第七章 FTP服务（2）

7.2 自定义配置

7.2.1 限制用户访问位置

在客户端cmd界面中可以看到，当使用Linux系统用户登录到FTP服务器后，是允许跳出用户家目录操作的，这就存在安全风险，所以我们会想，能不能把用户锁定在家目录下，不允许其跳出家目录，这就需要在配置文件中加入如下设置项：

vi /etc/vsftpd/vsftpd.conf ---写入

chroot_local_user=yes ---开启锁定用户在家目录下的功能，即在FTP界面下，把家目录当做根，用pwd可见

allow_writeable_chroot=yes ---允许用户登录后读写

chroot_list_file=/etc/vsftpd/grantUser ---开启一个用户列表文件

chroot_list_enable=yes ---该用户列表文件中的用户允许跳出家目录

然后对应配置文件，创建指定的用户列表文件

cd /etc/vsftpd

vi grantUser 写入指定用户，如：zhang，则重启服务后，zhang允许跳出，结果如下图：

图中可见，因为在grantUser文件中只添加了zhang用户，所以moon用户登录后，pwd可看到是 /，其实是moon用户默认把家目录当根了，则不能够跳出了。但zhang用户登录后pwd可见到真实的绝对路径，所以可跳出家目录操作。

7.2.2 匿名用户上传

我们以匿名用户登录后，会发现，默认就被锁定在登录目录下了，且没有上传权限，若要允许匿名登录后上传，需要做如下配置：

chmod 777 /var/ftp/pub ---放开pub目录的安全权限

注：同Samba、NFS一样，FTP访问也必须遵守访问权限规则：网络权限 和 安全权限 二者以最严格的为准。但是由于匿名用户的默认路径/var/ftp/权限必须为755，其他用户本身就不具备写权限，所以只能在/var/ftp下的pub目录上开启写入功能。

vi /etc/vsftpd/vsftpd.conf ---写入

anon_upload_enable=yes ---开启匿名上传功能，该句仅允许上传文件，不支持上传目录和改名删除

anon_mkdir_write_enable=yes ---允许上传目录

anon_other_write_enable=yes ---允许改名删除

systemctl restart vsftpd

重启服务后，客户端以匿名用户登录后，即有写权限了，但是，仅可以在pub目录下做写入操作。

注：客户端在字符界面下登录，可以使用ftp或anonymous代表匿名用户登录，密码为空。

7.2.3 其他辅助设置

除了以上设置外，配置文件中还可以针对连接数、上传、下载速率做设定，具体如下：

max_clients=100 ---设置最大连接数

max_per_ip=10 ---设置单个客户ip最大连接数

local_max_rate=102400 ---设置系统用户登录后的最大传输速率，单位：BPS

anon_max_rate=81920 ---设置匿名用户的最大传输速率，80KB=81920B

ascii_upload_enable=yes

ascii_download_enable=yes

---开启ascii码编码上传/下载传输

systemctl restart vsftpd

重启服务器，客户端可做验证。

7.3 虚拟用户

由之上实验可知，虽然可以对系统用户、匿名用户实现访问管理，但是问题非常明显，不同用户访问FTP时，访问到的都是不同位置，很难实现资源的统一化分享。并且，客户端使用系统用户访问，必须告知其密码，存在一定安全隐患。用户多了也意味着系统用户增多，也扰乱系统管理。解决以上问题，使用的方案是建立虚拟用户。

建立虚拟用户的思路是：Linux系统中，新建一个系统用户，做ftp专用账号，给该账号建立多个虚拟映射账号，并各自配置密码，针对客户端公开虚拟用户信息，则这些所有的虚拟用户登录到FTP服务器后，其实是同一个系统用户身份，则都访问到同一个目录下了。但客户端却使用的是不同的用户名、密码，且客户并不知道真正的系统用户是谁，更为安全。

7.3.1 虚拟用户配置

实验：

1、新建虚拟用户，生成虚拟用户库文件

cd /etc/vsftpd

mkdir vftp ---创建目录，专用于虚拟用户的管理

cd vftp

vi vusers ---创建虚拟用户记录文件，写入

user1 ---格式：一行用户名，一行密码

123123

user2

456456

user3

789789

db_load -T -t hash -f vusers vusers.db

---生成虚拟用户库文件，库文件必须.db后缀

--- -T 制作库文件 -t 指定加密算法 -f 指定用户记录文件

2、创建系统用户，专用于FTP

useradd -d /mnt/ftp vftp ---新建用户，并指定家目录，该目录即是FTP共享目录

passwd vftp

chmod 755 /mnt/ftp ---设定权限，允许非属主访问

3、建立虚拟用户与系统用户的映射，并设置ftp验证方式为虚拟用户验证

vi /etc/vsftpd/vsftpd.conf

删除匿名用户上传的设置，否则，所有虚拟用户都具备上传功能

写入：

guest_enable=yes ---开启虚拟用户功能

guest_username=vftp ---把虚拟用户映射到系统用户上

allow_writeable_chroot=yes ---虚拟用户默认也把家目录当做根，若之前已写则不需写

vi /etc/pam.d/vsftpd ---编辑验证配置文件

注释或删除所有原内容

写入：

auth required pam_userdb.so db=/etc/vsftpd/vftp/vusers

account required pam_userdb.so db=/etc/vsftpd/vftp/vusers

---指定FTP登录验证时，不使用系统登录验证，而去找用户库文件做验证，指定库文件绝对路径时，文件名是生成的库文件名，但不需要加.db

systemctl restart vsftpd ---重启服务

客户端可以验证，登录ftp时，系统用户不可用，只能使用虚拟用户。且所有虚拟用户登录后，访问点都相同，即/mnt/ftp。

7.3.2 虚拟用户上传

上一节中，我们创建完毕虚拟用户后，客户端可验证到，虚拟用户不支持上传，如果要允许所有虚拟用户都能上传，则需把之前匿名用户上传的代码写入主配置文件，但是若要针对不同的虚拟用户设置不同的权限，则需给每个虚拟用户做专项配置，操作如下：

vi /etc/vsftpd/vsftpd.conf ---写入

user_config_dir=/etc/vsftpd/vftp ---指定虚拟用户的访问配置文件路径

cd /etc/vsftpd/vftp

vi user1 ---针对虚拟用户名，创建配置文件，文件名即用户名

anon_world_readable_only=yes ---允许虚拟用户访问默认目录

write_enable=yes ---开启写权限

anon_upload_enable=yes

anon_mkdir_write_enable=yes

anon_other_write_enable=yes

vi user2 ---可再针对user2做配置，本实验中暂不设置。

systemctl restart vsftpd

服务重启后，客户端登录可验证user1登录后有上传权限，其他用户登录后没有上传权限。

若变更虚拟用户设置，可以从新生成虚拟用户库文件，再重启vsftpd服务即可。

说明：虽然虚拟用户访问FTP时是映射到系统用户的，但是作为Linux系统来讲，虚拟用户仍然算作来宾用户，即guest，仍然按匿名用户的权限做限制，并且虚拟用户访问后，把默认访问点当做根，即不允许跳出默认目录做操作。