虚机VSFTP

在VSFTP中，认证这些虚拟用户使用的是单独的口令库文件（pam_userdb），由可插入认证模块（PAM）认证。使用这种方式更加安全，并且配置更加灵活。

[过程]

1．生成虚拟用户口令库文件。为了建立此口令库文件，先要生成一个文本文件。该文件的格式如下，单数行为用户名，偶数行为口令：

#vi account.txt

hahazhu

123456

zhangguo

4321

tianshan

5678

2．生成口令库文件，并修改其权限：

#db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db

#chmod 600 /etc/vsftpd/account.db

3．新建一个虚拟用户的PAM文件。加上如下两行内容：

#vi /etc/pam.d/vsftp.vu

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account

account required /lib/security/pam_userdb.so db=/etc/vsftpd/account

4．建立虚拟用户，设置该用户所要访问的目录，并设置虚拟用户访问的权限：

#useradd -d /home/ftpsite virtual_user

#chmod 700 /home/ftpsite

经过该步骤的设置，/home/ftpsite就是virtual_user用户的主目录，该用户也是ftpsite目录的拥有者。除root用户之外，只有该用户具有对该目录的读、写和执行的权限。

5．编辑/etc/vsftpd/vsftpd.conf文件，使其整个文件内容如下所示（去掉了注释内容）：

anonymous_enable=NO #禁止匿名用户登录

local_enable=YES #开启本地用户登录

local_umask=022 #新建文件权限

xferlog_enable=YES #开启日志记录功能

connect_from_port_20=YES #开启20端口数据传输

xferlog_std_format=YES #日志记录格式

listen=YES #监听

write_enable=YES #对文件有写的权限

anon_upload_enable=YES #允许匿名上传

anon_mkdir_write_enable=YES#允许匿名用户新建目录

anon_other_write_enable=YES #是否拥有其他权限

one_process_model=NO

chroot_local_user=YES

ftpd_banner=Welcom to my FTP server.

anon_world_readable_only=NO

guest_enable=YES

guest_username=virtual_user

pam_service_name=vsftp.vu

上面代码中，guest_enable=YES表示启用虚拟用户；guest_username=virtual则是将虚拟用户映射为本地用户，这样虚拟用户登录后才能进入本地用户virtual的目录/ftpsite；pam_service_name=vsftp.vu指定PAM的配置文件为 vsftp.vu。

6．重新启动VSFTP：

#service vsftpd restart

7．以虚拟用户gou（Linux中并无该账号）进行测试：

# ftp 127.0.0.1

Connected to 127.0.0.1 (127.0.0.1).

220 Welcom to my FTP server.

Name (127.0.0.1:root): gou

331 Please specify the password.

Password:

230 Login successful. Have fun.

Remote system type is UNIX.

Using binary mode to transfer f

iles.

在虚拟FTP服务器中，也可以对各个用户的权限进行设置。方法是在/etc/vsftpd.conf文件中添加如下一行：

user_config_dir=用户配置文件目录

然后在用户配置文件目录下创建相应的用户配置文件，比如为上述名为gou的用户创建一个配置文件（假设配置文件目录为/etc/vsftpd_user_conf）：

#vi /etc/vsftpd_user_conf/gou

write_enable=NO

anono_upload_enable=NO

8.虚拟用户个人目录设置

　　大家可以发现，无论是哪个虚拟用户，登录后所在的目录都是/home/ftpsite，即都是guest用户的自家目录。下面，介绍如何为每个虚拟用户建立自家目录。

　　一种作法是在虚拟用户的个人配置文件中使用local_root选项指定虚拟用户的自家目录。以gou为例，在第上步的基础上，首先/etc/vsftpd_user_conf/gou文件中加入：

　　local_root=/home/ftpsite/gou

　　/home/ftpsite下新建gou目录，并将权限设为virtual_user：

9.添加FTP用户的步骤

1.在account.txt中添加用户名和密码

2.运行如下命令,将用户名和密码添加到数据库中

db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db

3.在/home/ftpsite中新建一个文件夹,与用户明相同

4.在vsftpd_user_conf文件夹下新建和用户名相同的文件,并在其中加入

local_root=/home/ftpsite/用户名

注:按照这个做,能实现虚拟用户的配置,不过,个人认为不要把单独的用户建立的ftpsite文件夹下,应该单独建立,只要他的文件夹拥有者权限是virtual_user就成.

范例:

1.在account.txt中添加用户名和密码(如添加一个test password)

2.运行如下命令,将用户名和密码添加到数据库中

db_load -T -t hash -f ./account.txt /etc/vsftpd/account.db

3.在/home中新建一个文件夹,与用户明相同(mkdir /home/test

chown virtual_user:virtual_user /home/test)

4.在vsftpd_user_conf文件夹下新建和用户名相同的文件,并在其中加入

local_root=/home/用户名

(如:local_root=/home/test)

注意:如果需要对虚拟用户做权限设置,配置文件参考

vsftpd.conf

anonymous_enable=NO

local_enable=YES

write_enable=NO

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

chroot_local_user=YES

guest_enable=YES

guest_username=ftp

pam_service_name=vsftpd

listen=YES

listen_port=21

pasv_min_port=30000

pasv_max_port=30999

ftpd_banner=Welcom to my FTP server.

xferlog_enable=YES

xferlog_std_format=YES

local_umask=022

one_process_model=NO

anon_world_readable_only=NO

connect_from_port_20=YES

user_config_dir=/etc/vsftpd/userconf/

vi wg_upload

local_root=/var/ftp/wg_upload/ #mkdir -p /var/ftp/wg_upload chown -R ftp:ftp /var/ftp/wg_upload

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_umask=022

vi wg_down

local

_root=/var/ftp/wg_upload/

write_enable=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

anon_umask=022

[关联资料]

在主动模式下，FTP客户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，然后开放N+1号端口进行监听，并向服务器发出 PORT N+1命令。服务器接收到命令后，会用其本地的FTP数据端口（通常是20）来连接客户端指定的端口N+1，进行数据传输。

在被动模式下，FTP库户端随机开启一个大于1024的端口N向服务器的21号端口发起连接，同时会开启N+1号端口。然后向服务器发送PASV命令，通知服务器自己处于被动模式。服务器收到命令后，会开放一个大于1024的端口P进行监听，然后用PORT P命令通知客户端，自己的数据端口是P。客户端收到命令后，会通过N+1号端口连接服务器的端口P，然后在两个端口之间进行数据传输。

总的来说，主动模式的FTP是指服务器主动连接客户端的数据端口，被动模式的FTP是指服务器被动地等待客户端连接自己的数据端口。

被动模式的FTP通常用在处于防火墙之后的FTP客户访问外界FTp服务器的情况，因为在这种情况下，防火墙通常配置为不允许外界访问防火墙之后主机，而只允许由防火墙之后的主机发起的连接请求通过。因此，在这种情况下不能使用主动模式的FTP传输，而被动模式的FTP可以良好的工作。

如果只想提供主动模式,修改vsftpd.conf为:

port_enable=YES

connect_from_port_20=YES

pasv_enable=NO

########################

#pasv_min_port=30000

#pasv_max_port=30999

这里只给出日志这块的参数设置

##################log settings###################

# Activate logging of uploads/downloads.

xferlog_enable=YES

#

# You may override where the log file goes if you like. The default is shown

# below.

xferlog_file=/var/log/xferlog

#

#log in two files /var/log/xferlog and /var/log/vsftpd.log

dual_log_enable=YES

vsftpd_log_file=/var/log/vsftpd.log

#log time setting

这里只给出日志这块的参数设置(很不错的参数)

##################log settings###################

# Activate logging of uploads/downloads.

xferlog_enable=YES

#

# You may override where the log file goes if you like. The default is shown

# below.

xferlog_file=/var/log/xferlog

#

#log in two files /var/log/xferlog and /var/log/vsftpd.log

dual_log_enable=YES

vsftpd_log_file=/var/log/vsftpd.log

#log time setting

use_localtime=YES #时间的精确

##################################2009/0921补充#################

download_enable=YES\\NO

改变用户下载权限