vsftpd 使用虚拟用户及单用户多目录的配置

vsftpd 使用虚拟用户及单用户多目录的配置

1、配置vsftpd虚拟用户

安装vsftpd

yum -y install pam pam-devel db4 db4-tcl
yum -y install vsftpd

配置vsftpd.conf

cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.back
vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
#设成YES,容许匿名用户登录
local_enable=YES
#容许/禁止本地用户登录 注意：主要是为虚拟宿主用户，若是该项目设定为NO那么全部虚拟用户将没法访问。
write_enable=YES
#设定能够进行写操做。
local_umask=022
#设定上传后文件的权限掩码，文件644，文件夹755
dirmessage_enable=YES
#设定开启目录标语功能
xferlog_enable=YES
#设定开启日志记录功能。
connect_from_port_20=YES
#设定端口20进行数据链接
xferlog_std_format=YES
#设定日志使用标准的记录格式
listen=YES
#开启独立进程vsftpd，不使用超级进程xinetd。设定该Vsftpd服务工做在StandAlone模式下。
pam_service_name=vsftpd
#设定，启用pam认证，并指定认证文件名/etc/pam.d/vsftpd
userlist_enable=YES
#设定userlist_file中的用户将不得使用FTP
tcp_wrappers=YES
#设定支持TCP Wrappers
chroot_local_user=YES
#限制全部用户在主目录
#限制全部用户在主目录
#↓↓↓↓↓↓↓↓↓↓↓
#↓↓↓↓↓↓↓↓↓↓↓
#如下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，须要本身手动添加配置
guest_enable=YES
#设定启用虚拟用户功能
guest_username=www
#指定虚拟用户的宿主用户
virtual_use_local_privs=YES
#设定虚拟用户的权限符合他们的宿主用户 
user_config_dir=/etc/vsftpd/vconf
#设定虚拟用户我的Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每一个Vsftp虚拟用户个性的配置文件，
#一个须要注意的地方就是这些配置文件名必须和虚拟用户名相同。

配置虚拟用户

建立虚拟用户配置文件存放路径
mkdir /etc/vsftpd/vconf

建立虚拟用户名单文件，在其中加入用户的用户名和口令信息。格式很简单：“奇数行用户名，偶数行口令”。
virtusers文件格式以下：

vim /etc/vsftpd/virtusers

username1
password123

生成虚拟用户数据文件

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

须要特别注意的是，之后再要添加虚拟用户的时候，只须要按照“一行用户名，一行口令”的格式将新用户名和口令添加进虚拟用户名单文件。
可是光这样作还不够，这样是不会生效的！还要再执行一遍“ db_load -T -t hash -f 虚拟用户名单文件 虚拟用户数据库文件.db ”的命令使其生效才能够！

设置认证文件PAM

编辑Vsftpd的PAM验证配置文件，把原来的配置文件所有注释掉（不注释掉虚拟用户会登陆不上），添加以下行
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup

#vim /etc/pam.d/vsftpd

auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

#以上两条是手动添加的，内容是对虚拟用户的安全和账户权限进行验证。
这里的auth是指对用户的用户名口令进行验证。
这里的accout是指对用户的账户有哪些权限哪些限制进行验证。
其后的sufficient表示充分条件，也就是说，一旦在这里经过了验证，那么也就不用通过下面剩下的验证步骤了。相反，若是没有经过的话，也不会被系统当即挡之门外，由于sufficient的失败不决定整个验证的失败，意味着用户还必须将经历剩下来的验证审核。
再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。

创建虚拟用户配置文件模版

建立ftp的目录，设置属组属主为www，应为咱们上面指定虚拟用户的宿主用户是www，这样ftp用户才有权限对目录进行操做。

mkdir -p /data/www/virtual/

chown www.www -R /data/www/virtual/

vim /etc/vsftpd/vconf/vconf.tmp

local_root=/data/www/virtual/
#指定虚拟用户的具体主路径
anonymous_enable=NO
#设定不容许匿名用户访问
write_enable=YES
#设定容许写操做
local_umask=022
#设定上传文件权限掩码
anon_upload_enable=NO
#设定不容许匿名用户上传
anon_mkdir_write_enable=NO
#设定不容许匿名用户创建目录
idle_session_timeout=600
#设定空闲链接超时时间
data_connection_timeout=120
#设定单次连续传输最大时间
max_clients=10
#设定并发客户端访问个数
max_per_ip=5
#设定单个客户端的最大线程数，这个配置主要来照顾Flashget、迅雷等多线程下载软件
local_max_rate=50000
#设定该用户的最大传输速率，单位b/s

cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/username1

测试配置

2、vsftpd单用户多目录的配置

在使用vsftpd过程当中，咱们会常常发现vsftpd在默认状况下一个用户（不管是系统用户仍是虚拟用户）只能拥有一个目录，通常是根目录。
若是此时再要向该用户添加其它目录的话，好比系统的其余目录也须要此用户访
问，那么就没法直接添加了。
.
因此咱们只能借助其余方式实现这个功能
.
一开始我想到了软链接的方式，结果是vsftpd不支持软链接，硬连接又不容许将硬连接指向目录。
.
在此咱们使用的是 mount --bind 命令,不少人将这个命令理解为针对目录的硬链接，但这种想法是错的。
因此我须要注意一下两点：

1.mount --bind链接的两个目录的inode号码并不同，只是目标目录的block被屏蔽掉，inode被重定向到原目录的inode （目标目录的inode和block依然没变，就是说目标目录只是隐藏不是删除，数据都没有改变，只是访问不到了）

2.两个目录的对应关系存在于内存里，一旦重启挂载关系就不存在了，因此咱们想要服务器重启以后还有效的话就须要写到/etc/rc.local

.
建立几个测试目录
mkdir /data/www/virtual/test{1,2}
mkdir /home/test{1,2}
chown -R www.www /home/test{1,2}

vim /etc/rc.local

#可读写挂载
mount --bind /home/test1/ /data/www/virtual/test1/
#只读挂载
mount --bind /home/test2/ /data/www/virtual/test2/
mount -o remount,ro /data/www/virtual/test2/

使用 source加载一下/etc/rc.local, 让它当即生效。

source /etc/rc.local

然使用 mount 查看挂载的结果。