FTP服务器的搭建及创建虚拟用户进行认证访问

PORT（主动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，客户端在命令链路上用PORT命令告诉服务器：“我打开了XXXX端口，你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求，建立一条数据链路来传送数据

PASV（被动）方式的连接过程是：客户端向服务器的FTP端口（默认是21）发送连接请求，服务器接受连接，建立一条命令链路。当需要传送数据时，服务器在命令链路上用PASV命令告诉客户端：“我打开了XXXX端口，你过来连接我”。于是客户端向服务器的XXXX端口发送连接请求，建立一条数据链路来传送数据。

1 安装所需软件包：

yum install vsftpd db4-utils

2 建立虚拟用户映射的系统用户

useradd -d /home/test  -s /sbin/nologin test

chmod 700 /home/test/

3 配置虚拟用户

3.1 建立虚拟用户口令库文件

cd /etc/vsftpd/

vim vusers.txt  （第一行写 用户名，第二行写 密码，保存退出）

-----------------------------------------

test1

passwd1

test2

passwd2

-----------------------------------------

3.2 利用口令库文件生成hash认证文件

db_load -T -t hash -f vusers.txt /etc/vsftpd/vusers.db

chmod 600 /etc/vsftpd/vusers.db

3.3 建立虚拟用户所需的PAM配置文件

vim /etc/pam.d/vusers

---------------------------------------------------------------------

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

--------------------------------------------------------------------

3.4 对不同虚拟用户创建不同的配置文件，权限不同

mkdir /etc/vsftpd/vusers

mkdir /home/test/{test1,test2}

vim /etc/vsftpd/vusers/test1

--------------------------------------------------------------------

#虚拟用户的家目录

local_root=/home/test/test1

#允许本地用户在服务器执行写入(上传)操作

write_enable=YES

#虚拟用户具有与本地用户一样的权限

virtual_use_local_privs=YES

--------------------------------------------------------------------

vim /etc/vsftpd/vusers/test2

--------------------------------------------------------------------

#虚拟用户的家目录

local_root=/home/test/test1

#设置虚拟用户不具有与本地用户一样的权限

virtual_use_local_privs=no

#允许本地用户在服务器执行写入(上传)操作

write_enable=YES

#开放下载权限

anon_world_readable_only=no

#开放上传权限

anon_upload_enable=yes

--------------------------------------------------------------------

4   配置vsftp主配置文件

vim /etc/vsftpd/vsftp.conf

--------------------------------------------------------------------

#禁止匿名用户登录

anonymous_enable=NO

#允许本地用户登录ftp服务器

local_enable=YES

#设置服务器上本地用户创建文件的权限掩码

local_umask=022

#启用日志文件功能

xferlog_enable=YES

#日志文件存放路径

xferlog_file=/var/log/vsftpd.log

#启用标准的日志格式

xferlog_std_format=YES

#主动模式下，启用默认的20端口进行数据传输

connect_from_port_20=YES

#被动模式

#pasv_enable=yes

#pasv_min_port=4500

#pasv_max_port=5000

#限制用户活动在家目录下

chroot_local_user=YES

#vsftpd以独立的服务方式运行

listen=YES

#启用允许用户访问的列表

userlist_enable=YES

#仅允许用户访问列表文件中的用户登录

#NO为白名单，YES为黑名单

userlist_deny=NO

#允许访问的用户列表存储文件

userlist_file=/etc/vsftpd/user_list

#检查/etc/hosts.allow和/etc/hosts.deny文件来控制主机访问

tcp_wrappers=YES

#最多允许的客户端

max_clients=10

#每个ip最多允许的连接数

max_per_ip=100

#虚拟用户使用PAM认证方式,名称需要和/etc/pam.d/下的名称一致

pam_service_name=vusers

#开启虚拟用户访问权限

guest_enable=yes

#设置虚拟用户的映射的系统用户

guest_username=test

#设置虚拟用户的配置文件目录

user_config_dir=/etc/vsftpd/vusers

----------------------------------------------------------------------

5 编辑允许访问的用户列表

vim /etc/vsftpd/user_list

------------------------------------------------------------------------

test1

test2

------------------------------------------------------------------------

6 启动vsftpd服务并加入开机启动

service vsftpd restart

chkconfig vsftpd on

7 附：virtual_use_local_privs参数

当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；

当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。

当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，

anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。