前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >vsftpd添加用户并分配不同权限

vsftpd添加用户并分配不同权限

作者头像
秃头哥编程
发布2019-06-17 15:27:10
5.5K0
发布2019-06-17 15:27:10
举报
文章被收录于专栏:秃头哥编程

最近有个需求,就是不同的ftp用户能操作不同的目录,这样就能防止文件被乱动。

centos6.5服务器上装的是vsftpd。

一、安装vsftpd

1.安装vsftpd组件

代码语言:javascript
复制
yum -y install vsftpd

安装完后,有/etc/vsftpd/vsftpd.conf 文件,是vsftp的配置文件。

2.防火墙开启21端口

因为ftp默认的端口为21,而centos默认是没有开启的,所以要修改iptables文件

代码语言:javascript
复制
vim /etc/sysconfig/iptables

在行上面有22 -j ACCEPT 下面另起一行输入跟那行差不多的,只是把22换成21,然后:wq保存,重启iptables

代码语言:javascript
复制
service iptables restart

3.修改selinux

外网是可以访问上去了,可是发现没法返回目录(使用ftp的主动模式,被动模式还是无法访问),也上传不了,因为selinux作怪了。 修改selinux:

代码语言:javascript
复制
getsebool -a | grep ftp

如果上面的命令出现selinux is disabled,则先把selinux改成SELINUX=enforcing,使用下面的命令

代码语言:javascript
复制
vim /etc/selinux/config

接着再修改selinux,开启外网访问,把这两个选项都改成on

代码语言:javascript
复制
setsebool -P allow_ftpd_full_access on
setsebool -P ftp_home_dir on

二、开始操作

1.实验目标

实现在同一跟目录下对admin,upload,download三个虚拟用户的不同权限的控制。具体权限控制列表如下:

以上三个虚拟用户均不允许登录系统,并且使用ftp时会被锁定在指定目录内不可进入系统其他目录。

2.配置vsftpd

代码语言:javascript
复制
#添加一个不能登录系统的用户,用来做虚拟用户映射
[root@localhost vsftpd] useradd -s /sbin/nologin -d /home/CodeTiger -M CodeTiger
[root@localhost vsftpd] passwd CodeTiger
#创建虚拟用户列表,分别是upload、download和admin
[root@localhost vsftpd] touch /etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo upload >>/etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo 111111 >>/etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo download >>/etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo 111111 >>/etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo admin >>/etc/vsftpd/vu_list.txt
[root@localhost vsftpd] echo 111111 >>/etc/vsftpd/vu_list.txt
#查看列表内容
[root@localhost vsftpd] cat /etc/vsftpd/vu_list.txt
upload
111111
download
111111
admin
111111
#保存虚拟帐号和密码的文本文件无法被系统帐号直接调用,需要创建用于系统认证的db文件
[root@localhost vsftpd] db_load -T -t hash -f /etc/vsftpd/vu_list.txt /etc/vsftpd/vu_list.db
#创建db文件需要db4支持,如果系统没安装请安装
[root@localhost vsftpd] yum -y install db4 db4-devel db4-utils
#修改db文件的权限,以免被非法用户修改
[root@localhost vsftpd] chmod 600 /etc/vsftpd/vu_list.db

3.配置PAM文件

由于服务器通过调用系统PAM模块来对客户端进行身份验证,因此需要修改指定的配置文件来调整认证方式。PAM模块的配置文件路径为:/etc/pam.d/,这个目录下存放只许多与用户认证有关的配置文件。

代码语言:javascript
复制
[root@localhost pam.d] ls
chfn                 login             remote             smtp          sudo-i
chsh                 newrole           run_init           smtp.postfix  su-l
config-util          other             runuser            sshd          system-auth
crond                passwd            runuser-l          ssh-keycat    system-auth-ac
fingerprint-auth     password-auth     smartcard-auth     su            vsftpd
fingerprint-auth-ac  password-auth-ac  smartcard-auth-ac  sudo

编辑vsftpd文件

32位系统添加:

代码语言:javascript
复制
auth          required     /lib/security/pam_userdb.so     db=/etc/vsftpd/vu_list
account    required     /lib/security/pam_userdb.so     db=/etc/vsftpd/vu_list

64位系统添加:

代码语言:javascript
复制
auth       required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/vu_list
account    required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/vu_list

把原本的内容注释掉,用上面的两行代替,不然本地使用xftp无法连接,修改完后,vsftpd文件内容如下

代码语言:javascript
复制
[root@localhost pam.d] cat vsftpd 
#%PAM-1.0
#session    optional     pam_keyinit.so    force revoke
#auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth       required    pam_shells.so
#auth       include password-auth
#account    include password-auth
#session    required     pam_loginuid.so
#session    include password-auth
auth       required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/vu_list
account    required     /lib64/security/pam_userdb.so   db=/etc/vsftpd/vu_list

创建虚拟用户配置文件

代码语言:javascript
复制
#创建conf文件夹
[root@localhost pam.d] cd /etc/vsftpd
[root@localhost vsftpd] mkdir conf
[root@localhost vsftpd] cd conf
#创建admin用户的配置文件
[root@localhost conf] cat >>admin<< EOF
> anon_world_readable_only=NO
> write_enable=YES
> anon_mkdir_write_enable=YES
> anon_other_write_enable=YES
> anon_upload_enable=YES
> local_root=/home/CodeTiger
> EOF
#创建upload用户的配置文件
[root@localhost conf] cat >>upload<< EOF
> write_enable=NO
> anon_upload_enable=YES
> anon_mkdir_write_enable=YES
> anon_world_readable_only=NO
> download_enable=NO
> local_root=/home/CodeTiger
> EOF
#创建download用户的配置文件
[root@localhost conf] cat >>download<< EOF
> anon_world_readable_only=NO
> local_root=/home/CodeTiger
> EOF

修改vsftpd.conf文件

首先备份默认的配置文件,然后把配置文件里面的内容全部删了,换成下面的内容

代码语言:javascript
复制
# Example config file /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_enable=YES
chroot_local_user=YES
listen=YES

pam_service_name=vsftpd

guest_enable=YES
guest_username=CodeTiger
user_config_dir=/etc/vsftpd/conf

到此,就大功告成。

三、测试

首先创建目录home/CodeTiger,之后使用本地的xftp连接,不过得关闭被动模式

经测试,连接成功,各个用户的权限正常

虚拟用户配置文件的local_root属性即可。

四、遇到的问题

1.xftp提示用户认证失败

是因为修改pam.d/vsftpd的时候,没有把其他的内容注释掉导致的。

2.xftp能连接,但没有目录显示

关闭被动模式即可。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-06-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 秃头哥编程 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、安装vsftpd
  • 二、开始操作
  • 三、测试
  • 四、遇到的问题
相关产品与服务
数字身份管控平台
数字身份管控平台(Identity and Access Management)为您提供集中式的数字身份管控服务。在企业 IT 应用开发时,数字身份管控平台可为您集中管理用户账号、分配访问权限以及配置身份认证规则,避免因员工账号、授权分配不当导致的安全事故。在互联网应用开发时,数字身份管控平台可为您打通应用的身份数据,更好地实现用户画像,也可为用户提供便捷的身份认证体验,提升用户留存。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档