VSFTPD+虚拟用户+SSL/TLS部署安装全过程(踩坑全通)
@Author : Spinach | GHB
@Link : http://blog.csdn.net/bocai8058
文章目录
- 前言
- 准备
- 配置虚拟用户
- 1.创建虚拟用户列表文件
- 2.生成数据库文件
- 3.设置虚拟用户独立访问权限
- 配置PAM认证
- 1.创建PAM配置文件
- 2.测试PAM认证
- 创建虚拟用户映射的系统用户
- 生成SSL/TLS证书
- 配置VSFTPD服务
- 1.备份原始配置文件
- 2.编辑配置文件
- 重启服务并验证
- 客户端连接测试
前言
整体FTP设计框架采用vsftpd作为服务端,结合Open SSL/TLS认证实现数据加密传输。
准备
| 准备项 | linux命令/地址 | 备注 |
|---|---|---|
| 安装VSFTPD及相关认证工具 | sudo yum install vsftpd db-util openssl -y | 安装vsftpd、db_util及openssl |
| 调整防火墙和SELinux | systemctl stop firewalld 及setenforce 0 等命令 | 关闭防火墙及selinux |
| FTP客户端 | https://winscp.net/eng/index.php 或 https://filezilla-project.org/ | wincp或Filezilla |
配置虚拟用户
1.创建虚拟用户列表文件
sudo mkdir -p /etc/vsftpd/virtual_users
sudo nano /etc/vsftpd/virtual_users/user_list.txt
# 输入用户名和密码(格式:每行一个用户,奇数行用户名,偶数行密码),如下:
user1
password1
user2
password2
2.生成数据库文件
# 转换为数据库格式
sudo db_load -T -t hash -f /etc/vsftpd/virtual_users/user_list.txt /etc/vsftpd/virtual_users/virtual_users.db
# 设置安全权限
sudo chmod 600 /etc/vsftpd/virtual_users/*.db
3.设置虚拟用户独立访问权限
sudo mkdir -p /etc/vsftpd/virtual_users_conf
sudo nano /etc/vsftpd/virtual_users_conf/user1 # 对应虚拟用户user1权限
# 配置内容如下:
local_root=/home/vsftpd/user1
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
sudo nano /etc/vsftpd/virtual_users_conf/user2 # 对应虚拟用户user2权限
# 配置内容如下:
local_root=/home/vsftpd/user1
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
配置PAM认证
1.创建PAM配置文件
sudo nano /etc/pam.d/vsftpd_virtual
# 添加以下内容(注意路径不带.db后缀):
auth required pam_userdb.so db=/etc/vsftpd/virtual_users/virtual_users
account required pam_userdb.so db=/etc/vsftpd/virtual_users/virtual_users
注意:这个新建的文件名字为vsftpd_virtual,需要与真实的系统用户对应
2.测试PAM认证
# 安装测试工具
sudo yum install pamtester
# 测试用户user1认证
sudo pamtester vsftpd_virtual user1 authenticate
# 输入密码后显示 SUCCESS 表示配置正确。
创建虚拟用户映射的系统用户
# 创建系统用户(无登录权限),此系统用户需与pam.d/xxxx文件名保持一致
sudo useradd -d /home/vsftpd -s /sbin/nologin vsftpd_virtual
# 创建用户根目录并设置权限
sudo mkdir -p /home/vsftpd/files # 用于系统用户vsftpd_virtual的根目录
sudo mkdir -p /home/vsftpd/user1 # 用于vsftpd虚拟用户user1的根目录
sudo mkdir -p /home/vsftpd/user2 # 用于vsftpd虚拟用户user2的根目录
sudo chown -R vsftpd_virtual:vsftpd_virtual /home/vsftpd/files /home/vsftpd/user1 /home/vsftpd/user2 # vsftpd有多少个虚拟用户的根目录都需要进行所属权给系统用户vsftpd_virtual
sudo chmod 755 /home/vsftpd
注意:新建的系统用户为vsftpd_virtual,需要与pam.d/xxxx文件名保持一一对应。
生成SSL/TLS证书
# 创建证书目录
sudo mkdir -p /etc/ssl/private
# 生成自签名证书(有效期10年)
sudo openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout /etc/ssl/private/vsftpd.key -out /etc/ssl/private/vsftpd.crt
# 设置证书权限
sudo chmod 600 /etc/ssl/private/vsftpd.*
配置VSFTPD服务
1.备份原始配置文件
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.bak
2.编辑配置文件
sudo nano /etc/vsftpd.conf# 内容如下:
# 基础设置
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES# 虚拟用户配置
guest_enable=YES
guest_username=vsftpd_virtual
user_config_dir=/etc/vsftpd/virtual_users_conf# PAM配置
pam_service_name=vsftpd_virtual# SSL/TLS配置
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
rsa_cert_file=/etc/ssl/private/vsftpd.crt
rsa_private_key_file=/etc/ssl/private/vsftpd.key# 日志配置
log_ftp_protocol=YES
vsftpd_log_file=/var/log/vsftpd.log
重启服务并验证
# 重启vsftpd服务
sudo systemctl restart vsftpd
sudo systemctl enable vsftpd
# 查看服务状态
sudo systemctl status vsftpd
# 实时监控日志
sudo tail -f /var/log/vsftpd.log
客户端连接测试
根据账密,使用wincp或Filezilla访问连接。