ftp的用户权限配置

文件服务:

应用层:ftp

内核级网络文件系统:nfs

POSIX(可移植操作系统接口 Portable Operating System Interface of UNIX,缩写为 POSIX

API(应用程序编程接口)

跨平台的网络文件系统:cifs samba

 

网络存储:

NASNetwork
Attached Stoage
,文件系统级接口;

SANStorage Area
Network
,块级别接口;iSCSI

 

ftp:应用层协议

file
transfer protocol
21/tcp

C/S:

Client
<–> Server

 

连接:

命令连接;

数据连接:、

 

基于不同的套接字通信;

 

数据传输模式:

文本格式:

二进制格式:

 

数据连接:

主动模式:服务端通过20/tcp连接客户端命令连接端口+1的端口;

问题:

被动模式:客户端使用随机端口连接服务器某随机端口;

客户端发出数据传输请求之后,服务器响应一个报文给客户端;

112,123

 

协议安全:

明文;认证时传输的账号和密码均为明文;

 

安全增强:

ftps:
ftp over ssl
(基于传输层的协议,更多时候通用安全通信框架)

sftp:
ftp over ssh     
(基于应用层的协议,完成用户远程认证登录)

 

C/S:协议的实现:就是开发出来符合协议要求的应用软件

SServ-UIISFileZilla
Server

C

CLIftp, lftp,
curl, wget, lftpget, …

GUIFileZilla,
flashfxp, cute, gftp, …

 

S:开源解决方案;

wuftpdwashington
university

vsftpdvery secure
ftp daemon

pureftp

proftpd

 

程序环境:initservice
vsftpd start
启动服务,监听端口为21

主程序:/usr/sbin/vsftpd

主配置文件:/etc/vsftpd/vsftpd.conf

数据根目录:/var/ftp

Systemd
Unit File
/usr/lib/systemd/system/vsftpd.service

 

配置vsftpd

 

用户类别:

匿名用户:anonymous –>
ftp, /var/ftp

系统用户: 至少禁止系统用户访问ftp服务,/etc/vsftpd/ftpusersPAM 插入式认证模块(/etc/pam.d/vsftpd);

虚拟用户:

 

用户通过vsftpd服务访问到的默认路径,是用户自己的家目录;默认可以自己有权限访问的所有路径间切换;

禁锢用户于其家目录中;

 

配置文件:/etc/vsftpd/vsftpd.conf

directive
value

注意:directive之前不能有多余字符;

 

匿名用户:

anonymous_enable=YES 是否允许匿名账户访问,默认是允许,NO表示禁止

anon_upload_enable=YES        默认处于注释状态,表示是否允许用户上传文件

anon_mkdir_write_enable=YES                是否允许用户创建目录,默认为开启,编辑开启

anon_other_write_enable=YES                是否允许用户删除文件,默认未开启,自己添加

 

系统用户:

使用:lftp -u centos
172.18.253.24
,登录本地用户

local_enable=YES

是否允许系统用户或者本地用户登录,默认允许,且可以上传文件、删除文件、创建目录、删除目录

write_enable=YES

 

辅助配置文件/etc/vsftpd/ftpusers

列在此文件中的用户 均禁止使用ftp服务;

 

chroot_local_user=YES

禁锢所有本地用户 于其家目录;需要事先去除用户对家目录的写权限;

 

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

禁锢列表中文件存在的用户于其家目录中;需要事先去除用户对家目录的写权限;

 

传输日志:

xferlog_enable=YES

xferlog_file=/var/log/xferlog

xferlog_std_format=YES

 

守护进程的类型:

standalone:独立守护进程;由服务进程自行监听套按字,并接收用户访问请求;

transient:瞬时守护进程;由受托管方代为监听套按字,服务进程没有访问请求时不启动;当托管方收到访问请求时,才启动服务进程;

CentOS 6xinetd独立守护进程,
/etc/xinetd.d/,

CentOS 7:由systemd代为监听;

 

控制可登录vsftpd服务的用户列表:

userlist_enable=YES

启用/etc/vsftpd/user_list文件来控制可登录用户;

userlist_deny=

YES:意味着此为黑名单;

NO:白名单;

 

虚拟用户:

用户账号存储于何处?

文件、MySQLRedis

 

vsftpd:认证功能托管给pam

基于何种存储服务来存储用户信息,以及对存储服务的驱动要靠pam实现;

 

pam_mysql

# yum
install mariadb-devel pam-devel

 

# ./configure
–with-pam=/usr –with-mysql=/usr –with-pam-mods-dir=/usr/lib64/security

# make
&& make install

 

创建数据库、授权用户、创建账号和密码;

 

提供配置文件:/etc/pam.d/vsftpd.vusers

auth
required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu
host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password
crypt=2

account
required /usr/lib64/security/pam_mysql.so user=vsftpd passwd=mageedu
host=127.0.0.1 db=vsftpd table=users usercolumn=name passwdcolumn=password
crypt=2

 

配置vsftpd,添加或修改以下选项:

pam_service_name=vsftpd.vusers
                
文件名必须和上面创建的文件同名

guest_enable=YES

guest_username=vuser         其中vuser是可以随意创建的

 

虚拟用户的写权限,通过匿名一样的指令进行定义;

还能实现不同的用户有不同的权限;

 

1.vsftp.conf里面加入如下一行

user_config_dir=/etc/vsftpd/vusers_config/

2.其次在/etc/vsftpd/vusers_config,建立以用户名命名的文件并编辑

vim tom

anon_upload_enbale=NO
#
不允许虚拟用户tom上传文件

vim
jerry

anon_upload_enable=YES        #允许虚拟用户jerry上传文件

原创文章,作者:oranix,如若转载,请注明出处:http://www.178linux.com/74592

(1)
oranixoranix
上一篇 2017-05-02
下一篇 2017-05-02

相关推荐

  • python之psutil模块

    python 安装psutil 来实现获取系统信息  # yum -y install python*pip # yum -y groupinstall “Development Tools # yum -y install python34-devel.x86_64 # pip3 install –upgrade pip # pip3 inst…

    Linux干货 2014-01-22
  • 第三周

    第三周blog 第三周blog 1    列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。    # who|cut -d&rsquo; &lsquo; -f 1 |sort -u 2    取出最后登录到当前系统的用户的相关信息。  …

    Linux干货 2016-12-19
  • 程序包管理

    程序包 linux的程序包主要分为两类;二进制可执行安装包和源代码程序文件包     二进制应用程序的组成部分:     二进制文件、库文件、配置文件、帮助文件   查看二进制程序所依赖的库文件:     ldd&nbs…

    Linux干货 2016-05-30
  • 马哥教育网络班22期第二周课程练习

    1、Linux上的文件管理类命令都有哪些,其常用的使用方法及其相关示例演示? cp命令:copy 源文件;目标文件;    单源复制:cp [OPTION]… [-T] SOURCE DEST    多源复制:cp [OPTION]… SOURCE… DIRECTORY  …

    Linux干货 2016-08-22
  • 第九周

    1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现;   1 #!/bib/bash   2 #   3 a=0   4 x=0   5 y=…

    Linux干货 2017-05-25
  • Ubuntu 葵花宝典入门篇——要练此功,可能得自宫?

        此文章给初入ubuntu的小伙伴们写一篇装机篇和使用心得。第二期会给小伙伴介绍软件安装篇。如题目所说,乌班图确实是葵花宝典,练好了天下无敌。只是如果要安装UBUNTU系统,只是在虚拟机上跑跑是不够的,你必须在实际的桌面环境和服务器环境上才能体会到它的运行方式,而桌面环境和服务器环境几乎差不多。所以安装桌面版可以更好的理解…

    Linux干货 2017-03-26