文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

CentOS怎么安装配置vsftp虚拟用户登录

2023-06-16 17:03

关注

本篇内容主要讲解“CentOS怎么安装配置vsftp虚拟用户登录”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“CentOS怎么安装配置vsftp虚拟用户登录”吧!

在使用Linux时,难免要进行各种文件的远程传输,比如:网站的代码,共享资源等,而这其中用的最多的传输方法大概就是FTP了。Linux下可用FTP服务端是非常多的,vsftp, proftp, uw-ftp等,其中vsftp流行度比较广,冲着这个,本人在自己的CentOS上也就选择了vsftp,而且,vsftp支持PAM(pluggable authentication modules)下虚拟用户设置,这正是Mitchell Chu比较喜欢的一种方式,接下来就请vsftp君上场。

Vsftp使用的用户中,支持三种用户模式,分别是:实体用户,匿名用户和虚拟用户(guest, 亦称访客身份)。实体用户(Real  User)是指用户本身存在于系统中的用户,他们存在于/etc/passwd和/etc/shadow文件中。匿名用户(Anonymous)是指客户 端无需提供任何用户身份,ftp为访问者提供一个名为anonymous的特殊用户以供其使用。虚拟用户(Virtual  User)个人理解是一种介于实体用户和匿名用户之间的用户。原因是:虚拟用户虽然在系统的实体用户文件中不存在,但是会在系统的其他地方进行记录(本文是Berkeley  DB),以供vsftp用来对ftp访问者进行必要的鉴权,而鉴权完毕之后,该用户操作文件之时,将是使用vsftp的运行用户ftp进行的。由于实体用户需要的是系统真实帐户,开放这种权限无疑会增加系统的风险,而虚拟用户使用的是和实体用户不同的用户验证体系,并且,在系统中并不实际存在虚拟用户到实体用户的映射关系,因此降低了FTP给系统带来的风险性,在实际生产环境中,虚拟用户可以更加灵活的进行独立管理,比如:虚拟主机需要给用户提供FTP帐 户。有这么些好处之后,让我们看看是如何配置吧!

预备式

Berkeley DB 数据库:用来存储虚拟用户的登录信息。

pam_userdb.so:用来验证虚拟用户。

db4_utils:用来转换虚拟用户到DB数据的工具。

安装需要的包

CentOS中好像是默认自带vsftp的,因此,无需安装,如果你不确认,可以用which看下:

which vsftpd   # 如果安装好了的话,应该是有类似下面的输出: # /usr/sbin/vsftpd # 如果没安装,则类似下面的输出 # /usr/bin/which: no xd in (/home/limituser...

没有安装的话,请安装:

yum install vsftpd  # 或者: yum -y install vsftpd

当然,清空下yum的缓存亦可:

pushd /etc/yum.repos.d/ rm -rf * wget http://docs.linuxtone.org/soft/lemp/CentOS-Base.repo yum clean all   yum -y install vsftpd ## 这句还是重点.

为了简单,我们可以一次性安装所有需要的包:

yum install db4-utils db4 vsftpd   ## Mitchell Chu提醒:有的就不用再安装了,请自行增减

创建虚拟用户

虚拟用户我们使用Berkeley DB数据库来存储。***步是创建纯文本来添加用户和密码,用户名和密码各占一行。比如我们要创建:useasp的用户名,密码是blog.useasp.net,并且创建一个admin密码是adminpasswd的用户,那么,纯文本将类似如下:

pushd /etc/vsftpd cat >vusers.txt useasp blog.useasp.net admin adminpasswd

创建好vusers.txt后,我们需要的第二步是将纯文本转换为db文件,这时候需要使用到db_load了:

db_load -T -t hash -f vusers.txt vsftpd-virtual-users.db

为了安全起见,记得设置仅root可读写(当前是root):

chmod 600 vsftpd-virtual-users.db

再清理掉原来的纯文本文件:

rm vusers.txt

此时,我们已经将需要登录FTP的用户已经准备好了,接下来就需要去配置vsftpd,让vsftpd能够正确的识别并支持已经设置好虚拟用户了。

VSFTPD虚拟用户的配置

找到vsftpd.conf配置文件,添加或修改下面这些配置选项:

# 禁止匿名登录 anonymous_enable=NO anon_upload_enable=YES anon_other_write_enable=YES # 启用本地用户 local_enable=YES # 虚拟用户使用本地用户权限 virtual_use_local_privs=YES # 可写 write_enable=YES # PAM配置 pam_service_name=vsftpd # 启用虚拟用户 guest_enable=YES # 用户后缀: 配合下面local_root使用,将会用登录的用户名替换掉$USER user_sub_token=$USER # 根目录 local_root=/var/ftp/$USER # 启用chroot,登录后会被定位到指定根目录 chroot_local_user=YES # 将所有的用户和组显示为ftp hide_ids=YES

vsftpd的配置文件是在/etc/vsftpd/vsftpd.conf,原有配置项可以保留默认值,如果需要日志,vsftpd有两个日志可供使用,一个是标准xferlog格式的,一个是vsftpd格式的,可读性后者更好,当然,你也可以两个日志都启用,要启用可以设置:xferlog_enable, xferlog_std_format, xferlog_file, vsftpd_log_file等参数以获得需要的日志效果。

虚拟用户的PAM配置

要针对虚拟用户启用PAM,我们还需要对PAM尽心配置,在上面的vsftpd配置文件中,我们使用pam_service_name来配置了PAM将使用的配置文件,这个文件安装后是默认存在的,如果你觉得有必要保留原来的配置,可以先行备份一份,而后配置文件内容改为如下:

#%PAM-1.0 auth       required     pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-users account    required     pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-users #session    required     pam_loginuid.so

要启用session可以将上面的#注释掉,如果是在32位系统下,网上有一个配置方法是下面这种:

#%PAM-1.0 auth       sufficient     pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-users account    sufficient     pam_userdb.so db=/etc/vsftpd/vsftpd-virtual-users

由于本人对Linux下的PAM并不是很了解,并不太了解requiredsufficient的区别,这里不好做过多的论断,有了解的可以指点一下,谢谢!

PAM配置里面,是指明账户保存的所在位置,我们配置文件里面的路径即是前面使用db_load创建的Berkeley DB的文件路径。

创建FTP目录

前面vsftpd已经配置了ftp的目录,我们需要先行创建FTP根目录,和用户需要的目录,因为一旦这些用户登录,将会被vsftpd重新定位到指定的home目录下的,vsftpd中我们配置的是/var/ftp,因此我们需要确认此目录是否存在,不存在我们就需要创建,而后,在此目录下创建虚拟用户的根目录,目录名称就是用户名称。

mkdir -p /var/ftp/{useasp,admin} chown -R ftp:ftp /var/ftp

为了保证能够顺利读取到文件,我们将根目录下的所有文件都变成ftp这个用户所有——ftp账户系统已经默认设置好了,vsftpd就是使用这个账户来操作的。

重启FTP服务,测试FTP

按上面的流程配置完后,我们就可以重新启动vsftpd服务,让新的配置生效——如果你没有办法使用此命令,请参看后面的省却麻烦一节,将vsftpd设置成为开机启动服务:

service vsftpd restart

重启之后,理论上来说,应该就能使用FTP客户端访问FTP服务器了,如果需要测试,你也可以直接在本机访问测试下:

ftp 127.0.0.1

此时应该能够得到正常返回,类似如下:

Connected to 127.0.0.1 (127.0.0.1). 220-Welcome to Mitchell Personal Web Server(MPWS) 220-Please use user name and password to login... 220-if you have any question, please contact MitchellChu<******@useasp.net> 220 Name (127.0.0.1:root):useasp 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>

而在系统的日志中应该也能看到登录信息(以下是多个日志文件,和有的如果没有配置vsftpd的日志文件将无法看到):

# tail -f /var/log/secure Sep  4 23:36:11 CentOS vsftpd[8721]: pam_userdb(vsftpd:auth): user 'useasp' granted access   # tail -f /var/log/vsftpd.log Fri Sep  4 23:36:15 2015 [pid 8721] [useasp] FTP response: Client "127.0.0.1", "150 Here comes the directory listing."

到此,我们就已经配置了一个可以正常访问的FTP服务器了。

开启防火墙,开放给别人用吧

上面测试正常后,如果你开启了iptables,那么,记得添加规则,让你的21,20端口,以后被动模式时使用的端口范围开放出来吧:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 65300:65360 -j ACCEPT service iptables save

上面的是我的iptables的配置,开放了21和20端口,20端口是ftp-data用的,用来传输数据。

省却麻烦

为了不用每次重启之后都爬上机器上开启FTP,我们可以将vsftpd设置为开机启动&mdash;&mdash;如果系统已经有了这个服务,忽略:

chkconfig --levels 345 vsftpd on service vsftpd start

至此,就差不多得到一个比较***的FTP Server了。

后记:

上面是配置vsftpd使用虚拟用户的基本流程,但在配置中,我们总是能发现这样或者那样的问题,因此就需要我们不断的去DEBUG整个流程,由于Linux中有SELinux的存在,很多问题的根源还是在于SELinux的设置,如果你需要简单快捷,那么使用下面这个命令即可解决大部分问题&mdash;&mdash;网上很多朋友也正是这样解决的:

setenforce 0 # or setenforce Permissive

当然,如果你和Mitchell Chu一样,也是个不愿意如此简单了事的人儿,那么,咱们继续踏上征程&hellip;&hellip;在按上面的方法配置好整个FTP服务器之后,本人也或多或少碰到如下的这些问题,现在汇集起来,方便后来者(若有时间,会展开来讲,暂且记录下):

不能定位到各自用户的目录,这个问题的存在,我们可以尝试设置SELinux中的ftp_home_dir来解决:

setsebool -P ftp_home_dir on

不能列出FTP目录内容,这个问题也是SELinux引起的,可能的原因是vsftpd对于目录并没有权限,检查下自己的权限是否正确,vsftpd使用的是ftp用户访问,看看自己是否设置错权限了?

3.还是不能列出目录文件,再看看目标文件夹的类型对不对,一般需要的是public_content_r_t,如果你不确认,可以使用下面的命令查看:

ls -alZ

你将看到类似如下的输出:

drwxr-xr-x. root root system_u:object_r:public_content_t:s0 . drwxr-xr-x. root root system_u:object_r:var_t:s0       .. drwxr-xr-x. root root system_u:object_r:var_t:s0 useasp drwxr-xr-x. root root system_u:object_r:var_t:s0 admin

可以看到,默认的是var_t,我们需要设置一下,这里需要用到工具semanage,如果没有,需要安装policycoreutils-python

yum -y install policycoreutils-python

因为我使用了自行编译的Python版本,导致semanage不能正常运行,报错:

Traceback (most recent call last):   File "/usr/sbin/semanage", line 23, in <module>     import policycoreutils.default_encoding_utf8 ImportError: No module named policycoreutils.default_encoding_utf8

修正后,直接使用semanage来设置:

restorecon -R -v /var/ftp/{useasp,admin}

不能上传文件,不能创建文件夹,还是SELinux的问题啊,设置:

setsebool -P allow_ftpd_anon_write on

还不能上传文件?试试:

semanage fcontext -a -t public_content_rw_t "/var/ftp(/.*)?" restorecon -R -v /var/ftp/{useasp,admin}

这个和上面的设置差不多,只是权限更大,请谨慎操作!

到此,相信大家对“CentOS怎么安装配置vsftp虚拟用户登录”有了更深的了解,不妨来实际操作一番吧!这里是编程网网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯