说明:
因业务需要使用FTP,需要帮同事分配一个FTP账号,但是这个账号只允许用户有读取这个文件夹的权限。
于是乎鼓捣了一下,可惜过程并不是很顺畅的完成任务。
总结 常用的命令:
systemctl start vsftpd
systemctl stop vsftpd
systemctl restart vsftpd
systemctl status vsftpd
记录几个问题点:
问题1:
关于账号创建之后删除再创建的问题,因为删除的不彻底导致账号复用的时候无法进行复用。
删除用户xxxxx后,重新添加用户xxxxx失败,显示:
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
Creating mailbox file: File exists
解决方案:
userdel xxxxx
rm -f /home/xxxxx
rm -f /var/spool/mail/xxxxx
PS: 生产环境下请谨慎使用 rm -rf 避免误删除!!!!
问题2:
关于用户配置相关权限的时候应该如何分配权限:
对于的用户的权限只允许只读:
chmod 500 /data/ysjftp
对于的用户的权限只允许读写:
chmod 755 /data/ysjftp
其他权限修改:
PS:chown -R xiaozhong:root /data/ysjftp
注意事项:
PS:chown -R xiaozhong:root /data/ysjftp
当指运行某一个用户访问的情况下使用限制了某一个用户的之后,第二个用户也指向这个目录的时候,则无法登入了,需要的做法的是,:
PS:chown -R root:root /data/ysjftp
问题3:
限制只允许访问分配的目录权限时候,当加上限制:
chroot_local_user=YES的时候无法访问的问题。
解决方案:
image.png
添加多一项配置信息:
allow_writeable_chroot=YES
问题4:
启动vsftpd服务,报错:
Job for vsftpd.service failed because the control process exited with error code. See "systemctl status vsftpd.service" and "journalctl -xe" for details
解决方案:
image.png
问题5:有些时候修改了配置,明明已经把用户加入了限制访问目录范围内的时候,却还是无法限制的问题?
如下配置:
image.png
xztongxue 明明没有加入了限制访问呢,但是还是可以访问上一层目录去了!
可能的问题就是因为配置文件信息的缓存还是怎么样。
解决问题:
我这边直接的把配置文件信息内的注释一次之后,重启服务器,再只注释部分之后,对应的账号限制关系又正常了!!
image.png
关于VSFTPD配置文件信息的一些说明:
anonymous_enable=YES #设置是否允许匿名用户登录
local_enable=YES #设置是否允许本地用户登录
local_root=/home #设置本地用户的根目录
write_enable=YES #是否允许用户有写权限
local_umask=022 #设置本地用户创建文件时的umask值
anon_upload_enable=YES #设置是否允许匿名用户上传文件
anon_other_write_enable=YES #设置匿名用户是否有修改的权限
anon_world_readable_only=YES #当为YES时,文件的其他人必须有读的权限才允许匿名用户下载,单单所有人为ftp且有读权限是无法下载的,必须其他人也有读权限,才允许下载
download_enbale=YES #是否允许下载
chown_upload=YES #设置匿名用户上传文件后修改文件的所有者
chown_username=ftpuser #与上面选项连用,表示修改后的所有者为ftpuser
ascii_upload_enable=YES #设置是否允许使用ASCII模式上传文件
ascii_download_enable=YES #设置是否允许用ASCII模式下载文件
chroot_local_user=YES #设置是否锁定本地用户在自己的主目录中,(登录后无法cd到父目录或同级目录中)
chroot_list_enable=YES #设置是否将用户锁定在自己的主目录中
chroot_list_file=/etc/vsftpd/chroot_list #定义哪些用户将会锁定在自己的主目录中
userlist_enable=YES #当为YES时表示由userlist_file文件中指定的用户才能登录ftp服务器
userlist_file=/etc/vsftpd/user_list #当userlist_enable为YES时才生效
完成流程及配置:
1.切换到root用户
2:查看是否安装vsftp
[root@web-2 ~]# rpm -qa |grep vsftpd
vsftpd-3.0.2-11.el7_2.x86_64
[root@web-2 ~]#
3:分配运行访问的目录
[root@web-2 /]# mkdir -p /data/ysjftp
4.创建ftp用户
[root@web-2 ~]# useradd -d /data/ysjftp xztongxue
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
[root@web-2 ~]#
或者:
[root@web-2 ~]# adduser -d /data/ysjftp xztongxue
5.给用户创建密码
[root@web-2 ~]# passwd xztongxue
Changing password for user xztongxue.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@web-2 ~]#
6.设置此用户不允许用于用户登录
usermod -s /sbin/nologin ftptest
或修改
nano /etc/passwd
把后面
/bin/bash 改成 /sbin/nologin
其他参考命令:
==========================
usermod -s /sbin/nologin ftpname //限定用户ftpname不能使用telnet,只能使用ftp
usermod -s /bin/bash ftpname //用户test恢复正常
usermod -d /ftp ftpname //更改用户ftpname的主目录为/ftp
7:查看是否vsftpd的服务(已经启动,可以先重启或关闭再重启)
[root@web-2 ~]# lsof -i:21
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
vsftpd 7938 root 3u IPv4 875811719 0t0 TCP *:ftp (LISTEN)
[root@web-2 ~]#
8:启动vsftpd的服务
[root@web-2 ~]# systemctl restart vsftpd
9:使用工具登入测试:
image.png
10:如果登入失败,则有可能是配置问题,因为配置我已经加了限制,
可能原因如:
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
需要到对于的/etc/vsftpd/user_list把你得用户名也添加到末尾上。
11:修改配置:
# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
#anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
# When SELinux is enforcing check for SE bool ftp_home_dir
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
# When SELinux is enforcing check for SE bool allow_ftpd_anon_write, allow_ftpd_full_access
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/xferlog
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
# (Warning! chroot'ing can be very dangerous. If using chroot, make sure that
# the user does not have write access to the top level directory within the
# chroot)
#chroot_local_user=YES
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
#listen=YES
#
# This directive enables listening on IPv6 sockets. By default, listening
# on the IPv6 "any" address (::) will accept connections from both IPv6
# and IPv4 clients. It is not necessary to listen on *both* IPv4 and IPv6
# sockets. If you want that (perhaps because you want to listen on specific
# addresses) then you must run two copies of vsftpd with two configuration
# files.
# Make sure, that one of the listen options is commented !!
listen_ipv6=NO
pam_service_name=vsftpd
#userlist_enable=NO
tcp_wrappers=YES
anonymous_enable=NO
#userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list
#下面的这行非常关键,否则会无法登入
allow_writeable_chroot=YES
12:再对于的运行的目录文件下写用户名信息
PS:/etc/vsftpd/chroot_list 此目录此文件没有的话需要自己创建
[root@web-2 vsftpd]# nano /etc/vsftpd/chroot_list
------
[root@web-2 vsftpd]# cat /etc/vsftpd/chroot_list
xiaozhong
xztongxue
[root@web-2 vsftpd]#
13:如果有队本地用户也有访问配置,所以也需要配置
image.png
14:配置对于的权限目录访问权限:
chmod 500 /data/ysjftp --直接给新建账号赋权500 只读加执行权限
PS:待验证的权限限制的方式,setfacl使用:
第1:
setfacl -R -m u:xztongxue:rwx /data/ysjftp --赋权admin账号对于test目录的权限 rwx 只读 只写 执行权限
第2:
PS:chown -R xiaozhong:root /data/ysjftp
15:重启服务
[root@web-2 vsftpd]# systemctl restart vsftpd
16:再登入测试服务
注意事项:
PS:chown -R xiaozhong:root /data/ysjftp
当指运行某一个用户访问的情况下使用限制了某一个用户的之后,第二个用户也指向这个目录的时候,则无法登入了,需要的做法的是,:
PS:chown -R root:root /data/ysjftp
测试无法访问上一层目录了
image.png
=========================
补充说明
关于不同的用户对应通一个目录或文件的不同的权限的分配,可以使用对于的setfacl命令。
setfacl命令的作用是用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组, 存在第一的局限性,而setfacl可以对每一个文件或目录设置更精确的文件权限。
比较常用的用法如下:
setfacl –m u:apache:rwx file 设置apache用户对file文件的rwx权限
setfacl –m g:market:rwx file 设置market用户组对file文件的rwx权限
setfacl –x u:apache file 删除apache用户对file文件的所有权限
setfacl –x g:market file 删除market组对file文件的所有权限
getfacl file 查看file文件的权限
image.png
用法:
例如,要给用户 tfox 以读写权限:
setfacl -m u:tfox:rw /project/somefile
要删除用户、组群或其它人的所有权限,使用 -x 选项,并且不指定任何权限:
setfacl -x <rules> <files>
例如,删除 UID 为 500 的用户的所有权限:
setfacl -x u:500 /project/somefile
---------------------
setfacl -R -m u:用户名:rwx 文件名
setfacl -m u:kiosk:r test
问题小记:
当新建号对应的账号信息后,使用对于的
[root@web-2 ~]# setfacl -R -m u:xztongxue:rwx /data/ysjftp
[root@web-2 ~]# setfacl -R -m u:xiaozhong:r /data/ysjftp
这群情况下会导致xiaozhong这个账号又无法登入了!
image.png
最终解决问题关键点--只读权限的用户如果要登入也可以需要给X权限:
image.png
[root@web-2 ~]# setfacl -R -m u:xztongxue:rwx /data/ysjftp
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rx /data/ysjftp
这样就完美解决了~!!!!!!
PS:关于为啥需要给rx权限之后就可用访问,原因的是因为对文件权限配置的涵义我理解的还不够深。
x:虽然意味着所谓的执行权限,但从另一层意思是表示说允许访问!
不过似乎每次重启服务之后,或修改配置重启后,都需要重新的给予以下权限!
优化后的流程为:
[root@web-2 ysjftp]# useradd -d /data/ysjftp ysjftp001
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
[root@web-2 ysjftp]# passwd ysjftp001
Changing password for user ysjftp001.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@web-2 ysjftp]# usermod -s /sbin/nologin ysjftp001
[root@web-2 ysjftp]# setfacl -R -m u:ysjftp001:rx /data/ysjftp
[root@web-2 ysjftp]#
其他补充只先限定某些账号可以登入:
userlist_file=/etc/vsftpd/user_list 需要在这个文件配置对于的账号信息
如果userlist_deny=NO:只允许userlist_file文件中的用户可访问ftp;
如果userlist_deny=YES:userlist_file文件中列举的用户不能通过ftp访问系统。
userlist_enable是该功能的开关
我们的系统配置如下:
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
==============
说明:
#userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list
配置上面的这些信息后, /etc/vsftpd/user_list如果包含了登入用户的,则无法登入!需要注释了!
==============y
疑问点
xztongxue的被限制的目录和xiaozhong被限制的目录不一致,怀疑是对于的目录不一样。
image.png
image.png
重新给:[root@web-2 ~]# usermod -d /data xiaozhong 修改目录,此时xiaozhong也可以放到/data目录,
但是重新的修改为,只能访问[root@web-2 ~]# usermod -d /data/ysjftp xiaozhong
的时候,失效了,还是可以继续访问/data目录
[root@web-2 ~]# usermod -d /kkk xiaozhong
[root@web-2 ~]# usermod -d /data/ysjftp xiaozhong
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rxw /data/ysjftp
[root@web-2 ~]# systemctl restart vsftpd.service
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rxw /data
[root@web-2 ~]#
这么操作后,奇葩了xiaozhong 又只能访问 /data/ysjftp了!!!
无解!
网友评论