Linux操作系統(tǒng)配置vsftpd虛擬用戶配置vsftpd虛擬用戶當(dāng)有大量的用戶需要使用FTP服務(wù)時(shí)，可以使用虛擬用戶登錄FTP，以避免創(chuàng)建大量的本地用戶。將guest_enable參數(shù)設(shè)置為YES可以啟用vsftpd的虛擬用戶功能，guest_username用來(lái)指定本地用戶的虛擬映射名稱。虛擬用戶權(quán)限參數(shù)和作用如下表所示。序號(hào)參數(shù)作用1anonymous_enable=NO禁止匿名用戶訪問(wèn)2local_enable=YES允許本地用戶訪問(wèn)3guest_enable=YES允許虛擬用戶訪問(wèn)4guest_username=virtual指定所有虛擬用戶在登錄FTP服務(wù)器時(shí)，都映射到名為virtual的本地用戶，以統(tǒng)一管理這些虛擬用戶的權(quán)限和操作5pam_service_name=vsftpd.vu指定vsftpd使用名為vsftpd.vu的PAM服務(wù)配置文件進(jìn)行虛擬用戶的身份驗(yàn)認(rèn)和授權(quán)6user_config_dir=/etc/vsftpd/vusers_dir指定目錄，在該目錄下可以為用戶設(shè)置獨(dú)立的配置文件與參數(shù)7chroot_local_user=YES禁錮本地用戶根目錄，將本地用戶限制在其主目錄中8allow_writeable_chroot=YES當(dāng)啟用chroot功能時(shí)，允許用戶的根目錄具有寫權(quán)限配置vsftpd虛擬用戶（1）創(chuàng)建虛擬用戶數(shù)據(jù)庫(kù)。創(chuàng)建用于進(jìn)行FTP認(rèn)證的用戶數(shù)據(jù)庫(kù)文件，其中奇數(shù)行為用戶名，偶數(shù)行為密碼。下面分別創(chuàng)建zhangsan和lisi兩個(gè)用戶，密碼均為redhat。[root@server～]#cd/etc/vsftpd/[root@servervsftpd]#vimvuser.listzhangsanredhatlisiredhatvsftpd可以通過(guò)兩個(gè)文件（黑名單文件和白名單文件）對(duì)用戶進(jìn)行ACL控制。/etc/vsftpd/ftpusers默認(rèn)是黑名單文件，存儲(chǔ)在該文件中的所有用戶都無(wú)法訪問(wèn)FTP，文件中的每行為一個(gè)用戶名稱。/etc/vsftpd/user_list文件由主配置文件中配置項(xiàng)的值來(lái)決定是黑名單文件還是白名單文件，此外也可以禁用該文件。如果主配置文件中userlist_deny的值為NO，則該文件為白名單文件；如果userlist_deny的值為YES，則該文件為黑名單文件。需要注意的是，黑名單表示僅禁止名單中的用戶訪問(wèn)FTP，也就是說(shuō)，除黑名單中的用戶以外，其他所有用戶都默認(rèn)允許訪問(wèn)FTP。采用明文信息既不安全，又不符合讓vsftpd服務(wù)程序直接加載的格式，因此需要使用db_load命令用散列算法將原始的明文信息文件轉(zhuǎn)換為數(shù)據(jù)庫(kù)文件，并使用chmod命令設(shè)置文件權(quán)限，使其僅對(duì)文件所有者可讀寫，最后使用rm–f命令刪除原始的明文文件vuser.list。[root@servervsftpd]#db_load-T-thash-fvuser.listvuser.db[root@servervsftpd]#filevuser.dbvuser.db:BerkeleyDB(Hash,version9,nativebyte-order)[root@servervsftpd]#chmod600vuser.db[root@servervsftpd]#rm-fvuser.list配置vsftpd虛擬用戶（2）設(shè)置虛擬用戶共享目錄。因?yàn)樗刑摂M用戶最終都需要映射到一個(gè)真實(shí)的本地用戶，所以這里需要添加一個(gè)本地用戶，并設(shè)置主目錄。（3）創(chuàng)建PAM文件，設(shè)置基于虛擬用戶的驗(yàn)證機(jī)制。Linux操作系統(tǒng)一般通過(guò)PAM文件設(shè)置用戶的驗(yàn)證機(jī)制，并通過(guò)創(chuàng)建新的PAM文件、使用新的數(shù)據(jù)文件進(jìn)行登錄驗(yàn)證。PAM文件中的db參數(shù)用于指定并驗(yàn)證用戶和密碼的數(shù)據(jù)庫(kù)文件，數(shù)據(jù)庫(kù)文件無(wú)須以.db為擴(kuò)展名。新建一個(gè)用于虛擬用戶認(rèn)證的PAM文件vsftpd.vu，其中PAM文件內(nèi)的“db=”參數(shù)的值為使用db_load命令生成的用戶密碼數(shù)據(jù)庫(kù)文件的路徑，但不用添加數(shù)據(jù)庫(kù)文件的擴(kuò)展名。[root@server～]#useradd-d/var/ftproot-s/sbin/nologinvirtual[root@server～]#ls-ld/var/ftproot/drwx------.3virtualvirtual74Jul1417:50/var/ftproot/[root@server～]#chmod-Rf755/var/ftproot/（4）修改主配置文件。在vsftpd服務(wù)程序的主配置文件中通過(guò)pam_service_name參數(shù)將PAM認(rèn)證文件的名稱修改為vsftpd.vu。PAM作為應(yīng)用程序?qū)优c鑒別模塊層之間的紐帶，可以使應(yīng)用程序根據(jù)需求靈活地插入所需的鑒別功能模塊。當(dāng)應(yīng)用程序需要PAM認(rèn)證時(shí)，需要在應(yīng)用程序中定義負(fù)責(zé)認(rèn)證的PAM配置文件，以實(shí)現(xiàn)所需的認(rèn)證功能。vsftpd服務(wù)程序的主配置文件中默認(rèn)帶有參數(shù)pam_service_name=vsftpd，表示登錄FTP服務(wù)器時(shí)根據(jù)/etc/pam.d/vsftpd文件進(jìn)行安全認(rèn)證?，F(xiàn)在需要把vsftpd主配置文件中原有的PAM認(rèn)證文件vsftpd修改為新建的vsftpd.vu文件。[root@server～]#vim/etc/pam.d/vsftpd.vuauthrequiredpam_userdb.sodb=/etc/vsftpd/vuseraccountrequiredpam_userdb.sodb=/etc/vsftpd/vuser配置vsftpd虛擬用戶[root@server～]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESwrite_enable=YESguest_enable=YESguest_username=virtualallow_writeable_chroot=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpd.vuuserlist_enable=YEStcp_wrappers=YES（5）為每個(gè)用戶設(shè)置獨(dú)立的共享路徑。雖然zhangsan和lisi都是用于vsftpd服務(wù)程序認(rèn)證的虛擬用戶，但是依然可以為它們?cè)O(shè)置不同的權(quán)限。例如，允許zhangsan上傳、創(chuàng)建、修改、查看和刪除文件，只允許lisi查看文件。這可以通過(guò)vsftpd服務(wù)程序來(lái)實(shí)現(xiàn)，只需新建一個(gè)目錄，在目錄中創(chuàng)建以zhangsan和lisi命名的兩個(gè)文件，在名為zhangsan的文件中寫入相關(guān)權(quán)限（使用匿名用戶的參數(shù)）。[root@server～]#mkdir/etc/vsftpd/vusers_dir/[root@server～]#cd/etc/vsftpd/vusers_dir/[root@servervusers_dir]#touchlisi[root@servervusers_dir]#vimzhangsananon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YES配置vsftpd虛擬用戶再次修改vsftpd主配置文件，通過(guò)添加user_config_dir參數(shù)指定這兩個(gè)虛擬用戶不同權(quán)限的配置文件所存放的路徑。[root@server～]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESguest_enable=YESguest_username=virtualallow_writeable_chroot=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESlisten=NOlisten_ipv6=YESpam_service_name=vsftpd.vuuserlist_enable=YEStcp_wrappers=YESuser_config_dir=/etc/vsftpd/vusers_dir（6）重啟vsftpd服務(wù)，使修改后的參數(shù)立即生效。[root@server～]#systemctlrestartvsftpd[root@server～]#getsebool-a|grepftp[root@server～]#setsebool-Pftpd_full_access=on（7）設(shè)置SELinux規(guī)則，設(shè)置SELinux參數(shù)，允許FTP服務(wù)提供訪問(wèn)。配置vsftpd虛擬用戶（8）驗(yàn)證虛擬用戶，使用FTP客戶端命令登錄FTP服務(wù)器，驗(yàn)證虛擬用戶配置信息并測(cè)試用戶權(quán)限。[root@server～]#ftp0Name(0:root):lisi331Pleasespecifythepassword.Password:#輸入虛擬用戶的密碼230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.FTP>mkdirfiles550Permis