREMENT PRIMARYKEY, -> name CHAR(20) BINARYNOTNULL, -> password CHAR(48) BINARYNOTNULL); Query OK, 0 rows affected (0.10 sec) mysql>DESC vuser; //查看表结构 +———–+————-+——+—–+———+—————-+| Field | Type |Null|Key|Default| Extra |+———–+————-+——+—–+———+—————-+| id |smallint(6) | NO | PRI |NULL| auto_increment || name |char(20) | NO ||NULL||| password |char(48) | NO ||NULL||+———–+————-+——+—–+———+—————-+3 rows inset (0.04 sec) mysql>LOAD DATA LOCAL INFILE “/etc/vsftpd/vuser” INTOTABLE vuser; //可以直接从文本文件中批量导入用户 Query OK, 4 rows affected, 12 warnings (0.04 sec) Records: 4 Deleted: 0 Skipped: 0 Warnings: 8 mysql>INSERTINTO vuser (name,password) VALUES (‘bob‘,password(‘bob‘)),(‘tina‘,‘tina‘); //当然也可以直接批量插入用户数据，这里我一个使用了 mysql 的 password 函数，一个没有使用，因为 pam_mysql 和 mysql 使用的 password 函数可能不一样，会导致无法认证，下面会分别测试一下 Query OK, 2 rows affected (0.03 sec) Records: 2 Duplicates: 0 Warnings: 0 mysql>GRANTSELECTON vsftpd.*TO vftpuser@localhost IDENTIFIED BY‘vftpuser‘; Query OK, 0 rows affected (0.10 sec) mysql>GRANTSELECTON vsftpd.*TO vftpuser@127.0.0.1 IDENTIFIED BY‘vftpuser‘; //这两行给予 vftpuser 用户 vsftpd 数据库所有表查询权限 Query OK, 0 rows affected (0.00 sec) mysql> FLUSH PRIVILEGES; //刷新权限信息使权限生效 Query OK, 0 rows affected (0.04 sec)

我们用 vftpuser 登陆 mysql 验证一下是否具有查询权限

[root@ha1 ~]# mysql –u vftpuser –p Enter password: Welcome to the MySQL monitor. Commands endwith ; or \g. Your MySQL connection id is7 Server version: 5.0.95 Source distribution Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type ‘help;‘or‘\h‘for help. Type ‘\c‘to clear the current input statement. mysql> SHOW DATABASES; +———————+|Database|+———————+| information_schema || test || vsftpd |+———————+3 rows inset (0.00 sec) mysql>USE vsftpd; Reading table information for completion oftableandcolumn names You can turn off this feature to get a quicker startup with–A Database changed mysql> SHOW TABLES; +——————-+| Tables_in_vsftpd |+——————-+| vuser |+——————-+1 row inset (0.00 sec) mysql>SELECT*FROM vuser; +—–+——-+——————+| id | name | password |+—–+——-+——————+|1| tom | tom ||2| jerry | jerry ||3| tina | tina ||4| bob | 7d67547927a4589e |+—–+——-+——————+4 rows inset (0.00 sec)

4、为 mysql 创建一个 pam 配置文件

[root@ha1 pam.d]# cd /etc/pam.d

[root@ha1 pam.d]# vim vsftpd.mysql

auth required /usr/lib/security/pam_mysql.so user=vftpuser passwd=vftpuser host=localhost db=vsftpd table=vuser usercolumn=name passwordcolumn=password crypt=0

account required /usr/lib/security/pam_mysql.so user=vftpuser passwd=vftpuser host=localhost db=vsftpd table=vuser usercolumn=name passwordcolumn=password ctypt=0

5、创建虚拟用户映射的系统用户，指定其家目录，不需要登陆权限及密码

[root@ha1 pam.d]# useradd -d /var/ftp/vuser -s /sbin/nologin vftpuser
[root@ha1 pam.d]# ll -d /var/ftp/vuser/
drwx—— 3 vftpuser vftpuser 4096 Oct 29 13:55 /var/ftp/vuser/

6、修改 vsftpd 配置文件，支持通过 mysql 认证

[root@ha1 pam.d]# vim /etc/vsftpd/vsftpd.conf

guest_enable=YES
guest_username=vftpuser
pam_service_name=vsftpd.mysql

anon_world_readable_only=NO

用 windows 客户端登陆验证，需要注意的是虚拟用户默认使用的是匿名用户的权限，配置文件要加上一句 anon_world_readable_only=NO, 不然的话 ls 命令结果列不出来。

Linux FTP 虚拟用户实现之 vsftpd

vsftpd 可以支持虚拟用户，这样这些用户跟系统用户不搭嘎，只能访问 FTP 服务提供的资源，系统势必就要安全的多了。我们实现 FTP 匿名用户可以有两种方式，可以把虚拟用户列表保存到本地一个数据文件中，也可以把数据保存至数据库文件中。下面分别介绍两种实现方式：

本地数据文件方式：

环境及需求：CentOS5.8

软件包：vsftpd, db4-utils(要用到其提供的 db_load 工具把文本格式的用户列表转换成二进制的数据格式供 vsftpd 使用）

1、安装所需软件包

yum –y install vsftpd db4-utils

2、创建用户口令文件

[root@ha1 vsftpd]# cd /etc/vsftpd/
[root@ha1 vsftpd]# vim vuser

tom /* 奇数行为用户名
tompwd /* 偶数行为上面用户的密码
jerry
jerrypwd

3、生成用户口令文件，并记得更改文件权限只有 root 有读写权限

[root@ha1 vsftpd]# db_load -T -t hash -f vuser vuser.db
[root@ha1 vsftpd]# ls
chroot_list ssl vsftpd.conf vuser
ftpusers user_list vsftpd_conf_migrate.sh vuser.db

[root@ha1 vsftpd]# chmod 700 vuser vuser.db
[root@ha1 vsftpd]# ll vuser vuser.db
-rwx—— 1 root root 26 Oct 29 13:40 vuser
-rwx—— 1 root root 12288 Oct 29 13:42 vuser.db

4、为其提供 PAM 的配置文件

[root@ha1 vsftpd]# cd /etc/pam.d/
[root@ha1 pam.d]# vim vsftpd.vuser

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser 注意这里 db 文件名后面的.db 不用带上，这个相当于后缀吧，.db 前面的才是文件名
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vuser

5、创建虚拟用户映射的系统用户，指定其家目录，不需要登陆权限及密码

[root@ha1 pam.d]# useradd -d /var/ftp/vuser -s /sbin/nologin vftpuser
[root@ha1 pam.d]# ll -d /var/ftp/vuser/
drwx—— 3 vftpuser vftpuser 4096 Oct 29 13:55 /var/ftp/vuser/

6、编辑 vsftpd 配置文件使其支持虚拟用户

[root@ha1 pam.d]# vim /etc/vsftpd/vsftpd.conf #添加以下几行

guest_enable=YES /* 启用虚拟用户
guest_username=vftpuser /* 指定 FTP 虚拟用户映射到的系统用户
pam_service_name=vsftpd.vuser /* 定义 PAM 认证文件

保存退出，重启 vsftpd 服务

service vsftpd restart

7、用虚拟账号登陆验证，可以看到可以成功使用 tom 账号登陆 ftp 并且上传文件，文件位于 vftpuser 家目录 /var/ftp/vuser 下

[root@ha1 pam.d]# !ftpftp 192.168.188.128 Connected to 192.168.188.128.220 (vsFTPd 2.0.5) 530 Please login with USER and PASS.530 Please login with USER and PASS. KERBEROS_V4 rejected as an authentication type Name (192.168.188.128:root): tom 331 Please specify the password. Password:230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> pwd 257“/“ ftp> lcd /etc/Local directory now /etc ftp> put issue local: issue remote: issue 227 Entering Passive Mode (192,168,188,128,231,93) 150 Ok to send data.226 File receive OK.47 bytes sent in 0.0045 seconds (10 Kbytes/s) ftp> bye 221 Goodbye. [root@ha1 pam.d]# ls /var/ftp/vuser/issue

更多详情见请继续阅读下一页的精彩内容： http://www.linuxidc.com/Linux/2013-11/92210p2.htm

推荐阅读：

玩转 vsftpd 服务器的四大高级配置：http://www.linuxidc.com/Linux/2013-09/90565.htm

vsFTPd 配置教程：http://www.linuxidc.com/Linux/2013-09/90562.htm

Ubuntu 实用简单的 FTP 架设 http://www.linuxidc.com/Linux/2012-02/55346.htm

Ubuntu 上架设 FTP 服务器和 Apache 服务器 http://www.linuxidc.com/Linux/2011-04/35295.htm

Ubuntu 13.04 安装 LAMP\vsftpd\Webmin\phpMyAdmin 服务及设置 http://www.linuxidc.com/Linux/2013-06/86250.htm

RHEL6 平台下 SeLinux 和 vsftpd 的匿名上传的简单案例 http://www.linuxidc.com/Linux/2013-04/82300.htm

Linux 系统 vsftpd 源码安装 http://www.linuxidc.com/Linux/2013-03/81475.htm

vsftpd 的安全配置案例分析 http://www.linuxidc.com/Linux/2012-12/76501.htm

虚拟用户高级设置

虚拟用户默认使用的匿名用户的权限，当然 vsftpd 还支持继承系统用户的权限：

virtual_use_local_privs 参数
当 virtual_use_local_privs=YES 时，虚拟用户和本地用户有相同的权限；
当 virtual_use_local_privs=NO 时，虚拟用户和匿名用户有相同的权限，默认是 NO。
当 virtual_use_local_privs=YES，write_enable=YES 时，虚拟用户具有写权限（上传、下载、删除、重命名）。
当 virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，
anon_upload_enable=YES 时，虚拟用户不能浏览目录，只能上传文件，无其他权限。
当 virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=NO 时，虚拟用户只能下载文件，无其他权限。
当 virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=YES 时，虚拟用户只能上传和下载文件，无其他权限。
当 virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_mkdir_write_enable=YES 时，虚拟用户只能下载文件和创建文件夹，无其他权限。
当 virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_other_write_enable=YES 时，虚拟用户只能下载、删除和重命名文件，无其他权限。

此外，如果有需要，我们还可以为我们的虚拟用户分别定义权限：

此时只要在 vsftpd.conf 加上一行

user_config_dir=/etc/vsftpd/vsftpd.conf

然后创建 vsftpd.conf 目录，在些目录下分别创建与虚拟用户同名的文件，里面写上相应的权限设置就可以啦，更多的功能小伙伴根据需要自由发挥啦。

正文完

星哥玩云-微信公众号