续接上一篇
使用pam(Pluggable Authentication Modules)完成用户认证
pam_service_name=vsftpd
pam配置文件:/etc/pam.d/vsftpd
/etc/vsftpd/ftpusers 默认文件中用户拒绝登录
是否启用控制用户登录的列表文件
userlist_enable=YES 默认有此设置
userlist_deny=YES(默认值) 黑名单,不提示口令,NO为白名单
userlist_file=/etc/vsftpd/users_list 此为默认值
vsftpd服务指定用户身份运行
nopriv_user=nobody (默认值)
连接数限制
max_clients=0 最大并发连接数
max_per_ip=0 每个IP同时发起的最大连接数
传输速率:字节/秒
anon_max_rate=0 匿名用户的最大传输速率
local_max_rate=0 本地用户的最大传输速率
连接时间:秒为单位
connect_timeout=60 主动模式数据连接超时时长
accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 无命令操作超时时长
优先以文本方式传输
ascii_upload_enable=YES
ascii_download_enable=YES
实现基于SSL的FTPS
查看是否支持SSL
ldd `which vsftpd` 查看到libssl.so
创建自签名证书
cd /etc/pki/tls/certs/
make vsftpd.pem
openssl x509 -in vsftpd.pem -noout –text
配置vsftpd服务支持SSL:/etc/vsftpd/vsftpd.conf
ssl_enable=YES 启用SSL
allow_anon_ssl=NO 匿名不支持SSL
force_local_logins_ssl=YES 本地用户登录加密
force_local_data_ssl=YES 本地用户数据传输加密
rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem
用filezilla等工具测试
vsftpd虚拟用户
虚拟用户:
所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号的家目录
各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
虚拟用户帐号的存储方式:
文件:
编辑文本文件,此文件需要被编码为hash格式
奇数行为用户名,偶数行为密码
db_load -T -t hash -f vusers.txt vusers.db
关系型数据库中的表中:
实时查询数据库完成用户认证
mysql库:
pam要依赖于pam-mysql
/lib64/security/pam_mysql.so
/usr/share/doc/pam_mysql-0.7/README
常用配置-修改配置文件
1、man帮助
man vsftpd.conf
2、指定监听端口
listen_port=2121
3、更改主动模式端口默认20
ftp_data_port=2020
4、限定被动随机端口范围默认0
#inux 客户端默认使用被动模式
#windows 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配
pasv_max_port=6010
备注:方便防火墙打开端口,端口范围多少决定了并发数
5、使用当地时间
use_localtime=YES #使用当地时间(默认为NO,使用GMT)
6、修改匿名账号(ftp)登陆所在目录
1)把这个文件夹作为匿名账号的目录
mkdir /data/ftp -pv
我先cp个文件过来
cp /etc/fstab /data/ftp/f2
2)修改用户ftp家目录
usermod -d /data/ftp ftp
3)测试
7、不检查匿名账号的口令
no_anon_password=YES(默认NO)
8、只能下载可读文件
anon_world_readable_only (默认YES)
备注:说的是其他用户项有么有读权限
9、允许匿名上传文件和上次文件夹
anon_upload_enable=YES 匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES 匿名建目录
备注:匿名用户它使用ftp用户上传文件的,查看要上传的文件对ftp用户有没有W权限
注意这里上传默认下载不了
10、更改上文文件的默认权限(默认umask是077)
anon_umask=022 #指定匿名上传文件的umask
11、开启匿名账号可删除修改文件(默认是禁止的)
anon_other_write_enable=YES 可删除和修改上传的文件
12、指定上传文件的默认的所有者和权限
chown_uploads=YES(默认NO)
chown_username=wang
chown_upload_mode=0666
13、把系统账号映射成为一个专门用于ftp的用户
配置文件
guest_enable=YES
guest_username=ftp
14、上传下载删除
put:上传
get:下载
delete:删除
15、把系统账号映射成一个账号,它登陆的时候在某个目录下
1)先创建一个账号
useradd testftp
2)创建改账号要映射到所在目录
mkdir /data/ftp
备注:确保这个文件夹对改用户没有写权限
2)配置vsftp配置文件
guest_enable=YES
guest_username=testftp
local_root=/data/ftp