vsftp虚拟用户和ssl加密配置 —— 筑梦之路

为什么要用虚拟用户?

1.增强安全性:使用虚拟用户,可以避免直接使用系统账户进行 FTP 访问,通过使用虚拟用户,可以限制 FTP 用户的访问范围和权限,减少潜在的安全风险。

2.隔离用户和文件:虚拟用户可以被隔离到特定的目录或目录树中,这样可以确保 FTP 用户只能访问其分配的特定文件夹,而不能访问整个文件系统。

3.简化管理:虚拟用户可以独立于操作系统的用户管理进行配置和管理,可以更方便地添加、修改或删除 FTP 用户,而无需涉及操作系统的账户管理。

虚拟用户配置步骤

1. 创建一个ftp用户

bash 复制代码
#创建一个用户ftpuser,不创建家目录,设置ftpuser家目录为/mnt/ftp/,不允许其登录shell

useradd -M ftpuser -d /mn/ftp/ -s /sbin/nologin

2. 创建ftp目录以及虚拟用户访问的根目录

bash 复制代码
mkdir -p /mnt/ftp/ceshi{01..03}

chown -R ftpuser. /mnt/ftp/

chmod -R 755 /mnt/ftp/

3. 在vsftpd中添加配置文件信息,允许使用虚拟用户登录FTP

bash 复制代码
vim /etc/vsftpd/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
listen_ipv6=NO
pam_service_name=vsftpd   #使用pam验证用户身份
userlist_enable=YES
tcp_wrappers=YES
dual_log_enable=yes
xferlog_enable=YES
xferlog_file=/var/log/xferlog
guest_enable=YES  #启用虚拟用户
guest_username=ftpuser #指定虚拟用户绑定的系统用户名
virtual_use_local_privs=YES  #指定虚拟用户使用本地用户权限
user_config_dir=/etc/vsftpd/vconf #虚拟用户的配置文件目录
allow_writeable_chroot=YES
anon_other_write_enable=YES
chroot_local_user=YES    

4. 创建ftp虚拟用户,需严格按照一行用户名一行密码的格式来编写

bash 复制代码
mkdir /etc/vsftpd/virtusers

cat >> /etc/vsftpd/virtusers <<EOF
ceshi01
123456
ceshi02
123456
ceshi03
123456
EOF

5. 生成虚拟用户数据库文件,在pam认证中关联vt-users.db文件

bash 复制代码
#如果新增用户则需要重新生成db文件

db_load -T -t hash -f /etc/vsftpd/virtusers  /etc/vsftpd/vt-users.db


vi /etc/pam.d/vsftpd

#%PAM-1.0
auth     sufficient /lib64/security/pam_userdb.so  db=/etc/vsftpd/vt-users
account  sufficient /lib64/security/pam_userdb.so  db=/etc/vsftpd/vt-users

6. 创建虚拟用户配置文件,为每个用户设置独立的权限以及存储目录

bash 复制代码
mkdir /etc/vsftpd/vconf
touch /etc/vsftpd/vconf/ceshi{01..03}

cat >>/etc/vsftpd/vconf/ceshi01 <<EOF
local_root=/mnt/ftp/ceshi01   #用户的根目录设置为/mnt/ftp/ceshi01
anonymous_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
write_enable=YES
local_umask=022
idle_session_timeout=600  #空闲会话超时时间为 600 秒。如果客户端在该时间内没有发送任何数据或命令,服务器将会关闭与客户端的连接
data_connection_timeout=120  #数据连接超时时间为 120 秒。在建立数据连接后,如果在该时间内未进行任何数据传输,服务器将会关闭数据连接。
local_max_rate=204800   #最大传输速率为204800bits
EOF

cat >>/etc/vsftpd/vconf/ceshi02 <<EOF
local_root=/mnt/ftp/ceshi02
anonymous_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
write_enable=YES
local_umask=022
idle_session_timeout=600
data_connection_timeout=120
local_max_rate=409600
EOF

cat >>/etc/vsftpd/vconf/ceshi03 <<EOF
local_root=/mnt/ftp/ceshi02
anonymous_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
write_enable=YES
local_umask=022
idle_session_timeout=600
data_connection_timeout=120
EOF

7. 测试用户登录上传下载文件

bash 复制代码
# 生成一个大文件,分别用不同的账户登陆测试

dd if=/dev/zero of=test bs=1M count=1000

SSL加密传输配置

为什么要配置ssl加密?

那自然是不安全呗。

FTP传输时皆为明文传输,通过抓包软件能够轻易获取账号和密码,为了增强 FTP 服务的安全性,可以配置 SSL 证书,以确保在数据传输过程中的加密保护

1. 创建CA证书目录

bash 复制代码
#创建文件夹,默认这些文件夹都是不存在的
mkdir -p /etc/pki/CA/{certs,newcerts,crl,private}

#进入到CA目录中创建索引文件
cd /etc/pki/CA/

touch index.txt

#指定一个证书编号

echo "01">serial

2. 创建私钥文件

bash 复制代码
openssl genrsa -out private/cakey.pem 2048

3. 创建证书文件

bash 复制代码
openssl req -new -x509 -nodes -key private/cakey.pem -days 7300 -out cacert.pem

4. 为ftp应用证书,配置私钥文件与证书文件的位置在ftp配置文件末尾添加以下行

bash 复制代码
#虽然 SSLv2 和 SSLv3 协议在过去被广泛使用,但由于安全性问题,现在已不推荐使用。建议禁用 SSLv2 和 SSLv3,仅使用 TLSv1.2 或更新版本

rsa_cert_file=/etc/pki/CA/cacert.pem
rsa_private_key_file=/etc/pki/CA/private/cakey.pem
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_enable=YES
ssl_sslv1=YES
ssl_sslv2=YES
ssl_sslv3=YES


#重启服务
systemctl restart vsftpd

5.检查验证

相关推荐
追风赶月、20 分钟前
【Linux】线程概念与线程控制
linux·运维·服务器
ZZZCY20032 小时前
华为ENSP--IP编址及静态路由配置
网络·华为
EasyCVR2 小时前
私有化部署视频平台EasyCVR宇视设备视频平台如何构建视频联网平台及升级视频转码业务?
大数据·网络·音视频·h.265
hgdlip2 小时前
主IP地址与从IP地址:深入解析与应用探讨
网络·网络协议·tcp/ip
旦沐已成舟3 小时前
DevOps-Jenkins-新手入门级
服务器
珹洺3 小时前
C语言数据结构——详细讲解 双链表
c语言·开发语言·网络·数据结构·c++·算法·leetcode
科技象限3 小时前
电脑禁用U盘的四种简单方法(电脑怎么阻止u盘使用)
大数据·网络·电脑
东方隐侠安全团队-千里3 小时前
网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享
网络·chrome·web安全·网络安全
云计算DevOps-韩老师3 小时前
【网络云计算】2024第47周-每日【2024/11/21】周考-实操题-RAID6实操解析2
网络·云计算
lwprain4 小时前
安装支持ssl的harbor 2.1.4 docker 19.03.8 docker-compose 1.24.0
网络协议·ssl·harbor