vsftpd搭建使用

[root@x101 ftp]# yum -y install vsftpd
[root@x101 ftp]# systemctl start vsftpd
[root@x101 ftp]# systemctl enable vsftpd
[root@x101 ftp]# vim /etc/vsftpd/vsftpd.conf


情景一：匿名用户可以上传、下载、创建目录、重命名、删除文件
配置要注意二个部分，请一一仔细对照：
1、vsftpd.conf配置文件
[root@x101 ftp]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
＃允许匿名用户登录FTP

anon_root=/var/ftp/upload
＃设置匿名用户的登录目录（如需要，需自己添加并修改），/var/ftp/upload目录权限必须属于系统账号，否则客户端无法使用匿名账号登陆ftp服务器。

anon_upload_enable=YES
＃打开匿名用户的上传权限

anon_mkdir_write_enable=YES
＃打开匿名用户创建目录的权限

anon_other_write_enable=YES
＃打开匿名用户删除和重命名的权限（如需要，需自己添加）

anon_umask=066
#匿名用户创建文件时的掩码（如需要，需自己添加，含义：如umask是022,这时创建一个权限为666的文件，文件的实际权限为666-022=644）

anon_world_readable_only=YES
#当为YES时，文件的other用户必须有r权限才允许下载，即使文件的属主为ftp且对文件有r权限也无法下载，为了安全考虑，默认为YES；当为NO时，则只要属主为ftp且对文件有r权限即可下载；




2、ftp目录的权限设置
[root@x101 ftp]# mkdir /var/ftp/upload/
[root@x101 ftp]# chown ftp /var/ftp/upload/
*net use /d 清除ftp连接缓存**

　　

注意：

anon_root=/var/ftp/upload

＃设置匿名用户的登录目录（如需要，需自己添加并修改），/var/ftp/upload目录权限必须属于系统账号，否则客户端无法使用匿名账号登陆ftp服务器。

　　

情景二：本地用户登陆
[root@x101 ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
#不允许匿名用户登入

local_enable=YES/NO（YES）
#控制是否允许本地用户登入，YES 为允许本地用户登入，NO为不允许。默认值为YES。

local_root=/ftproot
#当本地用户登入时，将被更换到定义的目录下。默认值为各用户的家目录。

write_enable=YES/NO（YES）
#是否允许登陆用户有写权限。属于全局设置，默认值为YES。

local_umask=022
#本地用户新增档案时的umask 值。默认值为077。

file_open_mode=0755
#本地用户上传档案后的档案权限，与chmod所使用的数值相同。默认值为0666。

chroot_local_user=YES
#用于指定用户列表文件中的用户不允许切换到上级目录。默认值为NO。

allow_writeable_chroot=YES
#允许囚禁的用户目录具有可写权限，否则会报错无法显示内容

添加ftp用户
[root@x101 ~]# useradd -s /sbin/nologin teacher -d /ftproot
[root@x101 ~]# echo "Pa@@123"|passwd --stdin teacher
为了安全，在/ftproot目录下建tt目录,并给tt目录属主和属组修改为teacher，这样才可以创建或删除目录，上传、删除文件
[root@x101 ftproot]# mkdir tt
[root@x101 ftproot]# chown teacher.teacher tt

重启ftp服务生效
[root@x101 ftproot]# systemctl restart vsftpd

　　

情景三：虚拟账号

 修改配置前养成好习惯，先备份一下

cp /etc/vsftpd/vsftpd.conf   /etc/vsftpd/vsftpd.conf.bak

若基于Vsftpd系统用户访问FTP服务器，系统用户越多越不利于管理，而且不利于系统安全管理，鉴于此，为了能更加的安全使用VSFTPD，需使用Vsftpd虚拟用户方式。

Vsftpd虚拟用户原理：虚拟用户就是没有实际的真实系统用户，而是通过映射到其中一个真实系统用户（没有密码，也不具备登陆权限）以及设置相应的权限来实现访问验证，虚拟用户不能登录Linux系统，从而让系统更加的安全可靠。

需考虑到服务器的安全性，所以关闭实体用户登录，使用虚拟帐号验证机制，并对不同虚拟帐号设置不同的权限。

保证服务器的性能，还需要根据用户的等级，限制客户端的连接数及下载速度。

例如：公司为了宣传最新的产品信息，计划搭建FTP 服务器，为客户提供相关文档的下载。对所有互联网开放共享目录，允许下载产品信息，禁止上传。公司的合作单位能够使用FTP 服务器进行上传和下载，但不可以删除数据。需要保证服务器的稳定性并做优化。

创建ftp虚拟帐号。允许客户使用ftp帐号下载文件。 但是，你们自己的合作伙伴帐号：vip帐号可以上传一内部文件。

1、创建用户数据库

（1）创建用户文本文件

先建立用户文本文件virtualuser.txt，添加两个虚拟帐号，公共帐号ftpuser 及客户帐号vip

[root@x112 vsftpd]# vim virtualuser.txt    #写入以下内容。格式一行用户一行密码

vip

vip

ftpuser

123

（2）生成数据库

 保存虚拟帐号和密码的文本文件无法被系统帐号直接调用。我们需要使用db_load 命令生成db

数据库文件
安装：

[root@x112 vsftpd]# yum -y install libdb-utils

[root@x112 vsftpd]# db_load -T -t hash -f virtualuser.txt virtualuser.db

 选项-T允许应用程序能够将文本文件转译载入进数据库。

 -t hash使用hash码加密

 -f 指定包含用户名和密码文本文件。此文件格式要示：奇数行用户名、偶数行密码

 （3）修改数据库文件访问权限

  [root@x112 vsftpd]# chmod 600 virtualuser.db

2、配置PAM 文件

为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM 模块.

PAM概述：

PAM(Plugable Authentication Module)为可插拔认证模块，不必重新安装应用系统，通过修

改指定的配置文件，调整对该程序的认证方式。PAM 模块配置文件路径为/etc/pam.d/目录，此

目录下保存着大量与认证有关的配置文件，并以服务名称命名。

vim  /etc/pam.d/vsftpd

修改vsftpd 对应的PAM 配置文件/etc/pam.d/vsftpd。将默认配置使用“#”全部注释，添加两行应字段。

auth　　　　required/lib64/security/pam_userdb.so  db=/etc/vsftpd/virtualuser

account　　required/lib64/security/pam_userdb.so  db=/etc/vsftpd/virtualuser

3、创建虚拟帐号对应的系统用户及ftp共享的目录

 对于公共帐号和客户帐号，因为需要配置不同的权限，所以可以将两个帐号的目录进行隔离，控

制用户的文件访问。公共帐号ftpuser 对应系统帐号ftpuser，并指定其主目录为/var/ftp/share

而客户帐号vip 对应系统帐号vip，指定主目录为/var/ftp/vip

[root@x112 vsftpd]# useradd -d /var/ftp/share ftpuser -s /sbin/nologin

[root@x112 vsftpd]# useradd -d /var/ftp/vip vip -s /sbin/nologin

[root@x112 vsftpd]# chmod 500 /var/ftp/share/

[root@x112 vsftpd]# chown 700 /var/ftp/vip/

chmod -R 500 /var/ftp/share/ ：公共帐号ftp 只允许下载;

chmod -R 700 /var/ftp/vip/ ：客户帐号vip 允许上传和下载

4、建立配置文件

 一个配置文件无法实现此功能，需要为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置。

（1）修改vsftpd.conf 主配置文件

禁用匿名用户登录并启用本地用户登录设置

vim vsftpd.conf

改：

#anonymous_enable=YES

为：

#anonymous_enable=NO

local_enable=YES   #确认此选项打开，允许本地用户登录。 Uncomment ：取消注释

chroot_local_user=YES   #确认此选项打开。将所有本地用户限制在家目录中，NO 则不限制

allow_writeable_chroot=YES　　#囚禁主目录后，可以正常查看目录内文件

pam_service_name=vsftpd  #确认在文件的最后有选项。配置vsftpd 使用的PAM 模块为vsftpd

在此选项后面追加：

user_config_dir=/etc/vsftpd/virtualuser_config：设置虚拟帐号的主目录为 virtualuser_config

max_clients=300：设置FTP 服务器最大接入客户端数为300 个

max_per_ip=10：设置每个IP 地址最大连接数为10 个

（2）建立虚拟帐号配置文件

在user_config_dir 指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段

首先建立公共帐号ftp 的配置文件

[root@x112 virtualuser_config]# vim ftpuser

guest_enable=yes

guest_username=ftpuser

anon_world_readable_only=no

anon_max_rate=50000

解释：

guest_enable=yes：开启虚拟帐号登录

guest_username=ftpuser：设置ftp 对应的系统帐号为ftpuser

anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=50000：限定传输速率为50KB/s

  

[root@x112 virtualuser_config]# vim vip

guest_enable=yes

guest_username=ftpvip

anon_world_readable_only=no

write_enable=yes

anon_mkdir_write_enable=yes

anon_upload_enable=yes

anon_max_rate=100000

解释：

guest_enable=yes：开启虚拟帐号登录

guest_username=vip：设置ftp 对应的系统帐号为ftpvip

anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统

write_enable=yes：允许在文件系统写入权限

anon_mkdir_write_enable=yes：允许创建文件夹

anon_upload_enable=yes：开启匿名帐号的上传功能

anon_max_rate=10000000：限定传输速度为10MB/s

#anon_other_write_enable=yes：#允许重命名，删除等其它权限

  

客户端测试：

[root@x101 ~]# lftp 192.168.0.112 -u vip,vip

排错思路：

 1、查看SELinux、防火墙

 2、查看vsftpd进程

 3、查看vsftpd.conf主配置文件

 4、查看虚拟用户配置文件

 5、查看数据库，查看Pam模块，新添加虚拟用户后需要重新生成数据库文件

 6、查看home/ftpuser下虚拟用户家目录是否创建

 7、修改配置后重启vsftpd服务