一、ftp服务搭建

（一）概述

1.ftp连接及传输模式

（1）控制连接

TCP21，用于发送FTP命令信息

（2）数据连接

TCP20，用于上传、下载数据

（3）数据连接的建立类型

                   主动模式：服务端从20端口主动向客户端发起连接

                   被动模式：服务端在指定范围内某个端口被动等待客户端连接

2.FTP传输模式

（1）文本模式

ASCII模式，以文本序列传输数据

（2）二进制模式

Binary模式，以二进制序列传输数据

3. FTP用户的类型

（1）匿名用户

anonymous或ftp

（2）本地用户

账号名称、密码等信息保存在passwd、shadow文件

（3）虚拟用户

使用独立的账号/密码数据文件

4.常见的FTP服务器程序

IIS、Serv-U

wu-ftpd、Proftpd

vsftpd（Very Secure FTP Daemon）

5.常见的FTP客户端程序

ftp命令

CuteFTP、FlashFXP、LeapFTP、Filezilla

gftp、kuftp

6.Vsftpd软件包

（1）官方站点

http://vsftpd.beasts.org/

（2）主程序

/usr/sbin/vsftpd

（3）服务名

vsftpd

（4）用户控制列表文件

/etc/vsftpd/ftpusers

/etc/vsftpd/user_list

（5）主配置文件

/etc/vsftpd/vsftpd.conf

7.安装后目录解读

解读生成的目录

没有截完！

（1）用户控制列表文件

/etc/vsftpd/ftpusers

/etc/vsftpd/user_list

（2）主配置文件

/etc/vsftpd/vsftpd.conf

（3）利用service启动的执行文件

/etc/rc.d/init.d/vsftpd

（4）ftp用户默认工作目录（宿主目录）

/var/ftp

（5）ftp用户默认登录的目录

/var/ftp/pub

（二）匿名用户访问ftp

1.安装vsftpd

2.修改配置文件

修改的项用红色标注出来了！

3.给相关的目录设置权限

给你想给匿名用户控制访问的目录设置权限！

比如给/var/ftp/pub目录设置777，这样匿名用户就可以在配置文件参数允许的情况下删除文件，创建文件了。

比如，配置文件中有这样一条参数：anon_other_write_enable=NO，那么就算是/var/ftp/pub目录的权限为777，那你也不可能删除其中的东西！

4.启动

service vsftpd start

5.测试

匿名用户登录后，会默认出现在/var/ftp目录，且只能在/var/ftp目录下活动，不能移动到服务器的根目录下！

（1）安装ftp客户端

安装6.5光盘自带的ftp包。

（2）关闭防火墙与selinux

service iptables stop

setenforce 0  （getenforce查看状态）

（3）登录测试

利用本机测试访问：  ftp  192.168.8.116  （192.168.8.116为搭建vsftpd服务的主机IP）

二、本地用户登录

（一）本地用户可以移动到服务器的根目录

不推荐，因为不安全！

1.安装vsftpd

2.修改配置文件

不修改配置文件，直接用原来默认的！

默认起作用的关键是黄色框住的！

3.添加一个用于测试的本地用户（实体用户）并修改密码

4.测试

关闭防火墙与selinux后，安装ftp客户端后再测试！详情见本文匿名用户登录测试小点下！

（1）创建目录测试

其实现在用ftp登录是直接登录到该账户自己本身的默认工作目录的！如果该账户没有默认的工作目录，那么该账户是不能通过ftp登录的！

（2）回到根目录测试

（二）本地用户只能在不能移动到服务器的根目录

1.安装vsftpd

2.修改配置文件

红色框住的参数是控制本地用户是否被束缚在该用户的默认工作目录下的参数！

存在这句，ftp登录的实体用户就不到达根目录！

3.添加一个用于测试的本地用户（实体用户）并修改密码

4.测试

关闭防火墙与selinux后，安装ftp客户端后再测试！详情见本文匿名用户登录测试小点下！

 

（1）安装客户端软件

（2）创建目录测试

（3）移动到其他目录测试

不能移动到其他目录，只能在用户的默认工作目录活动！

（三）仅一部分本地用户可以移动到服务器的根目录

1.安装vsftpd

2.修改配置文件

红色框住的第一行为不允许ftp登录的用户跳转到根目录，

第二行为开启部分用户可以跳转到根目录的功能

第三行为用户列表文件

3.创建用户列表文件

文件内容只有可以跳转到根目录的用户！

比如：

4.添加用户并改密

5.启动

6.测试

（1）安装ftp客户端

（2）切换目录测试

用su登录（su在/etc/vsftpd/chroot_list文件中）

用tang登录

三、虚拟用户登录

（一）所有虚拟用户登录到同一个目录（不设权限）

注意：当允许虚拟用户登录时，就不能实现实体用户登录！！两者不共存！

1.安装vsftpd

2.修改配置文件

配置文件的要求：允许本地用户登录，因为虚拟用户最终是映射到本地用户来登录的。

还有根据情况添加匿名用户的权限！因为虚拟用户登录上去后，权限由匿名用户权限管理！比如：anon_mkdir_write_enable=YES等

添加这三项：

guest_enable=YES

guest_username=su（要映射到的用户）

pam_service_name=vsftpd.vu（vsftpd.vu为后面编写的pam模块的名字）

3.创建实体用户

useradd  -s  /sbin/nologin   su

如果后面测试时，用虚拟用户登录后不能执行ls命令的话，就先将该实体用户的权限设置为757，等可以ls后再将该目录的权限改为755。

修改命令（chmod  -R 757  /home/su）R选项为递归参数！

4.创建虚拟账户文件

用户 密码…的格式

5.将该文件生成数据库文件

[root@sutang vsftpd]# db_load -T -t hash -f vuser.list vusers.db

{---***选项-T允许应用程序能够将文本文件转译载入进数据库。

-t hash使用hash码加密

-f 指定包含用户名和密码文本文件。此文件格式要示：奇数行用户名、偶数行密码***---}

确认该文件类型：

[root@sutang vsftpd]# file vusers.db

vusers.db: Berkeley DB (Hash, version 9, native byte-order)

6.编写pam模块

一般在/etc/pam.d目录下编写！vim  /etc/pam.d/vsftpd.vu

#%PAM-1.0

auth required pam_userdb.so db=/etc/vsftpd/vusers

account required pam_userdb.so db=/etc/vsftpd/vusers

其中vusers是上一步生成的数据库文件的文件名，不要后缀名！！！

7.启动

service vsftpd start

8.测试

虚拟用户默认登录的位置为映射的实体用户的默认工作目录下，而且不能跳到其他位置！

关闭防火墙与selinux后，安装ftp客户端后再测试！详情见本文匿名用户登录测试小点下！

（二）设置各个虚拟用户的权限的ftp

1.修改配置文件

红色框中的内容是要修改的！剩下的保持默认就好！

第一个红框：实体用户的默认权限！（因为虚拟用户映射到实体用户，所以必须给实体用户相应的权限）

第二个红框：虚拟用户和匿名用户的权限设置，这里因为要实现各个虚拟用户的权限不同，就将此全部设置成NO！这里的权限设置相当于全局权限，对所有虚拟用户的权限都有效！

第三个红框：设置虚拟用户的开启、映射的实体用户、使用的pam模块

第四个红框：设置虚拟用户的指定权限文件的目录，在该目录下是一些和虚拟用户用户名同名的文件，这些文件中存放有每一虚拟用户的指定权限！

2.创建实体用户

useradd  -s  /sbin/nologin  su

如果后面测试时，用虚拟用户登录后不能执行ls命令的话，就先将该实体用户的权限设置为757，等可以ls后再将该目录的权限改为755。

3.创建虚拟账户文件

用户 密码…的格式

4.将该文件生成数据库文件

[root@sutang vsftpd]# db_load -T -t hash -f vuser.list vusers.db

确认该文件类型：

[root@sutang vsftpd]# file vusers.db

vusers.db: Berkeley DB (Hash, version 9, native byte-order)

5.编写pam模块

#%PAM-1.0

auth required pam_userdb.so db=/etc/vsftpd/vusers

account required pam_userdb.so db=/etc/vsftpd/vusers

其中vusers是上一步生成的数据库文件的文件名，不要后缀名！！！

6.创建虚拟用户的权限目录并创建权限设置文件

此处的目录的路径一定要和配置文件中的第四个红框内容相同！

mkdir  /etc/vsftpd/vusers_config

进入该目录并创建指定的文件

我在这个目录中创建了aaa这个虚拟用户对应的配置文件，内容如上图！

7.启动

8.测试

aaa虚拟用户登录测试

bbb虚拟用户登录测试

bbb用户没写单独的配置文件，直接用的是主配置文件中的全局权限控制！（详情见配置文件第二个红框）

 

http://blog.51cto.com/yuanbin/129071

 

两种方式建立Vsftpd虚拟用户

 

我们登录FTP有三种方式，匿名登录、本地用户登录和虚拟用户登录。

匿名登录：在登录FTP时使用默认的用户名，一般是ftp或anonymous。

本地用户登录：使用系统用户登录，在/etc/passwd中。

虚拟用户登录：这是FTP专有用户，有两种方式实现虚拟用户，本地数据文件和数据库服务器。

FTP虚拟用户是FTP服务器的专有用户，使用虚拟用户登录FTP，只能访问FTP服务器提供的资源，大大增强了系统的安全。

时时彩源码下载

 

本文实验的Linux系统是CentOS 5 update2

 

一、本地数据文件方式

1. 添加虚拟用户口令文件

 

[root@CentOS5 /]#vi /etc/vsftpd/vftpuser.txt

添加虚拟用户名和密码，一行用户名，一行密码，以此类推。奇数行为用户名，偶数行为密码。

bobyuan #用户名

123456 #密码

markwang #用户名

123456 #密码

 

 

2. 生成虚拟用户口令认证文件

将刚添加的vftpuser.txt虚拟用户口令文件转换成系统识别的口令认证文件。

首先查看系统有没有安装生成口令认证文件所需的软件db4-utils。

 

[root@CentOS5 /]#rpm –qa |grep db4-utils

[root@CentOS5 /]#rpm –ivh db4-utils-4.3.29-9.fc6.i386.rpm

 

时时彩源码下载

下面使用db_load命令生成虚拟用户口令认证文件。

[root@CentOS5 /]#db_load –T –t hash –f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db

 

3. 编辑vsftpd的PAM认证文件

在/etc/pam.d目录下，

[root@CentOS5 /]#vi /etc/pam.d/vsftpd

将里面其他的都注释掉，添加下面这两行：

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vftpuser

account required /lib/security/pam_userdb.so db=/etc/vsftpd/vftpuser

 

 

4. 建立本地映射用户并设置宿主目录权限

所有的FTP虚拟用户需要使用一个系统用户，这个系统用户不需要密码。

[root@CentOS5 /]#useradd –d /home/vftpsite –s /sbin/nologin vftpuser

[root@CentOS5 /]#chmod 700 /home/vftpsite

 

 

5. 配置vsftpd.conf（设置虚拟用户配置项）

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

guest_enable=YES #开启虚拟用户

guest_username=vftpuser #FTP虚拟用户对应的系统用户

pam_service_name=vsftpd #PAM认证文件

 

 

6. 重启vsftpd服务

 

[root@CentOS5 /]#service vsftpd restart

 

7. 测试虚拟用户登录FTP

 

C:\User\Administrator>ftp 192.168.120.240

连接到192.168.120.240。

220 Welcome to BOB FTP server

用户(192.168.120.240(none)):markwang

331 Please specify the password.

密码:

230 Login successful.

 

 

二、数据库服务器（MySQL）方式

1. 安装MySQL

我使用的是Tar包安装的MySQL，版本号：mysql-6.0.8-alpha.tar.gz

具体安装方法，请查看我的另一篇文章“部署LAMP+Discuz！7.0”。

 

2. 建立本地映射用户并设置宿主目录权限

 

[root@CentOS5 /]#useradd –d /home/vftpsite –s /sbin/nologin vftpuser

[root@CentOS5 /]#chmod 700 /home/vftpsite

 

 

3. 配置vsftpd.conf（设置虚拟用户配置项）

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

guest_enable=YES #开启虚拟用户

guest_username=vftpuser #FTP虚拟用户对应的系统用户

pam_service_name=vsftpd #PAM认证文件

 

 

4. 在MySQL中建立用户口令数据库

 

[root@CentOS5 /]#mysql –u root –p

mysql> create database vftpuser;   #建立虚拟用户数据库，库名vftpuser

mysql> use vftpuser;  #进入vftpuser数据库

 

mysql> create table users(name char(16) binary,passwd char(16) binary);  #建立虚拟用户口令表，表名users

 

mysql> insert into users (name,passwd) values ('bobyuan',password('111')); 

mysql>  insert into users (name,passwd) values ('markwang',password('111'));

#建立两个虚拟用户，bobyuan和markwang

注：在这里我用这种方法添加的虚拟用户密码都是经过MySQL加密的，加密后的密码pam-mysql不能识别（MySQL和pam-mysql兼容性有些问题），因此本次实验使用明文保存密码。
添加明文密码：
方法一：单个添加用户
mysql> insert into users (name,passwd) values ('bobyuan', '111');
mysql> insert into users (name,passwd) values ('markwang',‘111');
方法二：批量添加用户
新建vftpuser.txt文件
[root@CentOS5 /]#vi vftpuser.txt
添加用户名和密码，注意字段数据之间要用Tab键隔开。
bobyuan  111
markwang 111
mysql>use vftpuser;
mysql>load data local infile “/vftpuser.txt”into table users;

mysql>flush privileges;

 

mysql> grant select on vftpuser.users to vftpuser@localhost identified by '111111';  #授权vftpuser这个账号可以读取vftpuser数据库的user表

 

5. 验证第4步的设置是否成功

 

[root@CentOS5 /]#mysql –u vftpuser –p

mysql>show databases;

mysql>use vftpuser;

mysql>show tables;

mysql>select * from users;

mysql>quit

如下图：

 

6. 编译MySQL的PAM认证模块

查看/lib/security目录下有没有MySQL对应的PAM模块。

如果没有则下载pam-mysql安装（http://sourceforge.net/projects/pam-mysql），

我下载的是pam_mysql-0.7RC1.tar.gz。

[root@CentOS5 /]#cd /usr/local/src

[root@CentOS5 src]#tar –zxvf pam_mysql-0.7RC1.tar.gz

[root@CentOS5 src]#cd pam_mysql-0.7RC1

[root@CentOS5 pam_mysql-0.7RC1]# ./configure --with-mysql=/usr/local/mysql/ --with-pam-mods-dir=/lib/security/

[root@CentOS5 pam_mysql-0.7RC1]#make

[root@CentOS5 pam_mysql-0.7RC1]#make install

 

 

7. 编辑vsftpd的PAM认证文件

在/etc/pam.d目录下，

 

[root@CentOS5 /]#vi /etc/pam.d/vsftpd

 

将里面其他的都注释掉，添加下面这两行：

auth required pam_mysql.so user=vftpuser passwd=111111 host=localhost db=vftpuser table=users usercolumn=name passwdcolumn=passwd crypt=0

account required pam_mysql.so user=vftpuser passwd=111111 host=localhost db=vftpuser table=users usercolumn=name passwdcolumn=passwd crypt=0

crypt=0：表示口令使用明文方式保存在数据库中
crypt=1：表示口令使用UNIX的DES加密方式加密后保存在数据库中
crypt=2：表示口令使用MySQL的password()函数加密后保存在数据库中
crypt=3：表示口令使用MD5散列值的方式保存在数据库中

 

8. 重启vsftpd服务

 

[root@CentOS5 /]#service vsftpd restart

 

9. 测试虚拟用户登录FTP

C:\User\Administrator>ftp 192.168.120.240

Connected to 192.168.120.240.
220 Welcome to BOB FTP server
User (192.168.120.240:(none)): bobyuan
331 Please specify the password.
Password:
230 Login successful.
ftp> quit
221 Goodbye.

 

三、虚拟用户高级设置

1. virtual_use_local_privs参数

 

当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；

当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。

 

 

 

当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，

anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。

 

2. 建立各个虚拟用户自身的配置文件

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

添加：

user_config_dir=/etc/vsftpd/vsftpd_user_conf

[root@CentOS5 /]#mkdir /etc/vsftpd/vsftpd_user_conf

 

编辑bobyuan的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/bobyuan

添加：

anon_world_readable_only=NO #开放bobyuan的下载权限（只能下载）。注意这个地方千万不能写成YES，否则bobyuan将不能列出文件和目录。

 

编辑markwang的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/markwang

添加：

write_enable=YES #开放markwang的写权限

anon_world_readable_only=NO #开放markwang的下载权限

anon_upload_enable=YES #开放markwang的上传权限

anon_mkdir_write_enable=YES #开放markwang创建目录的权限

anon_other_write_enable=YES #开放markwang删除和重命名的权限

 

四、虚拟用户配置文件（实验）

1. 所有虚拟用户使用统一配置

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

write_enable=YES

anonymous_enable=NO

local_enable=YES

guest_enable=YES

guest_username=vftpuser

virtual_use_local_privs=NO

pam_service_name=vsftpd

anon_world_readable_only=NO #可以下载

anon_upload_enable=NO（默认值） #不能上传

anon_mkdir_write_enable=NO（默认值） #不能新建文件夹

anon_other_write_enable=NO（默认值） #不能删除和重命名文件

ftpd_banner=Welcome to BOB FTP server

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

ascii_upload_enable=YES

ascii_download_enable=YES

tcp_wrappers=NO

setproctitle_enable=YES

listen_port=21

connect_from_port_20=YES

idle_session_timeout=600

data_connection_timeout=120

max_clients=0

max_per_ip=3

local_max_rate=512000

 

2. 各个虚拟用户使用自身配置

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

write_enable=YES

anonymous_enable=NO

local_enable=YES

guest_enable=YES

guest_username=vftpuser

virtual_use_local_privs=NO

pam_service_name=vsftpd

user_config_dir=/etc/vsftpd/vsftpd_user_conf

ftpd_banner=Welcome to BOB FTP server

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

ascii_upload_enable=YES

ascii_download_enable=YES

tcp_wrappers=NO

setproctitle_enable=YES

listen_port=21

connect_from_port_20=YES

idle_session_timeout=600

data_connection_timeout=120

max_clients=0

max_per_ip=3

local_max_rate=512000

 

 

[root@CentOS5 /]#mkdir /etc/vsftpd/vsftpd_user_conf

编辑bobyuan（FTP匿名用户）的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/bobyuan

anon_world_readable_only=NO

编辑ftpadmin（FTP匿名管理员）的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/ftpadmin

anon_world_readable_only=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

 

关于使用MySQL实现虚拟用户的另一篇文章，请参考“Vsftpd FTP服务器-虚拟用户(mysql)和本地用户同时验证”。

 

 

vsftpd虚拟用户和本地用户不能共存

https://www.cnblogs.com/redhatlinux/archive/2012/04/18/2455084.html

 

在配置vsftpd的过程中，听信了网上的谗言，把vsftpd配了一遍，发现配完，虚拟用户和本地用户不能共存，即虚拟用户可以登录ftp，但是本地用户不能登录的ftp。折腾了很久，包括上网找过很多内容都找不到解决方法，大家貌似都没有这样的问题，或者找不到解决办法（在看众多教程中貌似有看到过和本方法一样的配置，但是那份内容里面完全没有提到/etc/pam.d/vsftpd里面为什么要这样写）。在洗澡过程中想了想，既然本地用户无法登录，那应该是pam验证的时候就没有给本地用户过。实验证明人在洗澡的时候是最清醒的时候。哈哈！回来实验，发现如果把/etc/pam.d/vsftpd 中的

auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd

注释掉，然后把里面其它的内容都打开注释（网上大部分教程教建立虚拟用户时，都说把上面两句加入/etc/pam.d/vsftpd中，然后把里面的其它东西注释掉），这时候再尝试，发现本地用户能登录！！！这也证明了是pam模块认证的问题让虚拟用户和本地用户不能共存。所以就去了解了一下pam配置的内容，如下网址：

http://www.ibm.com/developerworks/cn/linux/l-pam/

里面提到：
Required：堆栈中的所有 Required 模块必须看作一个成功的结果。如果一个或多个 Required 模块失败，则实现堆栈中的所有 Required 模块，但是将返回第一个错误。

也就意味着，required需要所有内容都满足才行，当我们前两条配置虚拟用户登录验证通过后，继续向下面的配置条目进行验证，验证是否是本地用户时结果发现不是，又因为，验证本地用户的control_flag(见上网址中解释)也为required，所以这时候，就会返回错误，也即验证不成功。

所以我们不能同时设置虚拟用户和本地用户的control_flag为required。按照上面的网址所说：
Sufficient：如果标记为 sufficient 的模块成功并且先前没有 Required 或 sufficient 模块失败，则忽略堆栈中的所有其余模块并返回成功。

我们可以把虚拟用户的验证配置放在最前面，且把control_flag设为sufficient。这样的话，如果遇到是虚拟用户，那么可以通过验证，如果是本地用户，忽略掉sufficient的两条配置规则，只要满足required就行，所以也能通过验证。

如下为/etc/pam.d/vsftpd的内容：
#%PAM-1.0
auth sufficient pam_userdb.so db=/etc/vsftpd/vuser_passwd
account sufficient pam_userdb.so db=/etc/vsftpd/vuser_passwd

session optional pam_keyinit.so force revoke
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth required pam_shells.so
auth include password-auth
account include password-auth
session required pam_loginuid.so
session include password-auth

上面两行为后面加上，虚拟用户pam认证需要的配置条目，下面为原来vsftpd的认证配置规则，可以看到，本地用户用的是password-auth，从这里可以看出如果要虚拟用户和本地用户共存，两部分都不能注释。网上说的注释掉下面的部分，这种情况本地用户都不能登录。
 

P.S.这段时间一直在忙，自己私下里学的一些东西没时间放到CSDN上，这次就一下子放上来吧。

---

目录

搭建FTP示例(虚拟用户)

第一步：安装FTP服务端

第二步：安装PAM

第三步：创建虚拟用户，并配置相关PAM

第四步：编写配置文件

第五步：开放FTP对应的端口

第六步：修改selinux

第七步：启动(或重启)FTP服务

第八步：访问测试一下

---

环境说明：
        1、CentOS7虚拟机
        2、vsftpd版本：vsftpd-3.0.2-25.el7.x86_64

---

搭建FTP示例(虚拟用户)

第一步：安装FTP服务端

可详见：https://blog.csdn.net/justry_deng/article/details/87966318。

第二步：安装PAM

说明：虚拟用户使用PAM认证方式进行认证，所以要先确保安装有PAM。

相关指令有(简述):

指令	说明
rpm -qa | grep pam	检查是否安装有pam
yum install pam* libdb-utils libdb* -y	安装pam

第三步：创建虚拟用户，并配置相关PAM

第一小步：新建一个.txt文件，里面写要创建的 虚拟用户的用户名 以及 该用户的密码。

注：内容格式为：单行为用户名，双行为对应用户的密码。这里用户即为“JustryDeng”，密码即为“dengshuai”。

第二小步：使用db_load -T -t hash -f xxxA.txt xxxB.db指令，生成.db数据库文件，如:

第三小步：使用指令chmod 700 /etc/vsftpd/virtual_users.db修改xxxB.db文件权限(保证所有者可读、
                  可写、可执行)，如:

注：700代表:百位代表所有者的权限；十位代表组的权限，各位代表其他人的权限。其中可读r对应的值为4，
        可写w对应的值为2,可执行x对应的值为1。用法如：读+写+执行=4+2+1=7。

第四小步：修改/etc/pam.d/vsftpd的内容为(原文不要删，注释掉即可)：

auth        required    /lib64/security/pam_userdb.so db=/etc/vsftpd/xxx
account     required    /lib64/security/pam_userdb.so db=/etc/vsftpd/xxx

注：其中xxx为本大步中第二小步生成的.db文件的文件名(不含后缀)。

如:

注：/etc/pam.d/vsftpd文件中原来的内容别删(如果有备份的话，删除掉也没事)，先注释掉即可。虚拟用户、匿名用
       户连接FTP时不需要原来的内容，但是本地用户连接FTP时，就会用到原来的内容，所以需要保证原来的内容
       能被追回，以备不时之需。

第五小步：使用指令useradd  -s /sbin/nologin xxx创建一个xxx用户，用来映射虚拟用户。

如:

注：这里创建了一个不允许登录，但是可以用来使用FTP服务的名为ftpuser的用户。

更多设置：

虚拟用户设置
注：虚拟用户使用PAM认证方式。
pam_service_name=vsftpd	设置PAM使用的名称，默认值为vsftpd，对应/etc/pam.d/vsftpd文件。
guest_enable=YES/NO	启用虚拟用户。默认值为NO。
guest_username=ftp	这里用来映射虚拟用户。默认值为ftp。
virtual_use_local_privs=YES/NO	当该参数激活（YES）时，虚拟用户使用与本地用户相同的权限。当此参数关闭（NO）时，虚拟用户使用与匿名用户相同的权限。默认情况下此参数是关闭的（NO）。

第四步：编写配置文件

第一小步：编写核心通用配置文件/etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
guest_enable=YES
guest_username=ftpuser
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/virtual_users_conf
chroot_local_user=YES
chroot_list_enable=NO
allow_writeable_chroot=YES

注：FTP配置文件中只配置了读、写，没配置删除、重命名等其它选项，更多配置可详
       见https://blog.csdn.net/justry_deng/article/details/87966877。

注：其中guest_username即为指定虚拟用户的本地用户映射对象是ftpuser，更多配置可详
       见https://blog.csdn.net/justry_deng/article/details/87966877。

注：虚拟账户其实也是映射的本地账户，所以对本地账户的一些必要配置也不能少。

注：由于可能会有多个虚拟账户，所以这里我们采用个性化配置的方式。如：用户abc登录FTP，那么除了加
       载/etc/vsftpd/vsftpd.conf核心配置文件外，还会加载user_config_dir指向的目录下的名为abc的文件(此文
       件无后缀名)作为额外的配置文件；进而达到个性化配置的目的。

注：【chroot_local_user=YES】、【chroot_list_enable=NO】、【allow_writeable_chroot=YES】此三条选项，作用
         是：将用户定死在其对应的文件夹目录下，使其不能切换至上级目录、其他位置保证安全性；需要注意的是：这
          三个配置只能写在/etc/vsftpd/vsftpd.conf中，不能写进个性化配置文件中，否者无效。
          追注：访问控制本身就提供了一套完善的个性化措施(可详见
                     https://blog.csdn.net/justry_deng/article/details/87966877。)，其核心的几个配置必须放在FTP的主配
                     置文件/etc/vsftpd/vsftpd.conf中。更多配置

第二小步：编写个性化配置文件

如：user_config_dir指向的目录为/etc/vsftpd/virtual_users_conf，前面创建的虚拟用户的用户名为JustryDeng，那么个性化配置文件的全路径名为/etc/vsftpd/virtual_users_conf/JustryDeng，如下图黄色框内所示。

注：如果个性化文件里面有涉及到了其他的文件夹，那么需要保证该文件夹存在，无则创建，
       如：mkdir -p /var/ftpusers/justry_deng_root。
       追注：-p的作用是，如果有必要的话会创建相关的文件夹。

第三小步：保证虚拟用户有相应目录的权限

说明：本例中，虚拟用户映射的本地用户是ftpuser,所以只需要保证ftpuser有相关文件夹目录的权限即可。这里设置：
          1、目录(及里面的内容)的所有者：chown -R ftpuser /var/ftpusers
          2、目录(及里面的内容)的操作权限：chmod -R 764 /var/ftpusers

注：此处与上一篇博客本地用户对应位置的权限配置一个道理，可详见
        https://blog.csdn.net/justry_deng/article/details/87967861对应位置处的说明。

第五步：开放FTP对应的端口(关闭防火墙也是可以的，但我们一般都不这么做)

相关指令有(简述)：

指令	说明
firewall-cmd --zone=public --list-ports	查看所有开放的端口
firewall-cmd --zone=public --add-port=xxx/tcp --permanent	开放端口xxx
firewall-cmd --reload	重新加载防火墙
systemctl stop firewalld.service	关闭firewall防火墙
systemctl disable firewalld.service	禁止firewall防火墙开机启动
firewall-cmd --state	查看默认防火墙状态（关闭后显示not running，开启后显示running）

第六步：修改selinux

使用getsebool -a | grep ftp指令查看selinux对ftp的权限管理：

发现最关键的ftpd_full_access项和tftp_home_dir项是关闭了的，这时我们需要使用setsebool -P allow_ftpd_full_access on指令和setsebool -P tftp_home_dir on指令来分别开启ftpd_full_access和tftp_home_dir，开启后再查看如图所示：

注：其它的选项可根据实际情况来进行设置。

注：上述指令是永久有效的(即:关机重启后仍然有效)，如果只是想临时改一下(重启后会失效)，那么只需要将上述
        指令去掉-P参数即可，如:

提示：如果想关闭，只需要将指令中对应的on改为off即可。

与selinux的相关的指令还有：

指令	说明
getsebool -a | grep ftp	查看selinux对ftp的权限管理
setsebool -P allow_ftpd_full_access on	永久开启ftpd_full_access 注：重启后仍然有效
setsebool -P tftp_home_dir on	永久开启tftp_home_dir 注：重启后仍然有效
setsebool allow_ftpd_full_access on	临时开启ftpd_full_access 注：重启后失效
setsebool tftp_home_dir on	临时开启tftp_home_dir 注：重启后失效
SELinux的打开与关闭
getenforce	查看SELinux的状态 注：Permissive说明SELinux是关闭了的，Enforcing说明SELinux是开启了的
setenforce 0	临时关闭SELinux 注：重启后失效
setenforce 1	临时打开SELinux 注：重启后失效
vim /etc/sysconfig/selinux，将SELINUX=enforcing改为SELINUX=disabled	永久关闭SELinux 注：重启系统后生效(手动重启或使用reboot指令重启)
vim /etc/sysconfig/selinux，将SELINUX=disabled改为SELINUX=enforcing	永久开启SELinux 注：重启系统后生效(手动重启或使用reboot指令重启)

第七步：启动(或重启)FTP服务

相关指令有(简述)：

指令	说明
/bin/systemctl start vsftpd.service	启动FTP
/bin/systemctl restart vsftpd.service	重启FTP
/bin/systemctl status vsftpd.service	查看FTP服务的状态

注：更多指令、指令细节可详见https://blog.csdn.net/justry_deng/article/details/87966318。

第八步：访问测试一下

本人的在/var/ftpusers/justry_deng_root/目录下放置了一个文件“Kafka权威指南.pdf”：

浏览器访问ftp://ip地址/时，会提示输入账号密码,输入后，就能进去了：

 

声明一：此文为学习笔记。

声明二：此笔记是本人2019年2月上中旬所记，期间参考了一些博客、资料、书籍，甚是遗憾记不住参考了哪些的了。
               如若涉及侵权，请及时联系本人。

^_^ 如有不当之处，欢迎指正

^_^ 本文已经被收录进《程序员成长笔记(四)》，笔者JustryDeng