企业环境
公司各部门(技术部tech、市场部market、人力部hr)的资料、文件和镜像软件公布,搭建FTP服务器,为全公司提供相关文档资料的下载。1、对所有互联网提供开放共享目录,允许下载文档资料,禁止上传和删除;2、公司同事能够使用FTP服务器进行本部门目录的上传和下载,但不可以删除数据,本部门管理员除外;3、保证服务器的稳定性,进行适当优化设置。
需求分析
根据企业的需求,对于不同用户进行不同的权限限制,FTP服务器需要实现用户的审核。需考虑到服务器的安全性,所以关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不同的权限。为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。
解决方案
I、开放目录采用匿名用户访问:
主动模式: client 先连接服务器的 21端口(命令端口),然后client开放一个大于1024的端口等待服务器的20端口连接,21号端口的链接建立以后,服务器就用20去连接client开放的端口,简单来说就是服务器主动连客户端啦 基于上面的连接方式,如果client端有个防火墙,服务器的20端口就连接不进入,导致会连接失败。
被动模式: 就是client开启大于1024的X端口连接服务器的21(命令端口),同时开启X+1端口 当21号端口连接成功后,client会发送PASV命令,通知服务器自己处于被动模式,服务器收到这个消息后,就会开放一个大于1024的端口Y通知client,client接到通知后就会用X+1来连接服务器的Y端口,简单的说就是client主动连接服务器
一、关闭selinux,,开启防火墙,添加规则允许端口通行。
vi /etc/sysconfig/iptables
添加
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 30000:31000 -j ACCEPT
二、设置被动模式开放端口
vi /etc/vsftpd/vsftpd.conf
pasv_min_port=30000
pasv_max_port=31000
三、修改匿名目录
anon_root=/var/ftp/pub
默认为/var/ftp,修改本地用户ftp的主目录即可。
重启服务,登录
注:ftp://ftp:ftp@serverip 这为主动模式,有用户名密码验证的
II、公司内部采用虚拟用户访问:
1、创建用户数据库
(1)创建用户文本文件
先建立用户文本文件vsftpd_virtualuser.txt,添加虚拟帐号。
touch /etc/vsftpd/vsftpd_virtualuser.txt
vim /etc/vsftpd/vsftpd_virtualuser.txt
格式:
虚拟帐号1
密码
虚拟帐号2
密码
vtech1
123
vtech2
123
vhr1
123
vhr2
123
vmarket1
123
vmarket2
123
保存退出哈~
(2)生成数据库
保存虚拟帐号和密码的文本文件无法被系统帐号直接调用哈~我们需要使用db_load命令生成db数据库文件
db_load -T -t hash -f /etc/vsftpd_vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
(3)修改数据库文件访问权限
数据库文件中保存着虚拟帐号的密码信息,为了防止非法用户盗取哈,我们可以修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写,即600
chmod 600 /etc/vsftpd/vsftpd_virtualuser.db
2、配置PAM文件
为了使服务器能够使用数据库文件,对客户端进行身份验证,需要调用系统的PAM模块.PAM(Plugable Authentication Module)为可插拔认证模块,不必重新安装应用系统,通过修改指定的配置文件,调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录,此目录下保存着大量与认证有关的配置文件,并以服务名称命名。
修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd,将默认配置使用“#”全部注释,添加相应字段。
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualvuser
注:32位系统路径为
auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser
account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualvuser
3、创建虚拟帐号对应的系统用户
对于公共帐号和客户帐号,因为需要配置不同的权限,所以可以将虚拟帐号的目录进行隔离,控制用户的文件访问。以技术部账号vtech1/vtech2为例,其它账号同理。
vtech1/vtech2对应本地用户为tech,并指定其主目录为/var/ftp/tech
mkdir /var/ftp/tech
useradd -d /var/ftp/tech/ -s /sbin/nologin tech
chmod -R 700 /var/ftp/tech/ :虚拟账号vtech1/vtech2允许上传和下载,所以对tech目录权限设置为rwx,可读可写可执行。
注:虚拟用户的权限是基于本地用户,即虚拟用户权限<=本地用户权限。
[root@boureneye vsftpd]# ll /var/ftp/
total 16
drwx------ 3 hr hr 4096 Mar 20 00:54 hr
drwx------ 2 market market 4096 Mar 20 00:25 market
drwxr-xr-x 2 root root 4096 Mar 20 00:58 pub
drwx------ 4 tech tech 4096 Mar 20 00:36 tech
4、建立配置文件
设置多个虚拟帐号的不同权限,若使用一个配置文件无法实现此功能,需要为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置。
(1)修改vsftpd.conf主配置文件
配置主配置文件/etc/vsftpd/vsftpd.conf添加虚拟帐号的共同设置并添加user_config_dir字段,定义虚拟帐号的配置文件目录
chroot_local_user=YES ;将所有本地用户限制在家目录中,NO则不限制
pam_service_name=vsftpd ;配置vsftpd使用的PAM模块为vsftpd,默认
user_config_dir=/etc/vsftpd/vuserconfig ;设置虚拟帐号的主目录为/vuserconfig
max_clients=300 ;设置FTP服务器最大接入客户端数为300个
max_per_ip=10 ;设置每个IP地址最大连接数为10个
(2)建立虚拟帐号配置文件
在user_config_dir指定路径下,建立与虚拟帐号同名的配置文件并添加相应的配置字段哈~
首先建立公共帐号vtech1/vtech2的配置文件
vi /etc/vsftpd/vuserconfig/vtech1
guest_enable=yes ;开启虚拟帐号登录
guest_username=tech ;设置vtech1对应的系统帐号为tech
anon_world_readable_only=no ;允许匿名用户浏览器整个服务器的文件系统
write_enable=yes ;允许在文件系统写入权限
anon_mkdir_write_enable=yes ;允许创建文件夹
anon_upload_enable=yes ;开启匿名帐号的上传功能
anon_max_rate=100000 ;限定传输速度为100KB/s
anon_other_write_enable=yes ;允许删除,管理员权限
注意:
vsftpd对于文件传输速度限制并不是绝对锁定在一个数值上哈,而是在80%~120%之间变化哈~比如设置100KB/s则实际是速度在80KB/s~120KB/s之间变化哈~
5、虚拟用户目录显示匿名目录,或者显示其它目录,可使用如下方法:
mkdir /var/ftp/hr/anonymous/
mount --bind /var/ftp/pub/ /var/ftp/hr/anonymous/
6、重启vsftpd使配置生效,测试
注:显示不出文件目录时,重启服务器。
后记:以个人对公司FTP服务器的了解模拟实验,不足之处,敬请谅解。
《完》
引用并感谢
http://bbs.51cto.com/thread-557955-1.html
