Linux之Vsftpd虚拟用户、扩展应用tcp_wrapper实验总结

Linux之Vsftpd虚拟用户实验总结

一、vsftpd简介

    vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux, BSD, Solaris, HP-UX 以及 IRIX 上面。它支持很多其他的 FTP 服务器不支持的特征:非常高的安全性需求、带宽限制、良好的可伸缩性、创建虚拟用户的可能性、IPv6支持、中等偏上的性能、分配虚拟 IP 的可能性、高速。

     FTP协议中,控制连接均有客户端发起,而数据连接有两种工作方式:PORT方式和PASV方式

     PORT模式(主动方式):FTP 客户端首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口(一个大于1024的端口)接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。

     PASV模式(被动方式):在建立控制通道的时候和PORT模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接传送数据。

    FTP有三种方式,匿名登录、本地用户登录和虚拟用户登录。

    匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。

    本地用户登录:使用系统用户登录,在/etc/passwd中。

    虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。

    FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户登录FTP,只能访问FTP服务器提供的资源,大大增强了系统的安全。


二、安装vsftpd

    可直接使用yum源直接安装或者下载源码包编译安装(本章节使用yum安装)

    # yum -y install vsftpd

wKiom1Y-_sfwsyVSAACemcQ1OvY393.jpg

三、使用本地数据用户文件

    1. 编辑添加虚拟用户文件

    #vi /etc/vsftpd/ftps

    注意添加格式:第一行为用户名,第二行为密码,以此类推,奇数行为用户名,偶数行为密码。

    centos #用户名

    111111 #密码

    FreeBDS 

    111111 

wKioL1Y-_xrDvhQPAABtj9T8isE998.jpg

   2. 加密/etc/vsftpd/ftps虚拟用户文件,把ftp生成数据库文件并权限,在/etc/pam.d目录下,编辑vsftpd的PAM认证文件

      查看加密认证文件组件db4-utils

      #rpm -qa |grep db4-utils

      db4-utils-4.7.25-19.el6_6.x86_64

      #db_load -T -t hash -f /etc/vsftpd/ftps /etc/vsftpd/ftps.db

      说明:

          -T:允许non-Berkeley DB应用程序容易文本文件加载到数据库

          -t:指定生成数据库文件类型

      指定了选项-T,那么一定要追加子选项-t;子选项-t,追加在在-T选项后,用来指定转译载入的数据库类型

      #chmod 600 /etc/vsftpd/ftps.db

      #vi /etc/pam.d/vsftpd

   注释其他,新增以下:

   auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/ftps

   account required /lib64/security/pam_userdb.so db=/etc/vsftpd/ftps

wKioL1Y-_yvBOoAFAAICb7s8Rs0064.jpg

   3. 建立公共本地映射用户并设置主目录权限(该虚拟用户需要使用一个系统用户,这个系统用户可不需要密码)

   #useradd -d /home/ftpshare -s /sbin/nologin ftpuser

   #chmod 700 /home/ftpshare

wKiom1Y-_vWS03nMAADhk3lQHlI157.jpg

   4. 配置vsftpd.conf,启用虚拟用户

   #vi /etc/vsftpd/vsftpd.conf

   anonymous_enable=NO  //是否允许anonymous登录FTP服务器,默认是允许的。

   local_enable=YES  //是否允许本地用户登录FTP服务器,默认是允许

   write_enable=YES  //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许

   anon_umask=022  //设置虚拟用户的文件生成掩码为022,默认是077

   dirmessage_enable=YES  //激活目录信息,当远程用户更改目录时,将出现提示信息

   xferlog_enable=YES  //启用上传和下载日志功能

   connect_from_port_20=YES  //启用FTP数据端口的连接请求

   xferlog_file=/var/log/vsftpd.log  //设置日志文件的文件名和存储路径,这是默认的

   xferlog_std_format=YES  //是否使用标准的ftpd xferlog日志文件格式

   listen=YES  //使vsftpd 处于独立启动模式

   user_config_dir=/home/ftpshare  //使用虚拟用户配置文件的目录

   pam_service_name=vsftpd  //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.

   userlist_enable=NO  //用户列表中的用户是否允许登录FTP服务器,默认是不允许

   chroot_list_enable=YES  //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项

   tcp_wrappers=YES  //使用tcp_wrqppers作为主机访问控制方式

   guest_enable=YES  //是否启用来宾用户(也就是启用虚拟用户)

   guest_username=ftpuser  //如果启用了虚拟用户后上传文件修改文件的用户名

   chown_uploads=YES  //是否启用上传文件后修改为指定的属主

   chown_username=root  //是否启用上传文件后修改为指定的属主用户 


   5.创建虚拟用户的根目录、虚拟用户

   mkdir  /home/ftpshare/{centos,FreeBDS} 

   touch  /home/ftpshare/{centos,FreeBDS}

   cat /home/ftpshare/centos

   anon_world_readable_only=no

   write_enable=yes

   anon_mkdir_write_enable=yes

   anon_other_write_enable=yes

   anon_upload_enable=yes

   local_root=/home/ftpshare/centos


   cat /home/ftpshare/FreeBDS

   anon_world_readable_only=no       # 允许匿名用户浏览器整个服务器的文件系统

   write_enable=no                             # 允许在文件系统写入权限

   anon_mkdir_write_enable=yes              #  允许创建文件夹

   anon_other_write_enable=NO                #   允许用户改名和删除文件的权限

   anon_upload_enable=yes                            # 允许用户上传文件

   local_root=/home/ftpshare/FreeBDS

 

  6. 重启vsftpd服务

   #service vsftpd start

 

  7. 测试虚拟用户登录FTP

wKiom1Y-_yDDYyVrAAGGD48B8fw053.jpg

四、虚拟用户-mysql数据库管理用户+pam认证

    1.安装MySQL

    #yum -y install mysql-server mysql-devel 

    2.启动数据库,创建数据库用户vsftp密码vsftp,新增数据库vsftp数据库,授权访问该库所有表,新建users表,添加字段(id主键、name、passwd),添加用户、密码均为centos、freebds

wKioL1Y-_5GjSCImAAG5rNX7LDU507.jpg

wKioL1Y-_5GBWCA8AADLtRmhLBo293.jpg

wKiom1Y-_4vCvYQPAADyCPdKUc4685.jpg

wKioL1Y-_9CSi_WPAADhq_kSDi0772.jpg

wKiom1Y-_43gIygSAAMJOu4fXno904.jpg

wKioL1Y-_9KiRjffAAEedvCSIUg852.jpg

wKioL1Y-_9KAmdjlAAEnTV959DA993.jpg


    3.配置vsftpd,建立pam认证需要的文件

    #vi /etc/pam.d/vsftpd

wKioL1Y_AAXh4NmyAAEm3f7pttM388.jpg

    注意:密文验证必须是2因为mysql授权时时密文,0是明文

    4.新建虚拟用户映射的系统用户及目录并且附权限

wKiom1Y-_9fDkWGFAAEGDYT4IDs775.jpg

    5.配置/etc/vsftpd/vsftpd.conf文件使其对应mysql认证

    anonymous_enable=YES 
    listen=YES 
    local_enable=YES
    write_enable=YES
    anon_upload_enable=NO
    anon_mkdir_write_enable=NO
    chroot_local_user=YES
    guest_enable=YES
    guest_username=vuser
    pam_service_name=vsftpd
    anon_umask=022


wKiom1Y-_-_DFEhxAAFRmBEy3go646.jpg

    6.启动vsftpd服务

    #service vsftpd start 

    注意截图中报wKioL1Y_AFXQayRCAAEM_hgRS9g646.jpgwKiom1Y-__6ygZARAAC3Fd4ZQlE876.jpg

    7.登录测试输入密码出现530错误,查下发现pam_mysql.so模块

     [root@lvs ~]# ftp 127.0.0.1

     Connected to 127.0.0.1 (127.0.0.1).

     220 (vsFTPd 2.2.2)

     Name (127.0.0.1:root): centos

     331 Please specify the password.

     Password:

     530 Login incorrect.

     Login failed.


    解决方法:装载epel源,安装pam_mysql模块

wKioL1Y_AGmRB-skAAMaiVxAPb4762.jpg

wKiom1Y_ACaiZvB9AAG7vSYDI6c634.jpg

   8.重新登录测试正常

wKioL1Y_AHuiD_1hAAEeQR44BmE697.jpg

   9.扩展应用:给不同的虚拟用户创建不同的权限,如果不设置,虚拟用户会使用主配置文件中定义的匿名用户的权限。

     在/etc/vsftpd/vsftpd.conf主配置文件添加如下行:

     user_config_dir=/etc/vsftpd/ftp_dir  指定用户的主目录,可以随意创建目录

     #cd /etc/vsftpd

     #mkdir ftp_dir

     创建用户centos,freebds,编辑权限centos有上传权限, freebds没有上传权限

     [root@lvs ftp_dir]# pwd

     /etc/vsftpd/ftp_dir    

wKiom1Y_AEjAnKS2AAEYvPw7YgA972.jpg

    通过centos、freebds登录操作测试验证

wKioL1Y_AJvywENNAAHldXEs7EY516.jpg


五、扩展应用tcp_wrapper

    TCP Wrappers扩展了inetd为受其控制的服务程序实施控制的能力,通过使用这种方法,它能够提供日志支持、返回消息给联入的连接、使得服务程序只接受内部连接等。由TCP-Wrappers提供的一些额外的安全功能,不应被视为好的防火墙的替代品,TCP Wrappers 应结合防火墙或其他安全加强设施一并使用,为系统多提供一层安全防护。

     下图为tcp_wrappers工作机制    

wKioL1ZJzCGzgHUFAAGkeMwGy6I770.jpg

    tcp_wrapper控制

    1.只需将受控制程序名写入配置文件即可实现控制(程序链接的库文件,会自动在用户访问服务时,基于tcpd检测):

    允许访问:/etc/hosts.allow

    拒绝访问:/etc/hosts.deny

    2.匹配机制:先检查/etc/hosts.allow,如果被允许,则直接放行;如果/etc/hosts.allow没有匹配项,则检查/etc/hosts.deny;如果有匹配项则禁止访问;

  

    练习:控制vsftpd仅允许192.168.2.0/255.255.255.0网络中的主机访问,但192.168.2.5除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中。

    环境:192.168.2.9为vsftp服务器,暂定192.168.2.5、192.168.2.6客户端

    1、安装vsftp,ftp

    2、添加用户centos,新建ftp目录pulbic,赋予centos访问权限

wKiom1ZJy-egcWMZAAG7DPomSG8996.jpg

    3、配置vsftp配置文件vsftp.conf,开启tcp_wrapper功能

wKiom1ZJy_vT7vQJAALgv-HGMd4568.jpg

    测试:192.168.2.5、192.168.2.6客户端验证

wKioL1ZJzF7zthCtAAGKwBB9Bs0539.jpg

    4、编辑配置/etc/hosts.allow, /etc/hosts.deny 文件,并且重启vsftpd服务

wKioL1ZJzHWBFWlcAAORSwvLHOk586.jpg

    注:spawn:发起执行一条命令,比如:如果有人访问访问服务器,别拒绝了,这通常是一种恶意访问,或非正常访问,就可以使用spawn echo一些命令保存至日志中

      EXCEPT:排除

    5、以192.168.2.5、192.168.2.6客户端验证

wKiom1ZJzF3SWQVBAAINzxqFgDQ123.jpg

wKioL1ZJzM3SkwB5AAKB9p8bVs4317.jpg

wKioL1ZJzM6wM-xOAACRwRoCVtw170.jpg


你可能感兴趣的:(server,服务器,操作系统,安全性,可能性)