ftp的用户权限配置

文件服务:

应用层:ftp

内核级网络文件系统:nfs

POSIX(可移植操作系统接口 Portable Operating System Interface of UNIX,缩写为 POSIX

API(应用程序编程接口)

跨平台的网络文件系统:cifs samba

 

网络存储:

NASNetwork
Attached Stoage
,文件系统级接口;

SANStorage Area
Network
,块级别接口;iSCSI

 

ftp:应用层协议

file
transfer protocol
21/tcp

C/S:

Client
<–> Server

 

连接:

命令连接;

数据连接:、

 

基于不同的套接字通信;

 

数据传输模式:

文本格式:

二进制格式:

 

数据连接:

主动模式:服务端通过20/tcp连接客户端命令连接端口+1的端口;

问题:

被动模式:客户端使用随机端口连接服务器某随机端口;

客户端发出数据传输请求之后,服务器响应一个报文给客户端;

112,123

 

协议安全:

明文;认证时传输的账号和密码均为明文;

 

安全增强:

ftps:
ftp over ssl
(基于传输层的协议,更多时候通用安全通信框架)

sftp:
ftp over ssh     
(基于应用层的协议,完成用户远程认证登录)

 

C/S:协议的实现:就是开发出来符合协议要求的应用软件

SServ-UIISFileZilla
Server

C

CLIftp, lftp,
curl, wget, lftpget, …

GUIFileZilla,
flashfxp, cute, gftp, …

 

S:开源解决方案;

wuftpdwashington
university

vsftpdvery secure
ftp daemon

pureftp

proftpd

 

程序环境:initservice
vsftpd start
启动服务,监听端口为21

主程序:/usr/sbin/vsftpd

主配置文件:/etc/vsftpd/vsftpd.conf

数据根目录:/var/ftp

Systemd
Unit File
/usr/lib/systemd/system/vsftpd.service

 

配置vsftpd

 

用户类别:

匿名用户:anonymous –>
ftp, /var/ftp

系统用户: 至少禁止系统用户访问ftp服务,/etc/vsftpd/ftpusersPAM 插入式认证模块(/etc/pam.d/vsftpd);

虚拟用户:

 

用户通过vsftpd服务访问到的默认路径,是用户自己的家目录;默认可以自己有权限访问的所有路径间切换;

禁锢用户于其家目录中;

 

配置文件:/etc/vsftpd/vsftpd.conf

directive
value

注意:directive之前不能有多余字符;

 

匿名用户:

anonymous_enable=YES 是否允许匿名账户访问,默认是允许,NO表示禁止

anon_upload_enable=YES        默认处于注释状态,表示是否允许用户上传文件

anon_mkdir_write_enable=YES                是否允许用户创建目录,默认为开启,编辑开启

anon_other_write_enable=YES                是否允许用户删除文件,默认未开启,自己添加

 

系统用户:

使用:lftp -u centos
172.18.253.24
,登录本地用户

local_enable=YES

是否允许系统用户或者本地用户登录,默认允许,且可以上传文件、删除文件、创建目录、删除目录

write_enable=YES

 

辅助配置文件/etc/vsftpd/ftpusers

列在此文件中的用户 均禁止使用ftp服务;

 

chroot_local_user=YES

禁锢所有本地用户 于其家目录;需要事先去除用户对家目录的写权限;

 

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

禁锢列表中文件存在的用户于其家目录中;需要事先去除用户对家目录的写权限;

 

传输日志:

xferlog_enable=YES

xferlog_file=/var/log/xferlog

xferlog_std_format=YES

 

守护进程的类型:

standalone:独立守护进程;由服务进程自行监听套按字,并接收用户访问请求;

transient:瞬时守护进程;由受托管方代为监听套按字,服务进程没有访问请求时不启动;当托管方收到访问请求时,才启动服务进程;

CentOS 6xinetd独立守护进程,
/etc/xinetd.d/,

CentOS 7:由systemd代为监听;

 

控制可登录vsftpd服务的用户列表:

userlist_enable=YES

启用/etc/vsftpd/user_list文件来控制可登录用户;

userlist_deny=

YES:意味着此为黑名单;

NO:白名单;

 

虚拟用户:

用户账号存储于何处?

文件、MySQLRedis

 

vsftpd:认证功能托管给pam

基于何种存储服务来存储用户信息,以及对存储服务的驱动要靠pam实现;

 

pam_mysql

# yum
install mariadb-devel pam-devel

 

# ./configure
–with-pam=/usr –with-mysql=/usr –with-pam-mods-dir=/usr/lib64/security

# make
&& make install

 

创建数据库、授权用户、创建账号和密码;

 

提供配置文件:/etc/pam.d/vsftpd.vusers

auth
required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu
host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password
crypt=2

account
required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu
host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password
crypt=2

 

配置vsftpd,添加或修改以下选项:

pam_service_name=vsftpd.vusers
                
文件名必须和上面创建的文件同名

guest_enable=YES

guest_username=vuser         其中vuser是可以随意创建的

 

虚拟用户的写权限,通过匿名一样的指令进行定义;

还能实现不同的用户有不同的权限;

 

1.vsftp.conf里面加入如下一行

user_config_dir=/etc/vsftpd/vusers_config/

2.其次在/etc/vsftpd/vusers_config,建立以用户名命名的文件并编辑

vim tom

anon_upload_enbale=NO
#
不允许虚拟用户tom上传文件

vim
jerry

anon_upload_enable=YES        #允许虚拟用户jerry上传文件

原创文章,作者:oranix,如若转载,请注明出处:http://www.178linux.com/74592

(1)
oranixoranix
上一篇 2017-05-02
下一篇 2017-05-02

相关推荐

  • 8月3日作业

    课堂练习: 当用户xiaoming对/testdir 目录无执行权限时,意味着无法 做哪些操作? 不能进入目录,不能创建目录、文件 当用户xiaoqiang对/testdir 目录无读权限时,意味着无法做 哪些操作?  不能查看目录、文件 当用户wangcai 对/testdir 目录无写权限时,该目录下的只 读文件file1是否可修改和删除?&n…

    Linux干货 2016-08-07
  • Raspberry pi设置自动拨号,搭建无线路由环境

    Raspberry pi设置自动拨号,搭建无线路由环境 前言  raspberry pi(树莓派), 是一款针对电脑业余爱好者、教师、小学生以及小型企业等用户的迷你电脑,由于可以烧录Linux操作系统,因此可以衍生出各种各样的使用途径,诸如控制版,爬虫机器,个人vps,门禁系统…..本文主要介绍如何在raspberry pi上面完成pppoe拨号上…

    2017-03-28
  • 第十一周作业

    1、详细描述一次加密通讯的过程,结合图示最佳。   发送者:     1)使用单向加密算法提取要发送文件的特征码;     2)使用自己的私钥加密特征码并附加在数据后面;     3)生成用于对称加密的临时密码;     4)用此临时密钥加密数据和已经使用私钥加密后的特…

    2017-05-08
  • 用户相关文件简介

    2016/10/23 总结关于用户和组相关的配置文件 Linux系统主要有4个文件与用户和组的配置有关, 主要为/etc/passwd  /etc/shadow   /etc/group  /etc/gshadow 首先来解释一下什么是用户,什么是组 用户:      管理员用户&nbsp…

    Linux干货 2016-10-24
  • 日志分析工具Awstats实战之Apache篇-多站点日志分析

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://nolinux.blog.51cto.com/4824967/1318052 前面两篇都在讲述如何去部署nginx下的awstats日志分析工具,现在终于轮到apache。作为老牌的网页服务器,awstats对apache…

    Linux干货 2016-08-15
  • 计算机的组成及其功能

    计算机系统由硬件系统和软件系统两大部分组成。冯诺依曼奠定了现代计算机的基本结构。 冯诺依曼体系的计算机,必须具有如下功能: #1 把需要的程序和数据送至计算机中; #2 具有长期记忆程序、数据、中间结果及最终运算结果的能力; #3 能够完成各种算术运算、逻辑运算和数据传送等数据加工处理的能力; #4 能够根据需要控制程序走向,并能根据指令控制机器的各部件协调…

    Linux干货 2016-08-15