Ubuntu下FTP服务器搭建笔记 - vsftpd

前言

参考了很多博客中的文章，很少有Ubuntu环境下的配置，CentOS居多¹，但多数情况下大同小异。

vsftpd不断在更新，从apt-get安装的版本是2.3+，所以在配置的过程中与多数教程多少有些出入，着实让人郁闷。

比如，安装好vsftpd，默认添加了ftp用户，它的home目录已经不是/var/ftp了，而是/srv/ftp，最郁闷的是什么？是安装好之后，在自带的doc说明里头也写的是/var/ftp，坑爹的doc中的很多expamle也只能是参考一下了。

---

根目录权限

vsftpd在新版本中为了避免漏洞产生安全问题，限定了/srv/ftp目录（ftp登录用户的根目录）的权限必须为ugo-w：

但是在其子文件夹下可以拥有任意权限：

由于ftp目录没有写权限，所以不论如何配置，匿名用户都无法操作该目录。因此可以再新建一个目录pub便于匿名用户所有进行操作。

---

虚拟用户

ftp中可以使用server上的真实用户，但这样是危险的。

而匿名用户anonymous最好不给予上传与目录新建删除等高级操作，必须有更加丰富的权限管理机制——需要一个虚拟用户权限管理机制。

vsftpd支持虚拟用户，很多文章中介绍的需要新建一个virtual用户或者别的什么的，但是实际上这是不需要的，因为apt-get安装过程自动新建了一个ftp用户。这个ftp用户是vsftpd用于匿名用户的实体，所有的虚拟用户权限将等同于这个ftp用户，也即与匿名登录ftp的用户相同。为什么要介绍这段呢？因为后面设置虚拟用户权限的文件中，将直接使用匿名用户对应的参数控制该虚拟用户的权限。²

1. 配置vsftpd

vsftpd的配置文件在/etc/vsftpd.conf中，各种用法实际上都包含在man vsftpd.conf中，百度一下也有很多翻译，不多说。

• 本机的参数如下：

    # 监听ipv6和ipv4，作为双栈服务器，学校的ipv6就是给力。
    listen_ipv6=YES
  
    # 取消匿名用户登录
    anonymous_enable=NO
  
    # 打开本地用户（实体）登录功能，这是使用虚拟用户的**前提条件1**
    # 另外，可以在文件/etc/ftpusers中指定哪些用户无法登录，比如root。
    local_enable=YES
  
    # 全局关闭所有用户上传功能
    write_enable=NO
  
    # 本地用户上传的文件保存权限为774
    local_umask=003
  
    # 匿名用户上传的文件保存权限为774
    anon_umask=003
  
    # 不允许匿名用户上传
    anon_upload_enable=NO
  
    # 不允许匿名用户新建目录
    anon_mkdir_write_enable=NO
  
    # 目录信息
    dirmessage_enable=YES
  
    # 时间校准，以登录用户本地时间为准
    use_localtime=YES
  
    # 日志开
    xferlog_enable=YES
  
    # 20端口用于文件传输
    connect_from_port_20=YES
  
    # 用户操作超时时间100秒
    idle_session_timeout=100
  
    # 用户传输文件超时120秒
    data_connection_timeout=120
  
    # 很明显，欢迎信息
    ftpd_banner=Welcome to Pixy's FTP Server.
  
    # 限制本地用户只能访问自己的home文件夹，安全机制
    chroot_local_user=YES
    #chroot_list_enable=YES
  
    # (default follows)
    #chroot_list_file=/etc/vsftpd.chroot_list
  
    # 安全空目录
    secure_chroot_dir=/var/run/vsftpd/empty
  
    # PAM认证服务文件名，实际为/etc/pam.d/vsftpd，这是**前提条件2**
    # 另外，上面提到的/etc/ftpusers文件实际上是通过/etc/pam.d/vsftpd中定义了使用方式：deny，即拒绝列表
    # 在配置好虚拟用户登录方式后，可以在拒绝列表中补上本机操作管理员账户，即UID=1000的那位。
    pam_service_name=vsftpd
  
    # ssl认证证书位置
    rsa_cert_file=/etc/ssl/private/vsftpd.pem
  
    # 允许虚拟用户登录方式，显然这是**前提条件3**
    guest_enable=YES
  
    # 虚拟用户以一个实体用户为载体，这里ftp已经存在，不必新建，**前提条件4**
    guest_username=ftp
  
    # 虚拟用户配置文件所在目录，如果虚拟用户名字叫user1，那么在这个目录下就应该有一个user1文件，**前提条件5**
    user_config_dir=/etc/ftpconf/user/
  

2. 生成利用PAM管理虚拟用户的用户名密码数据库

• 为了方便，使用root操作。

    $ cd /etc

• 首先新建一个文件tmp.txt

    $ touch tmp.txt

• 在文件中加入用户名和密码，奇数行用户名，偶数行密码，例如

    $ vi tmp.txt

内容如下：

    user1
    password1
    user2
    password2

保存关闭。

• 然后以这个文件为模板新建一个用户名密码数据库即可³：

    $ db_load -T -t hash -f tmp.txt /etc/ftpconf/vsftpd_login.db

db_load命令包含在db-util中，

    $ apt-get install db-util

3. 配置vsftpd使用PAM认证虚拟用户

• 上文中提到：

    # PAM认证服务文件名，实际为/etc/pam.d/vsftpd
    pam_service_name=vsftpd
  

• 现在我们就需要编辑这个文件：

    $ vi /etc/pam.d/vsftpd

• 文件中原本就带有一些内容，例如：

    # Standard behaviour for ftpd(8).
    auth     required     pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
    # Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
    # Standard pam includes
    @include common-account
    @include common-session
    @include common-auth
    auth     required     pam_shells.so
  

• 在文件前面加入两行：

    auth     sufficient     pam_userdb.so     db=/etc/ftpconf/vsftpd_login
    account  sufficient     pam_userdb.so     db=/etc/ftpconf/vsftpd_login
  

• 实际上，之前我是直接在最前面加入：

    auth     required     pam_userdb.so     db=/etc/ftpconf/vsftpd_loginaccount  required     pam_userdb.so     db=/etc/ftpconf/vsftpd_login
  

  注意区别，sufficient表示充分条件，required表示必要条件。

  充分条件无法满足时会继续下一步的操作，即后面那些原本就有的代码；而必要条件无法满足将终止。

  我不知道为什么最初使用required会出现认证失败（/var/log/auth.log中所描述的），或许是这个sufficient使然。

  但是无论是充分条件还是必要条件，认证失败都意味着不能使用虚拟用户登录。也许是因为后来在这个博客中看见关于sufficient的配置方式，我就重新开始一遍流程，包括生成了一遍vsftpd_login.db，所以这也和重新生成也脱不开关系。我也懒得再重新做一个单一变量的实验了。

言归正传:)

4. 配置不同虚拟用户

• 前文中提到了：

    # 虚拟用户配置文件所在目录，如果虚拟用户名字叫user1，那么在这个目录下就应该有一个user1文件，**前提条件5**
    user_config_dir=/etc/ftpconf/user/
  

• 那么在/user_config_dir/user1文件中的内容用于控制虚拟用户user1的行为：

    # 该虚拟用户登录后的根目录
    anon_root=/srv/ftp/
  
    # 由于全局变量配置了不允许上传，该可以用户单独配置上传
    write_enable=YES
  
    # 注意这里的前缀anon_，前文提到了，虚拟用户实际上权限等同于匿名用户anonymous，所以这里如果打开了匿名用户的上传权限
    # 那么，虚拟用户的上传权限就打开了
    # vsftpd中的各种约定实在难找，很多东西还是得仔细研读man的。
    anon_upload_enable=YES
  
    # 同上，打开虚拟用户新建目录权限
    anon_mkdir_write_enable=YES
  
    # 如果这个虚拟用户是管理员，那么可以打开其它的高级写入权限，比如删除、更名等等。
    anon_other_write_enable=YES
  
    # 上传后的文件权限为774
    anon_umask=003
  

  需要注意的是，上传后的文件权限设置中，必须具备o+r的权限，这样所有匿名（包括虚拟）用户才能够读取文件和文件夹内容。

• 很显然，这些参数将覆盖全局参数。更多参数详见：man vsftpd.conf。又是这句话:)

5. 测试一下成果吧:)

    $ restart vsftpd
    $ ftp localhost

以下是本机测试结果：

PS: anon_umask=003 //修改上传文件后显示的权限

    anon_other_write_enable=YES //用户可删除文件

转载： http://pixys.tk/笔记/2012/12/30/vsftpd-on-ubuntu/