Linux FTP服务器-VSFTP虚拟用户配置,安全性是编写VSFT

Linux FTP服务器-VSFTP虚拟用户配置,安全性是编写VSFT

VSFTP是一个基于GPL发布的类Unix系统上使用的ftp服务器软件，它的全称是Very Secure FTP 从此名称可以看出来，编制者的初衷是代码的安全。安全性是编写VSFTP的初衷，除了这与生俱来的安全特性以外，高速与高稳定性也是VSFTP的两个重要特点。

在速度方面：使用ASCII代码的模式下载数据时，VSFTP的速度是Wu-FTP的两倍，如果Linux主机使用2.4.*的内核，在千兆以太网上的下载速度可达86MB/S。在稳定方面：VSFTP就更加的出色，VSFTP在单机（非集群）上支持4000个以上的并发用户同时连接，根据RedHat的Ftp服务器(ftp.redhat.com)的数据，VSFTP服务器可以支持15000个并发用户

本文主要介绍一下VSFTP虚拟用户模式配置方法：

安装VSFTP：yum install vsftpd

配置虚拟用户（进入/etc/vsftpd下操作）

1. 建立虚拟用户口令库文件
# vim logins.txt    （第一行写 用户名，第二行写 密码，保存退出）

user1
user1pwd
user2
user2pwd

2. 生成vsftpd的认证文件
# yum install db4-utils    （安装DB软件包）
# db_load -T -t hash -f logins.txt /etc/vsftpd/vsftpd_login.db     （生成认证文件）
# chmod 600 /etc/vsftpd/vsftpd_login.db    （赋权）

3. 建立虚拟用户所需的PAM配置文件
# vim /etc/pam.d/vsftpd     （加入下面内容，其他全部注释。）

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

4. 建立虚拟用户要访问的目录并设置权限
# useradd -d /home/ftpsite -s /sbin/nologin virtual
# chmod 700 /home/ftpsite/

在 vsftpd.conf 添加以下参数配置项：

guest_enable=yes
guest_username=virtual

mkdir /home/ftpsite/user1 （这里的user1就是将要建立的虚拟用户名）

5. 对不同虚拟用户设置不同权限
# mkdir /etc/vsftpd/vsftpd_user_conf
# vim /etc/vsftpd/vsftpd_user_conf/user1 （建立用户单独配置文件，文件名就是用户名）

local_root=/home/ftpsite/user1    #这里的虚拟用户目录可以根据实际情况修改
file_open_mode=0777
write_enable=YES
virtual_use_local_privs=YES    #虚拟用户具有写权限（上传、下载、删除、重命名）

在 vsftpd.conf 添加以下参数配置项：

user_config_dir=/etc/vsftpd/vsftpd_user_conf

6. 禁锢FTP用户在宿主目录
将需要禁锢的用户名写入“chroot_list”文件
# vim /etc/vsftpd/chroot_list

user1
user2

在 vsftpd.conf 添加以下参数配置项：

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

下面补充说明一下ftp被动连接端口设置，FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。

PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器：“我打开了XXXX端口，你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据。

PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端：“我打开了XXXX端口，你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求，建立一条数据链路来传送数据。

如果FTP客户端软件设置的是被动连接，那么VSFTP配置文件需要设置被动端口：

在 vsftpd.conf 添加以下参数配置项：

pasv_min_port=3000
pasv_max_port=3010

如果开启iptables防火墙，需要配置：
iptables -A INPUT -p tcp -s 0/0 --dport 3000 -j accept
iptables -A INPUT -p tcp -s 0/0 --dport 3000:3010 -j ACCEPT

如果开始selinux，需要解除selinux阻止：
#setsebool -P ftpd_disable_trans 1
#service vsftpd restart

附：virtual_use_local_privs参数
当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；
当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。
 
当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。
 
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，
anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。
 
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。
 
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。
 
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。
 
当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，
anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。