Linux之Vsftpd虚拟用户实验总结
一、vsftpd简介
vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux, BSD, Solaris, HP-UX 以及 IRIX 上面。它支持很多其他的 FTP 服务器不支持的特征:非常高的安全性需求、带宽限制、良好的可伸缩性、创建虚拟用户的可能性、IPv6支持、中等偏上的性能、分配虚拟 IP 的可能性、高速。
FTP协议中,控制连接均有客户端发起,而数据连接有两种工作方式:PORT方式和PASV方式
PORT模式(主动方式):FTP 客户端首先和FTP Server的TCP 21端口建立连接,通过这个通道发送命令,客户端需要接收数据的时候在这个通道上发送PORT命令。 PORT命令包含了客户端用什么端口(一个大于1024的端口)接收数据。在传送数据的时候,服务器端通过自己的TCP 20端口发送数据。 FTP server必须和客户端建立一个新的连接用来传送数据。
PASV模式(被动方式):在建立控制通道的时候和PORT模式类似,当客户端通过这个通道发送PASV 命令的时候,FTP server打开一个位于1024和5000之间的随机端口并且通知客户端在这个端口上传送数据的请求,然后FTP server 将通过这个端口进行数据的传送,这个时候FTP server不再需要建立一个新的和客户端之间的连接传送数据。
FTP有三种方式,匿名登录、本地用户登录和虚拟用户登录。
匿名登录:在登录FTP时使用默认的用户名,一般是ftp或anonymous。
本地用户登录:使用系统用户登录,在/etc/passwd中。
虚拟用户登录:这是FTP专有用户,有两种方式实现虚拟用户,本地数据文件和数据库服务器。
FTP虚拟用户是FTP服务器的专有用户,使用虚拟用户登录FTP,只能访问FTP服务器提供的资源,大大增强了系统的安全。
二、安装vsftpd
可直接使用yum源直接安装或者下载源码包编译安装(本章节使用yum安装)
# yum -y install vsftpd
三、使用本地数据用户文件
1. 编辑添加虚拟用户文件
#vi /etc/vsftpd/ftps
注意添加格式:第一行为用户名,第二行为密码,以此类推,奇数行为用户名,偶数行为密码。
centos #用户名
111111 #密码
FreeBDS
111111
2. 加密/etc/vsftpd/ftps虚拟用户文件,把ftp生成数据库文件并权限,在/etc/pam.d目录下,编辑vsftpd的PAM认证文件
查看加密认证文件组件db4-utils
#rpm -qa |grep db4-utils
db4-utils-4.7.25-19.el6_6.x86_64
#db_load -T -t hash -f /etc/vsftpd/ftps /etc/vsftpd/ftps.db
说明:
-T:允许non-Berkeley DB应用程序容易文本文件加载到数据库
-t:指定生成数据库文件类型
指定了选项-T,那么一定要追加子选项-t;子选项-t,追加在在-T选项后,用来指定转译载入的数据库类型
#chmod 600 /etc/vsftpd/ftps.db
#vi /etc/pam.d/vsftpd
注释其他,新增以下:
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/ftps
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/ftps
3. 建立公共本地映射用户并设置主目录权限(该虚拟用户需要使用一个系统用户,这个系统用户可不需要密码)
#useradd -d /home/ftpshare -s /sbin/nologin ftpuser
#chmod 700 /home/ftpshare
4. 配置vsftpd.conf,启用虚拟用户
#vi /etc/vsftpd/vsftpd.conf
anonymous_enable=NO //是否允许anonymous登录FTP服务器,默认是允许的。
local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许
write_enable=YES //是否允许用户具有在FTP服务器文件中执行写的权限,默认是允许
anon_umask=022 //设置虚拟用户的文件生成掩码为022,默认是077
dirmessage_enable=YES //激活目录信息,当远程用户更改目录时,将出现提示信息
xferlog_enable=YES //启用上传和下载日志功能
connect_from_port_20=YES //启用FTP数据端口的连接请求
xferlog_file=/var/log/vsftpd.log //设置日志文件的文件名和存储路径,这是默认的
xferlog_std_format=YES //是否使用标准的ftpd xferlog日志文件格式
listen=YES //使vsftpd 处于独立启动模式
user_config_dir=/home/ftpshare //使用虚拟用户配置文件的目录
pam_service_name=vsftpd //设置PAM认证服务的配置文件名称,该文件存放在/etc/pam.d/目录下.
userlist_enable=NO //用户列表中的用户是否允许登录FTP服务器,默认是不允许
chroot_list_enable=YES //如果希望用户登录后不能切换到自己目录以外的其它目录,需要设置该项
tcp_wrappers=YES //使用tcp_wrqppers作为主机访问控制方式
guest_enable=YES //是否启用来宾用户(也就是启用虚拟用户)
guest_username=ftpuser //如果启用了虚拟用户后上传文件修改文件的用户名
chown_uploads=YES //是否启用上传文件后修改为指定的属主
chown_username=root //是否启用上传文件后修改为指定的属主用户
5.创建虚拟用户的根目录、虚拟用户
mkdir /home/ftpshare/{centos,FreeBDS}
touch /home/ftpshare/{centos,FreeBDS}
cat /home/ftpshare/centos
anon_world_readable_only=no
write_enable=yes
anon_mkdir_write_enable=yes
anon_other_write_enable=yes
anon_upload_enable=yes
local_root=/home/ftpshare/centos
cat /home/ftpshare/FreeBDS
anon_world_readable_only=no # 允许匿名用户浏览器整个服务器的文件系统
write_enable=no # 允许在文件系统写入权限
anon_mkdir_write_enable=yes # 允许创建文件夹
anon_other_write_enable=NO # 允许用户改名和删除文件的权限
anon_upload_enable=yes # 允许用户上传文件
local_root=/home/ftpshare/FreeBDS
6. 重启vsftpd服务
#service vsftpd start
7. 测试虚拟用户登录FTP
四、虚拟用户-mysql数据库管理用户+pam认证
1.安装MySQL
#yum -y install mysql-server mysql-devel
2.启动数据库,创建数据库用户vsftp密码vsftp,新增数据库vsftp数据库,授权访问该库所有表,新建users表,添加字段(id主键、name、passwd),添加用户、密码均为centos、freebds
3.配置vsftpd,建立pam认证需要的文件
#vi /etc/pam.d/vsftpd
注意:密文验证必须是2因为mysql授权时时密文,0是明文
4.新建虚拟用户映射的系统用户及目录并且附权限
5.配置/etc/vsftpd/vsftpd.conf文件使其对应mysql认证
anonymous_enable=YES listen=YES local_enable=YES write_enable=YES anon_upload_enable=NO anon_mkdir_write_enable=NO chroot_local_user=YES guest_enable=YES guest_username=vuser pam_service_name=vsftpd anon_umask=022
6.启动vsftpd服务
#service vsftpd start
注意截图中报
7.登录测试输入密码出现530错误,查下发现pam_mysql.so模块
[root@lvs ~]# ftp 127.0.0.1
Connected to 127.0.0.1 (127.0.0.1).
220 (vsFTPd 2.2.2)
Name (127.0.0.1:root): centos
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.
解决方法:装载epel源,安装pam_mysql模块
8.重新登录测试正常
9.扩展应用:给不同的虚拟用户创建不同的权限,如果不设置,虚拟用户会使用主配置文件中定义的匿名用户的权限。
在/etc/vsftpd/vsftpd.conf主配置文件添加如下行:
user_config_dir=/etc/vsftpd/ftp_dir 指定用户的主目录,可以随意创建目录
#cd /etc/vsftpd
#mkdir ftp_dir
创建用户centos,freebds,编辑权限centos有上传权限, freebds没有上传权限
[root@lvs ftp_dir]# pwd
/etc/vsftpd/ftp_dir
通过centos、freebds登录操作测试验证
五、扩展应用tcp_wrapper
TCP Wrappers扩展了inetd为受其控制的服务程序实施控制的能力,通过使用这种方法,它能够提供日志支持、返回消息给联入的连接、使得服务程序只接受内部连接等。由TCP-Wrappers提供的一些额外的安全功能,不应被视为好的防火墙的替代品,TCP Wrappers 应结合防火墙或其他安全加强设施一并使用,为系统多提供一层安全防护。
下图为tcp_wrappers工作机制
tcp_wrapper控制
1.只需将受控制程序名写入配置文件即可实现控制(程序链接的库文件,会自动在用户访问服务时,基于tcpd检测):
允许访问:/etc/hosts.allow
拒绝访问:/etc/hosts.deny
2.匹配机制:先检查/etc/hosts.allow,如果被允许,则直接放行;如果/etc/hosts.allow没有匹配项,则检查/etc/hosts.deny;如果有匹配项则禁止访问;
练习:控制vsftpd仅允许192.168.2.0/255.255.255.0网络中的主机访问,但192.168.2.5除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中。
环境:192.168.2.9为vsftp服务器,暂定192.168.2.5、192.168.2.6客户端
1、安装vsftp,ftp
2、添加用户centos,新建ftp目录pulbic,赋予centos访问权限
3、配置vsftp配置文件vsftp.conf,开启tcp_wrapper功能
测试:192.168.2.5、192.168.2.6客户端验证
4、编辑配置/etc/hosts.allow, /etc/hosts.deny 文件,并且重启vsftpd服务
注:spawn:发起执行一条命令,比如:如果有人访问访问服务器,别拒绝了,这通常是一种恶意访问,或非正常访问,就可以使用spawn echo一些命令保存至日志中
EXCEPT:排除
5、以192.168.2.5、192.168.2.6客户端验证