ftp多用户多目录配置

ftp多用户多目录配置 

测试环境：centos7

1. 装包与卸载

yum -y install vsftpd
yum -y autoremove vsftpd&&rm -rf /etc/vsftpd /etc/pam.d/vsftpd.rpmsave

2. 用户清单配置

不要去动user_list和ftpusers文件，这个是pam的配置，后面会替换整个pam文件，所以一旦修改，会导致一些预期之外的登陆报错。
按此文配置，如果手痒添加了userlist_deny=NO,会导致用户无权访问，哪怕在user_list文件中添加了用户名。
对于centos7上新装包的ftp服务，默认没有此配置，可以不用经行操作，操作了也不会报错，不会改变配置文件。

# sed -i 's/userlist_deny=NO/userlist_deny=YES/g' /etc/vsftpd/vsftpd.conf   #仅供参考，可以不用操作

 

3. 添加用户

useradd vsftpd01 -d /home/vsftpd -s /bin/false

mkdir /home/vsftpd/ftp{1..5}   #ftp目录

chown -R vsftpd01.vsftpd01 /home/vsftpd/&&chmod -R 700 /home/vsftpd/&&chmod 600 /home/vsftpd/

 

 

4. 修改pam文件

如果修改了 virtual_user_list.conf 文件，需要再次执行db_load命令，重新生成virtual_user_list.db文件

此文件保存虚拟用户（ftp登陆用户）名单

cat > /etc/vsftpd/virtual_user_list.conf  <<EOF
ftp1
passwd_ftp1
ftp2
passwd_ftp2
ftp3
passwd_ftp3
ftp4
passwd_ftp4
ftp5
passwd_ftp5EOF

 

 

db_load -T -t hash -f /etc/vsftpd/virtual_user_list.conf /etc/vsftpd/virtual_user_list.db
chmod 600 /etc/vsftpd/virtual_user_list.db 


cat > /etc/pam.d/vsftpd << EOF
auth    sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual_user_list    
account sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/virtual_user_list 
EOF

5. 创建虚拟用户配置文件

配置说明：

包括ftp用户目录对应关系在这里
//设置FTP账号根目录，指定用户访问
local_root=/home/vsftpd/ftp/
//允许写入权限，包括修改
write_enable=YES
//允许匿名用户浏览，下载文件
anon_world_readable_only=NO
//允许匿名用户上传
anon_upload_enable=YES
//允许匿名用户上传/建立目录
anon_mkdir_write_enable=YES
//允许匿名用户具有建立目录，上传之外的权限，如重命名，删除
anon_other_write_enable=YES

mkdir /etc/vsftpd/virtual_user_cfg.d/

 

echo '                     
for i in ftp{1..5}
do
cat > /etc/vsftpd/virtual_user_cfg.d/${i} << EOF
local_root=/home/vsftpd/${i}
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
EOF
done
' > mkuser.sh


sh mkuser.sh 

[root@localhost vsftpd]# ls virtual_user_cfg.d/
ftp1  ftp2  ftp3  ftp4  ftp5
[root@localhost vsftpd]# 

 

6. 调整主配文件

anonymous_enable=NO 禁止匿名用户登录
chroot_local_user=YES 禁止用户访问除主目录以外的目录
ascii_upload_enable=YES  设定支持ASCII模式的上传功能
ascii_download_enable=YES 设定支持ASCII模式的下载功能
guest_enable=YES 启动虚拟用户
guest_username=vsftpd01 虚拟用户使用的系统用户名
user_config_dir=/etc/vsftpd/virtual_user_cfg.d/ 虚拟用户使用的配置文件目录
allow_writeable_chroot=YES 最新版的vsftpd为了安全必须用户主目录没有写权限，才能登录，或者使用allow_writeable_chroot=YES

sed -i 's/^anon/#anon/g' /etc/vsftpd/vsftpd.conf
sed -i -e 's/^ascii_/#ascii_/g' -e 's/^chroot_/#chroot_/g' /etc/vsftpd/vsftpd.conf


cat >> /etc/vsftpd/vsftpd.conf << EOF
anonymous_enable=NO
chroot_local_user=YES
ascii_upload_enable=YES
ascii_download_enable=YES
guest_enable=YES
guest_username=vsftpd01
user_config_dir=/etc/vsftpd/virtual_user_cfg.d/
allow_writeable_chroot=YES
EOF

如果重启服务后无法访问，试试添加chroot_list

echo -e '\n'ftp{1..5} >> /etc/vsftpd/chroot_list; 

 

cat >> /etc/vsftpd/vsftpd.conf << EOF
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
EOF

 

7. 启服务

systemctl restart vsftpd

 8. 配置开机自启

 systemctl enable --now vsftpd

9. 如果无法访问

如果无法访问到ftp服务，可以查看端口通不通，不通则为防火墙限制

可以从客户机上用telnet访问ftp服务器的21端口

telnet 192.168.116.7 21

如果不通，先开通过防火墙

以firewalld为例

firewall-cmd --add-service=ftp --permanent
firewall-cmd --reload

[root@localhost ~]# firewall-cmd --list-service
dhcpv6-client ftp ssh

 

如果端口测试正常，应该可以正常访问到ftp服务，此时若账号登陆异常，先检查selinux状态

如果selinux开着，需保证ftpd_full_access为 on状态

如果有ftp_home_dir 的也需要设置为on

如果selinux已关闭，依然访问异常，基本可以断定是ftp用户配置的问题，请仔细核对ftp虚拟用户配置文件和对应的ftp登陆路径是否存在，权限是否充足

setsebool ftpd_full_access on

 

[root@localhost ~]# getenforce
Enforcing
[root@localhost ~]# getsebool -a|grep ftp
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> on
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_home_dir --> off