Centos 7.5 搭建FTP配置虚拟用户1.安装vsftpd#vsftpd下载地址 http://mirror./centos/7/os/x86_64/Packages/vsftpd-3.0.2-25.el7.x86_64.rpm #安装vsftpd rpm -ivh vsftpd-3.0.2-25.el7.x86_64.rpm
2.创建vsftpd系统用户#建立Vsftpd服务的宿主用户 useradd vsftpd -M -s /sbin/nologin #建立Vsftpd虚拟宿主用户 useradd virftpuser -M -s /sbin/nologin –d /var/ftp/
3.配置vsftpdmv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsfftpd.conf.bak #新建vsftpd.conf vim /etc/vsftpd/vsftpd.conf 内容如下: anonymous_enable=NO #设成YES,允许匿名用户登陆 local_enable=YES #允许/禁止本地用户登陆 注意:主要是为虚拟宿主用户,如果该项目设定为NO那么所有虚拟用户将无法访问。 write_enable=YES #设定可以进行写操作。 local_umask=022 #设定上传后文件的权限掩码,文件644,文件夹755 dirmessage_enable=YES #设定开启目录标语功能 xferlog_enable=YES #设定开启日志记录功能。 connect_from_port_20=YES #设定端口20进行数据连接 xferlog_std_format=YES #设定日志使用标准的记录格式 listen=YES #开启独立进程vsftpd,不使用超级进程xinetd。设定该Vsftpd服务工作在StandAlone模式下。 pam_service_name=vsftpd #设定,启用pam认证,并指定认证文件名/etc/pam.d/vsftpd userlist_enable=YES #设定userlist_file中的用户将不得使用FTP tcp_wrappers=YES #设定支持TCP Wrappers chroot_local_user=YES #限制所有用户在主目录 #限制所有用户在主目录 #以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目,需要自己手动添加配置 guest_enable=YES #设定启用虚拟用户功能 guest_username=virftpuser #指定虚拟用户的宿主用户 virtual_use_local_privs=YES #设定虚拟用户的权限符合他们的宿主用户 user_config_dir=/etc/vsftpd/vconf #设定虚拟用户个人Vsftp的配置文件存放路径。也就是说,这个被指定的目录里,将存放每个Vsftp虚拟用户个性的配置文件, #一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。
#建立Vsftpd的日志文件,修改属主为vsftpd服务用户 touch /var/log/vsftpd.log chown vsftpd.vsftpd /var/log/vsftpd.log
4.虚拟用户配置#创建虚拟用户配置文件存放路径 mkdir –pv /etc/vsftpd/vconf/ #制作虚拟用户数据库文件 vim /etc/vsftpd/virtusers #编辑虚拟用户名单文件virtusers,在其中加入用户的用户名和口令信息。格式:“奇数行用户名,偶数行口令”。 virtusers文件格式如下: test #用户名 test1234 #用户密码 test1 #用户名 test1234 #用户密码 #生成虚拟用户数据文件:
#添加用户需添加至virtusers文件,然后重新执行上述命令。 5. 设置认证文件PAM#备份配置文件 cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak #编辑Vsftpd的PAM验证配置文件,把原来的配置文件全部注释掉(不注释掉虚拟用户会登录不上),添加如下行 auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers #以上两条是手动添加的,内容是对虚拟用户的安全和帐户权限进行验证。 这里的auth是指对用户的用户名口令进行验证。 这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。 其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败,意味着用户还必须将经历剩下来的验证审核。 再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。 最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。 --------------------------------------------------------------------------------- vim /etc/pam.d/vsftpd #%PAM-1.0 auth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtusers #session optional pam_keyinit.so force revoke #auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so #auth include password-auth #account include password-auth #session required pam_loginuid.so #session include password-auth 6.虚拟用户配置#虚拟用户权限介绍 例,分别创建admin web download upload 4个账户, 权限分配如下: admin #管理员账户,虚拟用户具有写权限(上传、下载、删除、重命名),新建目录
web #web网站文件传输账户, 和admin管理员权限相同,由于web页面的特殊性,故单独设置上传文件权限为755
download #下载账户,只能浏览目录和下载
upload #上传账户,只能新建目录和上传、下载
#各虚拟用户配置文件如下: #admin local_root=/home/ftp #虚拟用户根目录 anon_world_readable_only=NO #开放下载权限 write_enable=YES #写权限 anon_mkdir_write_enable=YES #新建目录权限 anon_upload_enable=YES #上传权限 anon_other_write_enable=YES #删除/重命名的权限
#web local_root=/var/www #虚拟用户根目录 anon_world_readable_only=NO #开放下载权限 anon_umask=022 #umask =022时,新建的目录权限是755(777-022),文件的权限是 644, #umask =077时,新建的目录权限是700,文件的权限时 600 write_enable=YES (写权限)
#download local_root=/home/ftp #虚拟用户根目录 anon_world_readable_only=NO #开放下载权限, 写YES,将不能列出文件和目录 anon_mkdir_write_enable=NO #这句可以不写,不写同样不能新建文件夹
#upload local_root=/home/ftp #虚拟用户根目录 virtual_use_local_privs=NO #虚拟用户和匿名用户有相同的权限,默认是NO;与本地用户权限相同是YES anon_world_readable_only=NO #开放下载权限,写成YES,将不能列出文件和目录 write_enable=YES #写权限 anon_upload_enable=YES #上传权限
#创建虚拟用户根目录,这里我使用默认目录 /var/ftp/pub/ #属主修改为虚拟宿主用户virftpuser chown –R virftpuser:virftpuser /vat/ftp/pub/ #在虚拟用户配置文件目录创建虚拟用户对应配置文件,文件名与虚拟用户名一致 vim /etc/vsftpd/vconf/username #配置文件内容根据需求自行配置。
7.firewall和SElinux设置#如无特殊要求可直接关闭firewall和SElinux
firewall-cmd --list-services #查看防火墙允许的服务。 firewall-cmd --add-service=ftp --permanent #永久开放ftp服务 firewall-cmd --add-port=20/tcp –permanent firewall-cmd --add-port=21/tcp --permanent #开放端口,允许外网访问 firewall-cmd –reload #重新载入配置 setsebool ftpd_full_access 1 #selinux设置 setsebool tftp_home_dir 1
8.启动服务,测试systemctl start vsftpd #启动vsftpd systemctl enable vsftpd #添加服务至开机启动
#测试需安装ftp软件 ftp >open 127.0.0.1
9. vsftpd单用户多目录的配置#可读写挂载 mount --bind /home/test1/ /data/www/virtual/test1/ #只读挂载 mount –bind –o ro /home/test2/ /data/www/virtual/test2/
#mount --bind连接的两个目录的inode号码并不一样,只是目标目录的block被屏蔽掉,inode被重定向到原目录的inode (目标目录的inode和block依然没变,就是说目标目录只是隐藏不是删除,数据都没有改变,只是访问不到了) #两个目录的对应关系存在于内存里,一旦重启挂载关系就不存在了,所以我们想要服务器重启之后还有效的话就需要写到/etc/rc.local 或修改fstab文件。
#fstab文件格式 # /home/test1/ /data/www/virtual/test1/ xfs bind 0 0 #/home/test2/ /data/www/virtual/test2/ xfs bind,ro 0 0
#修改rc.local vim /etc/rc.local #添加如下内容 #可读写挂载 mount --bind /home/test1/ /data/www/virtual/test1/ #只读挂载 mount --bind /home/test2/ /data/www/virtual/test2/ mount -o remount,ro /data/www/virtual/test2/
#权限设置 chmod +x /etc/rc.d chmod +x /etc/rc.d/rc.local #设置服务启动脚本。 cd /usr/lib/systemd/system vim rc-local.service 注释掉之前内容,添加以下内容 [Unit] Description=/etc/rc.d/rc.local Compatibility ConditionFileIsExecutable=/etc/rc.d/rc.local After=network.target
[Service] Type=forking ExecStart=/etc/rc.d/rc.local start TimeoutSec=0 RemainAfterExit=yes SysVStartPriority=99
[Install] WantedBy=multi-user.target
#启动服务 systemctl start rc-local systemctl enable rc-local
10.常见问题1.centos7 550 create directory operation failed 目录权限不足,SElinux配置问题
2.500 OOPS: vsftpd: refusing to run with writable root inside chroot() 原因 用户主目录具有写权限,chmod a-w ,去除写权限 或在用户配置文件追加 allow-writeable_chroot=yes, echo “allow_writeable_chroot=YES” >> /etc/vsftpd/vconf/$username
3.开启了匿名模式,但访问一直提示输入用户及密码 原因1 参数不对造成,添加anon_umask=022 原因2 根目录权限不对
|
|