#使用ftpd_banner取代VSFTPD默認(rèn)的歡迎詞，免得泄漏相關(guān)信息
　　ftpd_banner=Welcome to this FTP Server
　　#只讓匿名用戶(hù)瀏覽可閱讀的文件，不可以瀏覽整個(gè)系統(tǒng)
　　anon_world_readable_only=YES
　　#隱藏文件的所有者和組信息，匿名用戶(hù)看到的文件的所有者和組全變?yōu)閒tp
　　hide_ids=YES
　　#取消寫(xiě)權(quán)限
　　write_enable=NO
　　anon_upload_enable=NO
　　anon_mkdir_write_enable=NO
　　anon_other_write_enable=NO
　　#使用單獨(dú)模式，并指定的IP地址
　　listen_address=ip address
　　#對(duì)連接進(jìn)行控制，還有超時(shí)時(shí)間，那就根據(jù)具體情況再說(shuō)了。
　　connect_from_port_20=YES
　　pasv_min_port=50000
　　pasv_max_port=60000
　　#控制并發(fā)數(shù)，限定每個(gè)IP地址的并發(fā)數(shù)，這個(gè)嘛，根據(jù)用戶(hù)自已定了。
　　max_clients=numerical value
　　max_per_ip=numerical value
　　#限定下載速度，具體限多大，就由用戶(hù)自己定了，80KB/s，也很快了吧。
　　anon_max_rate=80000
　　#啟用詳細(xì)的日志記錄格式
　　xferlog_enable=YES
6.4、基于IP地址的虛擬FTP服務(wù)器
　　假定服務(wù)器有兩個(gè)IP地址，192.168.0.1和192.168.0.2。VSFTPD是建立在192.168.0.1上的，現(xiàn)在我們?cè)?92.168.0.2上再提供一個(gè)虛擬FTP服務(wù)器。如何在一臺(tái)服務(wù)器上使用多個(gè)IP 地址，請(qǐng)參考相關(guān)文檔。
　　1、創(chuàng)建虛擬FTP服務(wù)器的根目錄。
　　mkdir -p /var/ftp2/pub
　　確保/var/ftp2和/var/ftp2/pub目錄的擁有者和組均為root，掩碼為755。
　　2、增加虛擬FTP服務(wù)器的匿名用戶(hù)帳號(hào)。原先的FTP服務(wù)器使用系統(tǒng)用戶(hù)ftp作為其匿名用戶(hù)帳號(hào)。我們要增加一個(gè)ftp2用于虛擬FTP服務(wù)器。
　　useradd -d /var/ftp2 -M ftp2
　　3、創(chuàng)建虛擬FTP服務(wù)器的配置文件。復(fù)制原來(lái)的vsftpd.conf作為虛擬FTP服務(wù)器的配置文件，并修改相關(guān)參數(shù)。
　　cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd2.conf
　　新添或修改以下參數(shù)：
　　listen=YES
　　listen_address=192.168.0.2
　　ftp_username=ftp2
　　注：由于VSFTPD默認(rèn)是所有的IP地址，當(dāng)我們?cè)O(shè)定基于IP的虛擬FTP服務(wù)器時(shí)，為防止原來(lái)的FTP服務(wù)器與虛擬FTP服務(wù)器發(fā)生上的沖突，原FTP服務(wù)器需要指定的IP地址。在這里，原來(lái)的配置文件中就要設(shè)置listen_address=192.168.0.1。
　　4、啟動(dòng)虛擬FTP服務(wù)器。
　　/etc/rc.d/init.d/vsftpd腳本在啟動(dòng)時(shí)，掃描/etc/vsftpd/目錄下所有的*.conf文件，按照*.conf文件的先后，依次啟用vsftpd進(jìn)程，每個(gè)vsftpd進(jìn)程對(duì)應(yīng)一個(gè).conf文件。即，“ls /etc/vsftpd/”列表的次序與“ps -aux |grep vsftpd”中的順序一樣。當(dāng)然了，“ps -aux | grep vsftpd”中也顯示出vsftpd所使用的配置文件，從中也可以看哪個(gè)vsftpd進(jìn)程對(duì)應(yīng)哪個(gè)FTP服務(wù)器。如果沒(méi)有列出配置文件，那就是默認(rèn)的vsftpd.conf，那么該進(jìn)程也就是原來(lái)的FTP服務(wù)器進(jìn)程。
　　由于第3步中虛擬FTP服務(wù)器的配置文件被命名為vsftpd2.conf文件，所以我們可以用/etc/rc.d/init.d/vsftpd腳本同時(shí)啟動(dòng)或關(guān)閉原FTP服務(wù)器和新加的虛擬FTP服務(wù)器。
　　以下命令單獨(dú)啟動(dòng)虛擬FTP服務(wù)器：
　　/usr/sbin/vsftpd /etc/vsftpd/vsftpd2.conf &
　　單獨(dú)關(guān)閉虛擬FTP服務(wù)器，用“ps -aux | grep vsftpd”查出進(jìn)程號(hào)，再用kill指令殺死虛擬FTP的進(jìn)程。
6.5、虛擬用戶(hù)的配置
6.5.1、VSFTPD的虛擬用戶(hù)介紹
　　VSFTPD的本地用戶(hù)本身是系統(tǒng)的用戶(hù)，除了可以登錄FTP服務(wù)器外，還可以登錄系統(tǒng)使用其他系統(tǒng)資源，而VSFTPD的虛擬用戶(hù)則是FTP服務(wù)的專(zhuān)用用戶(hù)，虛擬用戶(hù)只能訪(fǎng)問(wèn)FTP服務(wù)器資源。對(duì)于只需要通過(guò)FTP對(duì)系統(tǒng)有讀寫(xiě)權(quán)限，而不需要其他系統(tǒng)資源的用戶(hù)或情況來(lái)說(shuō)，采用虛擬用戶(hù)方式是很適合的。
　　VSFTPD的虛擬用戶(hù)采用單獨(dú)的用戶(hù)名/口令保存方式，與系統(tǒng)賬號(hào)（passwd/shadow）分離，這大大增強(qiáng)了系統(tǒng)的安全性。VSFTPD可以采用數(shù)據(jù)庫(kù)文件來(lái)保存用戶(hù)/口令，如hash;也可以將用戶(hù)/口令保存在數(shù)據(jù)庫(kù)服務(wù)器中，如MySQL等。VSFTPD驗(yàn)證虛擬用戶(hù)，則采用PAM方式。由于虛擬用戶(hù)的用戶(hù)名/口令被單獨(dú)保存，因此在驗(yàn)證時(shí)，VSFTPD需要用一個(gè)系統(tǒng)用戶(hù)的身份來(lái)讀取數(shù)據(jù)庫(kù)文件或數(shù)據(jù)庫(kù)服務(wù)器以完成驗(yàn)證，這就是guest用戶(hù)，這正如同匿名用戶(hù)也需要有一個(gè)系統(tǒng)用戶(hù)ftp一樣。當(dāng)然，guest用戶(hù)也可以被認(rèn)為是用于映射虛擬用戶(hù)。
　　配置虛擬用戶(hù)分為幾部分：guest用戶(hù)的創(chuàng)建、用戶(hù)/口令的保存、PAM認(rèn)證配置、vsftpd.conf文件設(shè)置等。具體的配置方法，參考下面小節(jié)。注：在后面的例子中，假定存在虛擬用戶(hù)xiaotong和xiaowang。
6.5.2 用戶(hù)創(chuàng)建和目錄設(shè)置
　　在系統(tǒng)中添加vsftpdguest用戶(hù)，作為虛擬用戶(hù)在系統(tǒng)中的代表。
　　useradd vsftpdguest
　　當(dāng)虛擬用戶(hù)登錄后，所在的位置為vsftpdguest的自家目錄/home/vsftpdguest。如果要讓虛擬用戶(hù)登錄到/var/ftp等其他目錄，修改vsftpdguest的自家目錄即可。
6.5.3、配置文件的設(shè)置
6.5.3.1、基本設(shè)置。
　　在vsftpd.conf配置文件中，加入以下參數(shù)：
　　guest_enable=YES
　　guest_username=vsftpdguest
6.5.3.2、虛擬用戶(hù)的權(quán)限配置。
　　VSFTPD-1.2.0添加了virtual_use_local_privs參數(shù)，當(dāng)該參數(shù)激活（YES）時(shí)，虛擬用戶(hù)使用與本地用戶(hù)相同的權(quán)限。當(dāng)此參數(shù)關(guān)閉（NO）時(shí)，虛擬用戶(hù)使用與匿名用戶(hù)相同的權(quán)限，這也就是VSFTPD-1.2.0之前版本對(duì)虛擬用戶(hù)權(quán)限的處理方法。這兩者種做法相比，后者更加嚴(yán)格一些，特別是在有寫(xiě)訪(fǎng)問(wèn)的情形下。默認(rèn)情況下此參數(shù)是關(guān)閉的（NO）。
　　下面先介紹virtual_use_local_privs=NO時(shí)，即VSFTPD-1.2.0之前版本對(duì)虛擬用戶(hù)權(quán)限的配置方法：
　?、倏刂铺摂M用戶(hù)瀏覽目錄
　　如果讓用戶(hù)不能瀏覽目錄，但仍可以對(duì)文件操作，那么需要執(zhí)行以下二個(gè)步驟：一，配置文件中，anon_world_readable_only=YES。二，虛擬用戶(hù)目錄的權(quán)限改為只能由vsftpdguest操作：
　　[root@hpe45 vsftpd]# chown vsftpdguest.vsftpdguest /home/vsftpdguest

最新評(píng)論