ubuntu Server 11.10 下vsftpd虚拟用户配置

发布时间:2020-02-29编辑:脚本学堂
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。安全性是编写VSFTP的初衷,除了这与生俱来的安全特性以外,高速与高稳定性也是VSFTP的两个重要特点。

首先,我们来认识下vsftp。
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。安全性是编写VSFTP的初衷,除了这与生俱来的安全特性以外,高速与高稳定性也是VSFTP的两个重要特点。

速度方面:使用ASCII代码的模式下载数据时,VSFTP的速度是Wu-FTP的两倍,如果linux主机使用2.4.*的内核,在千兆以太网上的下载速度可达86MB/S。

稳定方面:VSFTP就更加的出色,VSFTP在单机(非集群)上支持4000个以上的并发用户同时连接,根据redhat的Ftp服务器(ftp.redhat.com)的数据,VSFTP服务器可以支持15000个并发用户

本文主要介绍vsftpd虚拟用户模式配置方法,供大家学习参考。

安装VSFTP:sudo apt-get install vsftpd
安装DB软件包:sudo apt-get install db-util

配置虚拟用户(进入/etc/vsftpd下操作)
1. 建立虚拟用户口令库文件

复制代码 代码如下:
# vim vusers.list (第一行写 用户名,第二行写 密码,保存退出)
user1
user1pwd
user2
user2pwd

2. 生成vsftpd的认证文件

复制代码 代码如下:
# db_load -T -t hash -f vusers.list /etc/vsftpd/vsftpd_login.db (生成认证文件)
# chmod 600 /etc/vsftpd/vsftpd_login.db (赋权)

3. 建立虚拟用户所需的PAM配置文件

复制代码 代码如下:
# vim /etc/pam.d/vsftpd (加入下面内容,其他全部注释。)
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login

4. 建立虚拟用户要访问的目录并设置权限

复制代码 代码如下:
# useradd -d /home/ftp -s /sbin/nologin virtual
# chmod 777 /home/ftp/
在 vsftpd.conf 添加以下参数配置项:
guest_enable=YES
guest_username=virtual

5. 对不同虚拟用户设置不同权限

复制代码 代码如下:
# mkdir /etc/vsftpd/vsftpd_user_conf
# vim /etc/vsftpd/vsftpd_user_conf/user1 (建立用户单独配置文件,文件名就是用户名)
local_root=/home/ftp/user1 #这里的虚拟用户目录可以根据实际情况修改
write_enable=YES
virtual_use_local_privs=YES #虚拟用户具有写权限(上传、下载、删除、重命名)
在 vsftpd.conf 添加以下参数配置项:
user_config_dir=/etc/vsftpd/vsftpd_user_conf

6. 禁锢FTP用户在宿主目录
将需要禁锢的用户名写入“vsftpd.chroot_list”文件

复制代码 代码如下:
# vim /etc/vsftpd.chroot_list
user1
user2
在 vsftpd.conf 添加以下参数配置项:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list

补充:ftp被动连接端口设置,FTP协议有两种工作方式:PORT方式和PASV方式,中文意思为主动式和被动式。
PORT(主动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据。
PASV(被动)方式的连接过程是:客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端:“我打开了XXXX端口,你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据。
如果FTP客户端软件设置的是被动连接,那么VSFTP配置文件需要设置被动端口:
在 vsftpd.conf 添加以下参数配置项:

复制代码 代码如下:
pasv_min_port=3000
pasv_max_port=3010

如果开启iptables防火墙,需要配置:

复制代码 代码如下:
iptables -A INPUT -p tcp -s 0/0 --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 3000:3010 -j ACCEPT

如果开始selinux,需要解除selinux阻止:

复制代码 代码如下:
#setsebool -P ftpd_disable_trans 1
#service vsftpd restart

备注:virtual_use_local_privs参数

当virtual_use_local_privs=YES时,虚拟用户和本地用户有相同的权限;
当virtual_use_local_privs=NO时,虚拟用户和匿名用户有相同的权限,默认是NO。
 
当virtual_use_local_privs=YES,write_enable=YES时,虚拟用户具有写权限(上传、下载、删除、重命名)。
 
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YES,
anon_upload_enable=YES时,虚拟用户不能浏览目录,只能上传文件,无其他权限。
 
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=NO时,虚拟用户只能下载文件,无其他权限。
 
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=YES时,虚拟用户只能上传和下载文件,无其他权限。
 
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_mkdir_write_enable=YES时,虚拟用户只能下载文件和创建文件夹,无其他权限。
 
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_other_write_enable=YES时,虚拟用户只能下载、删除和重命名文件,无其他权限。

上一篇:ubuntu下安装vsftpd
下一篇:vsftpd 配置十则