centos7搭建ftp服务器用虚拟账户安全，转发收藏

虚拟用户可以把ftp用户和本地系统用户进行隔离，即使ftp账户被破解，也不会对系统进行操作，威胁系统安全。因为该账户不是系统本身的，而且在/etc/passwd下面也找不到登录ftp的账户，仅仅是做了映射，相当于软链接映射，快捷方式映射。

地产公司的场景

普通员工权限：查看，下载

经理权限：上传，下载

一、前置条件

1、关闭selinux

1.1查看状态

[root@shell ~]# /usr/sbin/sestatus -v

或者

[root@shell ~]# getenforce

上图说明已经关闭，如果显示enabled，则进行如下步骤

1.2临时关闭，不用重新启动计算机

[root@shell ~]# setenforce 0

1.3修改配置文件，需要重新启动电脑

[root@shell ~]# vi /etc/selinux/config

将

SELINUX=enforcing修改为

SELINUX=disabled

重新启动系统即可

我们把以上两步都进行操作，先改临时，完成目前的工作，如果机器重新启动，后面的配置文件生效，也会继续保持服务的持续。

2、关闭防火墙

2.1查看防火墙状态

[root@shell ~]# systemctl status firewalld

上图说明防火墙已经关闭

如果没有关闭，

执行以下命令

临时关闭

[root@shell ~]# systemctl stop firewalld

永久关闭

[root@shell ~]# systemctl disable firewalld

二、安装ftp服务

ftp 服务是vsftpd

2.1查看ftp服务是否安装

[root@shell ~]# rpm -qa|grep vsftpd

以上没有显示，说明rpm没有安装。

2.2安装ftp服务vsftpd

[root@shell ~]# yum install vsftpd

可以看到安装完成，文件是pd.x86_64 0:3.0.2-22.el7，版本是3.0.2-22.el7

2.3配置本地局域网yum源

我这里创建一个配置局域网的yum仓库的脚本yum.sh,内容如下

#!/bin/bash

cd /etc/yum.repos.d/

mkdir repobackup

mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repobackup/

echo "

[centos7]

name=centos7

baseurl=http://192.168.2.210:88/7/packages/CentOS-7-x86_64-Everything-1708/

enabled=1

gpgcheck=0

[extras]

name=CentOS-$releasever - Extras

baseurl=http://192.168.2.210:88/extras/

gpgcheck=0 " > /etc/yum.repos.d/centos7.repo

yum clean all

yum makecache

yum repolist

执行该脚本便生成局域网yum文件，可以从局域网yum仓库安装vsftpd服务。

当然也可以连接互联网，从阿里云，163等镜像站安装vsftpd服务，也可以下载rpm包进行安装。

2.4启动vsftpd服务

[root@shell ~]# systemctl start vsftpd

2.5由于ftp服务端默认用的是21端口，所以查看该端口是否正常

[root@shell ~]# netstat -nltp | grep 21

由上图可知，21端口在listen（监听），说明vsftpd服务已经启动。

其中参数

n---显示数字

l---列出监听的服务状态

t---显示tcp相关的选项

p---显示建立相关连接的程序名

2.5在浏览器输入ftp://192.168.205,便可以访问。

FTP默认的存储目录是/var/ftp/pub默认不允许匿名用户上传。

三、我们使用虚拟用户的方式来创建用户

3.1创建文本文件，用来添加虚拟用户，一共添加两个用户，一是销售中心，用户名为xszx,密码为123，另外一个是经理，用户名为manager,密码为456，存储账号的文件叫vusers。

1、[root@shell ~]# vim /etc/vsftpd/vusers

输入以下内容

xszx

123

manager

456

以上格式要求：奇数行是用户名，偶数行是密码，两行是一组。

3.2把vusers这个文件转译成ftp可以识别的账户，通过db_load生成db数据库，如果没有此命令，可以进行安装

查询

# db_load -T -t hash -f /etc/vsftpd/vusers /etc/vsftpd/vusers.db

其中 -T允许文本文件转译，

-t加密方式

-f指定转译的文件

生成你的数据库文件，以后为了防止账户和密码泄露，可以删除vusers文件。

验证一下文件是否安装成功

为了更加安全，可以给vuser.db添加权限,只有管理员才可以有读（r）写(w)的权限。

# chmod 600 /etc/vsftpd/ vusers.db

文件权限规则

r---读，数字表示4

w---写，数字表示2

x---执行，数字表示1

分为三组，所有者，所有组，其他人

所以600就是所有者是4+2=6，所有组是0，其他人是0。

2、创建两个虚拟用户和宿主目录

# useradd -d /var/ftp/xszx -s /sbin/nologin virtral

其中-d是用户的宿主目录

-s指定他的shell,

virtral虚拟用户

xszx作为销售部普通员工的账户, 映射为virtral,宿主目录是xszx

nologin 只能登陆ftp，不能作为其他登陆用户，比如ssh，telnet等。

在/var/ftp下多了一个xszx的目录

查看映射本地用户

[root@shell ftp]# cat /etc/passwd

在最后一行多出virtral账号

# useradd -d /var/ftp/manager -s /sbin/nologin jl

同理manager账户映射为jl,宿主目录是manager

查看用户

[root@shell ftp]# cat /etc/passwd

修改宿主目录的权限

必须修改目录权限为777，否则出现不能上传目录等问题。

chmod 777 /var/ftp/xszx/

chmod 777 /var/ftp/manager/

3、配置PAM认证文件

PAM是一个模块，主要功能是认证，不用重新安装应用系统，通过修改指定的配置文件，调整对该程序的认证方式。PAM模块配置文件路径为/etc/pam.d/目录，这个目录下保存着大量与认证有关的配置文件，并以服务名称命名。

调用这个模块对ftp用户进行认证（其中vsftpd.vu是名字，可以任意取）

# vim /etc/pam.d/vsftpd.vu

auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vusers

[root@shell ftp]# vim /etc/pam.d/vsftpd.vu

输入以下内容

上面的vusers就是vusers.db，在该配置中一定要把.db去掉。

/lib64/security/pam_userdb.so 是调用的认证模块

db=/etc/vsftpd/ vusers 数据库文件

保存退出

4、修改配置文件

# vim /etc/vsftpd/vsftpd.conf

#禁止匿名登录FTP服务器

anonymous_enable=NO

#可以上传(全局控制)

write_enable=（yes）

anon_umask=022

pam_service_name=vsftpd.vu（调用pam的验证模块）

重新启动服务

[root@shell vsftpd]# systemctl restart vsftpd

5、建立独立的用户配置文件

为了设置不同用户的权限，需要为用户配置独立权限配置文件，

5.1在主配置文件指定

vim /etc/vsftpd/vsftpd.conf

pam_service_name=vsftpd.vu（调用pam的验证模块）

max_clients=300（客户端最大连接数为300）

max_per_ip=10（单个IP同一时间最大开10个窗口）

user_config_dir=/etc/vsftpd/vusers_dir(用户配置文件路径)

5.2创建目录和用户配置文件

mkdir /etc/vsftpd/vusers_dir

vim /etc/vsftpd/vusers_dir/xszx(创建的配置文件名必须与虚拟用户相同)

guest_enable=yes

guest_username=virtral

anon_world_readable_only=NO(只有浏览的权限)

anon_max_rate=50000(50K)

allow_writeable_chroot=YES

5.3重新启动服务

[root@shell vsftpd]# systemctl restart vsftpd

可以正常登陆

vim /etc/vsftpd/vusers_dir/manager(创建的配置文件名必须与虚拟用户相同)

guest_enable=yes

guest_username=jl

anon_world_readable_only=NO(只有浏览的权限)

write_enable=yes

anon_mkdir_write_enable=yes

anon_upload_enable=yes

anon_max_rate=100000(100K)

anon_other_write_enable=yes（允许修改/重命名/删除）

allow_writeable_chroot=YES

至此配置全部完成。