FTP不同用户同一个目录权限-访问及限制本地目录访问-问题事宜小记

说明：
因业务需要使用FTP,需要帮同事分配一个FTP账号，但是这个账号只允许用户有读取这个文件夹的权限。

于是乎鼓捣了一下，可惜过程并不是很顺畅的完成任务。

总结 常用的命令：

systemctl start vsftpd
systemctl stop vsftpd
systemctl restart vsftpd
systemctl status vsftpd

记录几个问题点：

问题1：

关于账号创建之后删除再创建的问题，因为删除的不彻底导致账号复用的时候无法进行复用。

删除用户xxxxx后，重新添加用户xxxxx失败，显示：

useradd: warning: the home directory already exists.

Not copying any file from skel directory into it.
Creating mailbox file: File exists

解决方案：

userdel xxxxx

rm -f /home/xxxxx

rm -f /var/spool/mail/xxxxx

PS: 生产环境下请谨慎使用 rm -rf 避免误删除！！！！

问题2：

关于用户配置相关权限的时候应该如何分配权限：

对于的用户的权限只允许只读:

chmod 500 /data/ysjftp

对于的用户的权限只允许读写:

chmod 755 /data/ysjftp

其他权限修改：

PS:chown -R xiaozhong:root /data/ysjftp

注意事项：

PS:chown -R xiaozhong:root /data/ysjftp

当指运行某一个用户访问的情况下使用限制了某一个用户的之后，第二个用户也指向这个目录的时候，则无法登入了,需要的做法的是，：

PS:chown -R root:root /data/ysjftp

问题3：

限制只允许访问分配的目录权限时候，当加上限制：
chroot_local_user=YES的时候无法访问的问题。

解决方案：

image.png

添加多一项配置信息：

allow_writeable_chroot=YES

问题4：

启动vsftpd服务，报错：

Job for vsftpd.service failed because the control process exited with error code. See "systemctl status vsftpd.service" and "journalctl -xe" for details

解决方案：

image.png

问题5:有些时候修改了配置，明明已经把用户加入了限制访问目录范围内的时候，却还是无法限制的问题？
如下配置：

image.png

xztongxue 明明没有加入了限制访问呢，但是还是可以访问上一层目录去了！

可能的问题就是因为配置文件信息的缓存还是怎么样。

解决问题：

我这边直接的把配置文件信息内的注释一次之后，重启服务器，再只注释部分之后，对应的账号限制关系又正常了！！

image.png

关于VSFTPD配置文件信息的一些说明：

anonymous_enable=YES    #设置是否允许匿名用户登录 
local_enable=YES        #设置是否允许本地用户登录 
local_root=/home        #设置本地用户的根目录 
write_enable=YES        #是否允许用户有写权限 
local_umask=022        #设置本地用户创建文件时的umask值 
anon_upload_enable=YES    #设置是否允许匿名用户上传文件 
anon_other_write_enable=YES    #设置匿名用户是否有修改的权限 
anon_world_readable_only=YES    #当为YES时，文件的其他人必须有读的权限才允许匿名用户下载，单单所有人为ftp且有读权限是无法下载的，必须其他人也有读权限，才允许下载 
download_enbale=YES    #是否允许下载 
chown_upload=YES        #设置匿名用户上传文件后修改文件的所有者 
chown_username=ftpuser    #与上面选项连用，表示修改后的所有者为ftpuser 
ascii_upload_enable=YES    #设置是否允许使用ASCII模式上传文件 
ascii_download_enable=YES    #设置是否允许用ASCII模式下载文件 

chroot_local_user=YES        #设置是否锁定本地用户在自己的主目录中，（登录后无法cd到父目录或同级目录中） 
chroot_list_enable=YES        #设置是否将用户锁定在自己的主目录中 
chroot_list_file=/etc/vsftpd/chroot_list    #定义哪些用户将会锁定在自己的主目录中 
userlist_enable=YES    #当为YES时表示由userlist_file文件中指定的用户才能登录ftp服务器 
userlist_file=/etc/vsftpd/user_list    #当userlist_enable为YES时才生效

完成流程及配置：

1.切换到root用户
2:查看是否安装vsftp

[root@web-2 ~]# rpm -qa |grep vsftpd
vsftpd-3.0.2-11.el7_2.x86_64
[root@web-2 ~]# 

3:分配运行访问的目录

[root@web-2 /]# mkdir -p /data/ysjftp

4.创建ftp用户

[root@web-2 ~]# useradd -d /data/ysjftp xztongxue
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
[root@web-2 ~]# 
或者：
[root@web-2 ~]# adduser -d /data/ysjftp xztongxue

5.给用户创建密码

[root@web-2 ~]# passwd xztongxue 
Changing password for user xztongxue.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@web-2 ~]# 

6.设置此用户不允许用于用户登录

usermod -s /sbin/nologin ftptest
 或修改
nano /etc/passwd
把后面
/bin/bash   改成  /sbin/nologin
其他参考命令：
==========================
usermod -s /sbin/nologin ftpname //限定用户ftpname不能使用telnet，只能使用ftp
usermod -s /bin/bash ftpname //用户test恢复正常
usermod -d /ftp ftpname //更改用户ftpname的主目录为/ftp

7:查看是否vsftpd的服务(已经启动，可以先重启或关闭再重启)

[root@web-2 ~]# lsof -i:21
COMMAND  PID USER   FD   TYPE    DEVICE SIZE/OFF NODE NAME
vsftpd  7938 root    3u  IPv4 875811719      0t0  TCP *:ftp (LISTEN)
[root@web-2 ~]#

8:启动vsftpd的服务

[root@web-2 ~]# systemctl restart vsftpd

9：使用工具登入测试：

image.png

10:如果登入失败，则有可能是配置问题，因为配置我已经加了限制，
可能原因如：

userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list

需要到对于的/etc/vsftpd/user_list把你得用户名也添加到末尾上。

11：修改配置：

# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
#anonymous_enable=YES
#
# Uncomment this to allow local users to log in.
# When SELinux is enforcing check for SE bool ftp_home_dir
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
# When SELinux is enforcing check for SE bool allow_ftpd_anon_write, allow_ftpd_full_access
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/xferlog
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
# (Warning! chroot'ing can be very dangerous. If using chroot, make sure that
# the user does not have write access to the top level directory within the
# chroot)
#chroot_local_user=YES
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
#listen=YES
#
# This directive enables listening on IPv6 sockets. By default, listening
# on the IPv6 "any" address (::) will accept connections from both IPv6
# and IPv4 clients. It is not necessary to listen on *both* IPv4 and IPv6
# sockets. If you want that (perhaps because you want to listen on specific
# addresses) then you must run two copies of vsftpd with two configuration
# files.
# Make sure, that one of the listen options is commented !!
listen_ipv6=NO

pam_service_name=vsftpd
#userlist_enable=NO
tcp_wrappers=YES
anonymous_enable=NO


#userlist_deny=NO
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list


chroot_local_user=YES
chroot_list_file=/etc/vsftpd/chroot_list

#下面的这行非常关键，否则会无法登入
allow_writeable_chroot=YES

12：再对于的运行的目录文件下写用户名信息
PS：/etc/vsftpd/chroot_list 此目录此文件没有的话需要自己创建

[root@web-2 vsftpd]# nano /etc/vsftpd/chroot_list
------
[root@web-2 vsftpd]# cat /etc/vsftpd/chroot_list 
xiaozhong
xztongxue
[root@web-2 vsftpd]# 

13：如果有队本地用户也有访问配置，所以也需要配置

image.png

14：配置对于的权限目录访问权限：

chmod 500 /data/ysjftp  --直接给新建账号赋权500  只读加执行权限

PS：待验证的权限限制的方式,setfacl使用：
第1：

setfacl -R -m u:xztongxue:rwx /data/ysjftp  --赋权admin账号对于test目录的权限   rwx   只读  只写   执行权限

第2：

PS:chown -R xiaozhong:root /data/ysjftp

15:重启服务

[root@web-2 vsftpd]# systemctl restart vsftpd

16:再登入测试服务
注意事项：

PS:chown -R xiaozhong:root /data/ysjftp

当指运行某一个用户访问的情况下使用限制了某一个用户的之后，第二个用户也指向这个目录的时候，则无法登入了,需要的做法的是，：

PS:chown -R root:root /data/ysjftp

测试无法访问上一层目录了

image.png

=========================

补充说明

关于不同的用户对应通一个目录或文件的不同的权限的分配，可以使用对于的setfacl命令。

setfacl命令的作用是用来细分linux下的文件权限。

chmod命令可以把文件权限分为u,g,o三个组， 存在第一的局限性，而setfacl可以对每一个文件或目录设置更精确的文件权限。

比较常用的用法如下：
setfacl –m u:apache:rwx file 设置apache用户对file文件的rwx权限
setfacl –m g:market:rwx file 设置market用户组对file文件的rwx权限
setfacl –x u:apache file 删除apache用户对file文件的所有权限
setfacl –x g:market file 删除market组对file文件的所有权限
getfacl file 查看file文件的权限

image.png

用法：

例如，要给用户 tfox 以读写权限：

setfacl -m u:tfox:rw /project/somefile
要删除用户、组群或其它人的所有权限，使用 -x 选项，并且不指定任何权限：

setfacl -x  
例如，删除 UID 为 500 的用户的所有权限：

setfacl -x u:500 /project/somefile
--------------------- 

setfacl -R -m u:用户名:rwx 文件名
setfacl -m u:kiosk:r test

问题小记：

当新建号对应的账号信息后，使用对于的

[root@web-2 ~]# setfacl -R -m u:xztongxue:rwx /data/ysjftp
[root@web-2 ~]# setfacl -R -m u:xiaozhong:r /data/ysjftp

这群情况下会导致xiaozhong这个账号又无法登入了！

image.png

最终解决问题关键点--只读权限的用户如果要登入也可以需要给X权限：

image.png

[root@web-2 ~]# setfacl -R -m u:xztongxue:rwx /data/ysjftp
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rx /data/ysjftp

这样就完美解决了~！！！！！！

PS：关于为啥需要给rx权限之后就可用访问，原因的是因为对文件权限配置的涵义我理解的还不够深。
x：虽然意味着所谓的执行权限，但从另一层意思是表示说允许访问！

不过似乎每次重启服务之后，或修改配置重启后，都需要重新的给予以下权限！

优化后的流程为：

[root@web-2 ysjftp]# useradd -d /data/ysjftp ysjftp001
useradd: warning: the home directory already exists.
Not copying any file from skel directory into it.
[root@web-2 ysjftp]# passwd ysjftp001 
Changing password for user ysjftp001.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@web-2 ysjftp]# usermod -s /sbin/nologin ysjftp001 
[root@web-2 ysjftp]# setfacl -R -m u:ysjftp001:rx /data/ysjftp
[root@web-2 ysjftp]# 

其他补充只先限定某些账号可以登入：
userlist_file=/etc/vsftpd/user_list 需要在这个文件配置对于的账号信息

如果userlist_deny=NO：只允许userlist_file文件中的用户可访问ftp；
如果userlist_deny=YES：userlist_file文件中列举的用户不能通过ftp访问系统。
userlist_enable是该功能的开关

我们的系统配置如下：

userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list

==============
说明：

#userlist_deny=NO
userlist_enable=YES       
userlist_file=/etc/vsftpd/user_list

配置上面的这些信息后， /etc/vsftpd/user_list如果包含了登入用户的，则无法登入！需要注释了！

==============y

疑问点

xztongxue的被限制的目录和xiaozhong被限制的目录不一致，怀疑是对于的目录不一样。

image.png

image.png

重新给：[root@web-2 ~]# usermod -d /data xiaozhong 修改目录，此时xiaozhong也可以放到/data目录，

但是重新的修改为，只能访问[root@web-2 ~]# usermod -d /data/ysjftp xiaozhong

的时候，失效了，还是可以继续访问/data目录

---

[root@web-2 ~]# usermod -d /kkk xiaozhong
[root@web-2 ~]# usermod -d /data/ysjftp xiaozhong
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rxw /data/ysjftp
[root@web-2 ~]# systemctl restart vsftpd.service
[root@web-2 ~]# setfacl -R -m u:xiaozhong:rxw /data
[root@web-2 ~]#

---

这么操作后，奇葩了xiaozhong 又只能访问 /data/ysjftp了！！！
无解！