前提：系統 cat /etc/redhat-release

Red Hat Enterprise Linux Server release 7.2 (Maipo)

一：安裝 vsftpd

檢視是否安裝vsftpd服務

#rpm -qa | grep vsftpd

沒有則安裝

#yum -y install vsftpd

二：建立根目錄

建立所有專案的檔案根目錄

#mkdir -p /home/ifile

三：新增宿主使用者virtual

並將他的家目錄設為 /home/ifile, 且不可登陸 

#useradd -d /home/ifile -s /sbin/nologin virtual
 

利用 cat /etc/passwd 檢視virtual 是否新增

#cat /etc/passwd

四：新建虛擬使用者/密碼

新建logins 檔案

#touch /opt/vsftp/logins

加入虛擬使用者+密碼（奇數行為使用者名稱，偶數行為密碼）到 logins檔案

file
^YHNmko0
aios
^YHNmko0
raios
^YHNmko0
waios
^YHNmko0
rwaios
^YHNmko0

使用db_load命令生成vsftpd_logins.db檔案，每次加入虛擬使用者後這個命令就的執行一次！

#db_load -T -t hash -f logins vsftpd_logins.db
 

將生成的vsftpd_logins.db 檔案許可權修改為 600,即只可root讀寫.

#chmod 600 /opt/vsftpd/vsftpd_logins.db

五：修改 /etc/pam.d/vsftpd 檔案

加入以下內容：如果是32位系統則加入####32位系統配置，如果是64位系統則加入####64位系統配置

####32位系統配置
auth    sufficient     /lib/security/pam_userdb.so     db=/etc/vsftpd/vsftpd_logins
account sufficient     /lib/security/pam_userdb.so     db=/etc/vsftpd/vsftpd_logins
####64位系統配置
auth    sufficient      /lib64/security/pam_userdb.so   db=/opt/vsftp/vsftpd_logins
account sufficient      /lib64/security/pam_userdb.so   db=/opt/vsftp/vsftpd_logins
 

六：配置 vsftpd服務的主配置檔案 /etc/vsftpd/vsftpd.conf

先備份：

#cd /etc/vsftpd/
#cp vsftpd.conf vsftpd_backup.conf

修改配置最終如下：

# Example config file /etc/vsftpd/vsftpd.conf
##1.
#關於匿名使用者配置
#
#是否開啟可匿名訪問
anonymous_enable=YES

#當設定為YES時，表示anonymous將會略過密碼檢驗步驟，
#而直接進入vsftpd伺服器內喔！所以一般預設都是NO的！(登入時會檢查輸入的emai)
no_anon_password=YES

#將某些特殊的email address抵擋住，不讓那些anonymous登入！
#如果以anonymous登入伺服器時，不是會要求輸入密碼嗎？
#密碼不是要你輸入你的email address嗎？如果你很討厭某些email address，
#就可以使用這個設定來將他取消登入的許可權！需與下個設定專案配合：
#deny_email_enable=YES

#如果deny_email_enable=YES時，可以利用這個設定專案來規定哪個
#email address不可登入我們的vsftpd喔！在上面設定的檔案內，
#一行輸入一個email address即可！
#banned_email_file=/etc/vsftpd/banned_emails

#是否僅只讀
#anon_world_readable_only=NO

#是否允許anonymous具有除了寫入之外的許可權？
#包括刪除與改寫伺服器上的檔案及檔名等許可權。
#預設當然是NO！如果要設定為YES，那麼開放給
#anonymous寫入的目錄亦需要調整許可權，讓vsftpd
#的PID擁有者可以寫入才行！
#anon_other_write_enable=YES

#是否讓anonymous具有建立目錄的許可權？預設值是NO！
#這個設定專案比較危險一點～當設定為YES時，表示每個建立的連線都會擁有一支process在負責，
#可以增加vsftpd的效能。不過，除非你的系統比較安全，而且硬體配備比較高，
#否則容易耗盡系統資源喔！一般建議設定為NO的啦！
one_process_model=NO

#2.
##關於檔案上傳配置
#
# 決定是否允許一些FTP命令去更改檔案系統。
# 包括上傳檔案，刪除檔案，新增目錄，刪除目錄
write_enable=NO

#對於上傳的檔案設定許可權。預設為666，
#與local_umask配合使用
#file_open_mode=666

#假設umask為022：
#則對於一個資料夾的話，它的預設屬性為 777-022=755
#而對於一般的檔案的話，則是用 666-022=644.
#如果是077則anonymous傳送過來的檔案許可權會是-rw-------
################################
#如果使用vsftp的是本地使用者
#則要修改配置檔案中的 local_umask 的值
local_umask=022
#如果使用vsftp的是虛擬使用者
#則要修改配置檔案中的 anon_umask 的值
anon_umask=333

# 設定是否允許改變上傳檔案的屬主，與下面一個設定項配合使用）
#chown_uploads=YES
#設定想要改變的上傳檔案的屬主，如果需要，則輸入一個系統使用者名稱，例
#如可以把上傳的檔案都改成root 屬主。
#chown_username=whoever



##3.
#日誌檔案配置
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# You may override where the log file goes if you like. The default is shown
# below.
xferlog_file=/var/log/xferlog.log
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
xferlog_std_format=YES

dual_log_enable=YES
vsftpd_log_file=/var/log/vsftpd.log
#除了/var/log/xferlog的wu-ftp格式登入檔之外，
#還可以具有vsftpd的獨特登入檔格式喔！
#如果你的FTP伺服器並不是很忙碌，
#或許訂出兩個登入檔的撰寫(/var/log/{vsftpd.log,xferlog)是不錯的。





##4.
#伺服器(ftp檔案儲存伺服器)系統環境配置
#
#主動式連線的資料鏈接的port
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES

#vsftpd服務的命令通道port
listen_port=4449

#是否使用本地時間？vsftpd預設使用GMT時間(格林威治)，
#所以預設的FTP內的檔案日期會比臺灣晚8小時
#use_localtime=YES

#支援資料流的被動式連線模式(passive mode)，一定要設定為YES
pasv_enable=YES

#若設定為YES表示vsftpd是以standalone的方式來啟動的
listen=YES

#當使用者進入某個目錄時，會顯示該目錄需要注意的內容，
#顯示的檔案預設是.message ，你可以使用底下的設定專案來修訂
dirmessage_enable=YES

#當dirmessage_enable=YES時，可以設定這個專案來讓vsftpd尋找該檔案來顯示訊息
#message_file=.message

# You may fully customise the login banner string:
#[email protected]@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@Welcome to SVFTPD [email protected]@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

#使用ftp命令後的歡迎顯示的內容檔案
banner_file=/etc/vsftpd/welcome.txt

#單位是秒，在資料連線的主動式連線模式下，
#我們發出的連線訊號在60秒內得不到使用者端的迴應，則不等待並強制斷線咯。
connect_timeout=60

#當使用者以被動式PASV來進行資料傳輸時，
#如果伺服器啟用passive port並等待client超過60秒而無迴應，
#那麼就給他強制斷線！這個設定值與connect_timeout類似，
#不過一個是管理主動連線，一個管理被動連線。
accept_timeout=60

# You may change the default value for timing out an idle session.
#如果使用者在600秒內都沒有命令動作，強制離線！避免佔著茅坑不拉屎～
#idle_session_timeout=600

#如果伺服器與使用者端的資料連線已經成功建立(不論主動還是被動連線)，
#但是可能由於線路問題導致300秒內還是無法順利的完成資料的傳送，那使用者端的連線就會被我們的vsftpd強制剔除！
#data_connection_timeout=120

#如果vsftpd是以stand alone方式啟動的，那麼這個設定專案可以設定同一時間，
#最多有多少client可以同時連上vsftpd哩！限制使用FTP的用量！
max_clients=50

#與上面max_clients類似，這裡是同一個IP同一時間可允許多少連線
max_per_ip=5

#被動式連線埠口的限制
pasv_min_port=65400
pasv_max_port=65410

#
ls_recurse_enable=NO




##5.
#系統安全配置
#
#如果設定為YES ，那麼client就優先(預設)使用ASCII格式下載檔案。
#ascii_download_enable=YES

#如果設定為YES ，那麼client就優先(預設)使用ASCII格式上傳檔案。
#ascii_upload_enable=YES

#這個設定專案比較危險一點～當設定為YES時，表示每個建立的連線都會擁有一支process在負責，
#可以增加vsftpd的效能。不過，除非你的系統比較安全，而且硬體配備比較高，
#否則容易耗盡系統資源喔！一般建議設定為NO的啦！
one_process_model=NO

#我們的vsftpd預設以nobody作為此一服務執行者的許可權。
#因為nobody的許可權相當的低，因此即使被入侵，入侵者僅能取得nobody的許可權
#nopriv_user=nobody

#這個是pam模組的名稱，我們放置在/etc/pam.d/vsftpd即是這個
pam_service_name=vsftpd



##6.
#許可權配置.
#
#6.1 主機登陸許可權
#TCP wrappers是透過使用者端想要連結的程式檔名，然後分析使用者端的IP ，看看是否需要放行
#配置 /etc/hosts.allow和 /etc/hosts.deny
#1.樣例
#       vsftpd : ALL      #允許/禁止所有ip 訪問vsftpd服務
#       ALL : 127.0.0.1   #允許/禁止本機訪問本機的所有服務
#       vsftpd : 127.0.0. #允許127.0.0.段的網路訪問vsftpd服務
#2注意： 若.allow檔案和.deny檔案同時滿足的ip則以.allow為準
tcp_wrappers=YES


#6.2 chroot許可權
#在預設的情況下，是否要將使用者限制在自己的家目錄之內(chroot)？
#如果是 YES 代表使用者預設就會被 chroot，如果是 NO， 則預設是沒有 chroot。
#不過，實際還是需要底下的兩個引數互相參考才行。為了安全性，這裡應該要設定成 YES 才好。
# 為YES時，本地所有使用者志顯示自己的主目錄，
#
#設定虛擬使用者被鎖定在自己的宿主目錄中
chroot_local_user=YES

#是否啟用 chroot 寫入列表的功能？與底下的 chroot_list_flie 有關！
#這個專案得要開啟，否則底下的列表檔案會無效。
#chroot_list_enable=YES

#如果 chroot_list_enable=YES 那麼就必須設定這個專案了！
#這個專案與 chroot_local_user 有關
#chroot_list_file=/etc/vsftpd/chroot_list


#6.3 使用者訪問許可權
#是否藉助vsftpd的抵擋機制來處理某些不受歡迎的帳號，與底下的引數設定有關
#相當於開關
userlist_enable=YES
#
# enable=YES 時，ftpusers允許訪問，user_list允許訪問
# enable=NO  時，ftpusers禁止訪問，user_list允許訪問
# deny  =YES 時，ftpusers禁止訪問，user_list禁止訪問
# deny  =NO  時，ftpusers禁止訪問，user_list允許訪問
#
#當userlist_enable=YES時才會生效的設定，若此設定值為YES時，
#則當使用者帳號被列入到某個檔案時，在該檔案內的使用者將無法登入vsftpd伺服器！
#該檔案檔名與下列設定專案有關。
userlist_deny=NO

#若上面userlist_deny=YES時，則這個檔案內的帳號都無法使用vsftpd
#若上面userlist_deny=NO時，則這個檔案內的賬號才能使用vsftpd
userlist_file=/etc/vsftpd/user_list



##7.
#本地使用者配置
#
#這個設定值必須要為YES時，在/etc/passwd內的帳號才能以實體使用者的方式登入我們的vsftpd伺服器
local_enable=YES

#虛擬使用者和本地使用者許可權相同, 預設是NO
#virtual_use_local_privs=YES

#若這個值設定為YES時，那麼任何實體帳號，均會被假設成為guest喔(所以預設是不開放的)
#如果啟用，所有的非匿名使用者登入時將被視為遊客
guest_enable=YES

#在guest_enable=YES時才會生效，指定訪客的身份而已
guest_username=virtual

#限制實體使用者的總下載流量
local_max_rate=1000000

#對不同的虛擬使用者配置不同的許可權, vsconf 是一個資料夾,需要使用者建立, 其下面的每個檔案的檔名為 四. 中的虛擬使用者名稱
user_config_dir=/etc/vsftpd/vsconf

##8.EXTRA or uNKNOW
#async_abor_enable=YES

更為具體的請參考:

配合上面的配置

     1. 新增 /etc/vsftpd/welcome.txt 檔案:

#touch /etc/vsftpd/welcome.txt

加上:

歡迎使用VSFTPD檔案服務
若有需要請聯絡133-3333-3333

    2. 新增 /etc/vsftpd/chroot_list 檔案

#touch /etc/vsftpd/chroot_list

加上aios, 表示 除 aios外,其他使用者都是chroot在他們的家目錄下

aios

    3. 而 user_list 檔案會在系統安裝 vsftpd服務時自動建立, 加了如上配置後表示只有 user_list 中的使用者才能登陸vsftpd服務.

所以刪除以前的資料, 加入 file, aios, raios, waios, rwaios;

file
aios
raios
waios
rwaios

4. 添加個虛擬使用者的個性配置

file: 可上傳,可下載,可建目錄, 可刪除或重新命名目錄/檔案, 可修改目錄/檔案的許可權屬性 所有專案

# file
local_root=/home/ifile

write_enable=YES

anon_umask=022

# 可顯示目錄和檔案
anon_world_readable_only=NO

# 可刪除/重新命名
anon_other_write_enable=YES

# 可上傳
anon_upload_enable=YES

# 可建立目錄
anon_mkdir_write_enable=YES

virtual_use_local_privs=YES
chmod_enable=YES

aois: 可上傳,可下載,可建目錄, 可刪除或重新命名目錄/檔案, 可修改目錄/檔案的許可權屬性  針對aios專案

# file
local_root=/home/ifile/aios

write_enable=YES

anon_umask=022

# 可顯示目錄和檔案
anon_world_readable_only=NO

# 可刪除/重新命名
anon_other_write_enable=YES

# 可上傳
anon_upload_enable=YES

# 可建立目錄
anon_mkdir_write_enable=YES

virtual_use_local_privs=YES
chmod_enable=YES

raios: 可下載  針對aios 專案

# raios - 只讀
local_root=/home/ifile/aios

#使 raios 使用者的能下載,也只能下載；寫成YES，將不能列出檔案和目錄
anon_world_readable_only=NO

waios: 可上傳,可下載  針對aios專案

# waios - 可讀可寫
local_root=/home/ifile/aios

#寫成YES，將不能列出檔案和目錄
anon_world_readable_only=NO

#開啟可寫
write_enable=YES

#可上傳
anon_upload_enable=YES

#
anon_umask=022

rwaios: 可上傳,可下載,可建目錄  針對aios專案

# rwaios = 可讀可寫可建目錄
local_root=/home/ifile/aios

# 可下載
anon_world_readable_only=NO

# 可寫
write_enable=YES

# 可上傳
anon_upload_enable=YES

#
anon_umask=022

# 可mkdir
anon_mkdir_write_enable=YES

此時的檔案伺服器可以介紹為:

    1. 可匿名登陸, 無需密碼, 且登陸後的家目錄為 ftp 使用者的家目錄, 一般為/var/ftp

    2. chroot_list 放的是可以切換到其他目錄的使用者清單

    3. user_list 放的是可登陸該vsftpd服務的使用者清單

    4. 若新增新使用者,且該使用者繫結在virtual使用者下, 在 /opt/vsftpd/logins 中加入新增使用者名稱和密碼,重新使用命令db_load生成 .db檔案並覆蓋, 在/etc/vsftpd/vsconf/ 資料夾下新增新增使用者的個性檔案,並配置相關許可權, 最後還要在 /etc/vsftpd/user_list 中加入該新增使用者,表示該使用者可登陸!

七: 測試

準備工作: 

    1.在 virtual 使用者的家目錄下 建立兩個專案分別為 aios 和 hra, 並修改檔案許可權為 750

#cd /home/ifile/
#mkdir aios
#mkdir hra

    修改其許可權

#chmod 750 aios/
#chmod 750 hra/

因為 我們待會要把這個兩個專案做成虛擬使用者的家目錄, 所以他們相對於 virtual 使用者而言不能有寫的許可權,否則其實vsftpd服務啟動成功了,在進入他們的目錄時候會報 “500 OOPS: vsftpd: refusing to run with writable root inside chroot()”錯誤.

這樣兩個專案的根目錄就建好了, 接著就分別在 aios/ 和 hra/下建立 imgs/, txts/, excels/ 檔案和 imgs/,pdfs/, tables/檔案

#mkdir /aios/imgs
#mkdir /aios/txts
#mkdir /aios/excels

#mkdir /hra/imgs
#mkdir /hra/pdfs
#mkdir /hra/tables

緊接著修改新建的 6個檔案的owner和group,把他們改成 virtual的:

#cd aios/
#chown virtual:virtual imgs/
#chown virtual:virtual txts/
#chown virtual:virtual excels/

#cd ../hra/
#chown virtual:virtual imgs/
#chown virtual:virtual pdfs/
#chown virtual:virtual tables/

最後有

home/	->	ifile/	->	aios/	->	imgs/
 (root)		(root)	      (root/750)     (virtual/755)
					->	txts/
					     (virtual/755)
					->	excels/
					     (virtual/755)

home/	->	ifile/	->	hra/	->	imgs/
(root)		(root)	      (root/750)     (virtual/755)
					->	pdfs/
					     (virtual/755)
					->	tables/
					     (virtual/755)                  

準備工作完畢,開始測試.

1.啟動服務:

#systemctl start vsftpd.service

2.登陸 waios:

上傳  MySQL 5.1參考手冊.chm 檔案, 

我想把它放在 txts/chms/ 下,所以要建一個目錄

但是發現:

狀態:	正在建立目錄“/txts/chms”...
命令:	MKD chms
響應:	550 Permission denied.

原來 waios 沒有新建目錄的許可權,所以 到 rwaios 或者 aios 下去建立:

狀態:	正在建立目錄“/txts/chms”...
狀態:	讀取“/txts”的目錄列表...
狀態:	列出“/txts”的目錄成功
狀態:	讀取“/txts/chms”的目錄列表...
狀態:	列出“/txts/chms”的目錄成功

目錄建立成功後,切回到 waios 使用者, 上傳 MySQL 5.1參考手冊.chm 檔案

3. 若我想上傳 jdk_1.7.CHM 檔案, 但上傳後不想被其他人任何人下載, 這是就用到 aios 或 file 這兩個虛擬賬號的 chmod_enable=YES 修改檔案許可權:

右擊 上傳後的 jdk_1.7.CHM 檔案, 選擇檔案許可權,變成 040, 確定

為什麼是 040呢, 首先最後一個0那是一定的,第一個0那是應為 無論是file, aios, raios, waios, rwaios 都是繫結在 virtual這個使用者上的,他們具體的操作都是有virtual完成, 所以第一個要為0,不能讓 其他虛擬使用者讀.

登陸 raios 看看能不能下載,發現:

而此時 file 則是可以上傳、下載、刪除所有專案檔案。