Centos 7.5 搭建FTP配置虚拟用户

Centos 7.5 搭建FTP配置虚拟用户

1.安装vsftpd

#vsftpd下载地址

http://mirror.centos.org/centos/7/os/x86_64/Packages/vsftpd-3.0.2-25.el7.x86_64.rpm

#安装vsftpd

rpm  -ivh vsftpd-3.0.2-25.el7.x86_64.rpm

2.创建vsftpd系统用户

#建立Vsftpd服务的宿主用户

useradd vsftpd -M -s  /sbin/nologin

#建立Vsftpd虚拟宿主用户

useradd virftpuser -M -s /sbin/nologin –d /var/ftp/

3.配置vsftpd

mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsfftpd.conf.bak

#新建vsftpd.conf

vim  /etc/vsftpd/vsftpd.conf

内容如下：

anonymous_enable=NO

#设成YES,允许匿名用户登陆

local_enable=YES

#允许/禁止本地用户登陆 注意：主要是为虚拟宿主用户，如果该项目设定为NO那么所有虚拟用户将无法访问。

write_enable=YES

#设定可以进行写操作。

local_umask=022

#设定上传后文件的权限掩码，文件644，文件夹755

dirmessage_enable=YES

#设定开启目录标语功能

xferlog_enable=YES

#设定开启日志记录功能。

connect_from_port_20=YES

#设定端口20进行数据连接

xferlog_std_format=YES

#设定日志使用标准的记录格式

listen=YES

#开启独立进程vsftpd，不使用超级进程xinetd。设定该Vsftpd服务工作在StandAlone模式下。

pam_service_name=vsftpd

#设定，启用pam认证，并指定认证文件名/etc/pam.d/vsftpd

userlist_enable=YES

#设定userlist_file中的用户将不得使用FTP

tcp_wrappers=YES

#设定支持TCP Wrappers

chroot_local_user=YES

#限制所有用户在主目录

#限制所有用户在主目录

#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，需要自己手动添加配置

guest_enable=YES

#设定启用虚拟用户功能

guest_username=virftpuser

#指定虚拟用户的宿主用户

virtual_use_local_privs=YES

#设定虚拟用户的权限符合他们的宿主用户

user_config_dir=/etc/vsftpd/vconf

#设定虚拟用户个人Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每个Vsftp虚拟用户个性的配置文件，

#一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。

#建立Vsftpd的日志文件，修改属主为vsftpd服务用户

touch /var/log/vsftpd.log

chown vsftpd.vsftpd /var/log/vsftpd.log

4.虚拟用户配置

#创建虚拟用户配置文件存放路径

mkdir –pv /etc/vsftpd/vconf/

#制作虚拟用户数据库文件

vim /etc/vsftpd/virtusers

#编辑虚拟用户名单文件virtusers，在其中加入用户的用户名和口令信息。格式：“奇数行用户名，偶数行口令”。

virtusers文件格式如下：

test       #用户名

test1234   #用户密码

test1          #用户名

test1234    #用户密码

#生成虚拟用户数据文件：

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

#添加用户需添加至virtusers文件，然后重新执行上述命令。

5. 设置认证文件PAM

#备份配置文件

cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.bak

#编辑Vsftpd的PAM验证配置文件，把原来的配置文件全部注释掉（不注释掉虚拟用户会登录不上），添加如下行

auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

#以上两条是手动添加的，内容是对虚拟用户的安全和帐户权限进行验证。

这里的auth是指对用户的用户名口令进行验证。

这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。

其后的sufficient表示充分条件，也就是说，一旦在这里通过了验证，那么也就不用经过下面剩下的验证步骤了。相反，如果没有通过的话，也不会被系统立即挡之门外，因为sufficient的失败不决定整个验证的失败，意味着用户还必须将经历剩下来的验证审核。

再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。

最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。

---------------------------------------------------------------------------------

vim /etc/pam.d/vsftpd

#%PAM-1.0

auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

#session    optional     pam_keyinit.so    force revoke

#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

#auth       required    pam_shells.so

#auth       include     password-auth

#account    include     password-auth

#session    required     pam_loginuid.so

#session    include     password-auth

6.虚拟用户配置

#虚拟用户权限介绍

例，分别创建admin web download upload 4个账户，

权限分配如下：

admin  #管理员账户,虚拟用户具有写权限（上传、下载、删除、重命名），新建目录

web   #web网站文件传输账户, 和admin管理员权限相同，由于web页面的特殊性，故单独设置上传文件权限为755

download  #下载账户，只能浏览目录和下载

upload     #上传账户，只能新建目录和上传、下载

#各虚拟用户配置文件如下：

#admin

local_root=/home/ftp　　         #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限

write_enable=YES               #写权限

anon_mkdir_write_enable=YES    #新建目录权限

anon_upload_enable=YES        #上传权限

anon_other_write_enable=YES    #删除/重命名的权限

#web

local_root=/var/www             #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限

anon_umask=022    #umask =022时,新建的目录权限是755（777-022），文件的权限是 644，

#umask =077时,新建的目录权限是700，文件的权限时 600

write_enable=YES （写权限）
anon_mkdir_write_enable=YES (新建目录权限)
anon_upload_enable=YES（上传权限）
anon_other_write_enable=YES（删除/重命名的权限）

#download

local_root=/home/ftp             #虚拟用户根目录

anon_world_readable_only=NO   #开放下载权限, 写YES，将不能列出文件和目录

anon_mkdir_write_enable=NO    #这句可以不写，不写同样不能新建文件夹

#upload

local_root=/home/ftp              #虚拟用户根目录

virtual_use_local_privs=NO       
#虚拟用户和匿名用户有相同的权限，默认是NO；与本地用户权限相同是YES

anon_world_readable_only=NO    #开放下载权限，写成YES，将不能列出文件和目录

write_enable=YES               
#写权限

anon_upload_enable=YES         #上传权限

#创建虚拟用户根目录，这里我使用默认目录 /var/ftp/pub/

#属主修改为虚拟宿主用户virftpuser

chown –R virftpuser:virftpuser 
/vat/ftp/pub/

#在虚拟用户配置文件目录创建虚拟用户对应配置文件，文件名与虚拟用户名一致

vim   /etc/vsftpd/vconf/username          #配置文件内容根据需求自行配置。

7.firewall和SElinux设置

#如无特殊要求可直接关闭firewall和SElinux

firewall-cmd --list-services                    #查看防火墙允许的服务。

firewall-cmd --add-service=ftp --permanent     #永久开放ftp服务

firewall-cmd --add-port=20/tcp –permanent

firewall-cmd --add-port=21/tcp --permanent     #开放端口，允许外网访问

firewall-cmd –reload                         #重新载入配置

setsebool ftpd_full_access 1                  #selinux设置

setsebool tftp_home_dir 1

8.启动服务，测试

systemctl start vsftpd                         #启动vsftpd

systemctl enable vsftpd                       #添加服务至开机启动

#测试需安装ftp软件

ftp

>open 127.0.0.1

9. vsftpd单用户多目录的配置

#可读写挂载

mount --bind /home/test1/
/data/www/virtual/test1/

#只读挂载

mount –bind –o ro
/home/test2/ /data/www/virtual/test2/

#mount --bind连接的两个目录的inode号码并不一样，只是目标目录的block被屏蔽掉，inode被重定向到原目录的inode （目标目录的inode和block依然没变，就是说目标目录只是隐藏不是删除，数据都没有改变，只是访问不到了）

#两个目录的对应关系存在于内存里，一旦重启挂载关系就不存在了，所以我们想要服务器重启之后还有效的话就需要写到/etc/rc.local

或修改fstab文件。

#fstab文件格式

#
/home/test1/    
/data/www/virtual/test1/            
xfs     bind    0 0

#/home/test2/     /data/www/virtual/test2/             xfs     bind,ro 
0 0

#修改rc.local

vim /etc/rc.local

#添加如下内容

#可读写挂载

mount --bind /home/test1/ /data/www/virtual/test1/

#只读挂载

mount --bind /home/test2/ /data/www/virtual/test2/

mount -o remount,ro /data/www/virtual/test2/

#权限设置

chmod +x /etc/rc.d

chmod +x
/etc/rc.d/rc.local

#设置服务启动脚本。

cd /usr/lib/systemd/system

vim rc-local.service

注释掉之前内容，添加以下内容

[Unit]

Description=/etc/rc.d/rc.local
Compatibility

ConditionFileIsExecutable=/etc/rc.d/rc.local

After=network.target

[Service]

Type=forking

ExecStart=/etc/rc.d/rc.local start

TimeoutSec=0

RemainAfterExit=yes

SysVStartPriority=99

[Install]

WantedBy=multi-user.target

#启动服务

systemctl start rc-local

systemctl enable rc-local

10.常见问题

1.centos7 550 create directory operation
failed

目录权限不足，SElinux配置问题

2.500
OOPS: vsftpd: refusing to run with writable root inside chroot()

原因

用户主目录具有写权限，chmod a-w ,去除写权限

或在用户配置文件追加 allow-writeable_chroot=yes,

echo “allow_writeable_chroot=YES” >> /etc/vsftpd/vconf/$username

3.开启了匿名模式，但访问一直提示输入用户及密码

原因1

参数不对造成，添加anon_umask=022

原因2

根目录权限不对