上文：Linux服务器配置-VSFTP服务配置（四）

使用虚拟用户认证登录FTP服务器是最安全的一种认证模式，因为用于登录FTP服务器的用户名在Linux系统中不是真实存在的（非本地用户），即使通过抓包工具得到了用户名及密码，也不能用于登录Linux系统。

一、配置前的准备工作

1、安装db4-utils软件包

由于在配置时，需要使用db_load命令，用哈希（hash）算法将明文的虚拟用户密钥文件转换成数据库文件，所以需要安装db4-utils这个软件包。

yum install -y db4-utils

2、db_load命令说明

语法：db_load [-nTV] [-c name=value] [-f file] [-h home] [-P password] [-t btree | hash | recno | queue] db_file

选项：

-T 允许应用程序能够将文本文件转译载入进数据库。如果指定了选项-T，那么一定要追跟子选项-t

-t 子选项-t追加在-T选项后，用来指定转译载入的数据库类型，-t可以指定的数据类型有Btree、Hash、Queue和Recon数据库。

-f 参数后面接包含用户名和密码的文本文件，文件的内容是：奇数行为用户名、偶数行为密码。

3、配置文件相关配置项重点说明

a、因为虚拟用户是通过映射本地用户来登录FTP的，所以配置文件中local_enable配置项必须设为YES（local_enable=YES）。

b、虚拟用户的权限控制是使用匿名用户的配置项来实现的，要想虚拟用户具有写操作的权限，可以通过以下配置项来实现，另外将配置项anonymous_enable设为NO，并不影响虚拟用户登录FTP服务器。

anon_upload_enable=YES|NO

anon_other_write_enable=YES|NO

anon_mkdir_write_enable=YES|NO

配置项具体解释请参见—Linux服务器配置-VSFTP服务配置（二）。

c、用户访问控制配置项，也适用于虚拟用户配置，可根据具体配置情况，将不允许访问FTP的虚拟用户添加到访问控制列表中。

userlist_enable=YES|NO

userlist_deny=YES|NO

userlist_file=/etc/vsftpd/user_list

配置项具体解释请参见—Linux服务器配置-VSFTP服务配置（四）。

d、通过user_config_dir设置项，可以为每个虚拟用户设置不同的配置文件，但配置文件名需与虚拟用户名相同。没有单独配置文件的虚拟用户，适用于主配置文件。

二、实例说明使用数据库文件方式配置虚拟用户认证登录FTP服务器

1、配置软件环境说明。

CentOS6系统：

CentOS release 6.10 (Final)

vsftpd-2.2.2-24.el6.x86_64

RHEL7系统

Red Hat Enterprise Linux Server release 7.6 (Maipo)

vsftpd-3.0.2-25.el7.x86_64

服务器配置要求：

FTP服务采用被动模式运行，只允许虚拟用户登录，并将被动端口锁定在59800-59900之间。虚拟用户snowfox为FTP管理员，其FTP根目录设定在/var/vftproot目录中，该用户具有可下载、上传、新建目录（文件）、更名、及删除文件的权限。虚拟用户wendy为一般用户，其FTP根目录设定在/var/vftproot/wendy目录中（即只能访问自己的FTP目录），该用户具有可下载、上传、新建目录（文件）、更名、及删除文件的权限。虚拟用户itcat为一般用户，其FTP根目录设定在/var/vftproot目录中（即可访问其他用户FTP目录），该用户只有查看和下载文件的权限。

2、防火墙配置。

vsftpd服务的防火墙配置已在—Linux服务器配置-VSFTP服务配置（三）中加以说明，这里不再重复。

3、创建虚拟用户明文密钥文件。

文件的内容是：奇数行为虚拟用户名、偶数行为用户密码。当FTP虚拟用户与本地用户重名时，为了系统安全访问FTP服务器的密码一定不要与登录Linux系统的密码相同。

vim /etc/vsftpd/virusers.txt

4、生成虚拟用户密钥认证数据库文件。

将明文密钥文件，使用db_load命令转化成数据库文件。为了安全起见，再转化为数据库文件后，可删除前面创建的虚拟用户明文密钥文件。

db_load -T -t hash -f /etc/vsftpd/virusers.txt /etc/vsftpd/virusers.db

5、编辑 vsftpd 服务的PAM认证文件（/etc/pam.d/vsftpd）。

vim /etc/pam.d/vsftpd

在PAM认证文件中，加入以下两行，并注释掉其他行。其他行为本地用户登陆时的验证项。另外，PAM认证文件中“db=”的参数为使用db_load命令生成的数据库文件的路径，但不写数据库文件的后缀名。

auth required pam_userdb.so db=/etc/vsftpd/virusers

account required pam_userdb.so db=/etc/vsftpd/virusers

另外，可单独在/etc/pam.d/目录中创建用于虚拟用户的PAM认证文件，但需要在 vsftpd 服务配置文件中，修改pam_service_name配置项来加以明确。

6、创建本地映射用户，并设置FTP目录的权限。

在Linux系统中文件都有所有者、所属组的属性，当使用虚拟用户创建文件时，就会导致文件权限出现错误（因为虚拟用户不是系统本地用户）。为此，需要创建一个本地映射用户，也就是说，让虚拟用户默认登录到与之有映射关系的这个本地用户的目录中，虚拟用户创建的文件的属性都归属于这个本地用户。为了安全起见，可将这个本地用户设置为不允许登录Linux服务器。

adduser -d /var/vftproot -s /sbin/nologin virftp

chmod -R 755 /var/vftproot

7、备份配置文件

cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak

8、修改配置文件

vim /etc/vsftpd/vsftpd.conf

listen_port=21

connect_from_port_20=NO

pasv_enable=YES

pasv_min_port=59800

pasv_max_port=59900

listen=YES

listen_ipv6=NO

max_clients=0

max_per_ip=0

one_process_model=NO

accept_timeout=60

data_connection_timeout=300

idle_session_timeout=300

dirmessage_enable=YES

message_file=.message

write_enable=YES

download_enable=YES

chroot_local_user=YES

tcp_wrappers=YES

userlist_enable=YES

userlist_deny=YES

userlist_file=/etc/vsftpd/user_list

xferlog_enable=YES

xferlog_file=/var/log/xferlog

xferlog_std_format=YES

use_localtime=YES

anonymous_enable=NO

anon_umask=022

local_enable=YES

guest_enable=YES

guest_username=virftp

virtual_use_local_privs=NO

user_config_dir=/etc/vsftpd/vuser_config

pam_service_name=vsftpd

在RHEL7系统中，配置文件还需要加入以下配置项。

allow_writeable_chroot=YES

新版（2.3.5以上）的 vsftpd 程序为了安全，FTP目录没有写权限，才允许用户登录，也可将此项设置为YES。

9、重启vsftpd服务

CentOS6系统

service vsftpd restart

RHEL7系统

systemctl restart vsftpd

10、为虚拟用户单独创建配置文件及相应目录，已调整各个虚拟用户的不同访问权限。

同过上述配置及主配置文件可以看出，现在所有虚拟用户的访问权限为：所有虚拟用户都可以登录FTP服务器，FTP的家目录为/var/vftproot，并具有浏览和下载文件的权限。

创建自定义虚拟用户配置文件所在的目录

mkdir -p /etc/vsftpd/vuser_config

为虚拟用户单独创建配置文件及相应目录

snowfox虚拟用户

vim /etc/vsftpd/vuser_config/snowfox #创建snowfox虚拟用户的配置文件

加入以下配置项：

anon_upload_enable=YES

anon_other_write_enable=YES

anon_mkdir_write_enable=YES

wendy虚拟用户

mkdir /var/vftproot/wendy #创建wendy虚拟用户家目录

chown virftp:virftp /var/vftproot/wendy/ #更改目录的所有者及所属组为本地映射用户virftp

chmod 755 /var/vftproot/wendy/ #更改目录权限

vim /etc/vsftpd/vuser_config/wendy #创建wendy虚拟用户的配置文件

加入以下配置项：

local_root=/var/vftproot/wendy

anon_upload_enable=YES

anon_other_write_enable=YES

anon_mkdir_write_enable=YES

itcat虚拟用户

由于vsftpd的主配置文件，已经满足了itcat虚拟用户的要求，顾不需为其建立单独的配置文件。

11、SELinux设置

CentOS6系统

更改vsftp的SELinux布尔变量

setsebool -P ftp_home_dir on

setsebool -P allow_ftpd_full_access on

RHEL7系统

setsebool -P ftpd_full_access on

12、验证配置结果

snowfox用户登录认证wendy用户登录认证itcat用户登录认证

以上是我在学习Linux系统中整理的一些学习要点，肯定会有不对的地方，希望各位大侠给与指正，我们共同学习！谢谢！

下篇：Linux服务器配置-VSFTP服务配置（六）

通过实例说明数据库+虚拟用户配置登录FTP服务器。