vsftpd下设置多个虚拟用户使用同一个目录

时间:2022-03-02 22:12:56
企业环境 公司为了能够方便和合作伙伴沟通最新的产品信息,计划搭建FTP服务器,给合作伙伴提供相关文档的下载。内部管理员对FTP服务器共享目录有上传、下载、删除和修改产品信息的权限。公司的合作伙伴能够使用FTP服务器进行上传和下载,但不可以删除数据。并且保证服务器的稳定性,进行适当优化设置~ 需求分析 根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。考虑到服务器的安全性,关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。同时为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。 解决方案 首先用vi打开/etc/vsftpd/vsftpd.conf 这个配置文件,进入编辑模式,将anonymous_enable=YES 的YES改为NO(不让匿名用户访问ftp服务器) 1、建立虚拟用户文件
vi /etc/vsftpd/vsftpd_virtualuser.txt
admin                                       #内部管理员账号
desheng_ADMINuser.com      #内部管理员账号密码
vip                                           #合作伙伴账号
desheng@VIPuser.cn              #合作伙伴账号密码
建立完成之后保存退出。 2、生成虚拟用户数据库 要生成用户数据库,需要用到db_load命令,可以用rpm -qa | grep db4命令来查看是否有安装。
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
3、配置PAM文件 若要服务器能够使用数据库文件,对客户端进行身份验证,就必须要修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd。用vi打开这个文件有如下内容:
%PAM-1.0 session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so auth include system-auth account include system-auth session include system-auth session required pam_loginuid.so
把这些默认配置全部用“#”号注释掉,然后加上我们需要用到的配置。
#%PAM-1.0 #session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include system-auth
#account include system-auth
#session include system-auth
#session required pam_loginuid.so auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser
4、创建虚拟帐号对应的系统用户
useradd -d /data/share -s /sbin/nologin ftpadmin
useradd -d /data/share -s /sbin/nologin ftpvip
创建download用户的时候会提示一些警告信息,我们先不管。 为2个虚拟账号创建密码,必须要和vsftpd_virtualuser文件里面的密码相同。
passwd ftpadmin    #密码 desheng_ADMINuser.com
passwd ftpvip        #密码 desheng@VIPuser.cn 
5、设置配置文件vsftpd.conf 在配置文件的最尾端加上如下配置:

pam_service_name=vsftpd
user_config_dir=/etc/vsftpd/virtualuser_config     #指定用户配置文件存放路径 
max_clients=300                           #设置FTP服务器最大接入客户端数为300个
max_per_ip=10                             #设置每个IP地址最大连接数为10个
 6、建立虚拟用户配置文件设置多个虚拟帐号的不同权限
若使用一个配置文件无法实现此功能,需要为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置。 为了方便管理,在/etc/vsftpd下创建一个存放虚拟用户配置文件的文件夹virtualuser_config,然后进入这个文件夹创建admin和vip配置文件。
mkdir virtualuser_config 
cd virtualuser_config
touch admin 
touch vip
<--------配置admin文件-------->
#开启虚拟用户登录 guest_enable=YES #设置admin对应的系统用户ftpadmin guest_username=ftpadmin #允许在文件系统写入数据的权限 write_enable=YES #允许用户浏览整个服务器的文件系统(允许下载) anon_world_readable_only=NO
#允许用户创建文件夹 anon_mkdir_write_enable=YES #允许用户修改、删除数据的权限 anon_other_write_enable=YES
 #开启用户上传功能 anon_upload_enable=YES  #限定传输速率为120KB/s
anon_max_rate=120000
 <--------配置vip文件-------->
#开启虚拟用户登录 guest_enable=YES #设置vip对应的系统用户ftpvip guest_username=ftpvip #允许用户浏览整个服务器的文件系统(允许下载) anon_world_readable_only=NO #开启用户上传功能 anon_upload_enable=YES  #限定传输速率为50KB/s
anon_max_rate=50000
到这里,虚拟用户建立完成了。 接着需要做的工作是修改/etc/passwd文件。 我们首先来看一下passwd文件的最后两行的内容:
cat /etc/passwd ftpadmin:x:500:500::/data/share:/sbin/nologin
ftpvip:x:501:501::/data/share:/sbin/nologin
ftpadmin为账户名,x为密码,500是uid,500是gid,/data/share根目录,/sbin/nologin是使用什么shell。 现在我做如下的修改
ftpadmin:x:500:500::/data/share:/sbin/nologin
ftpvip:x:500:500::/data/share:/sbin/nologin 
把ftpvip的uid和gid都改为了ftpadmin的uid和gid,这就相当于ftpadmin这个用户有一个别名了,而且这个别名可以有它自己独立的权限(即只能下载、上传),如果不修改的话ftpvip用户就没有权限访问这个文件夹了。 为了能让用户看见/data/share文件夹里面的内容,需要修改一下这个目录的权限。
chmod o+r /data/share
好了,基本配置完成。

本文出自 “300second的运维小站” 博客,请务必保留此出处http://300second.blog.51cto.com/7582/778817

标签:

相关文章