LinuxFTP:VSFTP(虚拟用户)

   
VSFTP中VS的意思是“Very Secure”。从名称可以看出，从一开始，软件的编写者就非常注重其安全性。除与生俱来的安全性外，VSFTP还具有高速、稳定的性能特点。在稳定性方面，VSFTP可以在单机（非集群）上支持4000个以上的并发用户同时连接。据ftp.redhat.com的数据，VSFTP最多可以支持15000个并发用户。
一、快速构建FTP服务器
vsftp不像squid等软件需要做相应的配置才可以启动，安装好以后直接输入
/etc/init.d/vsftpd start
就启动了vsftp。
二、测试FTP服务器(测试环境为windows xp cmd)
首先添加测试文件
cd /var/ftp/pub
vi test.txt 添加内容“This is a test file”保存退出。
使用客户端登录到服务器，然后以匿名(anonymous)身份登录
#ftp 10.0.0.15 #(根据你的服务器地址判断，我的服务器ip address是10.0.0.15)
Connected to 10.0.0.15.
220 (vsFTPd 2.0.1)
User (10.0.0.15none)): anonymous
331 Please specify the password.
Password:
230 Login successful.
ftp>
      
成功登陆服务器后可以显示一下文件列表
ftp> dir
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Jul 30 22:31 pub
226 Directory send OK.
ftp: 收到 61 字节，用时 0.00Seconds 61000.00Kbytes/sec.
      
进入pub目录，并显示目录内容，可以看到刚才的test.txt文件
ftp> cd pub
250 Directory successfully changed.
ftp> dir
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rw-r--r--    1 0        0              13 Jul 30 22:31 test.txt
226 Directory send OK.
ftp: 收到 66 字节，用时 0.00Seconds 66000.00Kbytes/sec.
      
测试下载test.txt文件
ftp> get test.txt
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for test.txt (13 bytes).
226 File send OK.
ftp: 收到 13 字节，用时 0.00Seconds 13000.00Kbytes/sec.
      
ok可以下载，我们来试试看上传。
ftp> put "C:\Documents and Settings\fish\桌面\vsftp.txt"
200 PORT command successful. Consider using PASV.
550 Permission denied.
尝试上传vsftp.txt请求被拒绝了。
      
退出登录
ftp>bye
221 Goodbye
      
根据测试结果可以看出，现在是一个专门提供下载服务的匿名FTP服务器。
从上面的步骤可以看出，并不需要做什么配置就可以完成一个简易FTP服务器的架设。这是因为Red Hat已经配置好一个缺省的FTP服务器。不过在实际应用中，大部分情况下这个简易的服务器并不能满足需求。


二、进一步配置FTP服务器
　　下面将创建一个能够满足常用需求的FTP服务器。实际应用中，FTP服务器一般要同时提供上传和下载功能。此外，出于安全考虑，还需要有用户身份验证、用户权限设置及空间管理等。
1、添加欢迎词
cat /etc/vsftp/vsftpd.conf 确定dirmessage_enable=yse 如果是no则修改。
新建一个.message文件内容随意。


2、更换FTP服务器的默认端口。将预设的21端口改为2121，这样做是基于安全的考虑。更
改方法为，/etc/vsftpd/vsftpd.conf加入一行listen_port=2121
echo "listen_port=2121"


3、取消系统匿名用户anonymous修改配置文件/etc/vsftp/vsftpd.conf
找到anonymous_enable=YSE 修改为"NO"


4、4．设定使用者不得更改目录。一般情况下，使用者的预设目录为/home/username。若是不希望使用者在登录后能够切换至上一层目录/home，则可通过以下设置来实现。在/etc/vsftpd/vsftpd.conf文件中找


到以下三行内容：
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
修改为
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
增加两个测试帐号(必须是系统帐户)
useradd fish
useradd rain
新增加一个文件/etc/vsftpd/chroot_list,内容为两个用户名：
fish
rain


5、针对不同的使用者限制不同的速度。假设用户fish所能使用的最高速度为500Kb/s，用户rain所能使用的最高速度为250Kb/s，可以通过以下方法设置。在/etc/vsftpd/vsftpd.conf文件尾部新增以下一行：
echo "user_config_dir=/etc/vsftpd/userconf" >>  /etc/vsftpd/vsftpd.conf
增加一个名为/etc/vsftpd/userconf的目录：
#mkdir /etc/vsftpd/userconf
在/etc/vsftpd/userconf下新增一个名为fish的文件，其内容如下所示：
local_max_rate=500000
在/etc/vsftpd/userconf目录下新增一个名为rain的文件，其内容如下所示：
local_max_rate=250000


6、对于每一个帐户都以独立进程来运行，一般情况下启动vsftp只能看到一个vsftpd的进程运行，但是如果系统每个用户都能够以单独的进程呈现，则可以通过在/etc/vsftpd/vsftpd.conf文件中添加一行来实现。
echo "setproctitle_enable=YES" >> /etc/vsftpd/vcsfpd.conf


7、有时希望直接在/etc/hosts.allow中定义允许或拒绝某一源地址，可以通过以下配置来实
现。先确保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES。
假设提供168.192.2.1和210.31.8.1到210.31.8.254的连接，则可对/etc/hosts.allow进
行如下设定：
vsftpd : 168.192.2.1 210.31.8. : allow
ALL : ALL : DENY


8、保存配置文件。重新启动vsftpd
/etc/init.d/vsftpd restart


9、测试FTP Server。过程略




三、配置虚拟用户FTP(阳台抽支烟，休息一下，下面开始做虚拟帐户)
上面配置的FTP服务器有一个特点，就是FTP服务器的用户本身也是系统用户。这显然是一
个安全隐患，因为这些用户不仅能够访问FTP，也能够访问其它的系统资源。如何解决这
个问题呢？答案就是创建一个虚拟用户的FTP服务器。虚拟用户的特点是只能访问服务器
为其提供的FTP服务，而不能访问系统的其它资源。所以，如果想让用户对FTP服务器站内
具有写权限，但又不允许访问系统其它资源，可以使用虚拟用户来提高系统的安全性。
在VSFTP中，认证这些虚拟用户使用的是单独的口令库文件（pam_userdb），由可插入认
证模块(PAM)认证。使用这种方式更加安全，并且配置更加灵活。 下面介绍配置过程。


1．生成虚拟用户口令库文件。为了建立此口令库文件，先要生成一个文本文件。该文件
的格式如下，单数行为用户名，偶数行为口令：


#vi account.txt
Ricky
1234
lee
4321
Oz
5678
bin
8765
andy
zxcvbnm,./,


2．生成口令库文件，并修改其权限：
#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db
#chmod 600 /etc/vsftpd/account.db


3．新建一个虚拟用户的PAM文件。加上如下两行内容：
#vi /etc/pam.d/vsftp.vu
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account
account required /lib/security/pam_userdb.so db=/etc/vsftpd/account


4．建立虚拟用户，设置该用户所要访问的目录，并设置虚拟用户访问的权限：
#useradd -d /ftpsite virtual_user
#chmod 700 /ftpsite
经过该步骤的设置，/ftpsite就是virtual_user用户的主目录，该用户也是/ftpsite目录
的拥有者。除root用户之外，只有该用户具有对该目录的读、写和执行的权限。


5．生成一个测试文件。先切换至virtual_user用户身份，然后在/ftpsite目录下创建一
个文件：
#su -virtual_user
$vi /ftpsite/mytest
This is a test file.
$su - root


6．编辑/etc/vsftpd/vsftpd.conf文件，使其整个文件内容如下所示（去掉了注释内容）：
anonymous_enable=NO
local_enable=YES
local_umask=022
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
one_process_model=NO
chroot_local_user=YES
ftpd_banner=Welcom to my FTP server.
anon_world_readable_only=NO
guest_enable=YES
guest_username=virtual_user
pam_service_name=vsftp.vu


上面代码中，guest_enable=YES表示启用虚拟用户；guest_username=virtual则是将虚拟
用户映射为本地用户，这样虚拟用户登录后才能进入本地用户virtual的目录/ftpsite；
pam_service_name=vsftp.vu指定PAM的配置文件为vsftp.vu。


7．重新启动VSFTP：
#service vsftpd restart


8．以虚拟用户oz（Linux中并无该账号）进行测试：


# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): oz
331 Please specify the password.
Password:
230 Login successful. Have fun.
Remote system type is UNIX.
Using binary mode to transfer files.


测试下载服务器目录中的一个文件mytest：


ftp> get mytest
local: mytest remote: mytest
227 Entering Passive Mode (127,0,0,1,159,19)
150 Opening BINARY mode data connection for mytest (21 bytes).
226 File send OK.
21 bytes received in 0.00038 secs (54 Kbytes/sec)


测试上传本机目录中的文件vsftpd.conf：


ftp> !ls
account.db chroot_list k mytest userconf vsftpd.conf
ftp> put vsftpd.conf
local: vsftpd.conf remote: vsftpd.conf
227 Entering Passive Mode (127,0,0,1,117,203)
150 Ok to send data.
226 File receive OK.
4229 bytes sent in 0.00195 secs (2.1e+03 Kbytes/sec)


可以看到，使用没有系统账号的虚拟用户可以成功完成上传、下载的工作。但该FTP虚拟
服务器只允许虚拟用户登录，其它系统用户无法登录，如系统用户rain不是虚拟用户，
则不能登录该虚拟服务器。


# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 Welcom to my FTP server.
Name (127.0.0.1:root): rain
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.


在虚拟FTP服务器中，也可以对各个用户的权限进行设置。方法是在/etc/vsftpd.conf文
件中添加如下一行：
user_config_dir=用户配置文件目录


然后在用户配置文件目录下创建相应的用户配置文件，比如为上述名为oz的用户创建一
个配置文件（假设配置文件目录为/etc/user_config_dir）：


#vi /etc/user_config_dir/oz
write_enable=NO
anono_upload_enable=NO


重启FTP服务器，这时再使用账号oz来登录，就已经没有上传的权限了。