匿名用户和本机用户

#准备

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config

systemctl disable firewalld --now

yum -y install vsftpd wget

cat >> /etc/vsftpd/vsftpd.conf <<EOF #修改默认umask, 否则上传后目录权限700,文件权限600, 自己上传的文件自己无法下载

local_umask=022

anon_umask=022

EOF

systemctl enable vsftpd --now

#匿名登录 测试

cd /var/ftp

mkdir pub/b ; touch pub/1

mkdir ftpdir && mkdir ftpdir/b && touch ftpdir/1 && chown -R ftp:ftp ftpdir

mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir

使用用户名 ftp 密码为空 登录ftp 默认目录 /var/ftp

测试结果:

进程派生: root -> nobody --> ftp

默认目录 /var/ftp/pub: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N

owner目录 /var/ftp/ftpdir: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N

777目录 /var/ftp/777dir: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N

##匿名登录加入上传,修改,删除权限

#容许匿名用户上传文件

anon_upload_enable=YES

#容许匿名用户建立目录

anon_mkdir_write_enable=YES

#容许匿名用户除了新建和上传外的其他权限, 如:删除、更名。

anon_other_write_enable=YES

##测试结果: 不启用虚拟用户情况下

进程派生: root -> nobody --> ftp

默认目录 /var/ftp/pub: 浏览:Y 下载:Y 上传:N mkdir:N rmdir:N delete:N

owner目录 /var/ftp/ftpdir: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y

777目录 /var/ftp/777dir: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y

##测试结果: 启用虚拟用户情况下:

进程派生: root -> nobody --> ftp

默认目录 /var/ftp/pub: 不变

owner目录 /var/ftp/ftpdir: 浏览:Y 下载:N 上传:Y mkdir:Y rmdir:Y delete:Y

777目录 /var/ftp/777dir: 不变

#本地用户登录 测试

useradd test && echo 123456|passwd --stdin test

使用用户名 test 密码 123456 登录ftp

##测试结果: 不启用虚拟用户情况下

进程派生: root -> nobody --> test

默认目录是 /home/test 在此目录下: 浏览:Y 下载:Y 上传:Y mkdir:Y rmdir:Y delete:Y

##测试结果: 启用虚拟用户情况下:

进程派生: root -> nobody --> vsftpd

默认目录是 /home/vsftpd 在此目录下: 浏览:N 下载:N 上传:Y mkdir:Y rmdir:Y delete:Y

虚拟用户(文本和mysql)

#准备

同上

#1. 本地数据文件方式

##添加虚拟用户口令文件 奇数行为用户名, 偶数行为密码

cat >> /etc/vsftpd/vftpuser.txt <<EOF

test1

123456

test2

123456

EOF

##生成虚拟用户口令认证文件

db_load -T -t hash -f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db

##vi /etc/pam.d/vsftpd 添加下面这两行到最上面 使用 sufficient 代替 required 和 include 且不注释其他条目, 则虚拟用户可以登录的同时,不影响本地用户登录

sed -i '/#%PAM-1.0/a\auth sufficient \/lib64\/security\/pam_userdb.so db=\/etc\/vsftpd\/vftpuser\naccount sufficient \/lib64\/security\/pam_userdb.so db=\/etc\/vsftpd\/vftpuser\n' /etc/pam.d/vsftpd

##建立本地映射用户并设置宿主目录权限 所有的FTP虚拟用户需要使用一个系统用户, 这个系统用户不需要密码。

useradd -s /sbin/nologin vsftpd

##检查虚拟用户配置项: pam_service_name=vsftpd (已经存在) 增加如下配置项

cat >> /etc/vsftpd/vsftpd.conf <<EOF

guest_enable=YES

guest_username=vsftpd

allow_writeable_chroot=YES

EOF

##重启vsftpd服务

systemctl restart vsftpd

##测试: 虚拟用户 test1 登录FTP

进程派生: root -> nobody --> vsftpd

默认目录是 /home/vsftpd 在此目录下: 浏览: N 下载: N 上传: Y 删除: Y 创建文件夹: Y 删除文件夹: Y

cd /home/vsftpd ; mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y

cd /home/vsftpd ; mkdir vsftpddir && mkdir vsftpddir/b && touch vsftpddir/1 && chown -R vsftpd:vsftpd vsftpddir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y

#2. 数据库服务器(MySQL)方式

## 在MySQL中建立用户口令数据库 此处为 8.0.18版本数据库

CREATE DATABASE vftpuser DEFAULT CHARACTER SET utf8mb4 COLLATE=utf8mb4_bin;

create user 'vftpuser'@'%' identified with mysql_native_password by 'VFTPUSER_1qaz';

grant all privileges on vftpuser.* to 'vftpuser'@'%' ;

flush privileges;

##以新用户登录,建立用户表 mysql -h localhost -u vftpuser -pVFTPUSER_1qaz -D vftpuser

drop table if exists vftp_logs;

create table vftp_logs (msg varchar(255),user char(16),pid int,host char(32),rhost char(32),logtime timestamp);

drop table if exists vftp_users;

create table vftp_users(id int unsigned auto_increment not null primary key,name varchar(20) binary not null,passwd char(48) binary not null);

insert into vftp_users (name,passwd) values ('test3','123456');

commit;

select * from vftp_users;

select * from vftp_logs order by logtime desc;

##编译MySQL的PAM认证模块

ls /lib64/security/pam_mysql.so #如果没有则安装

wget ftp://ftp.pbone.net/mirror/archive.fedoraproject.org/fedora/linux/updates/7/x86_64/pam_mysql-0.7-0.4.rc1.fc7.x86_64.rpm

wget https://cdn.mysql.com/archives/mysql-5.6/MySQL-shared-compat-5.6.51-1.el7.x86_64.rpm

wget https://cdn.mysql.com/archives/mysql-5.6/MySQL-client-5.6.51-1.el7.x86_64.rpm

yum -y remove mariadb-libs

yum -y install MySQL-client-5.6.51-1.el7.x86_64.rpm MySQL-shared-compat-5.6.51-1.el7.x86_64.rpm pam_mysql-0.7-0.4.rc1.fc7.x86_64.rpm

ls /lib64/security/pam_mysql.so #再次查看

#测试连接

mysql -h 192.168.55.99 -u vftpuser -pVFTPUSER_1qaz -D vftpuser -e "select name,passwd from vftp_users;"

##vi /etc/pam.d/vsftpd 添加下面这两行到最上面 使用 sufficient 代替 required 和 include 且不注释其他条目, 则虚拟用户可以登录的同时,不影响本地用户登录

auth sufficient /lib64/security/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1

account sufficient /lib64/security/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1

crypt=0:表示口令使用明文方式保存在数据库中

crypt=1:表示口令使用UNIX的DES加密方式加密后保存在数据库中

crypt=2:表示口令使用MySQL的password()函数加密后保存在数据库中

crypt=3:表示口令使用MD5散列值的方式保存在数据库中

命令如下

sed -i '/#%PAM-1.0/a\auth sufficient \/lib64\/security\/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1\naccount sufficient \/lib64\/security\/pam_mysql.so user=vftpuser passwd=VFTPUSER_1qaz host=192.168.55.99 db=vftpuser table=vftp_users usercolumn=name passwdcolumn=passwd crypt=0 sqllog=1 logtable=vftp_logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1\n' /etc/pam.d/vsftpd

##建立本地映射用户并设置宿主目录权限

useradd -s /sbin/nologin vsftpd

##vi /etc/vsftpd/vsftpd.conf 检查虚拟用户配置项: pam_service_name=vsftpd (已经存在) 增加如下配置项

guest_enable=YES

guest_username=vsftpd

allow_writeable_chroot=YES

##重启vsftpd服务

systemctl restart vsftpd

##测试: 虚拟用户 test3 登录FTP

进程派生: root -> nobody --> vsftpd

默认目录是 /home/vsftpd 在此目录下: 浏览: N 下载: N 上传: Y 删除: Y 创建文件夹: Y 删除文件夹: Y

cd /home/vsftpd ; mkdir 777dir && mkdir 777dir/b && touch 777dir/1 && chmod -R 777 777dir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y

cd /home/vsftpd ; mkdir vsftpddir && mkdir vsftpddir/b && touch vsftpddir/1 && chown -R vsftpd:vsftpd vsftpddir #在此目录下: 浏览:Y 下载:Y 上传:Y 删除:Y 创建文件夹:Y 删除文件夹:Y

#虚拟用户高级设置: comment: 未测试

1. virtual_use_local_privs参数

当virtual_use_local_privs=YES时, 虚拟用户和本地用户有相同的权限

当virtual_use_local_privs=NO时, 虚拟用户和匿名用户有相同的权限, 默认是NO。

当virtual_use_local_privs=YES, write_enable=YES时, 虚拟用户具有写权限(上传、下载、删除、重命名)。

当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=YES, anon_upload_enable=YES时, 虚拟用户不能浏览目录, 只能上传文件, 无其他权限。

当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_upload_enable=NO时, 虚拟用户只能下载文件, 无其他权限。

当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_upload_enable=YES时, 虚拟用户只能上传和下载文件, 无其他权限。

当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_mkdir_write_enable=YES时, 虚拟用户只能下载文件和创建文件夹, 无其他权限。

当virtual_use_local_privs=NO, write_enable=YES, anon_world_readable_only=NO, anon_other_write_enable=YES时, 虚拟用户只能下载、删除和重命名文件, 无其他权限。

2. 建立各个虚拟用户自身的配置文件

cat >> /etc/vsftpd/vsftpd.conf <<EOF

user_config_dir=/etc/vsftpd/vsftpd_user_conf

EOF

mkdir /etc/vsftpd/vsftpd_user_conf

cat >> /etc/vsftpd/vsftpd_user_conf/test1 <EOF

#开放下载权限(只能下载)。注意这个地方千万不能写成YES, 否则将不能列出文件和目录。

anon_world_readable_only=NO

EOF

cat >>/etc/vsftpd/vsftpd_user_conf/test3 <<EOF

#开放写权限

write_enable=YES

#开放上传权限

anon_upload_enable=YES

#开放创建目录的权限

anon_mkdir_write_enable=YES

#开放删除和重命名的权限

anon_other_write_enable=YES

EOF

FAQ

• Passive mode refused

解决方法: ftp 命令运行 passive 关闭被动模式

• 425 Failed to establish connection

解决方法: ftp客户端关闭防火墙

• 500 OOPS: could not read chroot() list file:/etc/vsftpd/chroot_list
• 500 OOPS: cannot change directory:/home/vsftpd

解决方法: 关闭selinux

• 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

说明: 从2.3.5之后, vsftpd增强了安全检查, 如果用户被限定在了其主目录下, 则该用户的主目录不能再具有写权限了！如果检查发现还有写权限, 就会报该错误。

解决方法: chmod a-w /home/vsftpd 去除用户主目录的写权限, 或者你可以在vsftpd的配置文件中增加下列两项中的一项:allow_writeable_chroot=YES