Linux(Ubuntu Server 11.10) FTP服務器-VSFTPD虛擬用戶配置
VSFTP是一個基於GPL發佈的類Unix系統上使用的FTP服務器軟件,它的全稱是Very Secure FTP 從此名稱可以看出來,編制者的初衷是代碼的安全。安全性是編寫VSFTP的初衷,除了這與生俱來的安全特性以外,高速與高穩定性也是VSFTP的兩個重要特點。
在速度方面:使用ASCII代碼的模式下載數據時,VSFTP的速度是Wu-FTP的兩倍,如果Linux主機使用2.4.*的內核,在千兆以太網上的下載速度可達86MB/S。
在穩定方面:VSFTP就更加的出色,VSFTP在單機(非集羣)上支持4000個以上的併發用戶同時連接,根據RedHat的Ftp服務器(ftp.redhat.com)的數據,VSFTP服務器可以支持15000個併發用戶
本文主要介紹一下VSFTP虛擬用戶模式配置方法:
安裝VSFTP:sudo apt-get install vsftpd
安裝DB軟件包:sudo apt-get install db-util
配置虛擬用戶(進入/etc/vsftpd下操作)
1. 建立虛擬用戶口令庫文件
# vim vusers.list (第一行寫 用戶名,第二行寫 密碼,保存退出)
user1
user1pwd
user2
user2pwd
2. 生成vsftpd的認證文件
# db_load -T -t hash -f vusers.list /etc/vsftpd/vsftpd_login.db (生成認證文件)
# chmod 600 /etc/vsftpd/vsftpd_login.db (賦權)
3. 建立虛擬用戶所需的PAM配置文件
# vim /etc/pam.d/vsftpd (加入下面內容,其他全部註釋。)
auth required pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required pam_userdb.so db=/etc/vsftpd/vsftpd_login
4. 建立虛擬用戶要訪問的目錄並設置權限
# useradd -d /home/ftp -s /sbin/nologin virtual
# chmod 777 /home/ftp/
在 vsftpd.conf 添加以下參數配置項:
guest_enable=YES
guest_username=virtual
5. 對不同虛擬用戶設置不同權限
# mkdir /etc/vsftpd/vsftpd_user_conf
# vim /etc/vsftpd/vsftpd_user_conf/user1 (建立用戶單獨配置文件,文件名就是用戶名)
local_root=/home/ftp/user1 #這裏的虛擬用戶目錄可以根據實際情況修改
write_enable=YES
virtual_use_local_privs=YES #虛擬用戶具有寫權限(上傳、下載、刪除、重命名)
在 vsftpd.conf 添加以下參數配置項:
user_config_dir=/etc/vsftpd/vsftpd_user_conf
6. 禁錮FTP用戶在宿主目錄
將需要禁錮的用戶名寫入“vsftpd.chroot_list”文件
# vim /etc/vsftpd.chroot_list
user1
user2
在 vsftpd.conf 添加以下參數配置項:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
下面補充說明一下ftp被動連接端口設置,FTP協議有兩種工作方式:PORT方式和PASV方式,中文意思爲主動式和被動式。
PORT(主動)方式的連接過程是:客戶端向服務器的FTP端口(默認是21)發送連接請求,服務器接受連接,建立一條命令鏈路。當需要傳送數據時,客戶端在命令鏈路上用PORT命令告訴服務器:“我打開了XXXX端口,你過來連接我”。於是服務器從20端口向客戶端的XXXX端口發送連接請求,建立一條數據鏈路來傳送數據。
PASV(被動)方式的連接過程是:客戶端向服務器的FTP端口(默認是21)發送連接請求,服務器接受連接,建立一條命令鏈路。當需要傳送數據時,服務器在命令鏈路上用PASV命令告訴客戶端:“我打開了XXXX端口,你過來連接我”。於是客戶端向服務器的XXXX端口發送連接請求,建立一條數據鏈路來傳送數據。
如果FTP客戶端軟件設置的是被動連接,那麼VSFTP配置文件需要設置被動端口:
在 vsftpd.conf 添加以下參數配置項:
pasv_min_port=3000
pasv_max_port=3010
如果開啓iptables防火牆,需要配置:
iptables -A INPUT -p tcp -s 0/0 --dport 3000 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 3000:3010 -j ACCEPT
如果開始SELinux,需要解除selinux阻止:
#setsebool -P ftpd_disable_trans 1
#service vsftpd restart
備註:virtual_use_local_privs參數
當virtual_use_local_privs=YES時,虛擬用戶和本地用戶有相同的權限;
當virtual_use_local_privs=NO時,虛擬用戶和匿名用戶有相同的權限,默認是NO。
當virtual_use_local_privs=YES,write_enable=YES時,虛擬用戶具有寫權限(上傳、下載、刪除、重命名)。
當virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YES,
anon_upload_enable=YES時,虛擬用戶不能瀏覽目錄,只能上傳文件,無其他權限。
當virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=NO時,虛擬用戶只能下載文件,無其他權限。
當virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=YES時,虛擬用戶只能上傳和下載文件,無其他權限。
當virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_mkdir_write_enable=YES時,虛擬用戶只能下載文件和創建文件夾,無其他權限。
當virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_other_write_enable=YES時,虛擬用戶只能下載、刪除和重命名文件,無其他權限。