最近导师给了一项任务:在组内某台服务器上创建一个子用户,可以用在windows端用ssh连接到该用户做运算,也允许windows端的用户上传数据,但是禁止向win端下载数据,也禁止删除文件。
开始以为很简单,在Ubuntu系统上分设一个子用户,然后设定该用户的特定文件夹读写权限即可。但是,操作起来发现“图样图森破”,不是那么回事,设定文件夹权限不能实现导师的要求。顿感捉鸡,于是乎寻求CSDN的助攻,参照了几位大神的帖子,终于搞定了。为表示衷心的感谢,本文在最后的参考资料中给出了参考帖子的链接。
本人站在巨人的肩膀上,博采众家之长,悉心整理自己的操作经验,分享给大家,希望对大家有用。
基本步骤如下:
1、安装vsftpd软件包,命令如下:
sudo apt-get install vsftpd
2、查看vsftpd的运行状态,命令如下:
sudo netstat -nltp | grep 21
一般情况下,vsftpd安装完成后会自动启动,如下图所示通过 netstat 命令可以看到系统已经监听了 21 端口
特殊情况下,假如vsftpd没有自启动,可以手动开启:
sudo systemctl start vsftpd.service
3、配置ftp登录用户及权限
在这一步中,网上基本所有的帖子都用useradd,但是使用useradd时,如果后面不添加任何参数选项,例如:#sudo useradd test创建出来的用户将是默认“三无”用户:无Home Directory、无密码,无系统Shell,还需要自己配置,比较麻烦。
而使用adduser,创建用户的过程更像是一种人机对话,系统会提示你输入各种信息,然后会根据这些信息帮你创建新用户,所以,我用adduser来创建新的ftp登录用户。
sudo adduser ftp
创建用户的过程如下图所示,创建完了后home下会自动出现一个对应的文件夹。
4、删除掉 pam.d 中 vsftpd,因为该配置文件会导致使用用户名登录 ftp 失败
sudo rm /etc/pam.d/vsftpd
5、限制用户 ftp只能通过 FTP 访问服务器,而不能直接登录服务器
sudo usermod -s /sbin/nologin ftp
注:此处一定要谨慎操作,如果新建的ftp用户只用来上传数据,可以这么操作。如果该用户还要ssh来连接,就不能这么操作。
6、配置vsftpd,这一步很关键,直接决定
sudo chmod a+w /etc/vsftpd.conf
sudo vim /etc/vsftpd.conf
主要添加以下几项权限:
# 限制用户对主目录以外目录访问
chroot_local_user=YES
#是否允许匿名访问,NO为不允许
anonymous_enable=NO
#是否允许本地用户访问,就是linux本机中存在的用户,YES允许
local_enable=YES
#是否开启写模式,YES为开启
write_enable=YES
#不允许下载
download_enable=NO
#新建文件权限,一般设置为022,那么新建后的文件的权限就是777-022=755
local_umask=022
#是否启动userlist为禁止模式,YES表示在userlist中的用户禁止登录ftp(黑名单),NO表示黑名单失效,我们已经让userlist作为一个白名单,所以无需使用黑名单功能
userlist_deny=NO
#是否启动userlist为通过模式,YES的话只有存在于userlist文件中的用户才能登录ftp(可以理解为userlist是一个白名单),NO的话,白名单失效,和下面一个参数配合使用
userlist_enable=YES
#指定哪个文件作为userlist文件,我们稍后编辑这个文件
userlist_file=/etc/vsftpd.user_list
# 不配置可能导致莫名的530问题
seccomp_sandbox=NO
#修改用户上传文件的所属主
chown_uploads=YES
chown_username=ftp
#是否限制本地所有用户切换根目录的权限,YES为开启限制,即登录后的用户不能访问ftp根目录以外的目录,当然要限制
chroot_local_user=YES
#是否启动限制用户的名单list为允许模式,上面的YES限制了所有用户,可以用这个名单作为白名单,作为例外允许访问ftp根目录以外
chroot_list_enable=YES
#设置哪个文件是list文件,里面的用户将不受限制的去访问ftp根目录以外的目录
chroot_list_file=/etc/vsftpd.chroot_list
#是否开启写模式,开启后可以进行创建文件夹等写入操作,添加后可以解决“500 OOPS: vsftpd: refusing to run with writable root inside chroot ”的问题
allow_writeable_chroot=YES
# 使用utf8编码
utf8_filesystem=YES
7、新建文件 /etc/vsftpd.user_list,用于存放允许访问 ftp 的用户
修改 /etc/vsftpd.user_list ,加入刚刚创建的用户,一行一个用户
sudo touch /etc/vsftpd.user_list
sudo chmod a+w /etc/vsftpd.user_list
8、设置访问权限
防止用户下载可以通过以下两个途径:
(1)在vsftpd.conf中后面添加download_enable=NO(已经添加)
(2)修改local_umask=477,默认是=700,自动把上传的文件修改权限为“----r---w-”
9、禁止ftp用户具有删除文件的权利
(1)创建文件vsftpd_user_conf
mkdir -p /etc/vsftpd/vsftpd_user_conf
(2)编辑vsftpd_user_conf
vim /etc/vsftpd/vsftpd_user_conf/ftp
注意:后面的 ftp对应自己要限制权限的账户,此处我限制的是ftp 账户的权限
在里面写入下面的一句话,这句话的意思是 禁止使用 删除命令。
cmds_denied=DELE
10、重新打开配置文件
vim /etc/vsftpd/vsftpd.conf
然后添加
user_config_dir=/etc/vsftpd/vsftpd_user_conf
11 重启vsftpd 服务:
sudo systemctl restart vsftpd.service
至此Ubuntu上配置vsftpd,并且设定用户的权限为只可上传,禁止下载和删除。
虽然从FTP的层面,我禁止了用户下载数据的权限,但是sftp、scp和winscp层面的权限还是存在的。为了防止数据泄露,还必须禁掉这三个权限。具体操作见下一篇博文《Ubuntu16.04下禁用scp、sftp和winscp》
参考博文
(1)创建VSFTPD服务
https://www.cnblogs.com/guguobao/p/10498662.html
https://blog.csdn.net/u012743859/article/details/79019583
https://blog.csdn.net/baidu_39200025/article/details/86511336
(2)Linux下useradd与adduser的区别
https://blog.csdn.net/u011499425/article/details/52397014