系统：linux

vsftp版本：version 2.2.2 （yum install vsftpd）

FTP的登录一般有三种方式，分别是：

• 匿名用户形式：默认安装的情况下，系统只提供匿名用户访问，只需要输入用户anonymous/ftp，并将自己的Email作为口令即可登录。
• 本地用户形式：以/etc/passwd中的用户名为认证方式。
• 虚拟用户形式：支持将用户名和密码保存在文件或数据库中，将登录用户映射到指定的系统账号（/sbin/nologin）来访问资源，其中这些虚拟用户是FTP的用户。

从安全性考虑，对于多用户登入、为了方便对用户权限进行管理，一般都是用虚拟用户形式。

 

Vsftp安装：

       如果可以连外网，可以直接使用命令:  yum install vsftpd （建议用这种方式，这个会自动把依赖搞好）

       如果用tar包，  tar –zxvf vsftpd-3.0.2.tar.gz

                              make && make install

 

ftp虚拟帐号

公司为了宣传最新的产品信息，计划搭建FTP 服务器，为客户提供相关文档的下载。对所有互

联网开放共享目录，允许下载产品信息，禁止上传。公司的合作单位能够使用FTP 服务器进行上

传和下载，但不可以删除数据。需要保证服务器的稳定性并做优化。

 

创建ftp虚拟帐号。允许客户使用ftp帐号下载文件。 但是，你们自己的合作伙伴帐号：vip帐号可以上传一内部文件。

 

需考虑到服务器的安全性，所以关闭实体用户登录，使用虚拟帐号验证机制，并对不同虚拟帐号设置不

同的权限。

保证服务器的性能，还需要根据用户的等级，限制客户端的连接数及下载速度。

 

1、创建用户数据库

（1）创建用户文本文件

先建立用户文本文件vsftpd_virtualuser.txt，添加两个虚拟帐号，公共帐号ftp 及客户帐号

vip

[root@xuegod63 vsftpd]# vim /etc/vsftpd/vsftpd_virtualuser.txt  #写入以下内容。格式一行用户一行密码。

ftp  #用户

123456  #密码

vip

123456

 

（2）生成数据库

保存虚拟帐号和密码的文本文件无法被系统帐号直接调用。我们需要使用db_load 命令生成db

数据库文件

安装：

[root@xuegod63 vsftpd]# rpm -qf `which db_load `

db4-utils-4.7.25-16.el6.x86_64

 

# db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt  /etc/vsftpd/vsftpd_virtualuser.db

选项-T允许应用程序能够将文本文件转译载入进。

-t hash使用hash码加密

-f 指定包含用户名和密码文本文件。此文件格式要示：奇数行用户名、偶数行密码

 

[root@xuegod63 vsftpd]# rm -rf /etc/vsftpd/vsftpd_virtualuser.txt   #为了安全，删除此文件。后期不再使用此文件。

 

（3）修改数据库文件访问权限

[root@xuegod63 vsftpd]# chmod 600 /etc/vsftpd/vsftpd_virtualuser.db

[root@xuegod63 vsftpd]# ll !$

ll /etc/vsftpd/vsftpd_virtualuser.db

-rw------- 1 root root 12288 Nov 10 21:16 /etc/vsftpd/vsftpd_virtualuser.db

 

2、配置PAM 文件

为了使服务器能够使用数据库文件，对客户端进行身份验证，需要调用系统的PAM 模块.

PAM概述：

PAM(Plugable Authentication Module)为可插拔认证模块，不必重新安装应用系统，通过修

改指定的配置文件，调整对该程序的认证方式。PAM 模块配置文件路径为/etc/pam.d/目录，此

目录下保存着大量与认证有关的配置文件，并以服务名称命名。

 

vim  /etc/pam.d/vsftpd

修改vsftpd 对应的PAM 配置文件/etc/pam.d/vsftpd。将默认配置使用“#”全部注释，下面添加两行，pam_userdb.so可以写成/lib64/security/pam_userdb.so的绝对路径。

auth       required /lib64/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_virtualuser

account  required /lib64/security/pam_userdb.so  db=/etc/vsftpd/vsftpd_virtualuser

 

3、创建虚拟帐号对应的系统用户及ftp共享的目录

对于公共帐号和客户帐号，因为需要配置不同的权限，所以可以将两个帐号的目录进行隔离，控

制用户的文件访问。公共帐号ftp 对应系统帐号ftpuser，并指定其主目录为/var/ftp/share，

而客户帐号vip 对应系统帐号ftpvip，指定主目录为/var/ftp/vip。

[root@xuegod63 vsftpd]# useradd -d /var/ftp/share ftpuser

[root@xuegod63 vsftpd]# useradd -d /var/ftp/vip ftpvip

[root@xuegod63 vsftpd]# chmod -R 500 /var/ftp/share/  #修改权限

[root@xuegod63 vsftpd]# chmod -R 700 /var/ftp/vip/

 

chmod -R 500 /var/ftp/share/ ：公共帐号ftp 只允许下载，修改share 目录其他用户权限为

rx 可读可执行。

chmod -R 700 /var/ftp/vip/ ：客户帐号vip 允许上传和下载，所以对vip 目录权限设置为rwx，

可读可写可执行。

 

4、建立配置文件

一个配置文件无法实现此功能，需要为每个虚拟帐号建立独立的配置文件，并根据需要进行相应的设置。

 

（1）修改vsftpd.conf 主配置文件

 

[root@xuegod63 vsftpd]# cp vsftpd.conf.back vsftpd.conf

禁用匿名用户登录并启用本地用户登录设置

vim vsftpd.conf

改：

#anonymous_enable=YES

 

为：

#anonymous_enable=NO

 

local_enable=YES   #确认此选项打开，允许本地用户登录。 Uncomment ：取消注释

chroot_local_user=YES   #确认此选项打开。将所有本地用户限制在家目录中，NO 则不限制

 

pam_service_name=vsftpd  #确认在文件的最后有选项。配置vsftpd 使用的PAM 模块为vsftpd

在此选项后面追加：

user_config_dir=/etc/vsftpd/vuserconfig：设置虚拟帐号的主目录为 vuserconfig

max_clients=300：设置FTP 服务器最大接入客户端数为300 个

max_per_ip=10：设置每个IP 地址最大连接数为10 个

 

（2）建立虚拟帐号配置文件

在user_config_dir 指定路径下，建立与虚拟帐号同名的配置文件并添加相应的配置字段

首先建立公共帐号ftp 的配置文件

 

[root@xuegod63 ~]# grep vuserconfig /etc/vsftpd/vsftpd.conf   #查看要创建的目录名

user_config_dir=/etc/vsftpd/vuserconfig

[root@xuegod63 ~]# mkdir /etc/vsftpd/vuserconfig

[root@xuegod63 ~]# touch /etc/vsftpd/vuserconfig/ftp

[root@xuegod63 ~]# touch /etc/vsftpd/vuserconfig/vip

 

配置虚拟帐号配置文件，写入以下内容：

[root@xuegod63 ~]# vim /etc/vsftpd/vuserconfig/ftp

guest_enable=yes

guest_username=ftpuser

anon_world_readable_only=no

anon_max_rate=50000

解释：

guest_enable=yes：开启虚拟帐号登录

guest_username=ftpuser：设置ftp 对应的系统帐号为ftpuser

anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统

anon_max_rate=50000：限定传输速率为50KB/s

 

注意：

vsftpd 对于文件传输速度限制并不是绝对锁定在一个数值上哈，而是在80%~120%之间变化

比如设置100KB/s 则实际是速度在80KB/s~120KB/s 之间变化

 

下面是合作伙伴帐号的配置文件vip

[root@xuegod63 ~]# vim /etc/vsftpd/vuserconfig/vip  #写入以下内容

guest_enable=yes

guest_username=ftpvip

anon_world_readable_only=no

write_enable=yes

anon_mkdir_write_enable=yes

anon_upload_enable=yes

anon_max_rate=100000

 

解释：

guest_enable=yes：开启虚拟帐号登录

guest_username=ftpvip：设置ftp 对应的系统帐号为ftpvip

anon_world_readable_only=no：允许匿名用户浏览器整个服务器的文件系统

write_enable=yes：允许在文件系统写入权限

anon_mkdir_write_enable=yes：允许创建文件夹

anon_upload_enable=yes：开启匿名帐号的上传功能

anon_max_rate=100000：限定传输速度为100KB/s

 

附：

       如果想要将虚拟账户限制在某个路径，需要在该账户的文件中配置：

       local_root=/home/lxxd/dssj/Shenzhen

       允许账户删除权限

anon_other_write_enable=YES

 

5、重启vsftpd 使配置生效

[root@xuegod63 ~]# service vsftpd restart