linux FTP安全配置
关闭防火墙,selinux安全机制 service iptables stop setenforce 0
匿名用户
匿名用户只能访问ftp服务器上的/var/ftp/pub目录
ftp普通用户访问的文件在ftp用户的宿主目录
匿名访问:有两个匿名账户ftp和anonymous
ftp的密码为空,anonymous的密码为空或者guest
下图可以看到匿名用户只能访问pub文件夹下的内容,不能访问ftp服务器上其他目录下的内容
本地用户登陆ftp
本地用户登录ftp,会出现信息泄露的问题,本地用户不止可以访问ftp站点的内容,还可以访问ftp服务器上的其他目录,解决办法就是用虚拟用户
虚拟用户
1.创建FTP根目录及虚拟用户映射的系统用户
useradd -d /home/vftpuser -s /sbin/nologin vftpuser
为保证其他用户可以访问,给予rwxr-xr-x权限:chmod 755 /home/vftpuser
2. 建立虚拟FTP用户数据库文件。
db_load -T -t hash -f vuser_login.txt vuser_login.db
3.建立支持虚拟用户的PAM认证文件
4.参数db用于指向刚刚生成的vuser_login文件,但不要写后缀
Find / -name pam_userdb.so找到认证文件的路径
4. 在vsftpd.conf文件中添加支持配置
#以下这些是关于vsftpd虚拟用户支持的重要配置项,默认vsftpd.conf中不包含这些设定项目,需要自己手动添加
guest_enable=YES //设定启用虚拟用户功能
guest_username=vsftpd //指定虚拟用户的宿主用户
user_config_dir=/etc/vsftpd/vuser_conf //设定虚拟用户个人vsftp的CentOS FTP服务文件存放路径
5. 为虚拟用户设置不同的权限
指定用户独立的权限配置文件存放的目录:vim /etc/vsftpd/vsftpd.conf (user_config_dir=/etc/vsftpd/vsftpd_user_conf)
创建用户独立的权限配置文件存放的目录:mkdir /etc/vsftpd/vsftpd_user_conf
切换进入到该目录中:cd /etc/vsftpd/vsftpd_user_conf
创建yuzly1和yuzly2文件
设置权限yuzly1
anon_mkdir_write_enable=YES 允许用户创建文件
anon_world_readable_only=YES 只读
anon_upload_enable=YES 允许wang用户上传文件
验证权限,下图可以看到可以创建文件,可以上传文件,但不能修改,删除
加上anon_other_write_enable=YES这句话,用户就具有修改和删除文件的权限了
yuzly2不添加任何权限,默认是可读权限
