八、基于虚拟用户配置安全的ftp

在ftp中不论是匿名用户还是实名用户都是系统中真实存在的用户，或多或少都会有一些安全方面的风险，为了避免这个风险，开发者在ftp中加入了一个虚拟用户的概念，所有虚拟用户都会被统一映射为一个系统账号，免去了管理过多账户的麻烦，那么这个虚拟用户如何实现呢？

a、修改配置文件 
[root@hello pam.d]# egrep -v "^#" /etc/vsftpd/vsftpd.conf 
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
chroot_local_user=YES
listen=NO
listen_ipv6=YES


#虚拟用户配置选项
#pam登陆验证
pam_service_name=vftp
#允许虚拟用户功能
guest_enable=YES
#虚拟用户映射到本地用户hello
guest_username=hello
#这里我通过指令改变了默认设置，允许虚拟用户写
allow_writeable_chroot=YES 

#本地用户的根目录
#这里是定义虚拟用户主目录，用户和组必须指定为宿主用户hello
local_root=/home/hello


#允许虚拟用户和本地用户权限一致
virtual_use_local_privs=YES

#如果虚拟用户和本地用户权限不同，可以通过以下的指令来设置指令，配置文件和登陆名同步即可。
#user_config_dir=/etc/vsftpd/vconf.d/




b、生成虚拟用户账号密码文件
奇数行数账户，偶数行是密码
[root@hello ~]# cat /etc/vsftpd/vuser
vuser01
123456
vuser02
123456

使用db_load转成db格式
[root@hello ~]# db_load -T -t hash -f /etc/vsftpd/vuser /etc/vsftpd/vuser.db
要求权限是600
[root@hello ~]# chmod 600 /etc/vsftpd/vuser.db

c、配置pam认证，注意先后顺序
[root@hello ~]# cat /etc/pam.d/vftp 
#虚拟用户登录
auth       sufficient     /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
account    sufficient     /lib64/security/pam_userdb.so db=/etc/vsftpd/vuser
#本地登陆
session    optional     pam_keyinit.so    force revoke
auth       required    pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required    pam_shells.so
auth       include    password-auth
account    include    password-auth
session    required     pam_loginuid.so
session    include    password-auth



d、重启服务生效
[root@hello ~]# systemctl restart vsftpd
[root@hello ~]# cat /etc/vsftpd/chroot_list 
vuser01
vuser02

e、验证登陆
[root@hello ~]# ftp 192.168.11.16
Connected to 192.168.11.16 (192.168.11.16).
220 Welcome to ayitula FTP service.
Name (192.168.11.16:root): vuser01
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
227 Entering Passive Mode (192,168,11,16,82,91).
150 Here comes the directory listing.
226 Transfer done (but failed to open directory).


登陆成功了.

总结

虚拟用户的作用

如何配置虚拟用户

重点：配置文件如何修改、虚拟用户如何创建、如何验证测试

难点：配置文件修改内容较多，要注意权限方面的设置

章总结

FTP的作用及应用场景

FTP用户的分类、工作模式

如何去安装部署FTP

配置文件中各字段的含义

客户端如何访问、如何操作

如何配置虚拟用户

重点：ftp的用户分类、工作模式、安装部署、相关文件及作用、如何去访问

3分钟了解计算机发展历史-组团学难点：要注意配置文件的格式，访问的时候都可以使用哪些命令，虚拟用户如何实现