在linux下最多可以设置60000个用户，那么如何管理几十万几百万甚至几千万的用户呢？这里就用到了虚拟用户。

一.虚拟用户：

服务端：

1.getenforce   设置为disable,配置文件为/etc/sysconfig/selinux，修改完之后必须重启，因为它是内核级的，必须重启才能重新加载。





重启



已经设置为了disabled


2.yum install vsftpd lftp -y  自动安装vsftp服务和lftp




3.开启使能vsftpd服务，火墙设置,在这里，因为我是内网，比较安全，所以我关掉了火墙，在平时可以给火墙添加认证过的服务，可以让该服务安全通过火墙。比如ftp服务：firewall-cmd --permanent --add-service=ftp,然后firewall-cmd --reload重装载防火墙


4.cd /etc/vsftpd
5.vim loginusers   创建虚拟用户文件,一行用户一行密码



虚拟用户：user1  密码：123    ； 虚拟用户：user2  密码：123  ；  虚拟用户：user3  密码：123


6.db_load -T -t hash -f loginusers loginusers.db   哈希加密


7.vim /etc/pam.d/westos   验证文件  格式:账户  验证帐号  验证密码  db  验证密码文件

account    required     pam_userdb.so   db=/etc/vsftpd/loginusers

auth  .....................................


8.vim /etc/vsftpd/vsftpd.conf  配置vsftp文件   （以下125 126 127均为行号，不用写，也可以不用写在这三行，写在别处也可以，但必须是此文件下）

  125  pam_service_name=westos   指向验证文件

  126  guest_enable=YES          开启虚拟用户，默认lftp登陆，进入pub目录

  127  guest_username=liming    登陆lftp进入liming的家目录下。如果不写这一句，那么用户都是以lftp登陆到pub目录的。注意：这里的用户必须存在，且家目录权限不能过大，一般为555。

配置完成后重启vsftp服务





客户端：

  lftp 172.25.254.116 -u user1,可以看到用户liming的家目录下的文件，如果可以进，但看不到家目录下的文件，首先要看是不是selinux没关，其次是不是家目录不正确，最后可能就是没有读的权限了



二.虚拟用户的家目录

给每个虚拟用户创建家目录

1.配置vsftpd.conf   vim /etc/vsftpd/vsftpd.conf

   local_root=/ftphome/$USER

   user_sub_token=$USER


2.创建目录

  mkdir -p /ftphome/user{1..3}

  mkdir -p /ftphome/user1/user1dir

  mkdir -p /ftphome/user2/user2dir

  mkdir -p /ftphome/user3/user3dir

  chmod 777 /ftphome/user*/*


3.客户端测试：lftp.... 



三.虚拟用户上传文件的权限设置

如果只想让用户user1有上传文件的权限，而不让其他用户有上传文件的权限

1.mkdir /etc/vsftpd/user_conf     在/etc/vsftpd/下创建一个目录

  touch /etc/vsftpd/user_conf/user1   此文件名称与用户名称对应

  vim /etc/vsftpd/user_conf/user1   在user1下写入：

   anon_upload_enable=YES             只允许user1可以上传文件




2.进入vsftpd服务的配置文件,把上传文件的功能隐掉。

  vim /etc/vsftpd/vsftpd.conf

   #anon_upload_enable=YES

 然后在加上  user_config_dir=/etc/vsftpd/user_conf   指向刚才创建的目录，目录名须一致.




客户端测试：lftp ......


 

http://blog.51cto.com/yuanbin/129071

 

两种方式建立Vsftpd虚拟用户

 

我们登录FTP有三种方式，匿名登录、本地用户登录和虚拟用户登录。

匿名登录：在登录FTP时使用默认的用户名，一般是ftp或anonymous。

本地用户登录：使用系统用户登录，在/etc/passwd中。

虚拟用户登录：这是FTP专有用户，有两种方式实现虚拟用户，本地数据文件和数据库服务器。

FTP虚拟用户是FTP服务器的专有用户，使用虚拟用户登录FTP，只能访问FTP服务器提供的资源，大大增强了系统的安全。

时时彩源码下载

 

本文实验的Linux系统是CentOS 5 update2

 

一、本地数据文件方式

1. 添加虚拟用户口令文件

 

[root@CentOS5 /]#vi /etc/vsftpd/vftpuser.txt

添加虚拟用户名和密码，一行用户名，一行密码，以此类推。奇数行为用户名，偶数行为密码。

bobyuan #用户名

123456 #密码

markwang #用户名

123456 #密码

 

 

2. 生成虚拟用户口令认证文件

将刚添加的vftpuser.txt虚拟用户口令文件转换成系统识别的口令认证文件。

首先查看系统有没有安装生成口令认证文件所需的软件db4-utils。

 

[root@CentOS5 /]#rpm –qa |grep db4-utils

[root@CentOS5 /]#rpm –ivh db4-utils-4.3.29-9.fc6.i386.rpm

 

时时彩源码下载

下面使用db_load命令生成虚拟用户口令认证文件。

[root@CentOS5 /]#db_load –T –t hash –f /etc/vsftpd/vftpuser.txt /etc/vsftpd/vftpuser.db

 

3. 编辑vsftpd的PAM认证文件

在/etc/pam.d目录下，

[root@CentOS5 /]#vi /etc/pam.d/vsftpd

将里面其他的都注释掉，添加下面这两行：

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vftpuser

account required /lib/security/pam_userdb.so db=/etc/vsftpd/vftpuser

 

 

4. 建立本地映射用户并设置宿主目录权限

所有的FTP虚拟用户需要使用一个系统用户，这个系统用户不需要密码。

[root@CentOS5 /]#useradd –d /home/vftpsite –s /sbin/nologin vftpuser

[root@CentOS5 /]#chmod 700 /home/vftpsite

 

 

5. 配置vsftpd.conf（设置虚拟用户配置项）

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

guest_enable=YES #开启虚拟用户

guest_username=vftpuser #FTP虚拟用户对应的系统用户

pam_service_name=vsftpd #PAM认证文件

 

 

6. 重启vsftpd服务

 

[root@CentOS5 /]#service vsftpd restart

 

7. 测试虚拟用户登录FTP

 

C:\User\Administrator>ftp 192.168.120.240

连接到192.168.120.240。

220 Welcome to BOB FTP server

用户(192.168.120.240(none)):markwang

331 Please specify the password.

密码:

230 Login successful.

 

 

二、数据库服务器（MySQL）方式

1. 安装MySQL

我使用的是Tar包安装的MySQL，版本号：mysql-6.0.8-alpha.tar.gz

具体安装方法，请查看我的另一篇文章“部署LAMP+Discuz！7.0”。

 

2. 建立本地映射用户并设置宿主目录权限

 

[root@CentOS5 /]#useradd –d /home/vftpsite –s /sbin/nologin vftpuser

[root@CentOS5 /]#chmod 700 /home/vftpsite

 

 

3. 配置vsftpd.conf（设置虚拟用户配置项）

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

guest_enable=YES #开启虚拟用户

guest_username=vftpuser #FTP虚拟用户对应的系统用户

pam_service_name=vsftpd #PAM认证文件

 

 

4. 在MySQL中建立用户口令数据库

 

[root@CentOS5 /]#mysql –u root –p

mysql> create database vftpuser;   #建立虚拟用户数据库，库名vftpuser

mysql> use vftpuser;  #进入vftpuser数据库

 

mysql> create table users(name char(16) binary,passwd char(16) binary);  #建立虚拟用户口令表，表名users

 

mysql> insert into users (name,passwd) values ('bobyuan',password('111')); 

mysql>  insert into users (name,passwd) values ('markwang',password('111'));

#建立两个虚拟用户，bobyuan和markwang

注：在这里我用这种方法添加的虚拟用户密码都是经过MySQL加密的，加密后的密码pam-mysql不能识别（MySQL和pam-mysql兼容性有些问题），因此本次实验使用明文保存密码。
添加明文密码：
方法一：单个添加用户

mysql> insert into users (name,passwd) values ('bobyuan', '111');

mysql> insert into users (name,passwd) values ('markwang',‘111');
方法二：批量添加用户

新建vftpuser.txt文件

[root@CentOS5 /]#vi vftpuser.txt

添加用户名和密码，注意字段数据之间要用Tab键隔开。

bobyuan  111

markwang 111

mysql>use vftpuser;

mysql>load data local infile “/vftpuser.txt”into table users;

mysql>flush privileges;

 

mysql> grant select on vftpuser.users to vftpuser@localhost identified by '111111';  #授权vftpuser这个账号可以读取vftpuser数据库的user表

 

5. 验证第4步的设置是否成功

 

[root@CentOS5 /]#mysql –u vftpuser –p

mysql>show databases;

mysql>use vftpuser;

mysql>show tables;

mysql>select * from users;

mysql>quit

如下图：



 

6. 编译MySQL的PAM认证模块

查看/lib/security目录下有没有MySQL对应的PAM模块。



如果没有则下载pam-mysql安装（http://sourceforge.net/projects/pam-mysql），

我下载的是pam_mysql-0.7RC1.tar.gz。

[root@CentOS5 /]#cd /usr/local/src

[root@CentOS5 src]#tar –zxvf pam_mysql-0.7RC1.tar.gz

[root@CentOS5 src]#cd pam_mysql-0.7RC1

[root@CentOS5 pam_mysql-0.7RC1]# ./configure --with-mysql=/usr/local/mysql/ --with-pam-mods-dir=/lib/security/

[root@CentOS5 pam_mysql-0.7RC1]#make

[root@CentOS5 pam_mysql-0.7RC1]#make install

 

 

7. 编辑vsftpd的PAM认证文件

在/etc/pam.d目录下，

 

[root@CentOS5 /]#vi /etc/pam.d/vsftpd

 

将里面其他的都注释掉，添加下面这两行：

auth required pam_mysql.so user=vftpuser passwd=111111 host=localhost db=vftpuser table=users usercolumn=name passwdcolumn=passwd crypt=0

account required pam_mysql.so user=vftpuser passwd=111111 host=localhost db=vftpuser table=users usercolumn=name passwdcolumn=passwd crypt=0

crypt=0：表示口令使用明文方式保存在数据库中

crypt=1：表示口令使用UNIX的DES加密方式加密后保存在数据库中

crypt=2：表示口令使用MySQL的password()函数加密后保存在数据库中

crypt=3：表示口令使用MD5散列值的方式保存在数据库中

 

8. 重启vsftpd服务

 

[root@CentOS5 /]#service vsftpd restart

 

9. 测试虚拟用户登录FTP

C:\User\Administrator>ftp 192.168.120.240

Connected to 192.168.120.240.

220 Welcome to BOB FTP server

User (192.168.120.240:(none)): bobyuan

331 Please specify the password.

Password:

230 Login successful.

ftp> quit

221 Goodbye.

 

三、虚拟用户高级设置

1. virtual_use_local_privs参数

 

当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；

当virtual_use_local_privs=NO时，虚拟用户和匿名用户有相同的权限，默认是NO。

 

 

 

当virtual_use_local_privs=YES，write_enable=YES时，虚拟用户具有写权限（上传、下载、删除、重命名）。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=YES，

anon_upload_enable=YES时，虚拟用户不能浏览目录，只能上传文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=NO时，虚拟用户只能下载文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_upload_enable=YES时，虚拟用户只能上传和下载文件，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_mkdir_write_enable=YES时，虚拟用户只能下载文件和创建文件夹，无其他权限。

 

 

当virtual_use_local_privs=NO，write_enable=YES，anon_world_readable_only=NO，

anon_other_write_enable=YES时，虚拟用户只能下载、删除和重命名文件，无其他权限。

 

2. 建立各个虚拟用户自身的配置文件

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

添加：

user_config_dir=/etc/vsftpd/vsftpd_user_conf

[root@CentOS5 /]#mkdir /etc/vsftpd/vsftpd_user_conf

 

编辑bobyuan的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/bobyuan

添加：

anon_world_readable_only=NO #开放bobyuan的下载权限（只能下载）。注意这个地方千万不能写成YES，否则bobyuan将不能列出文件和目录。

 

编辑markwang的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/markwang

添加：

write_enable=YES #开放markwang的写权限

anon_world_readable_only=NO #开放markwang的下载权限

anon_upload_enable=YES #开放markwang的上传权限

anon_mkdir_write_enable=YES #开放markwang创建目录的权限

anon_other_write_enable=YES #开放markwang删除和重命名的权限

 

四、虚拟用户配置文件（实验）

1. 所有虚拟用户使用统一配置

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

write_enable=YES

anonymous_enable=NO

local_enable=YES

guest_enable=YES

guest_username=vftpuser

virtual_use_local_privs=NO

pam_service_name=vsftpd

anon_world_readable_only=NO #可以下载

anon_upload_enable=NO（默认值） #不能上传

anon_mkdir_write_enable=NO（默认值） #不能新建文件夹

anon_other_write_enable=NO（默认值） #不能删除和重命名文件

ftpd_banner=Welcome to BOB FTP server

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

ascii_upload_enable=YES

ascii_download_enable=YES

tcp_wrappers=NO

setproctitle_enable=YES

listen_port=21

connect_from_port_20=YES

idle_session_timeout=600

data_connection_timeout=120

max_clients=0

max_per_ip=3

local_max_rate=512000

 

2. 各个虚拟用户使用自身配置

 

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd.conf

write_enable=YES

anonymous_enable=NO

local_enable=YES

guest_enable=YES

guest_username=vftpuser

virtual_use_local_privs=NO

pam_service_name=vsftpd

user_config_dir=/etc/vsftpd/vsftpd_user_conf

ftpd_banner=Welcome to BOB FTP server

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

ascii_upload_enable=YES

ascii_download_enable=YES

tcp_wrappers=NO

setproctitle_enable=YES

listen_port=21

connect_from_port_20=YES

idle_session_timeout=600

data_connection_timeout=120

max_clients=0

max_per_ip=3

local_max_rate=512000

 

 

[root@CentOS5 /]#mkdir /etc/vsftpd/vsftpd_user_conf

编辑bobyuan（FTP匿名用户）的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/bobyuan

anon_world_readable_only=NO

编辑ftpadmin（FTP匿名管理员）的配置文件

[root@CentOS5 /]#vi /etc/vsftpd/vsftpd_user_conf/ftpadmin

anon_world_readable_only=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

 

关于使用MySQL实现虚拟用户的另一篇文章，请参考“Vsftpd FTP服务器-虚拟用户(mysql)和本地用户同时验证”。

 

 

vsftpd虚拟用户和本地用户不能共存

https://www.cnblogs.com/redhatlinux/archive/2012/04/18/2455084.html

 

在配置vsftpd的过程中，听信了网上的谗言，把vsftpd配了一遍，发现配完，虚拟用户和本地用户不能共存，即虚拟用户可以登录ftp，但是本地用户不能登录的ftp。折腾了很久，包括上网找过很多内容都找不到解决方法，大家貌似都没有这样的问题，或者找不到解决办法（在看众多教程中貌似有看到过和本方法一样的配置，但是那份内容里面完全没有提到/etc/pam.d/vsftpd里面为什么要这样写）。在洗澡过程中想了想，既然本地用户无法登录，那应该是pam验证的时候就没有给本地用户过。实验证明人在洗澡的时候是最清醒的时候。哈哈！回来实验，发现如果把/etc/pam.d/vsftpd 中的


auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd

account required pam_userdb.so db=/etc/vsftpd/vuser_passwd


注释掉，然后把里面其它的内容都打开注释（网上大部分教程教建立虚拟用户时，都说把上面两句加入/etc/pam.d/vsftpd中，然后把里面的其它东西注释掉），这时候再尝试，发现本地用户能登录！！！这也证明了是pam模块认证的问题让虚拟用户和本地用户不能共存。所以就去了解了一下pam配置的内容，如下网址：

http://www.ibm.com/developerworks/cn/linux/l-pam/


里面提到：

Required：堆栈中的所有 Required 模块必须看作一个成功的结果。如果一个或多个 Required 模块失败，则实现堆栈中的所有 Required 模块，但是将返回第一个错误。


也就意味着，required需要所有内容都满足才行，当我们前两条配置虚拟用户登录验证通过后，继续向下面的配置条目进行验证，验证是否是本地用户时结果发现不是，又因为，验证本地用户的control_flag(见上网址中解释)也为required，所以这时候，就会返回错误，也即验证不成功。


所以我们不能同时设置虚拟用户和本地用户的control_flag为required。按照上面的网址所说：

Sufficient：如果标记为 sufficient 的模块成功并且先前没有 Required 或 sufficient 模块失败，则忽略堆栈中的所有其余模块并返回成功。


我们可以把虚拟用户的验证配置放在最前面，且把control_flag设为sufficient。这样的话，如果遇到是虚拟用户，那么可以通过验证，如果是本地用户，忽略掉sufficient的两条配置规则，只要满足required就行，所以也能通过验证。


如下为/etc/pam.d/vsftpd的内容：

#%PAM-1.0

auth sufficient pam_userdb.so db=/etc/vsftpd/vuser_passwd

account sufficient pam_userdb.so db=/etc/vsftpd/vuser_passwd


session optional pam_keyinit.so force revoke

auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

auth required pam_shells.so

auth include password-auth

account include password-auth

session required pam_loginuid.so

session include password-auth


上面两行为后面加上，虚拟用户pam认证需要的配置条目，下面为原来vsftpd的认证配置规则，可以看到，本地用户用的是password-auth，从这里可以看出如果要虚拟用户和本地用户共存，两部分都不能注释。网上说的注释掉下面的部分，这种情况本地用户都不能登录。

 

1.安装vsftpd
安装依赖包：


yum -y install pam pam-devel db4 de4-devel db4-uitls db4-tcl

新建vsftpd系统用户：



#建立Vsftpd服务的宿主用户
useradd vsftpd -M -s /sbin/nologin
#建立Vsftpd虚拟宿主用户
useradd ftpvload -M -s /sbin/nologin

安装vsftpd



yum -y install vsftpd

2.配置vsftpd


cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.back

2.1 修改vsftpd.conf配置文件
主要是下面的一些配置：


anonymous_enable=NO
#设定不允许匿名访问
local_enable=YES
#设定本地用户可以访问。注意：主要是为虚拟宿主用户，如果该项目设定为NO那么所有虚拟用户将无法访问。
write_enable=YES
#设定可以进行写操作。
local_umask=022
#设定上传后文件的权限掩码。
anon_upload_enable=NO
#禁止匿名用户上传。
anon_mkdir_write_enable=NO
#禁止匿名用户建立目录。
dirmessage_enable=YES
#设定开启目录标语功能。
xferlog_enable=YES
#设定开启日志记录功能。
connect_from_port_20=YES
#设定端口20进行数据连接。
chown_uploads=NO
#设定禁止上传文件更改宿主。
xferlog_file=/var/log/vsftpd.log
#设定Vsftpd的服务日志保存路径。注意，该文件默认不存在。必须要手动touch出来，并且由于这里更改了Vsftpd的服务宿主用户为手动建立的Vsftpd。必须注意给与该用户对日志的写入权限，否则服务将启动失败。
xferlog_std_format=YES
#设定日志使用标准的记录格式。
async_abor_enable=YES
#设定支持异步传输功能。
ascii_upload_enable=YES
ascii_download_enable=YES
#设定支持ASCII模式的上传和下载功能。
ftpd_banner=This Vsftp server supports virtual users ^_^
#设定Vsftpd的登陆标语。
chroot_list_enable=NO
#禁止用户登出自己的FTP主目录。
ls_recurse_enable=NO
#禁止用户登陆FTP后使用"ls -R"的命令。该命令会对服务器性能造成巨大开销。如果该项被允许，那么当多用户同时使用该命令时将会对该服务器造成威胁。
listen=YES
#设定该Vsftpd服务工作在StandAlone模式下。
pam_service_name=vsftpd #设定PAM服务下Vsftpd的验证配置文件名。因此，PAM验证将参考/etc/pam.d/下的vsftpd文件配置。
userlist_enable=YES
#设定userlist_file中的用户将不得使用FTP。
tcp_wrappers=YES
#设定支持TCP Wrappers
#以下这些是关于Vsftpd虚拟用户支持的重要配置项目。默认Vsftpd.conf中不包含这些设定项目，需要自己手动添加配置
guest_enable=YES
#设定启用虚拟用户功能。
guest_username=ftpvload
#指定虚拟用户的宿主用户。
virtual_use_local_privs=YES
#设定虚拟用户的权限符合他们的宿主用户。
user_config_dir=/etc/vsftpd/vconf
#设定虚拟用户个人Vsftp的配置文件存放路径。也就是说，这个被指定的目录里，将存放每个Vsftp虚拟用户个性的配置文件，一个需要注意的地方就是这些配置文件名必须和虚拟用户名相同。

建立Vsftpd的日志文件，并更该属主为Vsftpd的服务宿主用户：

touch /var/log/vsftpd.log
chown vsftpd.vsftpd /var/log/vsftpd.log





2.2 虚拟用户配置


创建虚拟用户配置文件存放路径

mkdir /etc/vsftpd/vconf/ -pv
制作虚拟用户数据库文件




touch /etc/vsftpd/virtusers

新建一个测试用虚拟用户



vim /etc/vsftpd/virtusers

编辑这个虚拟用户名单文件，在其中加入用户的用户名和口令信息。格式很简单：“奇数行用户名，偶数行口令”。
virtusers文件格式如下：



test     #用户名
test1234 #用户密码

生成虚拟用户数据文件：




db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

需要特别注意的是，以后再要添加虚拟用户的时候，只需要按照“一行用户名，一行口令”的格式将新用户名和口令添加进虚拟用户名单文件。但是光这样做还不够，这样是不会生效的！还要再执行一遍“ db_load -T -t hash -f 虚拟用户名单文件 虚拟用户数据库文件.db ”的命令使其生效才可以！



2.3 设置认证文件PAM

在编辑前做好备份：




cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup


编辑Vsftpd的PAM验证配置文件，把原来的配置文件全部注释掉（不注释掉虚拟用户会登录不上），添加如下行




#vim /etc/pam.d/vsftpd
auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers

#以上两条是手动添加的，内容是对虚拟用户的安全和帐户权限进行验证。
这里的auth是指对用户的用户名口令进行验证。
这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。
其后的sufficient表示充分条件，也就是说，一旦在这里通过了验证，那么也就不用经过下面剩下的验证步骤了。相反，如果没有通过的话，也不会被系统立即挡之门外，因为sufficient的失败不决定整个验证的失败，意味着用户还必须将经历剩下来的验证审核。
再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。



2.4 虚拟用户配置

规划好虚拟用户的主路径：





mkdir /var/ftp/virtual

建立测试用户的FTP用户目录：




mkdir /var/ftp/virtual/test1


更改虚拟用户的主目录的属主为虚拟宿主用户：




chown -R ftpvload.ftpvload /var/ftp/virtual/

建立虚拟用户配置文件模版：



vi /etc/vsftpd/vconf/vconf.tmp

vconf.tmp内容如下：



local_root=/var/ftp/virtual/test1
#指定虚拟用户的具体主路径
anonymous_enable=NO
#设定不允许匿名用户访问
write_enable=YES
#设定允许写操作
local_umask=022
#设定上传文件权限掩码
anon_upload_enable=NO
#设定不允许匿名用户上传
anon_mkdir_write_enable=NO
#设定不允许匿名用户建立目录
idle_session_timeout=600
#设定空闲连接超时时间
data_connection_timeout=120
#设定单次连续传输最大时间
max_clients=10
#设定并发客户端访问个数
max_per_ip=5
#设定单个客户端的最大线程数，这个配置主要来照顾Flashget、迅雷等多线程下载软件
local_max_rate=50000
#设定该用户的最大传输速率，单位b/s

测试用户复制配置模板



cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/test






vim /etc/vsftpd/vconf/test

3.测试配置
使用ftp连接之后，测试情况如下




4.自动脚本
4.1 自动安装配置



#!/bin/bash
#date:2017-05-25
#version:0.0.1
#开始安装vsftpd
echo ">>> 1. Start install Vsftpd ......"
yum -y install pam pam-devel db4 de4-devel db4-tcl vsftpd
mkdir /var/ftp/virtual
useradd vsftpd -M -s /sbin/nologin
useradd ftpvload -d /var/ftp/virtual/ -s /sbin/nologin
sleep 3
#开始配置vsftpd
echo ">>> 2. Start config Vsftpd ......"
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.back
sed  -i '/^[^#]/s/^/#/g' vsftpd.conf
echo "
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=NO
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
async_abor_enable=YES
ascii_upload_enable=YES
ascii_download_enable=YES
ftpd_banner=Welcome to FTP Server
chroot_local_user=YES
ls_recurse_enable=NO
listen=YES
hide_ids=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
guest_enable=YES
guest_username=ftpvload
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/vconf
" >> /etc/vsftpd/vsftpd.conf
cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd.backup
sed -i s/^/#/g /etc/pam.d/vsftpd
echo "auth    sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so    db=/etc/vsftpd/virtusers
" >> /etc/pam.d/vsftpd
sleep 3
#开始配置其它
echo ">>> 3. Start config other ......"
touch /var/log/vsftpd.log
chown vsftpd.vsftpd /var/log/vsftpd.log
mkdir /etc/vsftpd/vconf/ -pv
sleep 3
#配置虚拟用户
echo ">>> 4. Start config vitual user"
echo -e "test\ntest1234" >> /etc/vsftpd/virtusers
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
mkdir /var/ftp/virtual/test
echo "local_root=/var/ftp/virtual/username
#指定虚拟用户的具体主路径
anonymous_enable=NO
#设定不允许匿名用户访问
write_enable=YES
#设定允许写操作
local_umask=022
#设定上传文件权限掩码
anon_upload_enable=NO
#设定不允许匿名用户上传
anon_mkdir_write_enable=NO
#设定不允许匿名用户建立目录
idle_session_timeout=600
#设定空闲连接超时时间
data_connection_timeout=120
#设定单次连续传输最大时间
max_clients=10
#设定并发客户端访问个数
max_per_ip=5
#设定单个客户端的最大线程数，这个配置主要来照顾Flashget、迅雷等多线程下载软件
local_max_rate=50000
#设定该用户的最大传输速率，单位b/s
" >> /etc/vsftpd/vconf/vconf.tmp
cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/test
sed -i s/username/test/g /etc/vsftpd/vconf/test
echo "Alll OVER! "



4.2 新增用户


#!/bin/bash
#date:2017-05-25
if read -t 5 -p "Please enter you name: " username
then
   if [ -f /etc/vsftpd/vconf/$username ]  #判断用户是否存在
   then
      echo "The $username is exists, please input another name."
   else
      read -s -p "Please enter your password: " passwd
	  echo -e "$username\n$passwd" >> /etc/vsftpd/virtusers
	  db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
      mkdir -pv /var/ftp/virtual/$username
      cp /etc/vsftpd/vconf/vconf.tmp /etc/vsftpd/vconf/$username
      sed -i s/username/$username/g /etc/vsftpd/vconf/$username
      echo "The config is over."
   fi
else
   echo -e "\nThe 5s has passed, you are to slow! "
fi

4.3 删除用户

创建FTP账户有多种方式：
1.创建系统用户
2.创建虚拟用户（基于文件或者数据库），这里主要介绍基于mysql数据库的虚拟用户


步骤一：首先安装mysql与FTP
1.安装mysql：  sudo apt-get install mysql-server  mysql-client  libmysqlclient-dev（或者选择源码安装方式）
2.安装FTP：sudo apt-get install vsftp
步骤二：安装pam_mysql
安装方式1：sudo apt-get install pam_mysql
安装方式2：源码编译安装：
下载链接：https://sourceforge.net/projects/pam-mysql/files/?source=navbar
解压：
tar -xzvf  pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1


./configure --with-pam-mods-dir=/lib/security/
如果是源码编译安装的mysql，需要指定mysql安装路劲，如下：
./configure --with-mysql=/usr/local/mysql/ --with-pam-mods-dir=/lib/security/


make
make install
安装过程中会遇到几个常见依赖错误，具体解决方式，随后补发，需要的同学，可以查看本人，下篇文章
另外，在最后启动ftp，登录的时候会遇到一个ubuntu16的系统BUG（其他linux系统没有此BUG），解决方式也见下一章


步骤二：
完成上面安装步骤之后，现在来配置虚拟用户：
1.进入mysql服务，创建一个数据库，并创建一张数据表用来存储虚拟用户账户、密码
mysql -uroot -p （进入数据库服务）
2.建数据库与数据表
create database vsftpd;
use vsftpd;
create table users(name char(16) binary,passwd char(16) binary);
插入一条测试数据
insert into users (name,passwd) values ('test','123456');
3.将users表查询权限付给一个系统用户：
GRANT select on vsftpd.* to vsftpd@localhost identified by
 '123456'; 
grant select on vsftpd.* to vsftpd@127.0.0.1 identified by '123456';

（此时系统用户还未创建，稍后创建）
exit;
4.创建一个系统用户：
sudo useradd vsftpd -d /home/vsftpd -s /bin/false (这用户与刚才mysql授权用户必须同名)

5.编辑FTP配置文件：
sudo vim /etc/vsftpd.conf
listen=YES

anonymous_enable=NO
local_umask=022 
umask是在linux中常见的一个东西，它其实是一个掩码。当然，也有umask这样一个命令，它是对用户建立的文件的默认属性的定义。该定义为： 假设umask为022，则对于一个文件夹的话，它的默认属性为 777-022=755,这也就是我们平时建立文件夹的权限。而对于一般的文件的话，则是用
 666-022=644. 这个umask在其他地方也经常见到，比如vsftpd中有 local_umask 和 anon_umask， 分别控制着本地用户和匿名用户所建立的文件的属性。

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_file=/var/log/vsftpd.log

xferlog_std_format=YES

idle_session_timeout=600

data_connection_timeout=20

ftpd_banner=Welcome to Daiyuechuan's FTP server.

listen_port=21

local_enable=YES

pasv_min_port=40000

pasv_max_port=40999

####下面配置很重要
pam_service_name=vsftpd #该用户为系统用户
guest_enable=YES

guest_username=vsftpd

allow_writeable_chroot=YES

chroot_local_user=YES

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

virtual_use_local_privs=YES
#这个是动态模板配置，有了下面两行就不需要再给每个虚拟用户弄一个配置文件了，
否则，每添加一个虚拟用户，就添加一个配置文件，最后还得重启，这个就相当的不work了，
这里的USER是虚拟用户名，所以在你的，ftp访问根目录下，必须建一个与USER同名的目录，否则，提示找不到路径
本人ftp跟目录以    /ftp_dir  为例
user_sub_token=$USER

local_root=/ftp_dir/$USER



6.编辑pam_mysql 配置文件：
sudo vim /etc/pam.d/vsftpd
1.删除里面所有
2.添加两行
auth required pam_mysql.so user=vsftpd passwd=123456
 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd crypt=0

account required pam_mysql.so user=vsftpd passwd=123456 host=localhost db=vsftpd table=users usercolumn=name
 passwdcolumn=passwd crypt=0
# 注意：

crypt=0: 明文密码

crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt()，encrypt()随机产生salt)

crypt=2: 使用MYSQL中的password()函数加密

crypt=3：表示使用md5的散列方式#上面是两句配置，第一句是以auth开始的，第二句以account开始的。

7.重启FTP服务：
sudo service vsftpd restart
8.测试登录:
ftp localhost
以后每新增一个虚拟用户，只需要创建一个目录即可。。。。

另外，在最后启动ftp，登录的时候会遇到一个ubuntu16的系统BUG（其他linux系统没有此BUG），解决方式也见下一章