实验环境:
公司最近上了一款游戏,当游戏客户端登录到服务器有补丁更新时,是通过ftp来更新数据.所以需要建立一个普通虚拟用户账号,用于客户端登录ftp服务器更新补丁用,此账号只支持下载权限.由于平时我们也要维护服务器后台上传数据,需要建立一个专用虚拟用户账号,此账号拥有所有权限.还要把上传数据发布到普通虚拟用户家目录下,提供下载!
解决方案:
1.创建用户数据库
(1)创建用户文本文件先建立用户文本文件vsftpd_login.txt
添加两个虚拟帐号,普通帐号public和专用帐号personal
[root@red-hat-5 ~]# touch /etc/vsftpd/vsftpd_login.txt
[root@red-hat-5 ~]# echo public >>/etc/vsftpd/vsftpd_login.txt 生成public账号
[root@red-hat-5 ~]# echo PUBLIC >>/etc/vsftpd/vsftpd_login.txt 生成public密码
[root@red-hat-5 ~]# echo personal >>/etc/vsftpd/vsftpd_login.txt 生成personal账号
[root@red-hat-5 ~]# echo PERSONAL >>/etc/vsftpd/vsftpd_login.txt 生成personal密码
[root@red-hat-5 ~]# cat /etc/vsftpd/vsftpd_login.txt
Public 账号
PUBLIC 密码
Personal 账号
PERSONAL 密码
(2)生成数据库
要使用db_load这个命令,需要安装三个文件,
db4-4.3.29-9.fc6.i386.rpm
db4-devel-4.3.29-9.fc6.i386.rpm
db4-utils-4.3.29-9.fc6.i386.rpm
[root@red-hat-5 ~]# rpm -qa|grep db4 只安装了一个
db4-4.3.29-9.fc6
[root@red-hat-5 mnt]# mount /dev/cdrom /mnt/cdrom/ 挂载光驱
mount: block device /dev/cdrom is write-protected, mounting read-only
[root@red-hat-5 cdrom]# cd Server/
[root@red-hat-5 Server]# rpm -ivh db4-devel-4.3.29-9.fc6.i386.rpm
warning: db4-devel-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing... ########################################### [100%]
1:db4-devel ########################################### [100%]
[root@red-hat-5 Server]# rpm -ivh db4-utils-4.3.29-9.fc6.i386.rpm
warning: db4-utils-4.3.29-9.fc6.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186
Preparing... ########################################### [100%]
1:db4-utils ########################################### [100%]
[root@red-hat-5 Server]# cd /
[root@red-hat-5 /]# rpm -qa|grep db4
db4-4.3.29-9.fc6
db4-utils-4.3.29-9.fc6
db4-devel-4.3.29-9.fc6
[root@red-hat-5/]#db_load -T -t hash ?f /etc/vsftpd/vsftpd_login.txt /etc/vsftpd/vsftpd_login.db
[root@red-hat-5 /]# ll /etc/vsftpd/
总计 48
-rw-r--r-- 1 root root 197 12-25 19:57 chroot_list
-rw------- 1 root root 126 12-25 20:06 ftpusers
-rw-r--r-- 1 root root 32 12-25 22:22 vsftpd_login.txt
-rw------- 1 root root 367 12-25 20:37 user_list
-rw------- 1 root root 4449 12-25 20:34 vsftpd.conf
-rwxr--r-- 1 root root 338 2007-12-13 vsftpd_conf_migrate.sh
-rw-r--r-- 1 root root 12288 12-25 23:12 vsftpd_login.db 生成数据库成功
-rw-r--r-- 1 root root 32 12-25 22:42 vsftpd_login.txt
-rw-r--r-- 1 root root 7 12-25 22:40 vtpd_login.txtsf
(3)修改数据库文件访问权限
[root@red-hat-5 /]# ll /etc/vsftpd/vsftpd_login.db
-rw------- 1 root root 12288 12-25 23:12 /etc/vsftpd/vsftpd_login.db
2.配置PAM文件
为了使服务器能够使用数据库文件,对客户端进行身份验证,需要调用系统的PAM模块.PAM(Plugable Authentication Module)为可插拔认证模块,不必重新安装应用系统,通过修改指定的配置文件,调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录,此目录下保存着大量与认证有关的配置文件,并以服务名称命名。[root@red-hat-5 /]# vi /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers Onerr=succeed
#auth required pam_shells.so
auth include system-auth
account include system-auth
session include system-auth
session required pam_loginuid.so
修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd,将默认配置使用“#”全部注释,添加相应字段
[root@red-hat-5 /]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers Onerr=succeed
#auth required pam_shells.so
#auth include system-auth
#account include system-auth
#session include system-auth
#session required pam_loginuid.so
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login
注意:db=/etc/vsftpd/vsftpd_login 格式是这样的,去掉.db后缀
3. 创建虚拟帐号对应的系统用户
普通帐号public对应系统帐号ftp_public,并指定其主目录为/var/ftp/public
chmod -R 500 /var/ftp/public/ :
普通帐号public只允许下载,修改public目录其他用户权限为rx可
读可执行。
专用帐号personal对应系统帐号ftp_personal,指定主目录为/var/ftp/personalchmod -R 700 /var/ftp/ personal/
:专用帐号personal允许上传和下载,所以对personal目录权限设置为rwx,可读可写可执行。 如果不设置可执行用户登录会出不能更改目录错误。
[root@red-hat-5 ftp]# useradd -d /var/ftp/personal/ -s /sbin/nologin ftp_personal
[root@red-hat-5 ftp]# useradd -d /var/ftp/public/ -s /sbin/nologin ftp_public
[root@red-hat-5 ftp]# ll
drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal
drwxr-xr-x 2 root root 4096 12-25 09:12 pub
drwx------ 2 ftp_public ftp_public 4096 12-26 00:41 public
[root@red-hat-5 ftp]# chmod -R 500 /var/ftp/public/
[root@red-hat-5 ftp]# chmod -R 700 /var/ftp/personal/
[root@red-hat-5 ftp]# ll
总计 12
drwx------ 2 ftp_personal ftp_personal 4096 12-26 00:41 personal
drwxr-xr-x 2 root root 4096 12-25 09:12 pub
dr-x------ 2 ftp_public ftp_public 4096 12-26 00:41 public
4.建立配置文件
anonymous_enable=NO(修改配置)
禁用匿名用户登录
write_enable=YES (默认开启)
允许使用任何可以修改文件系统的FTP的指令
local_enable=YES (默认开启)
启用本地用户登录设置
chroot_local_enable=YES (自建配置)
将所有本地用户限制在家目录中
pam_service_name=vsftpd:(默认开启)
配置vsftpd使用的PAM模块为vsftpd
user_config_dir=/etc/vsftpd/ vsftpd_login:(自建配置)
设置虚拟帐号的主目录为/ vsftpd_login
max_clients=300:(自建配置)
设置FTP服务器最大接入客户端数为300个
max_per_ip=10: (自建配置)
设置每个IP地址最大连接数为10个
port_enable=NO (自建配置)
取消PORT模式进行数据传输
connect_from_port_20=NO (修改配置)
PORT模式进行数据传输部使用20端口
pasv_enable=YES (自建配置)
允许PASV模式进行数据传输
pasv_min_port=65341 (自建配置)
PASV模式下数据传输所使用port范围下界
pasv_max_port=65351 (自建配置)
PASV模式下数据传输所使用port范围上界
注意:主配置文件是虚拟账号共享的配置,所以主配置文件的设置对于虚拟账号是生效的
提示:每行的值都不要有空格,否则启动时会出现错误,举个例子,假如我在listen=YES后多了个空格,那我启动时就出现如下错误:500 OOPS: bad bool value in config file for: listen
(2)建立虚拟帐号配置文件
在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段
[root@red-hat-5 vsftpd]# mkdir /vsftpd_login
[root@red-hat-5 vsftpd]# touch /etc/vsftpd/vsftpd_login/public
[root@red-hat-5 vsftpd]# touch /etc/vsftpd//vsftpd_login/personal
首先建立普通帐号public的配置文件
[root@red-hat-5 vsftpd_login]# echo guest_enable=yes >>public
[root@red-hat-5 vsftpd_login]# echo guest_username=ftp_public >>public
[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >>public
[root@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >>public
[root@red-hat-5 vsftpd_login]# cat public
guest_enable=yes
开启虚拟帐号登录
guest_username=ftp_public
设置ftp对应的系统帐号为ftp_public
anon_world_readable_Only=no
允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=50000
限定传输速率为50KB/s
注意:
vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈,而是在80%~120%之间变化哈~比如设置100KB/s则实际是速度在80KB/s~120KB/s之间变化哈~
接着建立专用帐号的配置文件personal
[root@red-hat-5 vsftpd_login]# echo guest_enable=yes >> personal
[root@red-hat-5 vsftpd_login]# echo guest_username=ftp_personal >> personal
[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >> personal
[root@red-hat-5 vsftpd_login]# echo anon_mkdir_write_enable=yes >> personal
[root@red-hat-5 vsftpd_login]# echo anon_upload_enable=yes >> personal
[root@red-hat-5 vsftpd_login]# echo anon_world_readable_Only=no >> personal
[root@red-hat-5 vsftpd_login]# echo anon_max_rate=50000 >> personal
[root@red-hat-5 vsftpd_login]# cat personal
guest_enable=yes:
开启虚拟帐号登录
guest_username=ftp_ personal:
设置ftp对应的系统帐号为ftp_personal
anon_other_write_enable=YES:
允许匿名账号具有删除.更名权限
anon_mkdir_write_enable=yes:
允许创建文件夹
anon_upload_enable=yes:
开启匿名帐号的上传功能
anon_world_readable_Only=no
允许匿名用户浏览器整个服务器的文件系统
anon_max_rate=100000:
限定传输速度为100KB/s
[root@red-hat-5 ~]# service vsftpd restart
关闭vsftpd: [确定]
为vsftpd启动vsftpd: [确定]
如果还是连不上,建议重新启动一下系统
5.测试权限是否生效[root@red-hat-5 viong]# ftp 127.0.0.1
Connected to 127.0.0.1.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): public
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> put hong.txt
550 Permission denied
ftp> del viong.txt
550 Permission denied.
ftp> mkdir hong
550 Permission denied.
ftp> mget viong.txt
mget viong.txt?
227 Entering Passive Mode (127,0,0,1,181,255)
150 Opening BINARY mode data connection for viong.txt (0 bytes).
226 File send OK.
通过测试得知public这个用户只支持下载权限,说明设置成功
C:\Users\Administrator>ftp 192.168.184.129
连接到 192.168.184.129。
220 (vsFTPd 2.0.5)
用户(192.168.184.129:(none)): personal
331 Please specify the password.
密码:
230 Login successful.
ftp> mput hong.txt
mput hong.txt?
200 PORT command successful. Consider using PASV.
150 Ok to send data.
226 File receive OK.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
hong.txt
viong.txt
226 Directory send OK.
ftp: 收到 99 字节,用时 0.00秒 33.00千字节/秒。
ftp> mkdir viong
257 "/viong" created
ftp> get MAK密钥激活次数查看器.rar
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for MAK密钥激活次数查看器.rar (2000998 bytes).
226 File send OK.
ftp: 收到 2000998 字节,用时 38.71秒 51.69千字节/秒。
ftp> delete MAK密钥激活次数查看器.rar
250 Delete operation successful.
ftp> rename hong.txt viong.txt
350 Ready for RNTO.
250 Rename successful.
通过测试得知personal这个用户支持上传.下载.删除.更改权限,说明设置成功
关于把上传数据发布到普通虚拟用户家目录下提供下载!
[root@red-hat-5 ~]# cp /var/ftp/personal/* /var/ftp/public/
把上传数据发布到普通虚拟用户家目录下提供下载
[root@red-hat-5 ~]# chown -R ftp_public.ftp_public /var/ftp/public/
更改public目录的所有者和属组为ftp_public,这样public用户才能下载
还有一种方法就是在personal配置文件加入以下两个参数
chown_uploads=YES 激活匿名用户所上传文件的修改所有权
chown_username=root 拥有匿名用户上传文件所有权的用户
然后就可以直接拷贝文件到public目录下
京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有