在vsFTPd服务器中建立多个虚拟用户设置不同访问权限

实验环境:

公司最近上了一款游戏,当游戏客户端登录到服务器有补丁更新时,是通过ftp来更新数据.所以需要建立一个普通虚拟用户账号,用于客户端登录ftp服务器更新补丁用，此账号只支持下载权限.由于平时我们也要维护服务器后台上传数据,需要建立一个专用虚拟用户账号,此账号拥有所有权限.还要把上传数据发布到普通虚拟用户家目录下，提供下载！

解决方案:

 1.创建用户数据库

（1）创建用户文本文件

先建立用户文本文件vsftpd_login.txt

添加两个虚拟帐号，普通帐号public和专用帐号personal

[root@red-hat-5 ~]# touch /etc/vsftpd/vsftpd_login.txt

 [root@red-hat-5 ~]# echo public >>/etc/vsftpd/vsftpd_login.txt  生成public账号

[root@red-hat-5 ~]# echo PUBLIC >>/etc/vsftpd/vsftpd_login.txt  生成public密码

[root@red-hat-5 ~]# echo personal >>/etc/vsftpd/vsftpd_login.txt  生成personal账号

[root@red-hat-5 ~]# echo PERSONAL >>/etc/vsftpd/vsftpd_login.txt 生成personal密码

[root@red-hat-5 ~]# cat /etc/vsftpd/vsftpd_login.txt

Public   账号

PUBLIC  密码

Personal 账号

PERSONAL 密码

 （2）生成数据库

保存虚拟帐号和密码的文本文件无法被系统帐号直接调用哈~我们需要使用db_load命令生成db口令数据库文件
db_load -T -t hash -f  /etc/vsftpd/vsftpd_login.txt  /etc/vsftpd/vsftpd_login.db

要使用db_load这个命令,需要安装三个文件,

db4-4.3.29-9.fc6.i386.rpm

db4-devel-4.3.29-9.fc6.i386.rpm

db4-utils-4.3.29-9.fc6.i386.rpm

[root@red-hat-5 ~]# rpm -qa|grep db4 只安装了一个

db4-4.3.29-9.fc6

[root@red-hat-5 mnt]# mount /dev/cdrom /mnt/cdrom/  挂载光驱

mount: block device /dev/cdrom is write-protected, mounting read-only

[root@red-hat-5 cdrom]# cd Server/

[root@red-hat-5 Server]# rpm -ivh db4-devel-4.3.29-9.fc6.i386.rpm

warning: db4-devel-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing...                ########################################### [100%]

   1:db4-devel              ########################################### [100%]

[root@red-hat-5 Server]# rpm -ivh db4-utils-4.3.29-9.fc6.i386.rpm

warning: db4-utils-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186

Preparing...                ########################################### [100%]

   1:db4-utils              ########################################### [100%]

[root@red-hat-5 Server]# cd /

[root@red-hat-5 /]# rpm -qa|grep db4

db4-4.3.29-9.fc6

db4-utils-4.3.29-9.fc6

db4-devel-4.3.29-9.fc6

[root@red-hat-5/]#db_load -T -t hash ?f /etc/vsftpd/vsftpd_login.txt /etc/vsftpd/vsftpd_login.db

[root@red-hat-5 /]# ll /etc/vsftpd/

总计 48

-rw-r--r-- 1 root root   197 12-25 19:57 chroot_list

-rw------- 1 root root   126 12-25 20:06 ftpusers

-rw-r--r-- 1 root root    32 12-25 22:22 vsftpd_login.txt

-rw------- 1 root root   367 12-25 20:37 user_list

-rw------- 1 root root  4449 12-25 20:34 vsftpd.conf

-rwxr--r-- 1 root root   338 2007-12-13 vsftpd_conf_migrate.sh

-rw-r--r-- 1 root root 12288 12-25 23:12 vsftpd_login.db  生成数据库成功

-rw-r--r-- 1 root root    32 12-25 22:42 vsftpd_login.txt

-rw-r--r-- 1 root root     7 12-25 22:40 vtpd_login.txtsf

 （3）修改数据库文件访问权限

数据库文件中保存着虚拟帐号的密码信息，为了防止非法用户盗取哈，我们可以修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写，即600

[root@red-hat-5 /]# chmod 600 /etc/vsftpd/vsftpd_login.db

[root@red-hat-5 /]# ll /etc/vsftpd/vsftpd_login.db

-rw------- 1 root root 12288 12-25 23:12 /etc/vsftpd/vsftpd_login.db

 2.配置PAM文件

为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM模块.PAM(Plugable Authentication Module)为可插拔认证模块，不必重新安装应用系统，通过修改指定的配置文件，调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录，此目录下保存着大量与认证有关的配置文件，并以服务名称命名。

[root@red-hat-5 /]# vi /etc/pam.d/vsftpd

#%PAM-1.0

#session    optional     pam_keyinit.so    force revoke

#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers Onerr=succeed

#auth       required    pam_shells.so

auth       include      system-auth

account    include      system-auth

session    include      system-auth

session    required     pam_loginuid.so

 

修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd，将默认配置使用“#”全部注释，添加相应字段

 

[root@red-hat-5 /]# cat /etc/pam.d/vsftpd

#%PAM-1.0

#session    optional     pam_keyinit.so    force revoke

#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers Onerr=succeed

#auth       required    pam_shells.so

#auth       include     system-auth

#account    include     system-auth

#session    include     system-auth

#session    required     pam_loginuid.so

auth    required    /lib/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_login

account   required    /lib/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_login

 

注意：db=/etc/vsftpd/vsftpd_login 格式是这样的，去掉.db后缀

 

3. 创建虚拟帐号对应的系统用户

对于普通帐号和专用帐号，因为需要配置不同的权限，所以可以将两个帐号的目录进行隔离，控制用户的文件访问。

普通帐号public对应系统帐号ftp_public，并指定其主目录为/var/ftp/public

 

chmod -R 500 /var/ftp/public/ ：

普通帐号public只允许下载，修改public目录其他用户权限为rx可

读可执行。

专用帐号personal对应系统帐号ftp_personal，指定主目录为/var/ftp/personal

chmod -R 700 /var/ftp/ personal/

：

专用帐号personal允许上传和下载，所以对personal目录权限设置为rwx，可读可写可执行。 如果不设置可执行用户登录会出不能更改目录错误。

[root@red-hat-5 ftp]# useradd -d /var/ftp/personal/ -s /sbin/nologin ftp_personal

[root@red-hat-5 ftp]# useradd -d /var/ftp/public/ -s /sbin/nologin  ftp_public

[root@red-hat-5 ftp]# ll

drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal

drwxr-xr-x 2 root         root         4096 12-25 09:12 pub

drwx------ 2 ftp_public   ftp_public   4096 12-26 00:41 public

[root@red-hat-5 ftp]# chmod -R 500 /var/ftp/public/

[root@red-hat-5 ftp]# chmod -R 700 /var/ftp/personal/

[root@red-hat-5 ftp]# ll

总计 12

drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal

drwxr-xr-x 2 root         root         4096 12-25 09:12 pub

dr-x------ 2 ftp_public   ftp_public   4096 12-26 00:41 public

4.建立配置文件

设置多个虚拟帐号的不同权限，若使用一个配置文件无法实现此功能，需要为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置。

（1）修改vsftpd.conf主配置文件
 配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段，定义虚拟帐号的配置文件目录,并

anonymous_enable=NO（修改配置）      

禁用匿名用户登录

 write_enable=YES （默认开启）          

允许使用任何可以修改文件系统的FTP的指令

 local_enable=YES  （默认开启）          

启用本地用户登录设置

 chroot_local_enable=YES （自建配置）   

将所有本地用户限制在家目录中

 pam_service_name=vsftpd：（默认开启）   

配置vsftpd使用的PAM模块为vsftpd

user_config_dir=/etc/vsftpd/ vsftpd_login：（自建配置）

设置虚拟帐号的主目录为/ vsftpd_login

max_clients=300：（自建配置）             

设置FTP服务器最大接入客户端数为300个

max_per_ip=10：  （自建配置）           

设置每个IP地址最大连接数为10个

 port_enable=NO  （自建配置）             

取消PORT模式进行数据传输

 connect_from_port_20=NO （修改配置）     

 PORT模式进行数据传输部使用20端口

 pasv_enable=YES   （自建配置）            

 允许PASV模式进行数据传输

 pasv_min_port=65341 （自建配置）         

PASV模式下数据传输所使用port范围下界

 pasv_max_port=65351 （自建配置）         

PASV模式下数据传输所使用port范围上界

注意：主配置文件是虚拟账号共享的配置，所以主配置文件的设置对于虚拟账号是生效的

提示：每行的值都不要有空格,否则启动时会出现错误,举个例子,假如我在listen=YES后多了个空格,那我启动时就出现如下错误:500 OOPS: bad bool value in config file for: listen 

（2）建立虚拟帐号配置文件

在user_config_dir指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段

[root@red-hat-5 vsftpd]# mkdir /vsftpd_login

[root@red-hat-5 vsftpd]# touch /etc/vsftpd/vsftpd_login/public

[root@red-hat-5 vsftpd]# touch /etc/vsftpd//vsftpd_login/personal

首先建立普通帐号public的配置文件

[root@red-hat-5 vsftpd_login]# echo guest_enable=yes >>public

[root@red-hat-5 vsftpd_login]# echo guest_username=ftp_public >>public

[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >>public

[root@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >>public

[root@red-hat-5 vsftpd_login]# cat public

guest_enable=yes              

开启虚拟帐号登录

guest_username=ftp_public     

设置ftp对应的系统帐号为ftp_public

anon_world_readable_Only=no  

允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=50000    

限定传输速率为50KB/s

 
注意：
vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈，而是在80%~120%之间变化哈~比如设置100KB/s则实际是速度在80KB/s~120KB/s之间变化哈~

 

接着建立专用帐号的配置文件personal

[root@red-hat-5 vsftpd_login]# echo guest_enable=yes >> personal

[root@red-hat-5 vsftpd_login]# echo guest_username=ftp_personal >> personal

[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >> personal

[root@red-hat-5 vsftpd_login]# echo anon_mkdir_write_enable=yes >> personal

[root@red-hat-5 vsftpd_login]# echo anon_upload_enable=yes >> personal

[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >> personal

[root@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >> personal

[root@red-hat-5 vsftpd_login]# cat personal
guest_enable=yes：          

开启虚拟帐号登录
guest_username=ftp_ personal：

设置ftp对应的系统帐号为ftp_personal

anon_other_write_enable=YES: 

允许匿名账号具有删除.更名权限

anon_mkdir_write_enable=yes：

允许创建文件夹

anon_upload_enable=yes：    

开启匿名帐号的上传功能

anon_world_readable_Only=no  

允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=100000：    

限定传输速度为100KB/s

[root@red-hat-5 ~]# service vsftpd restart

关闭vsftpd：                                             [确定]

为vsftpd启动vsftpd：                                     [确定]

 

如果还是连不上，建议重新启动一下系统

5.测试权限是否生效

[root@red-hat-5 viong]# ftp 127.0.0.1

Connected to 127.0.0.1.

220 (vsFTPd 2.0.5)

530 Please login with USER and PASS.

530 Please login with USER and PASS.

KERBEROS_V4 rejected as an authentication type

Name (127.0.0.1:root): public

331 Please specify the password.

Password:

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> put hong.txt

550 Permission denied

ftp> del viong.txt

550 Permission denied.

ftp> mkdir hong

550 Permission denied.

ftp> mget viong.txt

mget viong.txt?

227 Entering Passive Mode (127,0,0,1,181,255)

150 Opening BINARY mode data connection for viong.txt (0 bytes).

226 File send OK.

通过测试得知public这个用户只支持下载权限，说明设置成功

C:\Users\Administrator>ftp 192.168.184.129

连接到 192.168.184.129。

220 (vsFTPd 2.0.5)

用户(192.168.184.129:(none)): personal

331 Please specify the password.

密码:

230 Login successful.

ftp> mput hong.txt

mput hong.txt?

200 PORT command successful. Consider using PASV.

150 Ok to send data.

226 File receive OK.

ftp> ls

200 PORT command successful. Consider using PASV.

150 Here comes the directory listing.

hong.txt

viong.txt

226 Directory send OK.

ftp: 收到 99 字节，用时 0.00秒 33.00千字节/秒。

ftp> mkdir viong

257 "/viong" created

ftp> get MAK密钥激活次数查看器.rar

200 PORT command successful. Consider using PASV.

150 Opening BINARY mode data connection for MAK密钥激活次数查看器.rar (2000998 bytes).

226 File send OK.

ftp: 收到 2000998 字节，用时 38.71秒 51.69千字节/秒。

ftp> delete MAK密钥激活次数查看器.rar

250 Delete operation successful.

ftp> rename hong.txt viong.txt

350 Ready for RNTO.

250 Rename successful.

通过测试得知personal这个用户支持上传.下载.删除.更改权限，说明设置成功

关于把上传数据发布到普通虚拟用户家目录下提供下载！

[root@red-hat-5 ~]# cp /var/ftp/personal/* /var/ftp/public/

把上传数据发布到普通虚拟用户家目录下提供下载

[root@red-hat-5 ~]# chown -R ftp_public.ftp_public /var/ftp/public/  

更改public目录的所有者和属组为ftp_public，这样public用户才能下载

还有一种方法就是在personal配置文件加入以下两个参数

chown_uploads=YES 激活匿名用户所上传文件的修改所有权

chown_username=root 拥有匿名用户上传文件所有权的用户

然后就可以直接拷贝文件到public目录下