[vsftp服务]——ftp虚拟用户权限设置等的实验

Posted Jelly_lyj

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[vsftp服务]——ftp虚拟用户权限设置等的实验相关的知识,希望对你有一定的参考价值。

搭建ftp服务器,满足以下要求:

      1、允许匿名用户登录服务器并下载文件,下载速度设置为最高2MB/s

      2、不允许本地用户登录ftp服务器

      3、在服务器添加虚拟用户vuser01、vuser02、vuser03,密码自己设置。其中:

           (1)vuser01用户的下载速度最高为3MB/s,vuser02为4MB/s,vuser03为5MB/s;

           (2)vuser01可以进行文件上传,但不能进行其它操作;

           (3)vuser02可以上传和创建目录;

           (4)vuser03可以进行上传、创建文件和删除文件;

           (5)所有虚拟用户只能在/myserver/ftproot目录下活动

      4、设置服务器的最大并发客户数为10,密码输入次数最大为3,每个ip地址最多只能建立5个连接

      5、设置防火墙只允许进行ftp访问和ping测试,不能访问其它任何服务

 

实验环境

    服务器A:10.0.10.158

    服务器B:10.0.100.191

    客户端C:10.0.100.198

 


服务器:安装vsftpd和db_load加密工具

# yum -y install vsftp*
# yum -y install db4-utils

 


要求1:允许匿名用户登录服务器并下载文件,下载速度设置为最高2MB/s

# vim /etc/vsftpd/vsftp.conf
   anonymous_enable=YES         #允许匿名用户登录
   anon_max_rate=2000000        #设置最大下载速度为2MB/s

结果验证:

# ftp 10.0.10.158
Connected to 10.0.10.158 (10.0.10.158).
220 (vsFTPd 2.2.2)
Name (10.0.10.158:root): ftp    ------>#用系统默认的匿名用户ftp登录
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls                                    -------->#匿名用户ftp默认的家目录是/var/ftp
227 Entering Passive Mode (10,0,10,158,118,127).
150 Here comes the directory listing.
-rw-r--r--    1 0        0        104857600 Nov 30 06:42 100m_file    ------>#事先在服务器上传好一个100M大小的文件
drwxr-xr-x    2 0        0            4096 Mar 02  2012 pub
226 Directory send OK.
ftp> get 100m_file
local: 100m_file remote: 100m_file
227 Entering Passive Mode (10,0,10,158,189,24).
150 Opening BINARY mode data connection for 100m_file (104857600 bytes).
226 Transfer complete.
104857600 bytes received in 61.3 secs (1711.39 Kbytes/sec)    ------>#看耗时和下载速度
 
ftp> put /etc/passwd       ------>#试图上传一个文件,deny
local: /etc/passwd remote: /etc/passwd
227 Entering Passive Mode (10,0,10,158,126,52).
550 Permission denied.

ftp> mkdir aa           ------>#试图建立目录,deny
550 Permission denied.

 


要求2:在服务器添加虚拟用户vuser01、vuser02、vuser03,限制在/myserver/ftproot目录下活动。且每个虚拟用户有不同的权限要求。

1.在配置文件中添加对虚拟用户的支持

# vim /etc/vsftpd/vsftp.conf
   guest_enable=YES                      #实体用户均被假设成‘guest’登录
   guest_username=virtftp                #这个‘guest’被映射为本地的‘virtftp’用户
   pam_service_name=vsftpd               #设置在PAM所使用的名称,默认值为vsftpd
   user_config_dir=/etc/vsftpd/virt_dir  #虚拟用户的单独配置信息设置放在/etc/vsftpd/virt_dir下

2.编辑虚拟用户名和密码的文本文件(奇数行是用户名,偶数行是密码)

# vim /etc/vsftpd/virt_user.txt
   vuser01     \\用户名
   123123       \\密码
   vuser02
   123123
   vuser03
   123123

3.将文本文件生成数据库文件

# db_load -T -t  hash  -f  /etc/vsftpd/virt_user.tct /etc/vsftpd/virt_user.db

4.创建PAM认证文件

# vim  /etc/pam.d/vsftpd 
#%PAM-1.0
auth     sufficient     /lib/security/pam_userdb.so db=/etc/vsftpd/virt_user  --->#我的机子是32位的所以是/lib(64位的机子要写成/lib64)
account  sufficient    /lib/security/pam_userdb.so db=/etc/vsftpd/virt_user      

5.创建本地用户virtftp(我们在配置文件中已经写了,虚拟用户都映射为本地用户virtftp,且要求虚拟用户的家目录为/myserver/ftproot,所以virtftp的家目录也应该是这个)

# useradd -d /myserver/ftproot/ -s /sbin/nologin virtftp  #设置家目录为/myserver/ftproot,shell为不可登录
# ll -d /myserver/ftproot/
  drwx------. 3 virtftp virtftp 4096 11月 29 20:17 /myserver/ftproot/
# chmod 755 /myserver/ftproot/    #将家目录的权限改成755
# ll -d /myserver/ftproot/
  drwxr-xr-x. 3 virtftp virtftp 4096 11月 29 20:17 /myserver/ftproot/   #家目录的权限和属主属组一定要正确

 6.创建/etc/vsftpd/virt_dir目录,在其中写每个用户的不同权限配置要求(为什么是/etc/vsftpd/virt_dir这个目录,也是因为我们在配置文件中设置好的)

# mkdir /etc/vsftpd/virt_dir
# cd /etc/vsftpd/virt_dir
# vim vuser01                    ------>#在里面写虚拟用户vuser01的相关配置
  local_root=/myserver/ftproot   ------>#用户家目录
  anon_upload_enable=YES         ------>#允许上传
  anon_max_rate=3000000          ------>#设置最大不超过3MB/s
# vim vuser02
  local_root=/myserver/ftproot
  anon_upload_enable=YES          ------>#允许上传
  anon_mkdir_write_enable=YES     ------>#允许创建目录
  anon_max_rate=4000000
# vim  vuser03
  local_root=/myserver/ftproot
  anon_upload_enable=YES       
  anon_mkdir_write_enable=YES
  anon_other_write_ebale=YES    ------>#允许有‘写’以外的权限
  anon_max_rate=5000000

7.注意服务器上防火墙和SELinux的设置(无论在服务器还是客户端,若出现配置无问题但总是不成功就要考虑到这两个的设置)

# iptables  -F
# setenforce  0
# getsebool -a | grep ftp
  allow_ftpd_anon_write --> off
  allow_ftpd_full_access --> off
  allow_ftpd_use_cifs --> off
  allow_ftpd_use_nfs --> off
  ftp_home_dir --> off
  ftpd_connect_db --> off
  ftpd_use_passive_mode --> off
  httpd_enable_ftp_server --> off
  tftp_anon_write --> off
# setsebool ftp_home_dir 1
# setsebool tftp_anon_write 1
# setsebool allow_ftpd_anon_write 1
# setsebool allow_ftpd_full_access 1
# getsebool -a | grep ftp
  allow_ftpd_anon_write --> on
  allow_ftpd_full_access --> on
  allow_ftpd_use_cifs --> off
  allow_ftpd_use_nfs --> off
  ftp_home_dir --> on
  ftpd_connect_db --> off
  ftpd_use_passive_mode --> off
  httpd_enable_ftp_server --> off
  tftp_anon_write --> on

8.还有一个要求是“不允许本地用户登录”,但是配置文件中不能直接就写成"local_enable=NO",因为虚拟用户还要登录(即映射在本地的virtftp要能登录)。所以利用user_list来实现这一要求

# vim /etc/vsftpd/vsftp.conf
  local_enable=YES    
  userlist_enable=YES  ------>#启用user_list文件
  userlist_deny=NO     ------>#userlist文件变成白名单!表示只允许userlist列表中的用户登录


# vim /etc/vsftp/userlist  ------>#在userlist中写入允许登录的用户(即虚拟用户) (注意并不是写virtftp)
  vuser01
  vuser02
  vuser03

 


要求3:服务器的最大并发客户数为10,密码输入次数最大为3,每个ip地址最多只能建立5个连接

# vim /etc/vsftpd/vsftp.conf
  max_clients=10  ------>#最大并发客户连接数
  max_per_ip=5    ------>#每个IP最大连接数

 


验证

(1) vuser02用户验证

# ftp 10.0.10.158
Connected to 10.0.10.158 (10.0.10.158).
220 (vsFTPd 2.2.2)
Name (10.0.10.158:root): vuser02  ------>#以vuser02用户登录
331 Please specify the password.
Password:
230 Login successful.      ------>#可登录
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir aa     ------>#可创建目录
257 "/aa" created
ftp> ls
227 Entering Passive Mode (10,0,10,158,131,117).
150 Here comes the directory listing.
-rw-r--r--    1 0        0        104857600 Nov 30 06:48 100m_file
drwx------    2 503      503          4096 Nov 30 08:19 aa
drwxr-xr-x    2 0        0            4096 Nov 30 04:56 test
226 Directory send OK.
ftp> put /test.txt  ------>#可上传文件
local: /test.txt remote: /test.txt
227 Entering Passive Mode (10,0,10,158,106,249).
150 Ok to send data.
226 Transfer complete.
ftp> ls
227 Entering Passive Mode (10,0,10,158,188,10).
150 Here comes the directory listing.
-rw-r--r--    1 0        0        104857600 Nov 30 06:48 100m_file
drwx------    2 503      503          4096 Nov 30 08:19 aa
drwxr-xr-x    2 503      503          4096 Nov 30 09:52 test
-rw-------    1 503      503             0 Nov 30 09:55 test.txt
226 Directory send OK.

(2) vuser01用户验证 

# ftp 10.0.10.158
Connected to 10.0.10.158 (10.0.10.158).
220 (vsFTPd 2.2.2)
Name (10.0.10.158:root): vuser01    ------>#用vuser01登录
331 Please specify the password.
Password:
230 Login successful.     ------>#可登录
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put /test2.txt       ------>#可上传
local: /test2.txt remote: /test2.txt
227 Entering Passive Mode (10,0,10,158,94,158).
150 Ok to send data.
226 Transfer complete.
ftp> ls
227 Entering Passive Mode (10,0,10,158,208,4).
150 Here comes the directory listing.
-rw-r--r--    1 0        0        104857600 Nov 30 06:48 100m_file
drwx------    2 503      503          4096 Nov 30 08:19 aa
drwxr-xr-x    2 503      503          4096 Nov 30 09:52 test
-rw-------    1 503      503             0 Nov 30 09:55 test.txt
-rw-------    1 503      503             0 Nov 30 09:57 test2.txt
226 Directory send OK.
ftp> mkdir aa          ------>#不可新建目录
550 Permission denied.

(3) vuser03用户验证

# ftp 10.0.10.158
Connected to 10.0.10.158 (10.0.10.158).
220 (vsFTPd 2.2.2)
Name (10.0.10.158:root): vuser03    ------>#用vuser03登录
331 Please specify the password.
Password:
230 Login successful.    ------>#可登录
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put test3.txt      ------>#可上传
local: test3.txt remote: test3.txt
227 Entering Passive Mode (10,0,10,158,89,248).
150 Ok to send data.
226 Transfer complete.
ftp> mkdir bb       ------>#可新建目录
257 "/bb" created
ftp> rm bb          ------>#可删除目录(但貌似只能删除自己创建的目录??)
250 Remove directory operation successful.
ftp> delete test2.txt   ------>#可删除文件
250 Delete operation successful.
ftp> delete test.txt
250 Delete operation successful.
ftp> get 100m_file 
local: 100m_file remote: 100m_file
227 Entering Passive Mode (10,0,10,158,19,173).
150 Opening BINARY mode data connection for 100m_file (104857600 bytes).
226 Transfer complete.
104857600 bytes received in 21.6 secs (4856.31 Kbytes/sec)    ------>#下载的速度也符合设置

(4)本地普通用户验证

# ftp 10.0.10.158
Connected to 10.0.10.158 (10.0.10.158).
220 (vsFTPd 2.2.2)
Name (10.0.10.158:root): user_00    ------>#拒绝了本地用户user_00的登录
530 Permission denied.
Login failed.

 


 

补充

1.贴出该实验中的配置文件全部的有效选项

# cat vsftpd.conf | grep -v "^#" | grep -v "^$"
  anonymous_enable=YES
  local_enable=YES
  write_enable=YES
  local_umask=022
  anon_upload_enable=YES
  anon_max_rate=2000000
  dirmessage_enable=YES
  xferlog_enable=YES
  connect_from_port_20=YES
  xferlog_std_format=YES
  listen=YES
  guest_enable=YES
  guest_username=virtftp
  pam_service_name=vsftpd
  user_config_dir=/etc/vsftpd/virt_dir
  userlist_enable=YES
  userlist_deny=NO
  tcp_wrappers=YES
  max_clients=10
  max_per_ip=5
  max_login_fails=3

2.实验中出现的错误记录,请参考:

以上是关于[vsftp服务]——ftp虚拟用户权限设置等的实验的主要内容,如果未能解决你的问题,请参考以下文章

vsftp 使用虚拟用户

VSFTP服务器配置具有不同访问权限的虚拟用户

VSFTP服务器配置具有不同访问权限的虚拟用户

VSFTP服务器配置具有不同访问权限的虚拟用户

FTP服务最安全认证模式---虚拟账户访问

搭建VSFTP服务