VSFTPD 本地有戶訪問故障探討

■ 枝江市職業教育中心 楊華 枝江市顧家店初級中學 劉興波

編者按：在VSFTPD 本地用戶模式配置中，有幾種故障在初學者的配置中比較常見，本文將加以介紹。

VSFTPD 有三種用戶訪問驗證方式：匿名開放模式無需密碼認證即可直接登錄到FTP 服務器；本地用戶模式是通過系統本地的賬戶密碼信息登錄到FTP 服務器；虛擬用戶模式是通過創建獨立的FTP 用戶數據庫文件來進行認證并登錄到FTP服務器，相較來說它也是最安全的認證模式。

在實際生產環境中，本地用戶模式配置簡單，安全性有一定保障，如果用戶規模不大，這種方式是不錯的選擇。以下幾種故障在初學者的配置中較常見，且現有文檔中少有介紹，根據筆者平時反復實驗、調試總結得出部分結論。

資源管理器方式登錄沒有提示輸入用戶名及密碼，且提示錯誤信息：打開FTP 服務器上的文件夾時發生錯誤，請檢查是否有權限訪問該文件夾

故障分析：

首先在VSFTP 服務器端已停用匿名訪問模式，啟用本地用戶訪問，而且通過FTP工具或瀏覽器可以正常通過用戶名及密碼登錄。且在資源管理器中可通過鼠標右鍵選擇“登錄”，出現登錄窗口，可以正常登錄了，但不能每次都這樣。通過抓包分析，發現如圖1 所示故障信息。

原來，系統默認用匿名去登錄，但在FTP 服務器端未啟用匿名訪問，所以就出現權限拒絕的提示嗎？但這樣也不應該影響正常的本地用戶名訪問。經過對配置文件中關于本地用戶選項的深入分析，終于發現了端倪。如下兩項配置參數：

userlist_deny=YES 啟用“禁止用戶名單”，名單文件為ftpusers 和user_list

userlist_enable= YES 開啟用戶作用名單文件功能

以上配置可以拒絕特 定的用戶登錄。打開user_list配置文件，果然anonymous 在列，將其刪除。

[root@hbzj ftptest]# vim /etc/vsftpd/user_list

anonymous

root

………

重新登錄，當客戶端試圖用anonymous 連接時，服務端檢測配置文件發現匿名方式停用，但它沒有在拒絕列表中，所以客戶端瀏覽器不會收到一個拒絕權限的響應，當匿名登錄超時，就自然跳到登錄窗口要求用戶輸入用戶名及密碼了。

在實際應用中，登錄連接成功，但登錄過程緩慢。即便用戶名密碼正確輸入后，認證很久才連上。

故障分析：

圖1 資源管理器方式登錄提示錯誤信息

先在本機通過連接回環地址，發現連接還是比較快的，沒有出現卡頓。通過Ping 測試到FTP 服務的連接狀況，一切正常。換其他客戶端連接，也是出現同樣情況。

整個網絡連通沒有問題，就出在服務器的某項配置上，再 查 看vsftpd.conf 配置沒發現什么異常。

通過抓包信息發現，認證過程中延遲在20 s 左右，這20 s 花在了哪里呢？筆者通過認真查詢vsftpd 主配置文件中參數說明，發現reverse_lookup_enable 參數可能會出現較大的延遲。

關于該參數的注釋信息如圖2 所示。意思是：如果希望VSFTPD 在PAM 身份 驗證之前將IP 地址轉換為主機名，請設置為YES。如果使用pam_訪問（包括主機名），這將非常有用。如果希望VSFTPD 在對某些主機名的反向查找可用且名稱服務器暫時不響應的環境中運行，則應將此設置為“否”以避免性能問題。

默認值：是。

既然默認是YES，而且會嘗試反解析，這里就修改一下。在/etc/vsftpd/vsftpd. conf 文件中增加“reverse_ lookup_enable =NO”，并 重啟VSFTPD 服務后，問題解決。

注意：可以把resolv.conf中的內容清空也能解決這個問題，但會影響到DNS 的解析。

本地用戶登錄后沒有登錄到自己的用戶目錄中。

故障分析：

有一個本地賬戶DHM 信息為dhm:x:1012:1012::/home/dhm:/sbin/nologin

按照正常配置，登錄成功后就轉到自己的家目錄了，但卻跳到了另一個目錄/home/ ftptest，而且試著用另一個本地賬戶登錄，也是同樣轉到該目錄。筆者通過查看本地賬戶配置文件，發現該目錄屬于賬戶ftptest。還是先檢查主配置文件vsftpd.conf，終于找到該賬戶的蹤跡：

圖2 reverse_lookup_enable 參數的注釋信息

guest_username= ftptest

原來之前配置過的虛擬用戶登錄，這項沒有注釋掉。這樣以來，所有登錄賬戶都映射到這個虛擬賬戶上，自然登錄的主目錄就是該賬戶的家目錄了。把此項注釋掉，重啟FTP 服務，故障排除。

登錄出現vsftpd：500 OOPS: vsftpd: refusing to run with writable root inside chroot

在新版本中，VSFTPD 增強了安全檢查，如果用戶被限定在了其主目錄下，則該用戶的主目錄不能再具有寫權限了！如果檢查發現還有寫權限，就會報該錯誤。

方法一：將用戶主目錄去除寫權限。

chmod a-w /home/XX/

但是這樣用戶就不能進行寫操作了。

方法二：在vsftpd.conf中新增“allow_writeable_chroot=YES”配置，允許用戶具有主目錄寫權限，這樣用戶被限定在了主目錄中，并且具有寫權限了。