系统城装机大师 - 固镇县祥瑞电脑科技销售部宣传站!

当前位置:首页 > 系统教程 > Linux教程 > 详细页面

Centos 7.5 搭建FTP配置虚拟用户

时间:2020-02-24来源:电脑系统城作者:电脑系统城

  1. 1.安装vsftpd
  2. 2.创建vsftpd系统用户
  3. 3.配置vsftpd
  4. 4.虚拟用户配置
  5. 5. 设置认证文件PAM
  6. 6.虚拟用户配置
  7. 7.firewall和SElinux设置
  8. 8.启动服务,测试
  9. 9. vsftpd单用户多目录的配置
  10. 10.常见问题

 


Centos 7.5 搭建FTP配置虚拟用户

回到顶部

1.安装vsftpd

#vsftpd下载地址

http://mirror.centos.org/centos/7/os/x86_64/Packages/vsftpd-3.0.2-25.el7.x86_64.rpm

#安装vsftpd

rpm  -ivh vsftpd-3.0.2-25.el7.x86_64.rpm

 

回到顶部

2.创建vsftpd系统用户

#建立Vsftpd服务的宿主用户

useradd vsftpd -M -s  /sbin/nologin

#建立Vsftpd虚拟宿主用户

useradd virftpuser -M -s /sbin/nologin –d /var/ftp/

 

回到顶部

3.配置vsftpd

mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsfftpd.conf.bak

#新建vsftpd.conf

vim  /etc/vsftpd/vsftpd.conf

内容如下:

anonymous_enable=NO

#设成YES,允许匿名用户登陆

local_enable=YES

#允许/禁止本地用户登陆 注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问。

write_enable=YES

#设定可以进行写操作。

local_umask=022

#设定上传后文件的权限掩码,文件644,文件夹755

dirmessage_enable=YES

#设定开启目录标语功能

xferlog_enable=YES

#设定开启日志记录功能。

connect_from_port_20=YES

#设定端口20进行数据连接

xferlog_std_format=YES

#设定日志使用标准的记录格式

listen=YES

#开启独立进程vsftpd,不使用超级进程xinetd。设定该Vsftpd服务工作在StandAlone模式下。

pam_service_name=vsftpd

#设定,启用pam认证,并指定认证文件名/etc/pam.d/vsftpd

userlist_enable=YES

#设定userlist_file中的用户将不得使用FTP

tcp_wrappers=YES

#设定支持TCP Wrappers

chroot_local_user=YES

#限制所有用户在主目录

#限制所有用户在主目录

#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置

guest_enable=YES

#设定启用虚拟用户功能

guest_username=virftpuser

#指定虚拟用户的宿主用户

virtual_use_local_privs=YES

#设定虚拟用户的权限符合他们的宿主用户

user_config_dir=/etc/vsftpd/vconf

#设定虚拟用户个人Vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个Vsftp虚拟用户个性的配置文件,

#一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。

 

 

#建立Vsftpd的日志文件,修改属主为vsftpd服务用户

touch /var/log/vsftpd.log
chown vsftpd.vsftpd /var/log/vsftpd.log

 

回到顶部

4.虚拟用户配置

#创建虚拟用户配置文件存放路径

mkdir –pv /etc/vsftpd/vconf/

#制作虚拟用户数据库文件

vim /etc/vsftpd/virtusers

#编辑虚拟用户名单文件virtusers,在其中加入用户的用户名和口令信息。格式:“奇数行用户名,偶数行口令”。

virtusers文件格式如下:

test       #用户名

test1234   #用户密码

test1          #用户名

test1234    #用户密码

#生成虚拟用户数据文件:

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
#添加用户需添加至virtusers文件,然后重新执行上述命令。
回到顶部

5. 设置认证文件PAM

#备份配置文件
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak
#编辑Vsftpd的PAM验证配置文件,把原来的配置文件全部注释掉(不注释掉虚拟用户会登录不上),添加如下行
auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

#以上两条是手动添加的,内容是对虚拟用户的安全和帐户权限进行验证。

这里的auth是指对用户的用户名口令进行验证。

这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。

其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败,意味着用户还必须将经历剩下来的验证审核。

再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。

最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。

---------------------------------------------------------------------------------
vim /etc/pam.d/vsftpd
#%PAM-1.0
auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
#auth       include     password-auth
#account    include     password-auth
#session    required     pam_loginuid.so
#session    include     password-auth

 

 
回到顶部

6.虚拟用户配置

#虚拟用户权限介绍
例,分别创建admin web download upload 4个账户,
权限分配如下:
admin  #管理员账户,虚拟用户具有写权限(上传、下载、删除、重命名),新建目录

 

web   #web网站文件传输账户, 和admin管理员权限相同,由于web页面的特殊性,故单独设置上传文件权限为755

 

download  #下载账户,只能浏览目录和下载

 

upload     #上传账户,只能新建目录和上传、下载

 

#各虚拟用户配置文件如下:

#admin

local_root=/home/ftp           #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限

write_enable=YES               #写权限

anon_mkdir_write_enable=YES    #新建目录权限

anon_upload_enable=YES        #上传权限

anon_other_write_enable=YES    #删除/重命名的权限

 

#web

local_root=/var/www             #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限

anon_umask=022    #umask =022时,新建的目录权限是755(777-022),文件的权限是 644,

#umask =077时,新建的目录权限是700,文件的权限时 600

write_enable=YES (写权限)
anon_mkdir_write_enable=YES (新建目录权限)
anon_upload_enable=YES(上传权限)
anon_other_write_enable=YES(删除/重命名的权限)

 

#download

local_root=/home/ftp             #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限, 写YES,将不能列出文件和目录

anon_mkdir_write_enable=NO    #这句可以不写,不写同样不能新建文件夹

 

#upload

local_root=/home/ftp              #虚拟用户根目录

virtual_use_local_privs=NO        #虚拟用户和匿名用户有相同的权限,默认是NO;与本地用户权限相同是YES

anon_world_readable_only=NO    #开放下载权限,写成YES,将不能列出文件和目录

write_enable=YES                #写权限

anon_upload_enable=YES         #上传权限

 

#创建虚拟用户根目录,这里我使用默认目录 /var/ftp/pub/

#属主修改为虚拟宿主用户virftpuser

chown –R virftpuser:virftpuser  /vat/ftp/pub/

#在虚拟用户配置文件目录创建虚拟用户对应配置文件,文件名与虚拟用户名一致

vim   /etc/vsftpd/vconf/username          #配置文件内容根据需求自行配置。

 

 

 

回到顶部

7.firewall和SElinux设置

#如无特殊要求可直接关闭firewall和SElinux

 

firewall-cmd --list-services                    #查看防火墙允许的服务。

firewall-cmd --add-service=ftp --permanent     #永久开放ftp服务

firewall-cmd --add-port=20/tcp –permanent     

firewall-cmd --add-port=21/tcp --permanent     #开放端口,允许外网访问

firewall-cmd –reload                         #重新载入配置

setsebool ftpd_full_access 1                  #selinux设置

setsebool tftp_home_dir 1

 

回到顶部

8.启动服务,测试

systemctl start vsftpd                         #启动vsftpd

systemctl enable vsftpd                       #添加服务至开机启动

 

#测试需安装ftp软件

ftp

>open 127.0.0.1

 

回到顶部

9. vsftpd单用户多目录的配置

#可读写挂载

mount --bind /home/test1/ /data/www/virtual/test1/

#只读挂载

mount –bind –o ro /home/test2/ /data/www/virtual/test2/

 

#mount --bind连接的两个目录的inode号码并不一样,只是目标目录的block被屏蔽掉,inode被重定向到原目录的inode (目标目录的inode和block依然没变,就是说目标目录只是隐藏不是删除,数据都没有改变,只是访问不到了)

#两个目录的对应关系存在于内存里,一旦重启挂载关系就不存在了,所以我们想要服务器重启之后还有效的话就需要写到/etc/rc.local

或修改fstab文件。

 

#fstab文件格式

# /home/test1/     /data/www/virtual/test1/             xfs     bind    0 0

#/home/test2/     /data/www/virtual/test2/             xfs     bind,ro  0 0

 

 

#修改rc.local

vim /etc/rc.local

#添加如下内容

#可读写挂载

mount --bind /home/test1/ /data/www/virtual/test1/

#只读挂载

mount --bind /home/test2/ /data/www/virtual/test2/

mount -o remount,ro /data/www/virtual/test2/

 

#权限设置

chmod +x /etc/rc.d

chmod +x /etc/rc.d/rc.local

#设置服务启动脚本。

cd /usr/lib/systemd/system

vim rc-local.service

注释掉之前内容,添加以下内容

[Unit]

Description=/etc/rc.d/rc.local Compatibility

ConditionFileIsExecutable=/etc/rc.d/rc.local

After=network.target

 

[Service]

Type=forking

ExecStart=/etc/rc.d/rc.local start

TimeoutSec=0

RemainAfterExit=yes

SysVStartPriority=99

 

[Install]

WantedBy=multi-user.target

 

#启动服务

systemctl start rc-local

systemctl enable rc-local

 

回到顶部

10.常见问题

1.centos7 550 create directory operation failed

目录权限不足,SElinux配置问题

 

2.500 OOPS: vsftpd: refusing to run with writable root inside chroot()

原因

用户主目录具有写权限,chmod a-w ,去除写权限

或在用户配置文件追加 allow-writeable_chroot=yes,

echo “allow_writeable_chroot=YES” >> /etc/vsftpd/vconf/$username

 

3.开启了匿名模式,但访问一直提示输入用户及密码

原因1

参数不对造成,添加anon_umask=022

原因2

根目录权限不对

分享到:

相关信息

  • linux 文件权限怎么解析

    常用权限linux系统内有档案有三种身份 u:拥有者 g:群组 o:其他人这些身份对于文档常用的有下面权限:r:读权限,用户可以读取文档的内容,如用cat,more查看w:写权限,用户可以编辑文档x...

    2024-07-07

  • 如何使用WPSeku找出 WordPress 安全问题?

    然而,如果我们遵循通常的 WordPress 最佳实践,这些安全问题可以避免。在本篇中,我们会向你展示如何使用 WPSeku,一个 Linux 中的 WordPress 漏洞扫描器,它可以被用来找出你安装...

    2024-07-03

系统教程栏目

栏目热门教程

人气教程排行

站长推荐

热门系统下载