设置vsftpd的碰到的坑及搭建假造账户

摇滚辣辣妹

vsftpd是Very secure FTP 的简写，是一款非常安全的FTP软件。支持IPV6及SSL加密。

vsftpd特性
安全，高速，稳固
基于IP的假造FTP服务器
支持假造用户
支持PAM大概xinetd/tcp_wrappers的认证方式
支持每个假造用户具有独立的设置
支持带脱期制
常见的报错及办理方法

• 
  

  开启了anon_upload_enable=YES匿名用户可以上传文档，为什么总是照旧提示553 Could not create file.不能上传文档？
  

  
  

办理方法 权限控制是基于vsftpd的设置文件和Linux的文件目次权限两方面的交集。匿名用户默认是映射成ftp用户来登岸的，以是并不具有对属于root目次的写权限。以是在/var/ftp新建一个上传目次mkdir upload;setfacl -m u:ftp:rwt upload;大概直接setfacl -m u:ftp:rwx pub一样平常不发起如许。

• 
  

  匿名用户不可以删除本身上传的文档怎么办：
  

  
  

在设置文档里添加anon_other_write_enable=YES

• 
  

  重启大概重新加载时报错：Job for vsftpd.service failed because the control process exited with error code. See "systemctl status vsftpd.service" and "journalctl -xe" for details.
  

  
  

设置文件中 listen_ipv6=YES和listen=YES这两个不能同时开启，只能开启此中一个。详情看设置文件上有表明。

• 
  

  开启chroot_local_user=YES后利用当地用户访问，报错：500 OOPS: vsftpd: refusing to run with writable root inside chroot
  

  
  

这是由于vsftpd更新后增强了安全查抄。假如某用户被限定在其家目次下，那么该用户的家目次不能再具有写权限，否则会报错。vsftpd-3.0（Centos7）才具有这种特性。vsftpd-2.2(Centos6)并不具有该属性。 办理办法：可以在主设置文件里添加allow_writeable_chroot=YES(保举) 大概直接修改该用户的家目次chmod a-w /home/USER(修改后会带来相干的权限限定)

具体阐明chroot的相干选项：

chroot_local_user=YES|NO
chroot_list_enable=YES|NO
chroot_list_file=/etc/vsftpd/chroot_list
该选项的作用是监禁ftp的当地用户于家目次之中。 但是限定和不限定哪些用户是相对于chroot\_local_user是否开启而言的。chroot_local_user和chroot_list_enable总是南辕北辙。
方式一： chroot_local_user=YES
chroot_list_enable=YES
该方式表明/etc/vsftpd/chroot_list列表里的全部账号都被不会被限定在其家目次内里。列表以外的用户都被限定。
方式二： chroot_local_user=NO
该方式表明/etc/vsftpd/chroot_list列表里的全部用户都被限定在其家目次内里，但是该列表以外的用户都不被限定在它们的家目次内里。具体明白本身试验。
设置假造账号的方法（Centos7）利用文件来储存假造账户
1、安装db4-utils工具来创建数据库文件
# yum -y install libdb-utils
#奇数举动账号，偶数举动上面一个账号的暗码 # vim /etc/vsftpd/virtual_user tom 12345 jerry 67890 # db_load -T -t hash -f /etc/vsftpd/virtual_user /etc/vsftpd/virtual_user.db
2、创建pam文件，设置基于假造用户验证
# vim /etc/pam.d/vsftpd.pam
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vir tual_user
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual_user
3、设置假造账户及共享目次
# useradd -s /sbin/nologin -d /home/ftp virtual4、修改主设置文件（只需添加或修改列出的内容其他的不消修改）
# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO pam_service_name=vsftpd.pam userlist_enable=YES tcp_wrappers=YES guest_enable=YES guest_username=virtual allow_writeable_chroot=YES ser_config_dir=/etc/vsftpd/virtual_user_conf user_sub_token=$USER
5、为每个账号设置单独的路径和权限：
# mkdir /etc/vsftpd/virtual_user_conf
# touch /etc/vsftpd/virtual_user_conf/{tom,jerry} #设置tom只能上传文档 # vim /etc/vsftpd/virtual_user_conf/tom local_root=/home/ftp/$USER anon_mkdir_write_enable=NO anon_other_write_enable=NO anon_upload_enable=YES #设置Jerry可以上传，下载和删除文件 # vim /etc/vsftpd/virtual_user_conf/jerry local_root=/home/ftp/$USER anon_mkdir_write_enable=YES anon_other_write_enable=YES anon_upload_enable=YES #修改权限 # mkdir /home/ftp/{tom,jerry} # chown virtual:virtual tom/ # chown virtual:virtual jerry/
6、重启服务并验证
# systemctl restart vsftpd颠末验证确实可行。由于篇幅有限我就不把实行验证效果贴出来了。本过程还可以做限定得更严酷，好比：带宽，并发量等，自行添加。这里可以利用一款开源的客户端FTP软件FileZilla可以点击下载。
本文出自 “dianel简朴不简朴” 博客，请务必保存此出处http://dianel.blog.51cto.com/12170393/1929212
相干阅读：
高端私有云项目交换群，接待参加！
Docker Swarm与ceph集成测试
软互换之争：OVS VS LINUX BRIDGE
通过iptables分析OpenStack 安全组规则
NFV场景下优化KVM--低时延
一文读懂OpenStack Glance是什么
Prometheus（普罗米修斯）用户档案：动态化特性加快weaveworks云原生步伐的发展
参加云技能社区运维技能讨论QQ群，群共享有N多资料，502207183，并注明都会、行业、技能方向。