vsftp虛擬用戶訪問

来源:https://www.cnblogs.com/ccit/archive/2018/12/06/10077095.html
-Advertisement-
Play Games

需求:外部人員需要對公司伺服器上某個文件夾內容進行讀寫操作 文件目錄信息:/opt/abc drwxr-xr-x 9 www www 4096 12月 4 13:02 abc #註意最初abc的www用戶組沒有寫許可權 為了後面的ftp用戶能夠對此文件具備寫操作,需要添加www用戶組的寫許可權: chm ...


需求:外部人員需要對公司伺服器上某個文件夾內容進行讀寫操作

文件目錄信息:/opt/abc

drwxr-xr-x 9 www  www       4096 12月  4 13:02 abc   #註意最初abc的www用戶組沒有寫許可權

為了後面的ftp用戶能夠對此文件具備寫操作,需要添加www用戶組的寫許可權:

chmod g+w /opt/abc -R

drwxrwxr-x 9 www  www       4096 12月  4 13:02 abc

 

一、安裝vsftpd服務

確保selinux關閉以及防火牆關閉或開啟21埠

yum  install vsftpd

systemctl start vsftpd

systemctl enable vsftpd

netstat -tanlp|grep vsftpd

二、配置vsftpd

修改配置前養成好習慣,先備份一下

cp /etc/vsftpd/vsftpd.conf   /etc/vsftpd/vsftpd.conf.bak

這裡使用虛擬用戶訪問ftp伺服器

若基於Vsftpd系統用戶訪問FTP伺服器,系統用戶越多越不利於管理,而且不利於系統安全管理,鑒於此,為了能更加的安全使用VSFTPD,需使用Vsftpd虛擬用戶方式。

Vsftpd虛擬用戶原理:虛擬用戶就是沒有實際的真實系統用戶,而是通過映射到其中一個真實系統用戶(沒有密碼,也不具備登陸許可權)以及設置相應的許可權來實現訪問驗證,虛擬用戶不能登錄Linux系統,從而讓系統更加的安全可靠。

配置步驟如下:

1、安裝Vsftpd虛擬用戶需用到的軟體及認證模塊:

yum  install  pam*  libdb-utils  libdb*  --skip-broken  -y

2、創建虛擬用戶臨時用戶文件/etc/vsftpd/ftpusers.txt,新建虛擬用戶和密碼,其中ftp1為虛擬用戶名,123為密碼,如果有多個用戶,依如下格式填寫即可

ftp1

123

3、生成Vsftpd虛擬用戶資料庫認證文件,並設置許可權700:

db_load  -T  -t  hash  -f  /etc/vsftpd/ftpusers.txt  /etc/vsftpd/vsftpd_login.db  # 每次在/etc/vsftpd/ftpusers.txt添加了新的虛擬用戶後,需要再次執行此命令

解釋:(不一定准確)

db_load做資料庫生成;

-T 允許應用程式能夠將文本文件轉譯載入進資料庫。由於我們之後是將虛擬用戶的信息以文件方式存儲在文件里的,為了讓Vsftpd這個應用程式能夠通過文本來載入用戶數據,必須要使用這個選項。指定了選項-T,那麼一定要追加子選項-t

-t 追加在在-T選項後,用來指定轉譯載入的資料庫類型;

hash就是使用hash碼加密

-f 參數後面接包含用戶名和密碼的文本文件,文件的內容是:奇數行用戶名、偶數行密碼。

 

chmod  700  /etc/vsftpd/vsftpd_login.db   #vsftpd_login.db隱藏,除root用戶外,其他用戶無法查詢到虛擬用戶信息

4、配置PAM認證文件,PAM採用相應的認證模塊和剛剛建立的用戶資料庫,/etc/pam.d/vsftpd行首加入如下兩行(最好是將其他行刪除):

auth      required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

account   required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

5、所有Vsftpd虛擬用戶需要映射到一個系統用戶,該系統用戶不需要密碼,也不需要登錄,主要用於虛擬用戶映射使用,創建命令如下:

useradd    -s   /sbin/nologin    ftpuser

6、完整vsftpd.conf配置文件代碼如下:

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

userlist_enable=YES

tcp_wrappers=YES  

# 以下配置為開啟虛擬用戶功能

pam_service_name=vsftpd       # 虛擬用戶啟用pam認證;vsftpdpam認證指定的文件

guest_enable=YES    # 啟用虛擬用戶;

guest_username=ftpuser  # 映射虛擬用戶至系統用戶ftpuser;

user_config_dir=/etc/vsftpd/vsftpd_user_conf  # 設置虛擬用戶配置文件所在的目錄;

virtual_use_local_privs=YES  # 虛擬用戶使用與本地用戶相同的許可權。

# 以下配置為鎖定虛擬用戶在自己的目錄,不能查看到其他目錄(如不配置,通過ftp工具可以查看到系統所有目錄雖然無寫許可權)

chroot_local_user=YES

allow_writeable_chroot=YES

7、為虛擬用戶ftp1創建配置專有的配置文件以及家目錄,如果有多個虛擬用戶同此操作

在/etc/vsftpd/vsftpd_user_conf下創建ftp1虛擬用戶的配置文件

mkdir  -p    /etc/vsftpd/vsftpd_user_conf/ftp1

內容如下:

ocal_root=/home/ftpuser/ftp1  # 虛擬用戶家目錄所在位置

write_enable=YES    # 允許登陸用戶有寫許可權

anon_world_readable_only=YES   # 允許匿名用戶下載,然後讀取文件

anon_upload_enable=YES    # 允許匿名用戶上傳文件許可權,只有在write_enable=YES時該參數才生效;

anon_mkdir_write_enable=YES  # 允許匿名用戶創建目錄,只有在write_enable=YES時該參數才生效;

anon_other_write_enable=YES  # 允許匿名用戶其他許可權,例如刪除、重命名等。

8、創建虛擬用戶家目錄目錄:

mkdir -p /home/ftpuser/ftp1

chown -R ftpuser:ftpuser /home/ftpuser   # 遞歸更改虛擬用戶主目錄以及家目錄的所有者和屬組,才能具備相應許可權。

chmod -R 777 /home/ftpuser   # root帳號在ftp1下麵創建了多級目錄和文件後,需要授權,客戶端ftp1登錄了才能夠對其刪除和修改。

三、虛擬用戶訪問家目錄之外的目錄

以上操作,ftp1這個用戶已經可以訪問ftp伺服器,併在其家目錄中進行上傳下載添加刪除等操作,但用戶要訪問伺服器上其他目錄怎麼辦?操作如下:

第一反應是對需要訪問(abc文件)的目錄做一個軟連接,成功的失敗了 --_--,不是說不能做鏈接,只是做了後不能達到想要的效果。

最終通過革命先賢的智慧知道還可以將abc文件mount到ftp1家目錄下:

1、先到ftp1家目錄中創建abc文件夾,用戶掛載使用

mkdir -p /home/ftpuser/ftp1/abc

2、掛載目錄

mount --bind /opt/abc   /home/ftpuser/ftp1/abc

3、如果以後需要解除掛載,執行如下命令把/home/ftpuser/ftp1/abc目錄的umount即可

umount   /home/ftpuser/ftp1/abc

4、以上步驟僅僅是成功掛載了,虛擬用戶ftp1僅僅能對abc目錄中的文件進行下載操作,但無上傳、刪除等操作,需要如下操作

1)將ftpuser用戶加入到www用戶組,因為abc這個目錄屬於www用戶組

#查看當前ftpuser用戶信息

id ftpuser 

uid=1005(ftpuser) gid=1005(ftpuser) 組=1005(ftpuser)

#不改變原來用戶信息下添加至www用戶組

usermod -a -G www ftpuser

#再次ftpuser用戶信息,ftpuser已經加入到了www用戶組中

id ftpuser

uid=1005(ftpuser) gid=1005(ftpuser) 組=1005(ftpuser),1004(www)

2)讓/opt/abc下所有文件所屬組具備寫許可權

chmod g+w /opt/abc -R

 

至此虛擬用戶ftp1已可對abc文件進行任何操作。

 

 

 

 

排錯思路:

1、查看SELinux、防火牆

2、查看vsftpd進程

3、查看vsftpd.conf主配置文件

4、查看虛擬用戶配置文件

5、查看資料庫,查看Pam模塊,新添加虛擬用戶後需要重新生成資料庫文件

6、查看home/ftpuser下虛擬用戶家目錄是否創建

7、修改配置後重啟vsftpd服務

 

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一、背景   ABP的各類文檔在網路上已經非常完善了,唯獨缺少與oralce相關的資料,ABP官網也未給出一個較好的Oracle解決方案。正好最近在學習ABP相關知識,對ABP源碼結構稍算熟悉,花了些時間進行ABP適配Oracle。 二、準備    "ABP官 ...
  • System.IO 命名空間中很多類型的成員都包括 path 參數,讓你可以指定指向某個文件系統資源的絕對路徑或相對路徑。 此路徑隨後會傳遞至 Windows 文件系統 API。 本主題討論可在 Windows 系統上使用的文件路徑格式。 傳統 DOS 路徑 標準的 DOS 路徑可由以下三部分組成: ...
  • rm 刪除文件和目錄,預設情況下不會刪除目錄。 此命令的適用範圍:RedHat、RHEL、Ubuntu、CentOS、SUSE、openSUSE、Fedora。 1、語法 rm [選項] file 2、選項列表 選項 說明 --help 顯示幫助文檔 --version 顯示版本信息 -f | -- ...
  • yum install glusterfs-server yum 一直報錯 把/etc/yum.repos.d 備份 刪除了所有文件,從測試機192..168.59.128上同步過來 一直報錯 已載入插件:fastestmirrorbase | 3.6 kB 00:00:00 http://mirr ...
  • 1、OpenVZ OpenVZ(簡稱OVZ)採用SWsoft的Virutozzo虛擬化伺服器軟體產品的內核,是基於Linux平臺的操作系統級伺服器虛擬化架構。這個架構直接調用宿主機(俗稱:母機)中的內核,模擬生成出子伺服器(俗稱:VPS,小機),所以,它經過虛擬化後相對於母伺服器,性能損失大概只有的 ...
  • MIT 6.828 Lab 6: Network Driver (default final project) tags: mit 6.828 os 概述 本lab是6.828預設的最後一個實驗,圍繞 網路 展開。主要就做了一件事情。 從0實現網路驅動。 還提到一些比較重要的概念: 1. 記憶體映射I ...
  • 機器突然負載有點高,查看CPU 溫度的方法: 1.yum install lm_sensors; 2.sensors-detect 3.sensors 這些需要機器具備相應的設備,如果在虛擬機運行上面命令,可能找不到對應的感測器! [root@localhost ~]# sensors --vers ...
  • Linux 命令預設從標準輸入設備(stdin)獲取輸入,將結果輸出到標準輸出設備(stdout)顯示。一般情況下,標準輸入設備就是鍵盤,標準輸出設備就是終端,即顯示器。 輸出重定向:命令的輸出不僅可以是顯示器,還可以很容易的轉移向到文件,這被稱為輸出重定向。 命令輸出重定向的語法為: $ comm ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...