vsftpd下设置多个虚拟用户使用同一个目录
企业环境
公司为了能够方便和合作伙伴沟通最新的产品信息,计划搭建FTP服务器,给合作伙伴提供相关文档的下载。内部管理员对FTP服务器共享目录有上传、下载、删除和修改产品信息的权限。公司的合作伙伴能够使用FTP服务器进行上传和下载,但不可以删除数据。并且保证服务器的稳定性,进行适当优化设置~
需求分析
根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。考虑到服务器的安全性,关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。同时为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。
解决方案
首先用vi打开/etc/f 这个配置文件,进入编辑模式,将anonymous_enable=YES 的YES改为NO(不让匿名用户访问ftp服务器)
1、建立虚拟用户文件
vi /etc/vsftpd/ admin #内部管理员账号 desheng_ADMINuser #内部管理员账号密码 vip #合作伙伴账号 desheng@VIPuser #合作伙伴账号密码 |
建立完成之后保存退出。
2、生成虚拟用户数据库
要生成用户数据库,需要用到db_load命令,可以用rpm -qa | grep db4命令来查看是否有安装。
db_load -T -t hash -f /etc/vsftpd/ /etc/vsftpd/vsftpd_virtualuser.db |
3、配置PAM文件
若要服务器能够使用数据库文件,对客户端进行身份验证,就必须要修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd。用vi打开这个文件有如下内容:
%PAM-1.0 session optional pam_keyinit.so force revoke auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed auth required pam_shells.so auth include system-auth account include system-auth session include system-auth session required pam_loginuid.so |
把这些默认配置全部用“#”号注释掉,然后加上我们需要用到的配置。
#%PAM-1.0 #session optional pam_keyinit.so force revoke #auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so #auth include system-auth #account include system-auth #session include system-auth #session required pam_loginuid.so auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser |
4、创建虚拟帐号对应的系统用户
useradd -d /data/share -s /sbin/nologin ftpadmin useradd -d /data/share -s /sbin/nologin ftpvip |
创建download用户的时候会提示一些警告信息,我们先不管。
为2个虚拟账号创建密码,必须要和vsftpd_virtualuser文件里面的密码相同。
passwd ftpadmin #密码 desheng_ADMINuser passwd ftpvip #密码 desheng@VIPuser |
5、设置配置文件f 在配置文件的最尾端加上如下配置:
pam_service_name=vsftpd user_config_dir=/etc/vsftpd/virtualuser_config #指定用户配置文件存放路径 max_clients=300 #设置FTP服务器最大接入客户端数为300个 max_per_ip=10 #设置每个IP地址最大连接数为10个 |
6、建立虚拟用户配置文件设置多个虚拟帐号的不同权限
若使用一个配置文件无法实现此功能,需要为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置。 为了方便管理,在/etc/vsftpd下创建一个存放虚拟用户配置文件的文件夹virtualuser_config,然后进入这个文件夹创建admin和vip配置文件。
mkdir virtualuser_config cd virtualuser_config touch admin touch vip |
<--------配置admin文件-------->
#开启虚拟用户登录 guest_enable=YES #设置admin对应的系统用户ftpadmin guest_username=ftpadmin #允许在文件系统写入数据的权限 write_enable=YES #允许用户浏览整个服务器的文件系统(允许下载) anon_world_readable_only=NO #允许用户创建文件夹 anon_mkdir_write_enable=YES session下载 #允许用户修改、删除数据的权限 anon_other_write_enable=YES #开启用户上传功能 anon_upload_enable=YES #限定传输速率为120KB/s anon_max_rate=120000 |
<--------配置vip文件-------->
#开启虚拟用户登录 guest_enable=YES #设置vip对应的系统用户ftpvip guest_username=ftpvip #允许用户浏览整个服务器的文件系统(允许下载) anon_world_readable_only=NO #开启用户上传功能 anon_upload_enable=YES #限定传输速率为50KB/s anon_max_rate=50000 |
到这里,虚拟用户建立完成了。 接着需要做的工作是修改/etc/passwd文件。
我们首先来看一下passwd文件的最后两行的内容:
cat /etc/passwd ftpadmin:x:500:500::/data/share:/sbin/nologin ftpvip:x:501:501::/data/share:/sbin/nologin |
ftpadmin为账户名,x为密码,500是uid,500是gid,/data/share根目录,/sbin/nologin是使用什么shell。
现在我做如下的修改
ftpadmin:x:500:500::/data/share:/sbin/nologin ftpvip:x:500:500::/data/share:/sbin/nologin |
把ftpvip的uid和gid都改为了ftpadmin的uid和gid,这就相当于ftpadmin这个用户有一个别名了,而且这个别名可以有它自己独立的权限(即只能下载、上传),如果不修改的话ftpvip用户就没有权限访问这个文件夹了。
为了能让用户看见/data/share文件夹里面的内容,需要修改一下这个目录的权限。
chmod o+r /data/share |
好了,基本配置完成。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论