实验目标:(新增限制虚拟机用户登陆的IP)

实现在同一跟目录下对admin,upload,download三个虚拟用户的不同权限的控制。具体权限控制列表如下:

用户名 权限说明
admin 管理员,可以上传、下载、新建文件夹、删除和更改文件和文件夹名。
upload 不可以下载,可以上传、新建文件夹,但不能删除文件和文件夹,不能重命名原有文件和文件夹;
download 只能下载,不能进行其他操作。

以上三个虚拟用户均不允许登录系统,并且使用ftp时会被锁定在指定目录内不可进入系统其他目录。

1、安装vsftpd,Berkeley Database(db4)

yum install vsftpd db4-utils db4 -y

2、在/etc/vsftpd/vsftpd.conf加入或者更改以下配置语句:

anonymous_enable=NO                    #(当然你也可以设成YES,同时允许匿名用户登陆)
local_enable=YES #(必须置YES,因为虚拟用户是映射到virtual这个本地用户来访问的)
guest_enable=YES #启用虚拟机用户
guest_username=virtual #(第6步中创建,将虚拟用户映射为本地virtual用户)
pam_service_name=vsftpd #(第3步中创建,指定PAM配置文件,文件已经在/etc/pam.d/存在)
user_config_dir=/etc/vsftpd/user_conf #(第8,9步中创建,指定不同虚拟用户配置文件的存放路径)

整体配置如下,备份原配置,新建vsftpd.conf,加入下面配置

[root@jws-ftp var]# cat /etc/vsftpd/vsftpd.conf
# Example config file /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_enable=YES
chroot_local_user=YES
listen=YES
pam_service_name=vsftpd
guest_enable=YES
guest_username=virtual
user_config_dir=/etc/vsftpd/user_conf
ftpd_banner=Welcome to FTP service
allow_writeable_chroot=YES
max_clients=300
max_per_ip=10
use_localtime=YES
[root@jws-ftp var]#

3、在/etc/pam.d/中修改文件vsftpd, 对比修改内容:

auth required pam_userdb.so db=/etc/vsftpd/vu_list
account required pam_userdb.so db=/etc/vsftpd/vu_list
#(/etc/vsftpd/vu_list 在第4,5步中创建,用户账号密码数据库文件)

#把原本的内容注释掉,用上面的两行代替,不然本地使用xftp无法连接,修改完后,vsftpd文件内容如下

[root@jws-ftp vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
session required pam_loginuid.so
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list

4、建立用户列表/etc/vsftpd/vu_list.txt 内容如下:

upload       #(帐号)
123456 #(用户密码)
download #(帐号)
123456 #(用户密码)
admin #(帐号)
123456 #(用户密码)
#注意:不要有空行,一行账号 一行密码;奇数行为帐号,偶数行为密码

实际配置如下:

[root@jws-ftp ftp]# cat /etc/vsftpd/vu_list.txt
upload
123456
download
123456
admin
123456
[root@jws-ftp ftp]#

5、建立访问者数据文件(如果没有可以安装:yum install db4-utils)

[root@localhost vsftpd] db_load -T -t hash -f /etc/vsftpd/vu_list.txt /etc/vsftpd/vu_list.db
#修改db文件的权限,以免被非法用户修改 
[root@localhost vsftpd] chmod 600 /etc/vsftpd/vu_list.db

6、建立本地虚拟用户:

useradd -d /var/ftp -s /sbin/nologin virtual

7、在/var/ftp/创建目录并改变其属性和它的属主:

chown virtual /var/ftp
chmod 775 /var/ftp

8、创建ftp用户配制文件目录:/etc/vsftpd/user_conf:

mkdir /etc/vsftpd/user_conf

9、在/etc/vsftpd/user_conf目录中创建以用户名命名的配置文件upload、download、admin

“download”文件内容如下:(记得去掉斜杠内容)

local_root=/var/ftp            \\(也可以设置成其它,但要注意virtual用户对此目录的权限)
anon_world_readable_only=NO \\(使download用户的能下载,也只能下载;写成YES,将不能列出文件和目录)

实际配置如下:

[root@jws-ftp var]# cat /etc/vsftpd/user_conf/download
local_root=/var/ftp
anon_world_readable_only=NO

“admin”文件内容如下:(记得去掉斜杠内容)

local_root=/var/ftp
anon_world_readable_only=NO
write_enable=YES \\(写权限)
anon_mkdir_write_enable=YES \\(新建目录权限)
anon_upload_enable=YES \\(上传权限)
anon_other_write_enable=YES \\(删除/重命名的权限)

实际配置如下:

[root@jws-ftp vsftpd]# cat user_conf/admin
local_root=/var/ftp
anon_world_readable_only=NO
write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES
allow_writeable_chroot=YES
[root@jws-ftp vsftpd]#

“upload”文件内容如下:

local_root=/var/ftp
anon_world_readable_only=NO
anon_umask=022 \\(此配置用于web页面,由于web页面的特殊性,故单独设置上传文件权限为755,此掩码值可根据具体情况更改)
write_enable=YES \\(写权限)
anon_mkdir_write_enable=YES \\(新建目录权限)
anon_upload_enable=YES \\(上传权限)
anon_other_write_enable=YES \\(删除/重命名的权限)

实际配置如下:

[root@jws-ftp vsftpd]# cat user_conf/upload
local_root=/var/ftp
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_world_readable_only=NO
download_enable=NO
[root@jws-ftp vsftpd]#

10、最后,重新启动VSFTPD

systemctl restart vsftpd

遇到的问题

1、启动报错

未创建chroot_list,可以创建一个空文件

2、登陆报错

从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。

要修复这个错误,可以用命令chmod a-w /home/user去除用户主目录的写权限,注意把目录替换成你自己的。或者你可以在vsftpd的配置文件中增加下列项:

allow_writeable_chroot=YES

该需求刚做没多久,开发的小伙伴又出难题,这次需要控制某虚拟机用户只能从固定的IP段去登录FTP,目前查资料没有看到这届网友有可以直接控制虚拟用户的登陆IP的方法,只能通过笨办法,通过创建和虚拟用户同名的本地账号(禁止SSH登陆)来通过PAM模块做到虚拟用户的IP限制,说白了就是限制本地用户登录的IP从而达到限制虚拟用户的目的

PAM详解请参考:https://www.cnblogs.com/kevingrace/p/8671964.html

1)上面我们已经搭建好通过虚拟用户访问vsftpd,现在我们在/etc/pam.d/中修改文件vsftpd

[root@jws-ftp vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
#session required pam_loginuid.so
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list
account required pam_access.so #加入该行
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list
[root@jws-ftp vsftpd]#

2)修改/etc/security/access.conf配置文件,在文件底部添加下面的一行:

[root@jws-ftp vsftpd]# vim /etc/security/access.conf
- : admin : ALL EXCEPT 10.153.59.188 10.153.49.7   #用户admin只能从10.153.59.188和10.153.49.7这两个IP访问FTP服务
- : download : 10.153.60.188 #download用户不允许从10.153.60.188这个IP访问FTP服务

3)创建admin用户和download用户
[root@jws-ftp vsftpd]# useradd -s /sbin/nologin admin
[root@jws-ftp vsftpd]# passwd admin
[root@jws-ftp vsftpd]# useradd -s /sbin/nologin download
[root@jws-ftp vsftpd]# passwd download

4)重启VSFTP服务
[root@jws-ftp vsftpd]# systemctl restart vsftpd

搭建VSFTP请参考(本地用户方式):https://www.cnblogs.com/yizhipanghu/p/12857964.html

Centos7 vsftpd虚拟用户权限控制(vsftpd虚拟用户限制IP访问)的更多相关文章

  1. linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制)

    linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制) 发表于2012//07由feng linux 本身的ugo rwx的权限,对于精确的权限控制很是力不从心的,ac ...

  2. Vue-Access-Control:前端用户权限控制解决方案

    原文地址:http://refined-x.com/2017/11/28/Vue2.0用户权限控制解决方案/ Vue-Access-Control是一套基于Vue/Vue-Router/axios 实 ...

  3. asp.net core根据用户权限控制页面元素的显示

    asp.net core根据用户权限控制页面元素的显示 Intro 在 web 应用中我们经常需要根据用户的不同允许用户访问不同的资源,显示不同的内容,之前做了一个 AccessControlHelp ...

  4. linux普通用户权限设置为超级用户权限方法、sudo不用登陆密码

    以用户zato为例 普通用户权限设置为超级用户权限 进入有超级用户权限的账号 添加文件可写(w)权限 sudo chmod u+x /etc/sudoers 编辑/etc/sudoers文件 添加语句 ...

  5. springmvc+spring+mybatis+maven项目集成shiro进行用户权限控制【转】

    项目结构:   1.maven项目的pom中引入shiro所需的jar包依赖关系 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ...

  6. 基于RESTful API 怎么设计用户权限控制?

    前言 有人说,每个人都是平等的:也有人说,人生来就是不平等的:在人类社会中,并没有绝对的公平,一件事,并不是所有人都能去做:一样物,并不是所有人都能够拥有.每个人都有自己的角色,每种角色都有对某种资源 ...

  7. 基于RESTful API 设计用户权限控制

    RESTful简述 本文是基于RESTful描述的,需要你对这个有初步的了解. RESTful是什么? Representational State Transfer,简称REST,是Roy Fiel ...

  8. 转载 SAP用户权限控制设置及开发

    创建用户SU01 事务码:SU01,用户主数据的维护,可以创建.修改.删除.锁定.解锁.修改密码等 缺省:可以设置用户的起始菜单.登录的默认语言.数字显示格式.以及日期和时间的格式设置 参数:SAP很 ...

  9. kubernetes篇 容器用户权限控制

    问题起源 问题起源于一个开发BUG:正常运行一段时间的POD,突然有一天运行报错了,错误是没有操作目录的权限,查其原因,原来是镜像被更新了,镜像添加了操作用户,而被操作的目录(NFS目录)并不具备普通 ...

随机推荐

  1. Java异常详解——一篇文章搞定Java异常

    目录 1. 异常的体系结构 2. 常见的异常 2.1 运行时异常 2.2 编译时异常 (编译时异常必须进行处理否则无法运行) 3. 异常的抓抛模型原理 4. 异常的处理 4.1 try - catch ...

  2. Mysql事务原理

    一.什么是事务 事务:是数据库操作的最小工作单元,是作为单个逻辑工作单元执行的一系列操作:这些操作作为一个整体一起向系统提交,要么都执行.要么都不执行:事务是一组不可再分割的操作集合(工作逻辑单元): ...

  3. 如何查看spark版本

    使用spark-shell命令进入shell模式

  4. 《C标准库》学习笔记整理

    简介 <C标准库>书中对 C 标准库中的 15 个头文件的内容进行了详细的介绍,包括各头文件设计的背景知识.头文件中的内容.头文件中定义的函数和变量的使用.实现.测试等. 我学习此书的目的 ...

  5. Day14_79_IO+Properties联合应用

    IO+Properties联合应用 - dbinfo文件中可以存放<key=value> - 像dbinfo这样的文件我们叫做配置文件,配置文件的作用是使程序更加灵活 - 一般在程序中可变 ...

  6. Day09_45_Set集合_SortedSet02

    SortedSet * TreeSet是SortedSet接口的实现类,TreeSet底层是一个TreeMap,相当于TreeMap中的key. * SortedSet集合是如何实现自动排序的呢? - ...

  7. C#入门到精通系列课程——第1章软件开发及C#简介

    ◆本章内容 (1)了解软件 (2)软件开发相关概念 (3)认识.NET Framework (4)C#语言 (5)Visual Studio 2017 ◆本章简述 软件在现代人们的日常生活中随处可见, ...

  8. 906. Super Palindromes

    Let's say a positive integer is a superpalindrome if it is a palindrome, and it is also the square o ...

  9. 【日志】MySQL中有多少种日志

    redo 重做日志 作用:确保事务的持久性,防止在发生故障,脏页未写入磁盘.重启数据库会进行redo log执行重做,到达事务一致性 undo 回滚日志 作用:保证数据的原子性,记录事务发生之前的数据 ...

  10. LA3403天平难题(4个DFS)

    题意:      给出房间的宽度r和每个吊坠的重量wi,设计一个尽量宽但宽度不能超过房间宽度的天平,挂着所有挂坠,每个天平的一段要么挂这一个吊坠,要么挂着另一个天平,每个天平的总长度是1,细节我给出题 ...