Centos7 vsftpd虚拟用户权限控制(vsftpd虚拟用户限制IP访问)
实验目标:(新增限制虚拟机用户登陆的IP)
实现在同一跟目录下对admin,upload,download三个虚拟用户的不同权限的控制。具体权限控制列表如下:
| 用户名 | 权限说明 |
|---|---|
| admin | 管理员,可以上传、下载、新建文件夹、删除和更改文件和文件夹名。 |
| upload | 不可以下载,可以上传、新建文件夹,但不能删除文件和文件夹,不能重命名原有文件和文件夹; |
| download | 只能下载,不能进行其他操作。 |
以上三个虚拟用户均不允许登录系统,并且使用ftp时会被锁定在指定目录内不可进入系统其他目录。
1、安装vsftpd,Berkeley Database(db4)
yum install vsftpd db4-utils db4 -y
2、在/etc/vsftpd/vsftpd.conf加入或者更改以下配置语句:
anonymous_enable=NO #(当然你也可以设成YES,同时允许匿名用户登陆) local_enable=YES #(必须置YES,因为虚拟用户是映射到virtual这个本地用户来访问的)
guest_enable=YES #启用虚拟机用户 guest_username=virtual #(第6步中创建,将虚拟用户映射为本地virtual用户) pam_service_name=vsftpd #(第3步中创建,指定PAM配置文件,文件已经在/etc/pam.d/存在) user_config_dir=/etc/vsftpd/user_conf #(第8,9步中创建,指定不同虚拟用户配置文件的存放路径)
整体配置如下,备份原配置,新建vsftpd.conf,加入下面配置
[root@jws-ftp var]# cat /etc/vsftpd/vsftpd.conf
# Example config file /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_enable=YES
chroot_local_user=YES
listen=YES
pam_service_name=vsftpd
guest_enable=YES
guest_username=virtual
user_config_dir=/etc/vsftpd/user_conf
ftpd_banner=Welcome to FTP service
allow_writeable_chroot=YES
max_clients=300
max_per_ip=10
use_localtime=YES
[root@jws-ftp var]#
3、在/etc/pam.d/中修改文件vsftpd, 对比修改内容:
auth required pam_userdb.so db=/etc/vsftpd/vu_list account required pam_userdb.so db=/etc/vsftpd/vu_list #(/etc/vsftpd/vu_list 在第4,5步中创建,用户账号密码数据库文件)
#把原本的内容注释掉,用上面的两行代替,不然本地使用xftp无法连接,修改完后,vsftpd文件内容如下
[root@jws-ftp vsftpd]# cat /etc/pam.d/vsftpd
#%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
session required pam_loginuid.so
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list
4、建立用户列表/etc/vsftpd/vu_list.txt 内容如下:
upload #(帐号) 123456 #(用户密码) download #(帐号) 123456 #(用户密码) admin #(帐号) 123456 #(用户密码) #注意:不要有空行,一行账号 一行密码;奇数行为帐号,偶数行为密码
实际配置如下:
[root@jws-ftp ftp]# cat /etc/vsftpd/vu_list.txt
upload
123456
download
123456
admin
123456
[root@jws-ftp ftp]#
5、建立访问者数据文件(如果没有可以安装:yum install db4-utils)
[root@localhost vsftpd] db_load -T -t hash -f /etc/vsftpd/vu_list.txt /etc/vsftpd/vu_list.db
#修改db文件的权限,以免被非法用户修改
[root@localhost vsftpd] chmod 600 /etc/vsftpd/vu_list.db
6、建立本地虚拟用户:
useradd -d /var/ftp -s /sbin/nologin virtual
7、在/var/ftp/创建目录并改变其属性和它的属主:
chown virtual /var/ftp chmod 775 /var/ftp
8、创建ftp用户配制文件目录:/etc/vsftpd/user_conf:
mkdir /etc/vsftpd/user_conf
9、在/etc/vsftpd/user_conf目录中创建以用户名命名的配置文件upload、download、admin
“download”文件内容如下:(记得去掉斜杠内容)
local_root=/var/ftp \\(也可以设置成其它,但要注意virtual用户对此目录的权限) anon_world_readable_only=NO \\(使download用户的能下载,也只能下载;写成YES,将不能列出文件和目录)
实际配置如下:
[root@jws-ftp var]# cat /etc/vsftpd/user_conf/download
local_root=/var/ftp
anon_world_readable_only=NO
“admin”文件内容如下:(记得去掉斜杠内容)
local_root=/var/ftp anon_world_readable_only=NO write_enable=YES \\(写权限) anon_mkdir_write_enable=YES \\(新建目录权限) anon_upload_enable=YES \\(上传权限) anon_other_write_enable=YES \\(删除/重命名的权限)
实际配置如下:
[root@jws-ftp vsftpd]# cat user_conf/admin
local_root=/var/ftp
anon_world_readable_only=NO
write_enable=YES
anon_mkdir_write_enable=YES
anon_upload_enable=YES
anon_other_write_enable=YES
allow_writeable_chroot=YES
[root@jws-ftp vsftpd]#
“upload”文件内容如下:
local_root=/var/ftp anon_world_readable_only=NO anon_umask=022 \\(此配置用于web页面,由于web页面的特殊性,故单独设置上传文件权限为755,此掩码值可根据具体情况更改) write_enable=YES \\(写权限) anon_mkdir_write_enable=YES \\(新建目录权限) anon_upload_enable=YES \\(上传权限) anon_other_write_enable=YES \\(删除/重命名的权限)
实际配置如下:
[root@jws-ftp vsftpd]# cat user_conf/upload
local_root=/var/ftp
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_world_readable_only=NO
download_enable=NO
[root@jws-ftp vsftpd]#
10、最后,重新启动VSFTPD
systemctl restart vsftpd
遇到的问题
1、启动报错
未创建chroot_list,可以创建一个空文件
2、登陆报错
从2.3.5之后,vsftpd增强了安全检查,如果用户被限定在了其主目录下,则该用户的主目录不能再具有写权限了!如果检查发现还有写权限,就会报该错误。
要修复这个错误,可以用命令chmod a-w /home/user去除用户主目录的写权限,注意把目录替换成你自己的。或者你可以在vsftpd的配置文件中增加下列项:
allow_writeable_chroot=YES
该需求刚做没多久,开发的小伙伴又出难题,这次需要控制某虚拟机用户只能从固定的IP段去登录FTP,目前查资料没有看到这届网友有可以直接控制虚拟用户的登陆IP的方法,只能通过笨办法,通过创建和虚拟用户同名的本地账号(禁止SSH登陆)来通过PAM模块做到虚拟用户的IP限制,说白了就是限制本地用户登录的IP从而达到限制虚拟用户的目的
PAM详解请参考:https://www.cnblogs.com/kevingrace/p/8671964.html
1)上面我们已经搭建好通过虚拟用户访问vsftpd,现在我们在/etc/pam.d/中修改文件vsftpd
[root@jws-ftp vsftpd]# cat /etc/pam.d/vsftpd #%PAM-1.0 #session optional pam_keyinit.so force revoke #auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed #auth required pam_shells.so #auth include password-auth #account include password-auth #session required pam_loginuid.so #session include password-auth #session required pam_loginuid.so auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list account required pam_access.so #加入该行 account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vu_list [root@jws-ftp vsftpd]#
2)修改/etc/security/access.conf配置文件,在文件底部添加下面的一行:
[root@jws-ftp vsftpd]# vim /etc/security/access.conf
- : admin : ALL EXCEPT 10.153.59.188 10.153.49.7 #用户admin只能从10.153.59.188和10.153.49.7这两个IP访问FTP服务
- : download : 10.153.60.188 #download用户不允许从10.153.60.188这个IP访问FTP服务
3)创建admin用户和download用户[root@jws-ftp vsftpd]# useradd -s /sbin/nologin admin [root@jws-ftp vsftpd]# passwd admin
[root@jws-ftp vsftpd]# useradd -s /sbin/nologin download
[root@jws-ftp vsftpd]# passwd download
4)重启VSFTP服务
[root@jws-ftp vsftpd]# systemctl restart vsftpd
搭建VSFTP请参考(本地用户方式):https://www.cnblogs.com/yizhipanghu/p/12857964.html
