烂泥:Vsftpd使用虚拟用户,访问FTP

本文由秀依林枫提供友情赞助,首发于烂泥行天下

本文经过多次修改,截图中的代码和实际不一样,请以本文贴出的代码为准。

由于需要,公司网站目录需要把上传权限开通,并且同一个目录需要不同的人给与不同的权限。但是上传只能通过FTP进行上传。而网站服务器上的FTP服务器使用的是Vsftpd。

具体要求如下:

网站根目录/www,对用户ailanni具有所有权,能上传、下载、删除、创建目录权限。对bilanni用户具有下载、浏览权限。其他用户直接跳转到FTP公共目录下。

根据这个要求我们需要使用到vsftpd的虚拟用户。

Vsftp虚拟用户的原理是:把虚拟用户的权限映射到系统用户上。而虚拟用户的权限是有系统用户对目录的控制达到的。

如果安装上述要求的话,我们的思路是这样的。

在系统中新建用户ailanni,使其对/www目录具有所有权。而修改其用户组,使其用户组对/www目录只具有查看、浏览权限。即可。

下面把相关的操作步骤记录如下:

首先、安装Vsftpd软件。

yum –y install vsftpd

clip_image001[5]

安装完毕,我们先来建立所需要的用户。注意该系统用户一定要建立家目录,否则在后边无法登陆FTP服务器。

useradd ailanni

useradd bilanni

clip_image002[7]

查看用户所属的用户组:

id ailanni

id bilanni

clip_image003[5]

可以看到目前ailanni用户属于ailanni用户组,bilanni用户属于bilanni用户组。刚刚我们在前边就说过,要达到bilanni对www目录具有浏览、上传权限。我们需要把该用户加入到ailanni用户组,通过这样控制相关权限。

现在来把bilanni用户,加入到ailanni用户组。

usermod -G ailanni bilanni

id bilanni

clip_image004[4]

用户建立完毕,我们现在来创建/www目录,并修改其相关的属性。

mkdir /www

clip_image005[4]

通过上图,我们可以看到目前www目录,所属的用户及用户组为root。现在来进行修改,修改ailanni用户具有所有权限,ailanni用户组具有浏览、权限,其他用户组没有任何权限。把www目录的权限修改为750如下图:

chown –R ailanni:ailanni /www

clip_image006[4]

chmod –R 750

clip_image007[4]

以上我们把有关系统用户及其相关权限设置完毕,下面就来配置vsftpd。

切换到vsftpd的安装目录,编辑vsftpd.conf文件。如下图:

vim /etc/vsftpd/vsftpd.conf

clip_image008[4]

添加如下的内容:

pasv_enable=YES

pasv_min_port=30000

pasv_max_port=31000

chroot_local_user=YES

chroot_list_enable=NO

guest_enable=YES

user_config_dir=/etc/vsftpd/vu

pam_service_name=vsftpd.virtual

clip_image009[4]

其中

pasv_enable=YES 指定开启vsftpd被动模式,在被动模式下只需要vsftpd服务器开启相应端口即可,客户端无需再开启端口。

pasv_min_port=30000 指定被动模式最低端口

pasv_max_port=31000 指定模式最高端口

guest_enable表示是否开启vsftpd虚拟用户的功能,yes表示开启,no表示不开启。

user_config_dir指定每个虚拟用户账号配置目录。

pam_service_name设置PAM使用的名称,该名称就是/etc/pam.d/目录下vsftpd.virtual的文件。

chroot_local_user=YES是否将所有用户锁定在主目录,YES为启用,NO禁用.(包括注释掉也为禁用)。

chroot_list_enable=NO是否启动锁定用户的名单,YES为启用,NO禁用(包括注释掉也为禁用)。

chroot_local_user=YES和chroot_list_enable=NO一起使用表示禁止所有用户切换到上级目录。

配置完毕后,我们需要创建vsftpd虚拟用户账号的配置目录,如下图:

mkdir /etc/vsftpd/vu

clip_image010[4]

创建Vsftpd的虚拟用户,把这些用户名和密码存放在一个文件中。该文件内容格式是:用户名占用一行,密码占一行。如下图:

vim /etc/vsftpd/login.txt

clip_image011[4]

这个文件中ilannia与ilannib是vsftpd虚拟的用户名,ilanni为密码。

这个文件的虚拟用户和密码的文本文件无法被系统帐号直接调用,所以我们需要使用db_load命令生成db口令数据库文件,命令如下:

db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db

clip_image012[4]

为了使服务器能够使用上述生成的数据库文件,对客户端进行身份验证,需要调用系统的PAM模块。PAM(Plugable Authentication Module)为可插拔认证模块,不必重新安装应用系统,通过修改指定的配置文件,调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录,此目录下保存着大量与认证有关的配置文件,并以服务名称命名。

我们现在切换到/etc/pam.d/ 目录下,编辑vsftpd.virtual文件。如下图:

vim /etc/pam.d/vsftpd.virtual

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/login
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/login

clip_image013[4]

把该文件默认的内容注释掉,添加如下内容:

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/login

account required /lib/security/pam_userdb.so db=/etc/vsftpd/login

clip_image014[4]

auth是指对用户的用户名口令进行验证。

accout是指对用户的帐户有哪些权限哪些限制进行验证。

再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。

注意该函数会根据系统的位数而所在位置不同。

如果是32bit系统,该文件所在位置是/lib/security/pam_userdb.so,如下图:

clip_image015[4]

如果是64bit系统,该文件所在位置是/lib64/security/pam_userdb.so,如下图:

clip_image016[4]

最后db=/etc/vsftpd/login则指定了验证库函数将到这个指定的数据库中调用数据进行验证。其实该文件指的是/etc/vsftpd/login.db文件。

注意:db=/etc/vsftpd/login格式是这样的,去掉.db后缀。

PAM配置完毕后,我们现在开始创建虚拟用户与系统用户对应的文件。切换到/etc/vsftpd/vu目录下,并创建ilannia文件。注意该文件名称一定要与login.txt中的虚拟用户要对应。比如现在login.txt文件有ilannia用户,那么在 /etc/vsftpd/vu目录下创建一个文件名为ilannia的文件。

如下图:

clip_image017[4]

文件内容如下:

vim /etc/vsftpd/vu/ilannia

guest_username=ailanni

local_root=/www/

virtual_use_local_privs=YES

anon_umask=133

其中guest_username=ailanni表示的是设置FTP对应的系统用户为ailanni

local_root=/www/表示使用本地用户登录到ftp时的默认目录

virtual_use_local_privs=YES虚拟用户和本地用户有相同的权限

anon_umask表示文件上传的默认掩码。计算方式是777减去anon_umask就是上传文件的权限。在此我们设置的是133,也就是说上传后文件的权限是644。即上传的文件对所属用户来说只有读写权限,没有执行权限。

clip_image018[4]

以同样的方法创建文件ilannib,内容与上述相同。

clip_image019[4]

以上配置完毕后,现在我们来启动vsftpd服务。如下图:

clip_image020[4]

/etc/init.d/vsftpd start

现在我们来使用ilannia这账号来连接FTP看看实际的情况:

clip_image021[4]

clip_image022[4]

通过上图我们可以看到,vsftpd虚拟用户ilannia、ilannib都已经可以正常登陆到FTP服务器。

测试用户ilannia的相关权限,如下图:

clip_image023[4]

登录成功

clip_image024[4]

下载及列出目录权限

clip_image025[4]

上传权限

clip_image026[4]

删除权限

clip_image027[4]

创建目录权限

clip_image028[4]

切换目录权限

可以看到ilannia用户具有管理员权限。

下面测试用户ilannib的相关权限,如下图:

clip_image029[4]

登录权限

clip_image030[4]

上传权限

clip_image031[4]

下载权限

clip_image032[4]

创建目录权限

clip_image033[4]

删除文件权限

clip_image034[4]

切换目录权限

通过上述截图,我们可以很容易发现FTP用户ilannib只具有下载和切换目录权限,其他的权限是没有的。刚好到达我们的要求。

以上全部是在防火墙IPtables关闭的情况下,进行测试的。如果IPtables开启的话,只需要开放vsftpd相关的端口即可。如下:

-A INPUT -p tcp -m tcp –dport 2121 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 30000:31000 -j ACCEPT

有关FTP用户权限控制,这个只是一部分。以后如果有机会,我会在写一写这方面的文章。

未经允许不得转载:烂泥行天下 » 烂泥:Vsftpd使用虚拟用户,访问FTP

赞 (10) 打赏

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

支付宝扫一扫打赏

微信扫一扫打赏