ftp的虚拟用户模式
顾名思义虚拟用户认证方式,就是虚拟创建出来的用户,对于服务器而言也是最安全的方式
1、安装DB工具,能够转化普通文件为vsftpd识别的数据库加密文件
yum install db4 db4-utils -y
2、创建用于验证vsftpd的数据文件
vim ftp_user.txt
文件第一行是账号,第二行是密码,以此类推
3、由于这样的普通文件很不安全,vsftpd也无法识别该txt的文件数据,因此还得使用 db_load 命令,对于这个ftp_user.txt文件进行加密,并且修改它的文件属性,让普通用户无权查看
3.1 加密文件
db_load -T -t hash -f /etc/vsftpd/ftp_user.txt /etc/vsftpd/ftp_user.db
hash:指定hash加密的类型
-f:指定源文件
查看文件类型:file ftp_user.db
[root@yuweijie vsftpd]# file ftp_user.db
ftp_user.db: Berkeley DB (Hash, version 9, native byte-order)
3.2 降低文件的读写权限
chmod 600 ftp_user.db # 这样这个文件只有root用户才能进行读写
3.3 删除旧的数据文本,保证安全性
rm -rf ftp_user.txt
4 创建当虚拟用户登录ftp之后进入的文件夹路径,且和linux中的一个用户做一个映射的关系,防止虚拟用户登录之后创建了文件夹,但是系统没有此用户会报错的一个问题
4.1 创建一个系统用户和虚拟用户做映射,且不需要家目录,禁止用户登录shell
useradd -d /var/ftpdir -s /sbin/nologin virtual_yu
[root@yuweijie vsftpd]# id virtual_yu
uid=1004(virtual_yu) gid=1004(virtual_yu) groups=1004(virtual_yu)
[root@yuweijie vsftpd]# grep 'virtual_yu' /etc/passwd
virtual_yu:x:1004:1004::/var/ftpdir:/sbin/nologin
4.2 检查该用户的家目录
[root@yuweijie vsftpd]# ll -ld /var/ftpdir
drwx------ 2 virtual_yu virtual_yu 62 Feb 15 05:12 /var/ftpdir
4.3 更改文件夹权限
chmod -Rf 755 /var/ftpdir/
4.4 修改virtual_chao用户添加到ftpuser文件中,增大系统安全,禁止该用户登录ftp,但是该操作不会影响虚拟用户的操作
echo "virtual_yu" >> /etc/vsftpd/ftpusers
5 需要修改vsftpd的配置文件,添加一个支持虚拟用户验证的PAM文件,PAM是一组安全机制的模块,认证文件路径在/etc/pad.d/vsftpd。在该文件当中添加
修改添加如下参数,必须注释掉之前所有的内容,仅仅添加有关自定义的vsftpd的配置
auth required pam_userdb.so db=/etc/vsftpd/ftp_user
account required pam_userdb.so db=/etc/vsftpd/ftp_user
[root@yuweijie vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth
# 以上全部注释掉
auth required pam_userdb.so db=/etc/vsftpd/ftp_user
account required pam_userdb.so db=/etc/vsftpd/ftp_user
6 最后来修改vsftpd的配置文件,加载支持虚拟用户模式。注销写在笔记里面,不要写在配置文件中
修改如下操作
pam_service_name=vsftpd
guest_enable=YES
guest_username=virtual_yu # 指定虚拟用户账户
allow_writeable_chroot=YES # 如果用户被限制只能在其家目录,允许用户可以对家目录写入数据
7 针对不同的虚拟用户设置不同的权限
账户ywj,密码888,针对该用户,允许它能够上传、新建、修改、查看、删除等权限
账户lxq,密码666,只读权限
8 如上的操作,需要修改vsftpd文件,定义user_config_dir参数即可
8.1 创建一个管理虚拟用户的家目录,并且创建虚拟用户的配置文件
mkdir /etc/vsftpd/virtual_user_dir
cd /etc/vsftpd/virtual_user_dir/
vim ywj
写入
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
vim lxq
写入
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
9 修改vsftpd主配置文件,加载如上的权限控制
修改/etc/vsftpd/vsftpd.conf 添加一行如下参数,自定义的vsftpd的用户配置文件
vim /etc/vsftpd/vsftpd.conf
加入
user_config_dir=/etc/vsftpd/virtual_user_dir # 自定义文件夹,里面有用户自定义文件
10 重启服务,加载新的配置
systemctl restart vsftpd
11 此时使用客户端连接ftp,用虚拟用户进行验证
网友评论