配置vsFTP的虚拟用户认证

      本文主要参考让Vsftp支持虚拟用户

      HTTP对大文件上传总是不给力,还是要借助FTP啊,说到FTP就让我想起大学年代,真让人怀念,废话少说,开始吧:

      首先是检查所需的RPM包是否齐全:

rpm -aq|grep vsftp
rpm -aq|grep db4

      我的CentOS 4.6是完全安装的,所以都有了 ^_^ :

[root@test02 ~]# rpm -aq|grep vsftp
vsftpd-2.0.1-5.EL4.7
[root@test02 ~]# rpm -aq|grep db4
db4-devel-4.2.52-7.3.el4
db4-4.2.52-7.3.el4
db4-devel-4.2.52-7.3.el4
db4-tcl-4.2.52-7.3.el4
db4-4.2.52-7.3.el4
db4-java-4.2.52-7.3.el4
db4-utils-4.2.52-7.3.el4

      建立低权限用户

useradd vsftpd -s /sbin/nologin

      安全、安全……..

      设置基本的vsFTP配置文件,配置文件/etc/vsftpd/vsftpd.conf 如下:

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=NO
xferlog_file=/var/log/vsftpd.log
vsftpd_log_file=/var/log/vsftpd.log
xferlog_std_format=YES
idle_session_timeout=600
data_connection_timeout=30
nopriv_user=vsftpd
async_abor_enable=YES
chroot_list_enable=NO
chroot_local_user=YES
chmod_enable=NO
ls_recurse_enable=NO
pam_service_name=vsftpd
userlist_enable=YES
listen=YES
tcp_wrappers=YES

      其实基本的配置没有太特殊的地方,就是禁止了匿名访问,改了vsFTP的运行用户,锁定用户的路径,真没有什么特殊的地方。到现在为止vsFTP就可跑起来了。

      下面是重头戏了。

      建立虚拟用户的爹,所谓虚拟用户不过是一名字,虚拟用户在系统中的权限全看他爹的权限,如果他爹的权限很低,那只能是“恨爹不成刚”了。

useradd overlord -s /sbin/nologin 

      建立虚拟用户数据库,总得找个地方保存虚拟用户的信息吧,保存在哪呢?在文件数据库中。新建一个文件写入如下内容:

vi /etc/vsftpd/virtusers

      写入如下内容:

xinwen
p@ssw0rd

      第一行是用户名,第二行是第一行用户名对应的用户的密码(比较拗口),如果愿意,可以多加几个用户,一行用户名紧接一行密码就可以了。

      生成一下数据库:

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

      配置虚拟用户的认证,有数据库保存这些用户信息了,vsFTP会乖乖地去读这些信息吗? 当然不会,我们要借助Linux的PAM认证。

      将vsFTP的PAM认证配置文件/etc/pam.d/vsftpd修改成这样:

#%PAM-1.0
auth    sufficient      /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers

      注意,我的是64位的Linux,如果是32位的Linux要写成 这样:

#%PAM-1.0
auth    sufficient      /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers
account sufficient      /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

      网上有朋友反映pam_userdb.so完全可以不写全路径,不过没有试过。其次要注意,db的路径指向的文件名是没有.db后缀的,但是的的确确是去读 /etc/vsftpd/virtusers.db这个文件。

      开启vsFTP对虚拟用户的支持,其实也很简单了,就在刚才 vsFTP 的配置文件 /etc/vsftpd/vsftpd.conf 最后加上以下几行:

guest_enable=YES
guest_username=overlord
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/vconf

      细致设定每个虚拟用户,可能已经注意到 user_config_dir 这个参数了吧,这个参数就是用来描述每个虚拟用户的私有配置文件。在/etc/vsftpd/vconf/ 目录下建立一个文件,名叫xinwen,记住要和用户名对应,写入以下几行:

local_root=/opt/vsftp/xinwen
anonymous_enable=NO
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
idle_session_timeout=600
data_connection_timeout=120
max_clients=10
max_per_ip=5
local_max_rate=50000

      第一行是该用户(xinwen)的根目录,当然还要主要一下这个目录对虚拟用户他爹——overlord的权限问题啦,其他可以参照vsFTP配置文件的说明。

      重启 vsFTP 就可以用xinwen这个虚拟用户登录了:

service vsftpd restart 

      怎么添加用户呢?其实就是修改文件数据库的事情,譬如我想增加一个叫做 cgx 的用户,密码也是 cgx 可以这样做:

mkdir -p /opt/vsftp/cgx
echo "cgx" >> /etc/vsftpd/virtusers
echo "cgx" >> /etc/vsftpd/virtusers
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
cp /etc/vsftpd/vconf/xinwen /etc/vsftpd/vconf/cgx

      修改一下 /etc/vsftpd/vconf/cgx 的 local_root 为 /opt/vsftp/cgx 就可以了。注意,每一次修改用户都要用db_load命令重新生成文件数据库。

posted @ 2011-01-05 13:21  killkill  阅读(5509)  评论(0编辑  收藏  举报