給VSFTP建立虛擬用戶

給VSFTP建立虛擬用戶 上面配置的FTP服務器有一個特點，就是FTP服務器的用戶本身也是系統用戶。這顯然是一個安全隱患，因為這些用戶不僅能夠訪問FTP，也能夠訪問其它的系統資源。如何解決這個問題呢？答案就是創建一個虛擬用戶的FTP服務器。虛擬用戶的特點是只能訪問服務器為其提供的FTP服務，而不能訪問系統的其它資源。所以，如果想讓用戶對FTP服務器站內具有寫權限，但又不允許訪問系統其它資源，可以使用虛擬用戶來提高系統的安全性。 在VSFTP中，認證這些虛擬用戶使用的是單獨的口令庫文件（pam_userdb），由可插入認證模塊（PAM）認證。使用這種方式更加安全，并且配置更加靈活。 下面介紹配置過程。 1．生成虛擬用戶口令庫文件。為了建立此口令庫文件，先要生成一個文本文件。該文件的格式如下，單數行為用戶名，偶數行為口令： #vi account.txtylg1234zhanghong4321gou5678 2．生成口令庫文件，并修改其權限： #db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db#chmod 600 /etc/vsftpd/account.db 3．新建一個虛擬用戶的PAM文件。加上如下兩行內容： #vi /etc/pam.d/vsftp.vuauth required /lib/security/pam_userdb.so db=/etc/vsftpd/accountaccount required /lib/security/pam_userdb.so db=/etc/vsftpd/account 4．建立虛擬用戶，設置該用戶所要訪問的目錄，并設置虛擬用戶訪問的權限： #useradd -d /ftpsite virtual_user#chmod 700 /ftpsite 經過該步驟的設置，/ftpsite就是virtual_user用戶的主目錄，該用戶也是/ftpsite目錄的擁有者。除root用戶之外，只有該用戶具有對該目錄的讀、寫和執行的權限。 5．生成一個測試文件。先切換至virtual_user用戶身份，然后在/ftpsite目錄下創建一個文件： #su -virtual_user$vi /ftpsite/mytestThis is a test file.$su - root 6．編輯/etc/vsftpd/vsftpd.conf文件，使其整個文件內容如下所示（去掉了注釋內容）： anonymous_enable=NOlocal_enable=YESlocal_umask=022xferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=YESwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESone_process_model=NOchroot_local_user=YESftpd_banner=Welcom to my FTP server.anon_world_readable_only=NOguest_enable=YESguest_username=virtual_userpam_service_name=vsftp.vu 上面代碼中，guest_enable=YES表示啟用虛擬用戶；guest_username=virtual則是將虛擬用戶映射為本地用戶，這樣虛擬用戶登錄后才能進入本地用戶virtual的目錄/ftpsite；pam_service_name=vsftp.vu指定PAM的配置文件為vsftp.vu。 7．重新啟動VSFTP： #service vsftpd restart 8．以虛擬用戶gou（Linux中并無該賬號）進行測試： # ftp 127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 Welcom to my FTP server.Name (127.0.0.1:root): gou331 Please specify the password.Password:230 Login successful. Have fun.Remote system type is UNIX.Using binary mode to transfer files. 測試下載服務器目錄中的一個文件mytest： ftp> get mytestlocal: mytest remote: mytest227 Entering Passive Mode (127,0,0,1,159,19)150 Opening BINARY mode data connection for mytest (21 bytes).226 File send OK.21 bytes received in 0.00038 secs (54 Kbytes/sec) 測試上傳本機目錄中的文件vsftpd.conf： ftp> !lsaccount.db chroot_list k mytest userconf vsftpd.confftp> put vsftpd.conflocal: vsftpd.conf remote: vsftpd.conf227 Entering Passive Mode (127,0,0,1,117,203)150 Ok to send data.226 File receive OK.4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec) 可以看到，使用沒有系統賬號的虛擬用戶可以成功完成上傳、下載的工作。但該FTP虛擬服務器只允許虛擬用戶登錄，其它系統用戶無法登錄，如系統用戶user1不是虛擬用戶，則不能登錄該虛擬服務器。 # ftp 127.0.0.1Connected to 127.0.0.1 (127.0.0.1).220 Welcom to my FTP server.Name (127.0.0.1:root): user1331 Please specify the password.Password:530 Login incorrect.Login failed. 在虛擬FTP服務器中，也可以對各個用戶的權限進行設置。方法是在/etc/vsftpd.conf文件中添加如下一行： user_config_dir=用戶配置文件目錄 然后在用戶配置文件目錄下創建相應的用戶配置文件，比如為上述名為gou的用戶創建一個配置文件（假設配置文件目錄為/etc/user_config_dir）： #vi /etc/user_config_dir/gouwrite_enable=NOanono_upload_enable=NO 重啟FTP服務器，這時再使用賬號gou來登錄，就已經沒有上傳的權限了。節選自：http://tech.ccidnet.com/pub/article/c737_a176689_p2.html

原文轉自：http://www.kjueaiud.com