vsftpd架设(配置pam模块)
Vsftpd 是很安全的ftp软件
VSFTPD的目录结构
/usr/sbin/vsftpd: VSFTPD的可执行文件
/etc/rc.d/init.d/vsftpd:启动脚本
/etc/vsftpd/vsftpd.conf:主配置文件
/etc/pam.d/vsftpd:PAM认证文件
/etc/vsftpd.ftpusers:禁用使用VSFTPD的用户列表文件
/etc/vsftpd.user_list:禁止或允许使用VSFTPD的用户列表文件
/var/ftp:匿名用户主目录
一,安装vsftpd
sudo aptitude install vsftpd
二,配置
注意,等号“=”两边不能有空格
1,备份主配置表
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.backup
然后打开此配置表,
sudo gedit /etc/vsftpd.conf
ctrl+f 找到
anonymous_enable=YES
# 是否允许匿名FTP访问。
local_enable=YES
# 是否允许本地用户访问,这里虚拟用户也是本地用户
write_enable=YES
#是否允许所有用户都上传文件
local_umask=027
# vsftpd的默认umask是077,即,屏蔽除了创建者以外所有的用户的权限,如果觉得这样没必要,可以设置为022,这样其他用户可读。
anon_upload_enable=YES
#是否允许匿名用户上传
ftpd_banner=Welcome to blah FTP service
# 用户连接后看到的欢迎信息
pam_service_name=vsftpd
# PAM 服务名称,这里的设置决定PAM将为vsftpd使用配置文件
#/etc/pam.d/vsftpd
除了local_enable和ftpd_banner 之外,其他设置都很好地适应我们的需求,因此不需改动。
虚拟用户和真实用户?
真实用户,是在这台机器上登录的用户,比如安装系统时的用户。
虚拟用户,是创立的用户,只能登录ftp,而不能登录系统,不是系统的用户。这样比较安全。
为了使用虚拟用户,还需要加入以下设置:
guest_enable=YES
guest_username=ftp
user_config_dir=/etc/vsftpd_user_conf
这样使虚拟用户在系统中具有系统用户使用ftp的权限。系统用户ftp无法在终端登录,他是FTP服务目录的拥有者,最后一行为今后服务,是配置用户的目录。
4,配置PAM模块
由于安全考虑,不希望vsftpd共享本地系统的用户认证信息,而采用自己独立的用户认证数据库来认证虚拟用户。这样,虚拟用户和真是的用户不必采用相同的用户名和口令。
和linux下面大多数需要用户认证的程序一样,vsftpd也采用PAM作为后端,可插拔的认证模块来集成各种不同的认证方式。
在这里,可以通过修改vsftpd的PAM配置文件
/etc/pam.d/vsftpd来决定vsftpd使用何种认证方式,
可以是本地系统的真实用户认证(模块pam_unix),也可以是独立的用户认证数据库(模块pam_userdb),也可以是网络上的LDAP数据库(模块pam_ldap)等。所有这些模块都存放在/lib/security/目录(对AMD64则是/lib64/security/)下。
这里采用pam_userdb模块,该模块采用独立的Berkeley DB 格式(Berkeley DB 是 Unix平台最常见的数据持久化格式,有各种版本,这里假设系统采用4.6版本)的用户认证数据库。为了建立Berkeley Db式的数据库,需要安装db4.6-util 软件包。
$ sudo aptitude install db4.6-util
建立一个db 格式数据库的一般方式是先编辑一个文本文件,将键值和对应的数据写在相邻的行中。比如下面,我建立logins.txt的文档,内容如下:
upo
magic
longxibendi
1234
根据pam_userdb 模块的约定,键值就是用户名,对应的数据则是口令。所以,这个文本文档中的奇数行为用户名,用户名的下一行就是其对应的口令。
下面将文档logins.txt转换为berkeley Db格式,并使他对应用户为不可读:
sudo db4.6_load -T -t hash -f logins.txt /etc/vsftpd_login.db
sudo chmod 600 /etc/vsftpd_login.db
rm logins.txt #这是删除logins.txt文档
然后编辑 /etc/pam.d/vsftpd
注释掉或者删除掉原有的所有内容,
加入这几行:
# /etc/pam.d/vsftpd
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
让PAM采用相应的认证模块和刚刚建立的用户数据库。
重新启动 vsftpd之后,虚拟用户设置就生效了。
sudo invoke-rc.d vsftpd restart
至此,用户upo 或者 longxibendi 已经可以用相应的用户名和口令登录FTP了。
5,分用户设置
上面设置了两个用户分别是upo和longxibendi
接下来相让upo 可以上传文件,但是不希望longxibendi也有同样的权限 ,借助vsftpd提供的分用户 设置机制,可以容易的做到这一点。
上文,已经在/etc/vsftpd.conf 中加入了
user_config_dir 设置,现在只需建立相应的目录,并在该目录下增加用户upo的配置文件即可:
代码:
sudo mkdir /etc/vsftpd_user_conf
#建立文件夹,在/etc/下,名字是#vsftpd_user_conf
#这样才可以与上面的配置相对应。
代码:
sudo sh -c “echo 'write_enable=YES' > /etc/vsftpd_user_conf/upo”
# 将 内容write_enable=YES 写
# 入/etc/vsftpd_user_conf/upo
# 而,write_enable=YES的意思是允许写操作
代码:
sudo sh -c “echo 'anno_upload_enable=YES' >> / /etc/vsftpd_user_conf/upo
# 按行,也就是为什么要用‘>> /’将
# anno_upload_enable=YES写
# 入/etc/vsftpd_user_conf/upo 中
# anno_upload_enable=YES 允许用户上传
代码:
sudo sh -c “echo 'anno_mkdir_write_enable=YES' >> / /etc/vsftpd_user_conf/upo”
# 也是写入...内容到...
# anno_mkdir_write_enable=YES 意思是
# 允许建立文件夹
如果允许用户upo删除和重命名文件(不建议)
执行:
sudo sh -c “echo 'anon_other_write_enable=YES' >> / /etc/vsftpd_user_conf/upo”
然后运行下面的命令,让vsftpd读入新配置
代码:
sudo invoke-rc.d vsftpd reload
现在用户upo 可以上传文件了,作为站点管理员,可能希望文件只能被上传到限定的目录,所以运行下面:
sudo mkdir /home/ftp/incoming
# 建立文件夹incoming 在/home/ftp/下
sudo chown ftp:nogroup incoming
sudo chmod 770 /home/ftp/incoming
sudo chmod -w /home/ftp
# 上面的命令是配置文家夹的属性
这样,目录/home/ftp对ftp用户,也就是隐藏在所有虚拟用户背后的真实用户不可写了,因此上传到/home/ftp不会成功。
注意,上面的例子中屏蔽了一般用户对/home/ftp/incoming 的访问权限,这样做是为了利用vsftpd的一个副作用。
在默认的情况下,虚拟用户只能读取,或者下载对于任何用户都可读的文件和目录。上面的设置使虚拟用户无法列出目录 /home/ftp/incoming 下的文件,通常这是一个不错的特性。另一方面,通常,会希望upo用户,也可以看到自己上传的文件,为此可以运行如下命令:
代码:
sudo sh -c “echo 'anno_world_readable_only=NO' >> / etc/vsftpd_user_conf/upo”
# 将... 写入...文档
# anno_world_readable_only=NO 意思是
# 取消用户的只读限制,不加这句,用户不能查看自
# 己上传的文件。
代码:
sudo killall -l vsftpd
sudo /etc/init.d/vsftpd restart
现在用户upo 可以看到/home/ftp/incoming 的内容了,完美主义者,可在/etc/vsftpd_user_conf/upo
中加入下面两行
local_umask=027
以彻底化副作用。
6,注意:
(1),上面的添加文档内容的命令,可以用gedit 来完成。
(2),配置表中的'='号两边不能有空格
(3),上面的关于/etc/vsftpd_user_conf/upo并没有配置下载权限,实际上默认是可以下载文件的。包括,我们并没有配置用户longxibendi的权限,但他也可以下载文件。
7,下面是我的配置表:
第一个/etc/vsftpd.conf
# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone? vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
#
# Run standalone with IPv6?
# Like the listen parameter, except vsftpd will listen on an IPv6 socket
# instead of an IPv4 one. This parameter and the listen parameter are mutually
# exclusive.
#listen_ipv6=YES
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=027
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
xferlog_std_format=NO
#
# You may change the default value for timing out an idle session.
idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
ascii_upload_enable=YES
ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories. See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
chroot_local_user=NO
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
ls_recurse_enable=YES
#
#
# Debian customization
#
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default. These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty. Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# This option specifies the location of the RSA key to use for SSL
# encrypted connections.
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
guest_enable=YES
guest_username=ftp
user_config_dir=/etc/vsftpd_user_conf
第二个 /etc/pam.d/vsftpd
# # Standard behaviour for ftpd(8).
# auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable
# pam_ftp.so.
# Standard blurb.
# @include common-account
# @include common-session
# @include common-auth
# auth required pam_shells.so
# 上面的行,是原有的。
# /etc/pam.d/vsftpd
auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login
account required /lib/security/pam_userdb.so db=/etc/vsftpd_login
第三个 logins.txt
upo
magic
longxibendi
1234
第四个 /etc/vsftpd_user_conf/upo
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_world_readable_only=NO
anon_other_write_enable=YES
#上面这行是是否允许删除和重命名操作
local_umask=027
参考资料:
《Ubuntu实战技巧精粹》 何晓龙 编著 人邮出版社
《Ubuntu linux从入门到精通》 郝铃,李晓 编著
http://forum.ubuntu.org.cn/viewtopic.php?f=54&t=117505
http://doc.linuxpk.com/4233.html(推荐)