vsftpd服务的用户控制登录和虚拟用户实验总结

一、vsftpd服务的实验与学习

• FTP是文件传输协议，用法有匿名访问并下载，另一种是用FTP账号进行进行上传和下载，账号通常是用数据库或者ldap进行管理，Linux下的FTP服务是vsftpd，vsftp是非常安全ftp的意思，具有良好的安全记录没有被攻破过。Vsftp既可以本地用户登陆也可以匿名用户登录。

1.1 实验准备

• 准备一台centos7.6 和win10
• 先使得两台服务器可以通信。
• 安装vsftpd服务

[root@localhost ~]# yum -y install vsftpd

• 清空防火墙配置，关闭核心防护，开启vsftpd服务

[root@localhost ~]# systemctl start vsftpd
[root@localhost ~]# iptables -F
您在 /var/spool/mail/root 中有新邮件
[root@localhost ~]# setenforce 0
[root@localhost ~]# systemctl start vsftpd

1.2 ftp访问登录

• 在linux虚拟机上

[root@localhost ~]# cd /var/ftp  ## 进入FTP服务站点
[root@localhost ftp]# ls
pub
[root@localhost ftp]# echo "this is test" > 123.txt
[root@localhost ftp]# ls
123.txt  pub

1.2.1 win通过ftp服务下载文件

1.3 修改vsftpd配置文件使得win10能匿名上传文件

[root@localhost ftp]# vim /etc/vsftpd/vsftpd.conf  ## 进入配置文件
## 配置文件自带，去掉注释的“#”号
anon_upload_enable=YES ## 开启匿名用户上传权限
anon_mkdir_write_enable=YES  ## 开启匿名用户创建目录 写入的权限
anon_other_write_enable=YES  ## 开启其他组的用户创建目录 写入的权限
[root@localhost ftp]# systemctl restart vsftpd  ## 重启服务
[root@localhost ftp] 1070  chmod 777 pub ## 修改pub目录权限

• win10 重新匿名登录连接ftp
  

[root@localhost pub]# ls
1234.txt

• win10 匿名删除文件
  

[root@localhost pub]# ls

1.4 用户登录

• 在win10用户登录
  
• 修改centos7.6上vsftpd配置文件

[root@localhost pub]# vim /etc/vsftpd/vsftpd.conf 
chroot_local_user=YES ## 去掉这行，将用户登录禁锢在自己的家目录
allow_writeable_chroot=YES ## 该用户的主目录不能再具有写权限了！如果检查发现还有写权限，就会报该错误。
[root@localhost pub]# systemctl restart vsftpd ## 重启服务

• win上重新测试
  

1.5 控制用户登录

[root@localhost pub]# cd /etc/vsftpd/
[root@localhost vsftpd]# ls
[root@localhost vsftpd]# ll
总用量 20
-rw-------. 1 root root  125 4月   1 12:55 ftpusers
-rw-------. 1 root root  361 4月   1 12:55 user_list  ## user列表  仅允许里面的用户访问，或者只不允许里面的用户访问
-rw-------. 1 root root 5168 7月  20 10:12 vsftpd.conf
-rwxr--r--. 1 root root  338 4月   1 12:55 vsftpd_conf_migrate.sh

[root@localhost vsftpd]# vim vsftpd.conf  
userlist_enable=YES  ## 开启用户列表，即禁止用户清单列表用户登录
[root@localhost vsftpd]# echo "lisi" >> user_list    ## 将lisi添加到 用户清单
[root@localhost vsftpd]# systemctl restart vsftpd  ## 重启服务

• win10用lisi用户访问ftp
  

[root@localhost vsftpd]# vim vsftpd.conf 
userlist_deny=NO  ## 仅允许列表中的用户访问
[root@localhost vsftpd]# systemctl restart vsftpd

1.6 虚拟用户

• centos 7.6 配置

[root@localhost vsftpd]# vim vuser   ## 新建一个vuser文件
jerry       ## 读取的时候奇数行为账号
123456      ## 偶数行为密码
jerry
123456
~                                                                                                                                   
[root@localhost vsftpd]#  db_load -T -t  hash -f vuser vuser.db ## 将文件转换为数据库文件
[root@localhost vsftpd]# chmod 600 vuser vuser.db   ## 为了安全  修改权限
[root@localhost vsftpd]# useradd -d /opt/vuser -s /sbin/nologin vuser   ## 创建一个用户为 vuser ，指定家目录，不使用shell登录
[root@localhost vsftpd]# vi /etc/pam.d/vsftpd.vu  ## 创建pam认证模块
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser

[root@localhost vsftpd]# vim vsftpd.conf   ## 在配置文件中添加这三行
#pam_service_name=vsftpd ## 注释掉原来的pam认证模块
guest_enable=YES     ## 开启来宾用户访问
guest_username=vuser     ## 使用的用户名
pam_service_name=vsftpd.vu   ## 新的pam认证模块
[root@localhost vsftpd]# systemctl restart vsftpd  ## 重启服务

• win10 验证
  
• 进入centos 7.6 查看

[root@localhost vsftpd]# cd /opt/vuser/
[root@localhost vuser]# ll
总用量 4
-rw-------. 1 vuser vuser 13 7月  20 11:00 1234.txt    ## 发现上传的文件  用户是vuser

1.6.1用户单独配置

root@localhost vsftpd]# vim vsftpd.conf 
user_config_dir=/etc/vsftpd/vu_dir     ## 使用的配置文件路径
[root@localhost vu_dir]# vi /etc/vsftpd/vu_dir/jerry
anon_umask=022

[root@localhost vuser]# pwd
/opt/vuser
[root@localhost vuser]# ll
总用量 4
-rw-r--r--. 1 vuser vuser 13 7月  20 11:10 123.txt  ## 发现新上传的权限为 644