設置VSFTP虛擬用戶權限

FTP實驗要求

FTP作為一個常見的應用層協議，對于技術人員來講，肯定都不陌生，使用TCP端口21建立FTP會話，并通過TCP端口20進行數據的傳輸。

FTP有兩種模式，一種是主動模式，客戶端使用大于1024的端口N發送請求至服務器的21端口，服務器收到請求之后，發送ACK至客戶端的端口N，完成FTP會話的建立，然后服務器使用20端口發送數據連接請求至客戶端端口N，客戶端在收到服務器的連接請求之后，發送ACK至服務器的20端口，完成會話建立，之后開始進行數據傳輸。

另一種是被動模式，首先還是需要建立FTP的會話，與主動模式不同的是，被動模式下，客戶端會使用端口N發送數據連接請求至服務器的隨機M端口（M大于1023，小于65535），服務器收到客戶端的請求之后，發送ACK至客戶端的端口N，完成會話建立，之后開始進行數據傳輸。

圖1 查看系統版本

技術人員通常需要根據公司的不同需求搭建公司的FTP服務器。目前主流的FTP服務器主要有Windows下的IIS、Serv-U等，Linux下 的ProFTP、VSFTP等，一般考慮到Windows系統的安全性以及穩定性都不如Linux系統高，并且Windows下的FTP軟件功能比較簡單，一般不支持FTP的高級配置，所以我們一般會選用Linux作為我們的FTP服務器，此處我們使用VSFTPD作為FTP軟件。

此處我們的要求是，搭建一臺FTP服務器，要求服務器穩定安全，同時可以配置多個賬號，賬號權限可以進行嚴格控制，需要具有三種類型的賬號，一種是公司所有員工，只可以下載公司FTP服務器上的文件，另一種是管理，只有上傳權限，最后一種是管理員賬號，擁有所有權限。下面介紹實驗過程。

分析實驗要求

要求擁有三種權限，只能有下載權限的賬號可能存在多個，所以我們可以使用虛擬賬號來進行配置，新建一個只有下載權限的虛擬賬號ftp，新建一個只有上傳權限的虛擬賬號upload，新建一個管理員賬號admin，擁有所有權限。

準備Linux服務器

準備一臺服務器，并安裝操作系統RHEL5.5，操作系統的安裝，此處不做介紹，可以自行查找資料進行安裝，操作系統安裝完成之后，可以通過命令lsb_release -a查看系統版本（如圖1）。

安裝VSFTPD服務，并查看服務運行狀態

VSFTPD服務的安裝，可以在操作系統安裝的過程中，一起進行安裝，也可以在操作系統安裝完成之后，在通過yum進行安裝或者可以手動安裝rpm、tar包等完成，可以通過命令rpm -qa vsftpd來查看系統是否已安裝VSFTPD服務。

[r o o t@v s f t p vsftpd]#rpm –qa vsftpd

vsftpd-2.0.5-16.e15_4.1

如上所示，此處在操作系統的安裝過程中，已經選擇一起安裝VSFTPD，所以此處不再詳解VSFTPD的安裝，安裝完成之后，可以通過命令service vsftpd status來查看VSFTPD的運行狀態。

VSFTPD服務的配置

1.備份配置文件

Linux環境下，無論配置任何服務都要養成先做備份的好習慣，如果配置出現問題，可以通過備份的配置文件還原。

[root@vsftp vsftpd]#cp vsftpd.conf vsftpd.conf.old

2.修改配置文件

a.置文件，關閉匿名登錄，啟用虛擬用戶。

[root@vsftp vsftpd]#vi/etc/vsftpd/vsftpd.conf

為了保證FTP服務器的安全性，我們關閉匿名登錄，在配置文件中找到anonymous_enable的配置，將其修改為NO，即可關閉匿名登錄。

anonymous_enable=NO

在配置文件的最后面添加下面幾行內容，意思為允許虛擬用戶登錄，匿名用戶對應的為ftp這個賬號，虛擬用戶登錄的配置文件目錄為 /etc/vsftpd/users/，這個目錄下面存放的是不同用戶的配置文件：

注：此處第一行中的pam_service_name的值需要與（d）認證文件名稱相同，否則認證不成功。此處最后一行配置的是虛擬用戶的目錄，需要與（f）置的目錄相同。

b.建立虛擬用戶的賬號文件

建立虛擬用戶ftp所對應的實際登錄賬號：

其中奇數行為用戶名，偶數行為對應的密碼。

c.使用建立的賬號密碼文件生成數據庫文件，并修改其權限。

使用vm_user.txt生成vm_user.db文件

d.修改FTP的認證文件為剛生成的數據庫文件。

后面的文件名稱必須與前面所創建的文件名稱相同，否則認證失敗。

e.建立虛擬用戶FTP，不允許登錄操作系統，設置其home路徑，并修改home路徑的訪問權限。

f.配置虛擬用戶的賬號目錄，需與（a）中配置保持一致，并創建賬號的配置文件，此處以ws6l為例進行配置。

配置ws6l賬號的目錄，注意此處的目錄只是存放配置文件的，與用戶登錄FTP之后訪問到的目錄無關。

至此第一個虛擬賬號創建成功，驗證此處省略，根據需要可以按照上面的步驟，分別創建ws8l等只有下載權限的賬號。

h.創建只有上傳權限的賬號upload，擁有所有權限的admin賬號。

在vm_user.txt文件中添加這兩個賬號：

重新生成數據庫文件，注意只要是修改了vm_user.txt這個文件，必須重新生成數據庫文件，否則認證不成功。

因為upload賬號需要向所有賬號的文件夾上傳文件，admin賬號需要管理所有用戶的目錄，因此兩個賬號都需要看到所有用戶的目錄，所以不需要給他們重新建立ftp的目錄，直接指定為/var/ftp即可，至此所有配置完成。

i.所有配置都完成之后，分別使用ws6l，upload，admin登陸ftp進行測試，測試過程不再詳述。

實驗總結

FTP服務目前仍然是一個企業內部重要的服務之一，企業內部可以通過搭建FTP服務器來完成文件共享，本文通過講解使用VSFTP來搭建公司的FTP服務器，做到用戶使用與管理員管理徹底分離，并通過虛擬用戶的配置來充分保證系統的安全，可以滿足公司的絕大部分需求。