近来公司要用ftp跟网站之间传输数据,综合考虑过后决定要使用虚拟用户,公司后端是一个基于iptables的防火墙linux vsftp 用户管理,开启了防火墙的ftp探测模组以后让我们接出来瞧瞧具体的配置过程
SFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是VerySecureFTP自此名称可以看下来,编制者的本意是代码的安全。安全性是编撰VSFTP的本意,不仅这与生俱来的安全特点以外,高速与高稳定性也是VSFTP的两个重要特性。
在速率方面:使用ASCII代码的模式下载数据时,VSFTP的速率是Wu-FTP的两倍,假如Linux主机使用2.4.*的内核,在百兆以太网上的下载速率可达86MB/S。
在稳定方面:VSFTP就愈发的出众,VSFTP在单机(非集群)上支持4000个以上的并发用户同时联接,按照RedHat的Ftp服务器()的数据,VSFTP服务器可以支持15000个并发用户
本文主要介绍一下VSFTP虚拟用户模式配置方式:
安装VSFTP:sudoapt-getinstallvsftpd
安装DB软件包:sudoapt-getinstalldb-util
配置虚拟用户(步入/etc/vsftpd下操作)
1.构建虚拟用户口令库文件
# vimvusers.list (第一行写用户名linux vsftp 用户管理,第二行写密码,保存退出)
user1
user1pwd
user2
user2pwd
2.生成vsftpd的认证文件
# db_load-T-thash-fvusers.list/etc/vsftpd/vsftpd_login.db(生成认证文件)
# chmod600/etc/vsftpd/vsftpd_login.db(赋权)
3.构建虚拟用户所需的PAM配置文件
# vim/etc/pam.d/vsftpd (加入下边内容,其他全部注释。)
authrequiredpam_userdb.sodb=/etc/vsftpd/vsftpd_login
accountrequiredpam_userdb.sodb=/etc/vsftpd/vsftpd_login
4.构建虚拟用户要访问的目录并设置权限
# useradd-d/home/ftp-s/sbin/nologinvirtual
# chmod777/home/ftp/
在vsftpd.conf添加以下参数配置项:
guest_enable=YES
guest_username=virtual
5.对不同虚拟用户设置不同权限
# mkdir/etc/vsftpd/vsftpd_user_conf
# vim/etc/vsftpd/vsftpd_user_conf/user1 (构建用户单独配置文件,文件名就是用户名)
local_root=/home/ftp/user1 #这儿的虚拟用户目录可以依据实际情况更改
write_enable=YES
virtual_use_local_privs=YES #虚拟用户具有写权限(上传、下载、删除、重命名)
在vsftpd.conf添加以下参数配置项:
user_config_dir=/etc/vsftpd/vsftpd_user_conf
6.束缚FTP用户在寄主目录
将须要束缚的用户名写入“vsftpd.chroot_list”文件
# vim/etc/vsftpd.chroot_list
user1
user2
在vsftpd.conf添加以下参数配置项:
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
下边补充说明一下ftp被动联接端口设置,FTP合同有两种工作方法:PORT方法和PASV形式,英文意思为主动式和被动式。
PORT(主动)形式的联接过程是:顾客端向服务器的FTP端口(默认是21)发送联接恳求,服务器接受联接,构建一条命令链路。当须要传送数据时,顾客端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来联接我”。于是服务器从20端口向顾客端的XXXX端口发送联接恳求,构建一条数据链路来传送数据。
PASV(被动)形式的联接过程是:顾客端向服务器的FTP端口(默认是21)发送联接恳求,服务器接受联接,构建一条命令链路。当须要传送数据时,服务器在命令链路上用PASV命令告诉顾客端:“我打开了XXXX端口,你过来联接我”。于是顾客端向服务器的XXXX端口发送联接恳求,构建一条数据链路来传送数据。
假如FTP顾客端软件设置的是被动联接,这么VSFTP配置文件须要设置被动端口:
在vsftpd.conf添加以下参数配置项:
pasv_min_port=3000
pasv_max_port=3010
假如开启iptables防火墙,须要配置:
iptables-AINPUT-ptcp-s0/0--dport3000-jACCEPT
iptables-AINPUT-ptcp-s0/0--dport3000:3010-jACCEPT
假如开始SELinux,须要解除selinux制止:
#setsebool-Pftpd_disable_trans1
#servicevsftpdrestart
备注:virtual_use_local_privs参数
当virtual_use_local_privs=YES时,虚拟用户和本地用户有相同的权限;
当virtual_use_local_privs=NO时,虚拟用户和匿名用户有相同的权限,默认是NO。
当virtual_use_local_privs=YES,write_enable=YES时linux培训,虚拟用户具有写权限(上传、下载、删除、重命名)。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=YESkali linux,
anon_upload_enable=YES时,虚拟用户不能浏览目录,只能上传文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=NO时,虚拟用户只能下载文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_upload_enable=YES时,虚拟用户只能上传和下载文件,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_mkdir_write_enable=YES时,虚拟用户只能下载文件和创建文件夹,无其他权限。
当virtual_use_local_privs=NO,write_enable=YES,anon_world_readable_only=NO,
anon_other_write_enable=YES时,虚拟用户只能下载、删除和重命名文件,无其他权限。
