vsftp服务搭建（虚拟账号+被动访问）

关于vsftp全部文章:
1、vsftp服务搭建&＃xff08;虚拟账号&＃43;被动访问&＃xff09;
2、通过公网登录vsftp服务
3、vsftp容器搭建&＃43;go开发web用户管理界面&＃xff08;更新于2022.02.23&＃xff09;

需求

搭建一个上传下载文件服务
1.A公司分配三个用户&＃xff0c;B公司分配3个用户
2.A、B公司文件隔离&＃xff0c;不能相互影响
3.每一个用户都有上传下载权限

先了解下ftp两种访问模式
1、主动模式PORT

如上图所示&＃xff0c;在主动模式下&＃xff0c;FTP客户端从任意端口5150&＃xff08;端口号>1023&＃xff09;发起一个FTP请求&＃xff0c;并携带自己监听的端口号5151&＃xff08;发送的端口号&＃43;1&＃61;监听端口号&＃xff09;&＃xff1b;随后服务器返回确认&＃xff0c;然后从服务器本地的20端口主动发起连接请求到客户端的监听端口5151&＃xff0c;最后客户端返回确认。
这种模式缺点在于服务器带客户端的FTP连接很容易被传输过程中的路由器、防火墙所影响或拦截。

2、被动模式PASV

为了主动模式所面临的服务器到客户端的连接会被拦截阻塞的问题&＃xff0c;FTP发展出了被动模式。在被动模式中&＃xff0c;命令连接和数据连接都由客户端来发起&＃xff0c;这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙拦截的问题。
如上图所示&＃xff0c;客户端用随机命令端口5150向服务器的21命令端口发送一个PASV请求&＃xff0c;然后服务器返回数据端口3267&＃xff0c;告诉客户端我在哪个端口监听数据连接。然后客户端向服务器的监听端口3268发起数据连接&＃xff0c;最后服务器回复确认ok。

1、搭建vsftp服务

yum install vsftpd -y


2、创建虚拟账户

2.1、创建用户名单文件vsftpd_virtualuser.txt

vim /etc/vsftpd/vsftpd_virtualuser.txt


新增&＃xff1a;

a-1
123456
a-2
123456
a-3
123456
b-1
123456
b-2
123456
b-3
123456


2.2、加密用户名密码&＃xff0c;不加密ftp服务是读取不到的


db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db解释&＃xff1a;-T&＃xff1a;转化 -t&＃xff1a;转换方式为hash


2.3、修改数据库文件权限

chmod 600 /etc/vsftpd/vsftpd_virtualuser.db


2.4、修改 vsftpd 对应的 PAM 配置文件/etc/pam.d/vsftpd&＃xff0c;将默认配置使用“#”全部注释&＃xff0c;添加刚才生成好的数据库文件

vim /etc/pam.d/vsftpd
注释之前的所有配置
新增&＃xff1a;
auth required pam_userdb.so db&＃61;/etc/vsftpd/vsftpd_virtualuser
account required pam_userdb.so db&＃61;/etc/vsftpd/vsftpd_virtualuser


2.5、创建系统账号&＃xff0c;这里的系统账号下面会与虚拟账号关联起来

mkdir /ftp/company -p
useradd -d /ftp/company/a company-a
chmod -R 700 /ftp/company/auseradd -d /ftp/company/b company-b
chmod -R 700 /ftp/company/b

3、配置服务

3.1修改服务全局配置文件&＃xff0c;由于vsftp参数很多&＃xff0c;简单说明

vim /etc/vsftpd/vsftpd.conf


anonymous_enable&＃61;NO #关闭匿名用户功能
local_enable&＃61;NO #关闭本地登录功能
listen_port&＃61;10021 #新增字段。修改默认端口号为10021
xferlog_std_format&＃61;YES
use_localtime&＃61;YES #时间与本地同步
xferlog_file&＃61;/var/log/xferlog
dual_log_enable&＃61;YES
vsftpd_log_file&＃61;/var/log/vsftpd.log #开启日志
pam_service_name&＃61;vsftpd
userlist_enable&＃61;YES
tcp_wrappers&＃61;YES
pasv_enable&＃61;yes # 开启被动模式&＃xff0c;默认打开
pasv_max_port&＃61;10090 # 数据连接使用的最大端口
pasv_min_port&＃61;10080 # 数据连接使用的最小端口
user_config_dir&＃61;/etc/vsftpd/vuserconfig # 设置虚拟帐号的主目录为vuserconfig


我的全部有效配置&＃xff1a;

[root&＃64;otrs-server ~]# cat /etc/vsftpd/vsftpd.conf |grep ^[^#]
anonymous_enable&＃61;NO
local_enable&＃61;YES
write_enable&＃61;YES
local_umask&＃61;022
anon_umask&＃61;007
dirmessage_enable&＃61;YES
xferlog_enable&＃61;YES
xferlog_std_format&＃61;YES
xferlog_file&＃61;/var/log/xferlog
dual_log_enable&＃61;YES
vsftpd_log_file&＃61;/var/log/vsftpd.log
connect_from_port_20&＃61;YES
xferlog_std_format&＃61;YES
listen&＃61;NO
listen_ipv6&＃61;YES
listen_port&＃61;10021
pam_service_name&＃61;vsftpd
userlist_enable&＃61;YES
tcp_wrappers&＃61;YES
pasv_enable&＃61;yes
pasv_max_port&＃61;10090
pasv_min_port&＃61;10080
user_config_dir&＃61;/etc/vsftpd/vuserconfig


3.2、修改服务虚拟账户配置文件

在 user_config_dir 指定路径下&＃xff0c;建立与虚拟帐号同名的配置文件并添加相应的配置字段&＃xff0c;必须与全局配置文件位置一致。

mkdir /etc/vsftpd/vuserconfig


这里的ftp名称需要与虚拟账户名称一致&＃xff0c;也就是/etc/vsftpd/vsftpd_virtualuser.txt文件中的名称一致

举例a公司虚拟账户配置文件&＃xff1a;

vim /etc/vsftpd/vuserconfig/a-1


# 开启虚拟帐号登录
guest_enable&＃61;yes
# 设置 ftp 对应的系统帐号为ftpuser&＃xff0c;虚拟账户将具有ftpuser系统用户的权限
guest_username&＃61;company-a
# 允许在文件系统写入权限
write_enable&＃61;yes
# 允许创建文件夹
anon_mkdir_write_enable&＃61;yes
# 限定传输速率为 50KB/s
anon_max_rate&＃61;50000
# 如果设置了可写权限&＃xff0c;要加上配置项
allow_writeable_chroot&＃61;yes
# 默认家目录&＃xff0c;可以修改
local_root&＃61;/ftp/company/a
# 下载文件和目录权限
anon_world_readable_only&＃61;NO
# 创建文件和目录权限
anon_upload_enable&＃61;YES
# 上传覆盖文件和目录权限
anon_other_write_enable&＃61;YES


以此类推&＃xff0c;b公司虚拟账户配置文件

vim /etc/vsftpd/vuserconfig/b-1


# 开启虚拟帐号登录
guest_enable&＃61;yes
# 设置 ftp 对应的系统帐号为ftpuser&＃xff0c;虚拟账户将具有ftpuser系统用户的权限
guest_username&＃61;company-b
# 允许在文件系统写入权限
write_enable&＃61;yes
# 允许创建文件夹
anon_mkdir_write_enable&＃61;yes
# 限定传输速率为 50KB/s
anon_max_rate&＃61;50000
# 如果设置了可写权限&＃xff0c;要加上配置项
allow_writeable_chroot&＃61;yes
# 默认家目录&＃xff0c;可以修改
local_root&＃61;/ftp/company/b
# 下载文件和目录权限
anon_world_readable_only&＃61;NO
# 创建文件和目录权限
anon_upload_enable&＃61;YES
# 上传覆盖文件和目录权限
anon_other_write_enable&＃61;YES


附上ftp报错码解释
500 #文件系统权限过大
530 #用户认证失败
550 #服务本身功能未开放&＃xff0c;服务本身的错误
553 #本地文件系统权限过小

日志解释

Mon Mar 29 23:18:08 2021 1 ::ffff:192.168.84.1 15 /a/123.txt a _ o g a-2 ftp 0 * c


Mon Mar 29 23:18:08 2021 时间
15 大小 &＃xff08;b字节&＃xff09;
/a/123.txt 路径
a a以ASCII方式传输;b以二进制(binary)方式传输
_ 特俗字符&＃xff0c;不做任何标准
o "i"上传&＃xff1b;"o"下载
g 用户访问模式&＃xff1a;"a"匿名用户&＃xff1b;"g"访客模式&＃xff1b;"r"系统中用户
a-2 登录用户名
ftp 服务名称&＃xff0c;一般都是ftp
0 认证方式&＃xff1a;"0"无&＃xff1b;"1"RFC931认证&＃xff1b;
* 认证用户id&＃xff0c;"*"表示无法获取id
c 完成状态&＃xff1a;"i"传输未完成&＃xff1b;"c"传输已完成&＃xff1b;

参考&＃xff1a;http://blog.dothinkings.com/wp/?p&＃61;1014

进阶配置

1、FTP服务信息

1.1连接方式

xftp6等

1.2功能模块

1、支持热更新账户信息

2、针对指定用户限制访问目录、上传和下载

3、针对指定用户限制上传速率

4、登录点相互隔离

1.3方案

根据VSFTP服务&＃xff0c;虚拟账户绑定系统用户原理&＃xff0c;只要控制系统用户权限即可&＃xff0c;初步划分如下表

1.4目录结构

主目录&＃xff1a;/company

A公司分配目录为/ftp/company/A&＃xff0c;分配虚拟账户companyA绑定系统用户FTPcompanyA&＃xff0c;设置系统用户FTPcompanyA为目录/ftp/company/A所属主&＃xff0c;设置系统用户FTPcompany为目录/ftp/company/A所属组&＃xff0c;其他用户无权访问&＃xff0c;并各公司文件目录相互隔离&＃xff0c;不能进入其他公司目录。其他公司设置以此类推。

2、测试结果

当虚拟用户company登录FTP服务时&＃xff0c;可看到所有公司文件&＃xff0c;拥有A、B、C公司文件目录所有权&＃xff08;上传、下载、修改&＃xff09;&＃xff1b;

当虚拟用户-companyA登录FTP服务时&＃xff0c;不能看到其他公司文件&＃xff0c;只拥有A公司文件目录所有权&＃xff08;上传、下载、修改&＃xff09;&＃xff1b;

当虚拟用户companyB登录FTP服务时&＃xff0c;不能看到其他公司文件&＃xff0c;只拥有B公司文件目录所有权&＃xff08;上传、下载、修改&＃xff09;&＃xff1b;

当虚拟用户companyC登录FTP服务时&＃xff0c;不能看到其他公司文件&＃xff0c;只拥有C公司文件目录所有权&＃xff08;上传、下载、修改&＃xff09;。

3、管理员操作

3.1手动新增公司

例如新增D公司&＃xff0c;配置虚拟账户FTP-companyD&＃xff0c;新增系统用户companyD与之关联

3.1.1编辑虚拟用户名单

vim /etc/vsftpd/vsftpd_virtualuser.txt
追加&＃xff1a;
companyD
123456


注释&＃xff1a;格式不可更改&＃xff0c;用户名&＃xff1a;companyD&＃xff0c;密码&＃xff1a;123456

新增用户信息

3.1.2转换文件

db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db


3.1.3修改权限

chmod 600 /etc/vsftpd/vsftpd_virtualuser.db


3.1.4新增系统用户

useradd -d /ftp/ftp/company/D FTPcompanyD


解释&＃xff1a;新增系统用户companyD&＃xff0c;指定家目录为/ftp/company/D

3.1.5赋予权限

chmod 770 /ftp/ftp/company/D -R


3.1.6添加所属组

gpasswd -a FTPcompany FTPcompanyD


注释&＃xff1a;把用户FTPcompany新增组FTPcompanyD

3.1.7配置虚拟账户信息

vim /etc/vsftpd/vuserconfig/companyD
# 开启虚拟帐号登录
guest_enable&＃61;yes
# 设置 ftp 对应的系统帐号FTPcompanyD&＃xff0c;虚拟账户将具有FTPcompanyD系统用户的权限
guest_username&＃61;FTPcompanyD
# 允许在文件系统写入权限
write_enable&＃61;yes
# 允许创建文件夹
anon_mkdir_write_enable&＃61;yes
# 限定传输速率为 50KB/s
anon_max_rate&＃61;50000
# 如果设置了可写权限&＃xff0c;要加上配置项
allow_writeable_chroot&＃61;yes
# 默认家目录&＃xff0c;可以修改
local_root&＃61;/ftp/ftp/company/D
# 下载文件和目录权限
anon_world_readable_only&＃61;NO
# 创建文件和目录权限
anon_upload_enable&＃61;YES
# 上传覆盖文件和目录权限
anon_other_write_enable&＃61;YES


3.2删除公司

例如&＃xff0c;删除D公司

3.2.1编辑虚拟用户名单

vim /etc/vsftpd/vsftpd_virtualuser.txt
删除&＃xff1a;
companyD
123456


注释&＃xff1a;格式不可更改&＃xff0c;用户名&＃xff1a;FTP-companyD&＃xff0c;密码&＃xff1a;123456

3.2.2转换文件

db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db


3.2.3修改权限

chmod 600 /etc/vsftpd/vsftpd_virtualuser.db


3.2.4删除虚拟用户

rm -rf /etc/vsftpd/vuserconfig/companyD


3.2.5删除系统用户所属组

gpasswd -d FTPcompany FTPcompanyD


3.2.6删除系统用户

&＃xff08;1&＃xff09;系统用户与家目录一起删除

userdel -r FTPcompanyD


&＃xff08;2&＃xff09;只删除系统用户

userdel FTPcompanyD


4、开发规划

第一阶段&＃xff1a;编写脚本&＃xff0c;提供使用者输入用户名密码即可创建用户、删除用户

#!/bin/bash
echo "----------------------------------"
echo -e "\033[35m FTP用户管理\033[0m"
echo "(1) 新增用户"
echo "(0) 删除用户"
echo "----------------------------------"
read -p "请输入序列号&＃xff1a;" input
case $input in1)
read -p "请输入用户名称:" addftpuser
sleep 1
grep $addftpuser /etc/vsftpd/vsftpd_virtualuser.txt >> /dev/null
if [ $? -eq 0 ]; then
echo "用户已存在" && exit
fiecho $addftpuser >> /etc/vsftpd/vsftpd_virtualuser.txt
read -p "请输入密码:" addftpuserpasswd
echo $addftpuserpasswd >> /etc/vsftpd/vsftpd_virtualuser.txtecho "----------------------------------"echo "(1) 确认"
echo "(0) 退出程序"
echo "----------------------------------"
read -p "请输入序列号&＃xff1a;" input1
#-------------------------------
case $input1 in
1)
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
chmod 600 /etc/vsftpd/vsftpd_virtualuser.db
useradd -d /ftp/company/$addftpuser FTP$addftpuser -s /sbin/nologin
chmod 770 /ftp/company/$addftpuser -R
gpasswd -a FTPcompany FTP$addftpuser >> /dev/null
cat>/etc/vsftpd/vuserconfig/$addftpuser<<EOF
# 开启虚拟帐号登录
guest_enable&＃61;yes
# 设置 ftp 对应的系统帐号companyD&＃xff0c;虚拟账户将具有companyD系统用户的权限
guest_username&＃61;FTP$addftpuser
# 允许在文件系统写入权限
write_enable&＃61;yes
# 允许创建文件夹
anon_mkdir_write_enable&＃61;yes
# 限定传输速率为 50KB/s
anon_max_rate&＃61;50000
# 如果设置了可写权限&＃xff0c;要加上配置项
allow_writeable_chroot&＃61;yes
# 默认家目录&＃xff0c;可以修改
local_root&＃61;/ftp/company/$addftpuser
# 下载文件和目录权限
anon_world_readable_only&＃61;NO
# 创建文件和目录权限
anon_upload_enable&＃61;YES
# 上传覆盖文件和目录权限
anon_other_write_enable&＃61;YES
EOFecho "$addftpuser ftp用户已创建成功"
;;
0)
sed -i &＃39;$d&＃39; /etc/vsftpd/vsftpd_virtualuser.txt
sed -i &＃39;$d&＃39; /etc/vsftpd/vsftpd_virtualuser.txt
exit
;;
esac
;;
0)
read -p "请输入要删除的用户:" delftpusergrep $delftpuser /etc/vsftpd/vsftpd_virtualuser.txt >> /dev/null
if [ $? -ne 0 ]; then
echo "用户不存在" && exit
fi
echo "(1) 只删除用户&＃xff0c;保留用户上传数据"
echo "(2) 彻底删除用户所有信息 "
read -p "请选择:" delftpuser1
case $delftpuser1 in
2)
sed -i "/$delftpuser/,&＃43;1d" /etc/vsftpd/vsftpd_virtualuser.txt
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
chmod 600 /etc/vsftpd/vsftpd_virtualuser.db
rm -rf /etc/vsftpd/vuserconfig/$delftpuser
gpasswd -d FTPcompany FTP$delftpuser >> /dev/null
userdel -r FTP$delftpuser
echo "已删除用户$delftpuser"
;;
1)
sed -i "/$delftpuser/,&＃43;1d" /etc/vsftpd/vsftpd_virtualuser.txt
db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
chmod 600 /etc/vsftpd/vsftpd_virtualuser.db
rm -rf /etc/vsftpd/vuserconfig/$delftpuser
gpasswd -d FTPcompany FTP$delftpuser >> /dev/null
userdel FTP$delftpuser
chmod 000 /ftp/company/$delftpuser
echo "已删除用户$delftpuser,保留用户数据"
;;
esac;;
esac

第二阶段&＃xff1a;集成web界面网页配置用户&＃xff0c;记录增删公司数据、统计数据上传数据库
vsftp容器版&＃43;web管理界面