匿名用户和本机用户
#准备
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
systemctl disable firewalld --now
yum -y install vsftpd wget
cat >> /etc/vsftpd/vsftpd.conf <<EOF #修改默认umask, 否则上传后目录权限700,文件权限600, 自己上传的文件自己无法下载
local_umask=022
anon_umask=022
EOF
systemctl enable vsftpd --now
#匿名登录 测试
cd /var/ftp
mkdir pub/b ; touch pub/1
mkdir ftpdir && mkdir ftpdir/b && touch ftpdir/1 && chown -R ftp:ftp ftpdir
mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir
使用用户名 ftp 密码为空 登录ftp 默认目录 /var/ftp
测试结果:
进程派生: root -> nobody --> ftp
默认目录 /var/ftp/pub: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N
owner目录 /var/ftp/ftpdir: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N
777目录 /var/ftp/777dir: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N
##匿名登录加入上传,修改,删除权限
#容许匿名用户上传文件
anon_upload_enable=YES
#容许匿名用户建立目录
anon_mkdir_write_enable=YES
#容许匿名用户除了新建和上传外的其他权限, 如:删除、更名。
anon_other_write_enable=YES
##测试结果: 不启用虚拟用户情况下
进程派生: root -> nobody --> ftp
默认目录 /var/ftp/pub: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N
owner目录 /var/ftp/ftpdir: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y
777目录 /var/ftp/777dir: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y
##测试结果: 启用虚拟用户情况下:
进程派生: root -> nobody --> ftp
默认目录 /var/ftp/pub: 不变
owner目录 /var/ftp/ftpdir: 浏览:Y 下载:N 上传:Y mkdir:Y rmdir:Y delete:Y
777目录 /var/ftp/777dir: 不变
#本地用户登录 测试
useradd test && echo 123456|passwd --stdin test
使用用户名 test 密码 123456 登录ftp
##测试结果: 不启用虚拟用户情况下
进程派生: root -> nobody --> test
默认目录是 /home/test 在此目录下: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y
##测试结果: 启用虚拟用户情况下:
进程派生: root -> nobody --> vsftpd
默认目录是 /home/vsftpd 在此目录下: 浏览:N 下载:N 上传:Y mkdir:Y rmdir:Y delete:Y
虚拟用户(文本和mysql)
#准备
同上
#1. 本地数据文件方式
##添加虚拟用户口令文件 奇数行为用户名, 偶数行为密码
cat >> /etc/vsftpd/vftpuser.txt <<EOF
test1
123456
test2
123456
EOF
##生成虚拟用户口令认证文件
db_load -T -t hash -f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db
##vi /etc/pam.d/vsftpd 添加下面这两行到最上面 使用 sufficient 代替 required 和 include 且不注释其他条目, 则虚拟用户可以登录的同时,不影响本地用户登录
sed -i '/#%PAM-1.0/a\auth sufficient \/lib64\/security\/pam_userdb.so db=\/etc\/vsftpd\/vftpuser\naccount sufficient \/lib64\/security\/pam_userdb.so db=\/etc\/vsftpd\/vftpuser\n' /etc/pam.d/vsftpd
##建立本地映射用户并设置宿主目录权限 所有的FTP虚拟用户需要使用一个系统用户, 这个系统用户不需要密码。
useradd -s /sbin/nologin vsftpd
##检查虚拟用户配置项: pam_service_name=vsftpd (已经存在) 增加如下配置项
cat >> /etc/vsftpd/vsftpd.conf <<EOF
guest_enable=YES
guest_username=vsftpd
allow_writeable_chroot=YES
EOF
##重启vsftpd服务
systemctl restart vsftpd
##测试: 虚拟用户 test1 登录FTP
进程派生: root -> nobody --> vsftpd
默认目录是 /home/vsftpd 在此目录下: 浏览: N 下载: N 上传: Y 删除: Y 创建文件夹: Y 删除文件夹: Y
cd /home/vsftpd ; mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y
cd /home/vsftpd ; mkdir vsftpddir && mkdir vsftpddir/b && touch vsftpddir/1 && chown -R vsftpd:vsftpd vsftpddir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y
#2. 数据库服务器(MySQL)方式
## 在MySQL中建立用户口令数据库 此处为 8.0.18版本数据库
CREATE DATABASE vftpuser DEFAULT CHARACTER SET utf8mb4 COLLATE=utf8mb4_bin;
create user 'vftpuser'@'%' identified with mysql_native_password by 'VFTPUSER_1qaz';
grant all privileges on vftpuser.* to 'vftpuser'@'%' ;
flush privileges;
##以新用户登录,建立用户表 mysql -h localhost -u vftpuser -pVFTPUSER_1qaz -D vftpuser
drop table if exists vftp_logs;
create table vftp_logs (msg varchar(255),user char(16),pid int,host char(32),rhost char(32),logtime timestamp);
drop table if exists vftp_users;
create table vftp_users(id int unsigned auto_increment not null primary key,name varchar(20) binary not null,passwd char(48) binary not null);
insert into vftp_users (name,passwd) values ('test3','123456');
commit;
select * from vftp_users;
select * from vftp_logs order by logtime desc;
##编译MySQL的PAM认证模块
ls /lib64/security/pam_mysql.so #如果没有则安装
wget ftp://ftp.pbone.net/mirror/archive.fedoraproject.org/fedora/linux/updates/7/x86_64/pam_mysql-0.7-0.4.rc1.fc7.x86_64.rpm
wget https://cdn.mysql.com/archives/mysql-5.6/MySQL-shared-compat-5.6.51-1.el7.x86_64.rpm
wget https://cdn.mysql.com/archives/mysql-5.6/MySQL-client-5.6.51-1.el7.x86_64.rpm
yum -y remove mariadb-libs
yum -y install MySQL-client-5.6.51-1.el7.x86_64.rpm MySQL-shared-compat-5.6.51-1.el7.x86_64.rpm pam_mysql-0.7-0.4.rc1.fc7.x86_64.rpm
ls /lib64/security/pam_mysql.so #再次查看
#测试连接
mysql -h 192.168.55.99 -u vftpuser -pVFTPUSER_1qaz -D vftpuser -e "select name,passwd from vftp_users;"
##vi /etc/pam.d/vsftpd 添加下面这两行到最上面 使用 sufficient 代替 required 和 include 且不注释其他条目, 则虚拟用户可以登录的同时,不影响本地用户登录
auth sufficient /lib64/security/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1
account sufficient /lib64/security/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1
crypt=0:表示口令使用明文方式保存在数据库中
crypt=1:表示口令使用UNIX的DES加密方式加密后保存在数据库中
crypt=2:表示口令使用MySQL的password()函数加密后保存在数据库中
crypt=3:表示口令使用MD5散列值的方式保存在数据库中
命令如下
sed -i '/#%PAM-1.0/a\auth sufficient \/lib64\/security\/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1\naccount sufficient \/lib64\/security\/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1\n' /etc/pam.d/vsftpd
##建立本地映射用户并设置宿主目录权限
useradd -s /sbin/nologin vsftpd
##vi /etc/vsftpd/vsftpd.conf 检查虚拟用户配置项: pam_service_name=vsftpd (已经存在) 增加如下配置项
guest_enable=YES
guest_username=vsftpd
allow_writeable_chroot=YES
##重启vsftpd服务
systemctl restart vsftpd
##测试: 虚拟用户 test3 登录FTP
进程派生: root -> nobody --> vsftpd
默认目录是 /home/vsftpd 在此目录下: 浏览: N 下载: N 上传: Y 删除: Y 创建文件夹: Y 删除文件夹: Y
cd /home/vsftpd ; mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y
cd /home/vsftpd ; mkdir vsftpddir && mkdir vsftpddir/b && touch vsftpddir/1 && chown -R vsftpd:vsftpd vsftpddir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y
#虚拟用户高级设置: comment: 未测试
1. virtual_use_local_privs参数
当virtual_use_local_privs=YES时, 虚拟用户和本地用户有相同的权限
当virtual_use_local_privs=NO时, 虚拟用户和匿名用户有相同的权限, 默认是NO。
当virtual_use_local_privs=YES, write_enable=YES时, 虚拟用户具有写权限(上传、下载、删除、重命名)。
当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=YES, anon_upload_enable=YES时, 虚拟用户不能浏览目录, 只能上传文件, 无其他权限。
当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_upload_enable=NO时, 虚拟用户只能下载文件, 无其他权限。
当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_upload_enable=YES时, 虚拟用户只能上传和下载文件, 无其他权限。
当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_mkdir_write_enable=YES时, 虚拟用户只能下载文件和创建文件夹, 无其他权限。
当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_other_write_enable=YES时, 虚拟用户只能下载、删除和重命名文件, 无其他权限。
2. 建立各个虚拟用户自身的配置文件
cat >> /etc/vsftpd/vsftpd.conf <<EOF
user_config_dir=/etc/vsftpd/vsftpd_user_conf
EOF
mkdir /etc/vsftpd/vsftpd_user_conf
cat >> /etc/vsftpd/vsftpd_user_conf/test1 <EOF
#开放下载权限(只能下载)。注意这个地方千万不能写成YES, 否则将不能列出文件和目录。
anon_world_readable_only=NO
EOF
cat >>/etc/vsftpd/vsftpd_user_conf/test3 <<EOF
#开放写权限
write_enable=YES
#开放上传权限
anon_upload_enable=YES
#开放创建目录的权限
anon_mkdir_write_enable=YES
#开放删除和重命名的权限
anon_other_write_enable=YES
EOF
FAQ
- Passive mode refused
解决方法: ftp 命令运行 passive 关闭被动模式
- 425 Failed to establish connection
解决方法: ftp客户端关闭防火墙
- 500 OOPS: could not read chroot() list file:/etc/vsftpd/chroot_list
- 500 OOPS: cannot change directory:/home/vsftpd
解决方法: 关闭selinux
- 500 OOPS: vsftpd: refusing to run with writable root inside chroot()
说明: 从2.3.5之后, vsftpd增强了安全检查, 如果用户被限定在了其主目录下, 则该用户的主目录不能再具有写权限了!如果检查发现还有写权限, 就会报该错误。
解决方法: chmod a-w /home/vsftpd 去除用户主目录的写权限, 或者你可以在vsftpd的配置文件中增加下列两项中的一项:allow_writeable_chroot=YES