vsftp虛擬用戶方式訪問

来源:https://www.cnblogs.com/ccit/archive/2018/12/06/10077095.html
-Advertisement-
Play Games

需求:外部人員需要對公司伺服器上某個文件夾內容進行讀寫操作 文件目錄信息:/opt/abc drwxr-xr-x 9 www www 4096 12月 4 13:02 abc #註意最初abc的www用戶組沒有寫許可權 為了後面的ftp用戶能夠對此文件具備寫操作,需要添加www用戶組的寫許可權: chm ...


需求:外部人員需要對公司伺服器上某個文件夾內容進行讀寫操作

文件目錄信息:/opt/abc

drwxr-xr-x 9 www  www       4096 12月  4 13:02 abc   #註意最初abc的www用戶組沒有寫許可權

為了後面的ftp用戶能夠對此文件具備寫操作,需要添加www用戶組的寫許可權:

chmod g+w /opt/abc -R

drwxrwxr-x 9 www  www       4096 12月  4 13:02 abc

 

一、安裝vsftpd服務

確保selinux關閉以及防火牆關閉或開啟21埠

yum  install vsftpd

systemctl start vsftpd

systemctl enable vsftpd

netstat -tanlp|grep vsftpd

二、配置vsftpd

修改配置前養成好習慣,先備份一下

cp /etc/vsftpd/vsftpd.conf   /etc/vsftpd/vsftpd.conf.bak

這裡使用虛擬用戶訪問ftp伺服器

若基於Vsftpd系統用戶訪問FTP伺服器,系統用戶越多越不利於管理,而且不利於系統安全管理,鑒於此,為了能更加的安全使用VSFTPD,需使用Vsftpd虛擬用戶方式。

Vsftpd虛擬用戶原理:虛擬用戶就是沒有實際的真實系統用戶,而是通過映射到其中一個真實系統用戶(沒有密碼,也不具備登陸許可權)以及設置相應的許可權來實現訪問驗證,虛擬用戶不能登錄Linux系統,從而讓系統更加的安全可靠。

配置步驟如下:

1、安裝Vsftpd虛擬用戶需用到的軟體及認證模塊:

yum  install  pam*  libdb-utils  libdb*  --skip-broken  -y

2、創建虛擬用戶臨時用戶文件/etc/vsftpd/ftpusers.txt,新建虛擬用戶和密碼,其中ftp1為虛擬用戶名,123為密碼,如果有多個用戶,依如下格式填寫即可

ftp1

123

3、生成Vsftpd虛擬用戶資料庫認證文件,並設置許可權700:

db_load  -T  -t  hash  -f  /etc/vsftpd/ftpusers.txt  /etc/vsftpd/vsftpd_login.db  # 每次在/etc/vsftpd/ftpusers.txt添加了新的虛擬用戶後,需要再次執行此命令

解釋:(不一定准確)

db_load做資料庫生成;

-T 允許應用程式能夠將文本文件轉譯載入進資料庫。由於我們之後是將虛擬用戶的信息以文件方式存儲在文件里的,為了讓Vsftpd這個應用程式能夠通過文本來載入用戶數據,必須要使用這個選項。指定了選項-T,那麼一定要追加子選項-t

-t 追加在在-T選項後,用來指定轉譯載入的資料庫類型;

hash就是使用hash碼加密

-f 參數後面接包含用戶名和密碼的文本文件,文件的內容是:奇數行用戶名、偶數行密碼。

 

chmod  700  /etc/vsftpd/vsftpd_login.db   #vsftpd_login.db隱藏,除root用戶外,其他用戶無法查詢到虛擬用戶信息

4、配置PAM認證文件,PAM採用相應的認證模塊和剛剛建立的用戶資料庫,/etc/pam.d/vsftpd行首加入如下兩行(最好是將其他行刪除):

auth      required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

account   required        pam_userdb.so   db=/etc/vsftpd/vsftpd_login

5、所有Vsftpd虛擬用戶需要映射到一個系統用戶,該系統用戶不需要密碼,也不需要登錄,主要用於虛擬用戶映射使用,創建命令如下:

useradd    -s   /sbin/nologin    ftpuser

6、完整vsftpd.conf配置文件代碼如下:

anonymous_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

userlist_enable=YES

tcp_wrappers=YES  

# 以下配置為開啟虛擬用戶功能

pam_service_name=vsftpd       # 虛擬用戶啟用pam認證;vsftpdpam認證指定的文件

guest_enable=YES    # 啟用虛擬用戶;

guest_username=ftpuser  # 映射虛擬用戶至系統用戶ftpuser;

user_config_dir=/etc/vsftpd/vsftpd_user_conf  # 設置虛擬用戶配置文件所在的目錄;

virtual_use_local_privs=YES  # 虛擬用戶使用與本地用戶相同的許可權。

# 以下配置為鎖定虛擬用戶在自己的目錄,不能查看到其他目錄(如不配置,通過ftp工具可以查看到系統所有目錄雖然無寫許可權)

chroot_local_user=YES

allow_writeable_chroot=YES

7、為虛擬用戶ftp1創建配置專有的配置文件以及家目錄,如果有多個虛擬用戶同此操作

在/etc/vsftpd/vsftpd_user_conf下創建ftp1虛擬用戶的配置文件

mkdir  -p    /etc/vsftpd/vsftpd_user_conf/ftp1

內容如下:

ocal_root=/home/ftpuser/ftp1  # 虛擬用戶家目錄所在位置

write_enable=YES    # 允許登陸用戶有寫許可權

anon_world_readable_only=YES   # 允許匿名用戶下載,然後讀取文件

anon_upload_enable=YES    # 允許匿名用戶上傳文件許可權,只有在write_enable=YES時該參數才生效;

anon_mkdir_write_enable=YES  # 允許匿名用戶創建目錄,只有在write_enable=YES時該參數才生效;

anon_other_write_enable=YES  # 允許匿名用戶其他許可權,例如刪除、重命名等。

8、創建虛擬用戶家目錄目錄:

mkdir -p /home/ftpuser/ftp1

chown -R ftpuser:ftpuser /home/ftpuser   # 遞歸更改虛擬用戶主目錄以及家目錄的所有者和屬組,才能具備相應許可權。

chmod -R 777 /home/ftpuser   # root帳號在ftp1下麵創建了多級目錄和文件後,需要授權,客戶端ftp1登錄了才能夠對其刪除和修改。

三、虛擬用戶訪問家目錄之外的目錄

以上操作,ftp1這個用戶已經可以訪問ftp伺服器,併在其家目錄中進行上傳下載添加刪除等操作,但用戶要訪問伺服器上其他目錄怎麼辦?操作如下:

第一反應是對需要訪問(abc文件)的目錄做一個軟連接,成功的失敗了 --_--,不是說不能做鏈接,只是做了後不能達到想要的效果。

最終通過革命先賢的智慧知道還可以將abc文件mount到ftp1家目錄下:

1、先到ftp1家目錄中創建abc文件夾,用戶掛載使用

mkdir -p /home/ftpuser/ftp1/abc

2、掛載目錄

mount --bind /opt/abc   /home/ftpuser/ftp1/abc

3、如果以後需要解除掛載,執行如下命令把/home/ftpuser/ftp1/abc目錄的umount即可

umount   /home/ftpuser/ftp1/abc

4、以上步驟僅僅是成功掛載了,虛擬用戶ftp1僅僅能對abc目錄中的文件進行下載操作,但無上傳、刪除等操作,需要如下操作

1)將ftpuser用戶加入到www用戶組,因為abc這個目錄屬於www用戶組

#查看當前ftpuser用戶信息

id ftpuser 

uid=1005(ftpuser) gid=1005(ftpuser) 組=1005(ftpuser)

#不改變原來用戶信息下添加至www用戶組

usermod -a -G www ftpuser

#再次ftpuser用戶信息,ftpuser已經加入到了www用戶組中

id ftpuser

uid=1005(ftpuser) gid=1005(ftpuser) 組=1005(ftpuser),1004(www)

2)讓/opt/abc下所有文件所屬組具備寫許可權

chmod g+w /opt/abc -R

 

至此虛擬用戶ftp1已可對abc文件進行任何操作。

 

 

 

 

排錯思路:

1、查看SELinux、防火牆

2、查看vsftpd進程

3、查看vsftpd.conf主配置文件

4、查看虛擬用戶配置文件

5、查看資料庫,查看Pam模塊,新添加虛擬用戶後需要重新生成資料庫文件

6、查看home/ftpuser下虛擬用戶家目錄是否創建

7、修改配置後重啟vsftpd服務

 

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • [TOC] 介紹 檢測伺服器當前的性能,主要檢查的項目如下: 負載:uptime 內核信息: dmesg 記憶體:vmstat、free CPU:top、mpstat、 I/O:iostat 網路:sar 有些命令需要安裝sysstat包 負載:uptime 通過 命令可以快速的查看當前的伺服器的1分 ...
  • 安裝某virtual無法written,某博主指引替換system32下的uxtheme.dll重啟即可。照做後重啟…桌面沒了,只能看見堅強的某鳥壁紙。無奈,重啟,採用最近一次的正確配置等…無果;求助各路大牛:“系統文件都敢替換,hhhh……”,無語,問度娘:如果安全模式跟恢復正確配置都不行就重裝系 ...
  • 摘要 網上一些激活工具可能捆綁了木馬、病毒。使用激活工具有風險。使用線上KMS來激活系統則沒有這個風險。(自測至發佈日期仍然可用) (有能力的請支持正版windows系統) 將kms伺服器地址設置為kms.03k.org(線上可用的KMS伺服器都可以) 已管理員身份運行CMD輸入命令:slmgr / ...
  • awk 命令詳解 awk 是一種編程語言,用於在linux/nuix下對文本和數據進行處理。數據可以來自標準輸入、一個或多個文件,或其它命令的輸出。它支持用戶自定義函數和動態正則表達式等先進功能,是linux/unix下的一個強大的編程工具。它在命令行中使用,但更多是作為腳本來使用。 awk 的處理 ...
  • 背景 隨著博客越寫越多,難免會遇到需要插入圖片來說明的情況。 圖床選擇 首先調研了市面上的圖床服務,本著穩定長期的目標,過濾掉了打一槍換一個地方的野雞小網站,剩餘比較靠譜的優缺點如下。 |圖床|優點|缺點| | | | | |騰訊雲|免費 無需功能變數名稱|未來可能會收費| |七牛|免費|需要功能變數名稱和備案| ...
  • Zabbix trigger是zabbix 進行告警通知的設定條件 ,當監控獲取的值觸發了設定的條件時,會按照觸發器的設定,執行相應的action 操作 。在zabbix中為了比較方便的設定各種條件,zabbix為我們設計了相應的函數和操作符 。 一、創建觸發器觸發器可以是和模板關聯的,也可以是和主 ...
  • 一 註冊賬號和申請 1 Digital Ocean網址https://cloud.digitalocean.com,可直接通過郵箱註冊,會向郵箱發送驗證碼。在註冊後必須先充值5美元才可以使用,充值時可選擇paypal或者信用卡支付。 2 關於優惠。如果直接點擊官網鏈接註冊是沒有優惠的。如果你是在校大 ...
  • top命令是Linux下常用的性能分析工具,能夠實時顯示系統中各個進程的資源占用狀況,類似於Windows的任務管理器。下麵詳細介紹它的使用方法。top是一個動態顯示過程,即可以通過用戶按鍵來不斷刷新當前狀態.如果在前臺執行該命令,它將獨占前臺,直到用戶終止該程式為止.比較準確的說,top命令提供了 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...