vsftp 搭建及虚拟账号配置

时间:2023-01-15 12:38:30

基于本地用户管理的配置

一、 安装vsftpd

yum -y install vsftpd

chkconfig vsftpd on

二、阻止匿名访问和切换根目录

编辑 /etc/vsftpd/vsftpd.conf,找到下面两处配置并修改:

# 禁用匿名用户

anonymous_enable=NO

# 禁止切换根目录

chroot_local_user=YES

三、创建用户

创建一个用户 ftpuser

useradd ftpuser

为用户 ftpuser 设置密码

echo "dAvK55EG" | passwd ftpuser --stdin

限制该用户仅能通过 FTP 访问

usermod -s /sbin/nologin ftpuser

四、为用户分配主目录

为用户 ftpuser 创建主目录并约定:

/data/ftp 为主目录, 该目录不可上传文件

/data/ftp/pub 文件只能上传到该目录下

mkdir -p /data/ftp/pub

创建登录欢迎文件 :

echo "Welcome to use FTP service." > /data/ftp/welcome.txt

设置访问权限:

chmod a-w /data/ftp && chmod 777 -R /data/ftp/pub

设置为用户的主目录:

usermod -d /data/ftp ftpuser

基于独立用户验证配置

一、 安装vsftpd

yum -y install vsftpd

chkconfig vsftpd on

二、 修改主配置文件

vi /etc/vsftpd/vsftpd.conf

# 允许匿名用户登陆,登陆时登陆名为 ftp 或 anonymous,口令为空

anonymous_enable=YES

# 允许本地用户登陆,登陆名为本地用户名,口令为本地用户的口令

local_enable=YES

# 允许本地用户写拥有FTP服务器文件的写权限

write_enable=YES

# 本地用户的文件默认掩码022,文件的默认最大权限为666,也就是上传文件的默认权限为644

local_umask=022

# 激活目录的欢迎信息功能

dirmessage_enable=YES

# 指定FTP使用20端口进行数据传输(默认FTP工作模式为被动模式,也就是PASV FTP,服务器将使用20端口与客户端进行数据传输)

connect_from_port_20=YES

# 启用上传和下载日志功能,该日志文件默认的存放位置为 /var/log/xferlog

xferlog_enable=YES

# 启用xferlog的标准格式输出

xferlog_std_format=YES

xferlog_file=/var/log/xferlog

dual_log_enable=YES

# ftp日志文件位置,需要手动touch

vsftpd_log_file=/var/log/vsftpd.log

# 以ascii模式传输数据

ascii_upload_enable=YES

ascii_download_enable=YES

# 服务器独立运行

listen=YES

# 支持ipv6

listen_ipv6=YES

# 设置PAM使用的名称,默认值为 /etc/pam.d/vsftpd

pam_service_name=vsftpd

# 启动user_list文件(该选项需与userlist_deny选项配合使用,userlist_deny默认为YES,也就是说默认请况下user_list表中的用户将被阻止登陆ftp服务器)

userlist_enable=YES

# 设置vsftpd与tcp wrapper组合来进行访问控制,YES的情况下,vsftpd将检查/etc/hosts.allow以及/etc/hosts.deny中的设置,来进行主机的访问控制

tcp_wrappers=YES

# 设定启用虚拟用户功能

guest_enable=YES

# 指定虚拟用户的宿主用户

guest_username=vftpdata

user_config_dir=/etc/vsftpd/vuser_conf

三、 设置虚拟账号认证

#安装Berkeley DB工具,提供虚拟账号管理

yum install db4 db4-utils

#创建用户密码文本,注意奇行是用户名,偶行是密码

vi /etc/vsftpd/vuser_passwd.txt

backup

123456

#生成虚拟用户认证的db文件

db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db

#编辑认证文件,全部注释掉原来语句,再增加以下两句

vi /etc/pam.d/vsftpd

auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd

account required pam_userdb.so db=/etc/vsftpd/vuser_passwd

四、 创建虚拟用户宿主

useradd -d /ftp_data vftpdata

五、 配置虚拟用户

#创建虚拟用户配置文件

mkdir /etc/vsftpd/vuser_conf/

#文件名等于vuser_passwd.txt里面的账户名

vi /etc/vsftpd/vuser_conf/backup

#虚拟用户根目录,根据实际情况修改

local_root=/ftp_data/backup

write_enable=YES

anon_umask=022

anon_world_readable_only=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

剩下的可以添加PASV扩展了

六、 端口及相关安全设置(能正常登录,无法获取目录列表)

方案一:

1、修改/etc/vsftpd/vsftpd.conf的配置文件,在文件末端添加:

pasv_max_port=6666

pasv_min_port=5555
/etc/init.d/vsftpd restart

2、添加一条防火墙规则

/etc/init.d/iptables stop

iptables -I INPUT -p tcp --dport 5555:6666 -j ACCEPT

/etc/init.d/iptables save

/etc/init.d/iptables start

方案二:

添加附加模块,链接追踪模块

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

modprobe ip_conntrack_ftp //临时加载

/etc/sysconfig/iptables-config//这个是永久的

IPTABLES_MODULES="ip_conntrack_netbios_ns ip_conntrack_ftp"

相关文章