環境:CentOS6.5+vsFTP vsftpd-2.2.2-13.el6_6.1.x86_64
第一步:安裝vsftp pam db4
yum install vsftpd pam* db4* -y
關閉防火牆
#/etc/init.d/iptables stop
#chkconfig –level 35 iptables off
關閉setenforce
#setenforce 0
在多用戶和界面模式vsftpd開機啓動
#chkconfig --level 35 vsftpd on
第二步:創建虛擬用戶驗證數據庫
先創建文本文件再通過ddb_load生成數據庫,要使用db_load必須安裝下述三個包
#rpm -qa |grep db4
db4-utils-4.7.25-18.el6_4.x86_64
db4-4.7.25-18.el6_4.x86_64
db4-devel-4.7.25-18.el6_4.x86_64
先創建用戶文件
#vi /etc/vsftpd/vsftpd_login.txt
ftp01 ##用戶名
123123 ##密碼,奇數行爲用戶名,偶數行爲密碼
ftp02
321321
生成數據庫
db_load -T -t hash -f vsftpd_logins.tst /etc/vsftpd/vsftpd_login.db
第三步:修改/etc/pam.d/vsftpd內容
註釋掉所有的行,然後在最後添加兩行即可。這個文件主要是指定驗證的配置文件,如果需要ftpusers起作用,則把第三行的#去掉即可,註釋掉原有配置後,則系統本地用戶名不能再登陸vsftpd,如果需要登陸,則需要按照上重新生成數據庫
[root@localhost vsftpd_user_conf]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
第四步:建立ftp虛擬宿主帳戶
#useradd -d /var/ftp/ftpuser ftpuser -s /sbin/nologin 這ftpuser只個虛擬帳戶的宿主,本身是不用登錄的
由於linux的權限控制是以用戶ID來區分,所以vsftpd創建的虛擬賬號linux並不認同,必須給這些虛擬賬號分批載體
第五步:配置vsftpd.conf
修改下面紅色字體的部分爲藍色字體的形式,紫色字體是配置原有的
anonymous_enable=YES --> anonymous_enable=NO //不允許匿名用戶訪問,默認是允許。
#chroot_list_enable=YES --> chroot_list_enable=YES //不允許FTP用戶離開自己主目錄,默認是被註釋掉的。
#chroot_list_file=/etc/vsftpd/chroot_list --> chroot_list_file=/etc/vsftpd/chroot_list //如果開啓了chroot_list_enable=YES,那麼一定要開啓這個,這條是鎖定登錄用戶所在的主目錄的位置
注意:
1:如果設置爲
chroot_local_user=YES
chroot_list_enable=YES(這行可以沒有, 也可以有)
chroot_list_file=/etc/vsftpd.chroot_list
那麼, 凡是加在文件vsftpd.chroot_list中的用戶都是不受限止的用戶
即可以瀏覽其主目錄的上級目錄。
所以, 如果不希望某用戶能夠瀏覽其主目錄上級目錄中的內容,可以如上設置, 然後在文件vsftpd.chroot_list中不添加該用戶即可(此時, 在該文件中的用戶都是可以瀏覽其主目錄之外的目錄的).
或者, 設置如下
chroot_local_user=NO
chroot_list_enable=YES(這行必須要有, 否則文件vsftpd.chroot_list不會起作用)
chroot_list_file=/etc/vsftpd.chroot_list
然後把所有不希望有這種瀏覽其主目錄之上的各目錄權限的用戶添加到文件vsftpd.chroot_list(此時, 在該文件中的用戶都是不可以瀏覽其主目錄之外的目錄的)中即可(一行一個用戶名).
/etc/vsftp/chroot_list本身是不存在的,這要建立vim /etc/vsftp/chroot_list,然後將帳戶輸入一行一個,保存就可以了
local_enable=YES //允許本地用戶訪問,默認就是YES,不用改
write_enable=YES //允許寫入,默認是YES,不用改
local_umask=022 //上傳後文件的權限掩碼,不用改
dirmessage_enable=YES //開啓目錄標語,默認是YES,開不開無所謂,我是默認就行
xferlog_enable=YES //開啓日誌,默認是YES,不用改
connect_from_port_20=YES //設定連接端口20
xferlog_std_format=YES //設定vsftpd的服務日誌保存路徑,不用改
(這步後面要有幾個操作才能運行,也就是touch這個文件(見第五步),因爲它本身不存在,而且還要給文件寫入的權限)
#idle_session_timeout=600 --> idle_session_timeout=600 //會話超時,客戶端連接到ftp但未操作,默認被註釋掉,可根據個人情況修改
#async_abor_enable=YES --> async_abor_enable=YES //支持異步傳輸功能,默認是註釋掉的,去掉註釋
#ascii_upload_enable=YES --> ascii_upload_enable=YES //支持ASCII模式的下載功能,默認是註釋掉的,去掉註釋
#ascii_download_enable=YES --> ascii_download_enable=YES //支持ASCII模式的上傳功能,默認是註釋掉的,去掉註釋
#ftpd_banner=Welcome to blah FTP service //FTP的登錄歡迎語,本身是被註釋掉的,去不去都行
#chroot_local_user=YES --> chroot_local_user=YES //禁止本地用戶登出自己的FTP主目錄,本身被註釋掉,去掉註釋
pam_service_name=vsftpd //設定pam服務下vsftpdd的驗證配置文件名,不用改
userlist_enable=YES //是否啓用user_list
TCP_wrappers=YES //限制主機對VSFTP服務器的訪問,不用改(通過/etc/hosts.deny和/etc/hosts.allow這兩個文件來配置)
#userlist_deny
userlist_deny=NO //只user_list裏面的用戶登陸,如果爲YES,則不允許登陸
user_config_dir=/etc/vsftpd/vsftpd_user_conf //指定虛擬用戶的個人配置文件
第六步:建立虛擬賬號的配置文件以及虛擬賬號的主目錄
在user_config_dir指定路徑下,建立與虛擬帳號同名的配置文件並添加相應的配置字段
[root@localhost vsftpd]# mkdir vsftpd_user_conf
[root@localhost vsftpd]#mkdir /var/ftp/public
[root@localhost vsftpd]#mkdir /var/ftp/personal
[root@localhost vsftpd]#chown ftpuser:ftpuser /var/ftp/public
[root@localhost vsftpd]#chown ftpuser:ftpuser /var/ftp/personal
[root@localhost vsftpd]#chmod -R 700 /var/ftp/public
[root@localhost vsftpd]#chmod -R 700 /var/ftp/personal
[root@localhost vsftpd_user_conf]# touch /etc/vsftpd/vsftpd_login/ftp01
[root@localhost vsftpd_user_conf]# touch /etc/vsftpd/vsftpd_login/ftp02
修改ftp01的配置文件
guest_enable=yes 開啓虛擬帳號登錄
guest_username=ftp01 設置ftp對應的系統帳號爲ftp01
anon_world_readable_only=no 不允許匿名用戶瀏覽器整個服務器的文件系統
local_root=/var/ftp/public 指定該虛擬賬號的主目錄(如果沒有這條,這默認會進入系統用戶ftp01的主目錄,如果ftp01的主目錄的其他人權限不允許讀,則看不到一個文件)
修改ftp02的配置文件
guest_enable=yes 開啓虛擬帳號登錄
guest_username=ftp02l 設置ftp對應的系統帳號爲ftp02
anon_other_write_enable=YES: 允許匿名賬號具有刪除.更名權限
anon_mkdir_write_enable=yes:允許創建文件夾
anon_upload_enable=yes: 開啓匿名帳號的上傳功能
anon_world_readable_only=no:不允許匿名用戶瀏覽整個服務器的文件系統
local_root=/var/ftp/personal 指定該虛擬賬號的主目錄