Linux实验13 配置虚拟用户登录FTP服务器

虚拟用户FTP服务器是一种配置方式，其中FTP服务器上的用户账户并不是系统的真实本地用户，而是专为FTP服务创建的独立账户。这种方式提供了额外的安全层，因为虚拟用户没有系统级别的访问权限，只能访问FTP服务器为其指定的受限目录。

虚拟用户的概念

• 非系统账户：虚拟用户账号是由FTP服务器软件管理的，与系统的 /etc/passwd 和 /etc/shadow 文件无关，这意味着即便FTP登录凭证被盗，攻击者也无法直接登录到服务器系统。
• 映射与权限控制：虚拟用户通过PAM（Pluggable Authentication Modules）或其他认证机制映射到系统中的匿名或专用账户，以此来控制对FTP目录的访问。每个虚拟用户可以被配置为访问特定的目录，且权限仅限于此目录内。

配置流程

• 安装与配置FTP软件：首先安装如vsftpd这样的FTP服务器软件，并配置以支持虚拟用户模式。
• 创建用户数据库：为虚拟用户创建一个单独的密码文件，这个文件通常包含用户名和经过加密的密码。
• 配置认证方式：修改FTP服务器配置文件，如vsftpd.conf，以指定使用虚拟用户数据库进行认证，通常涉及到设置virtual_use_local_privs=YES，pam_service_name=vsftpd_virtual等选项。
• 设置权限与目录：为每个虚拟用户指定可访问的根目录，并通过配置限制他们的权限，比如读、写、删除等。
• 重启服务：完成配置后，重启FTP服务以应用新的设置。
• 测试登录：使用虚拟用户凭据尝试登录FTP服务器，确认配置是否生效。

安全优势

• 增强安全性：由于虚拟用户不与系统用户相关联，即使FTP认证信息泄露，也不会直接威胁到系统的整体安全。
• 隔离用户权限：每个虚拟用户只能访问其被授权的目录，减少了因误操作导致的数据损坏或泄露风险。
• 灵活性：易于添加、删除用户，以及调整用户权限，无需修改系统用户配置，更适合多用户场景。

二、实验步骤

服务器

0.固定IP为192.168.100.100，下载安装vsftpd软件

编辑网络配置文件

配置文件修改如下

重启网络，查看ip地址

下载vsftpd

1.建立保存虚拟用户的用户名和密码的文件，使用db_load命令生成本地账号数据库文件

2.配置生成的数据库文件对虚拟用户进行验证

3.创建vuser1的根目录和测试文件以及映射用户itopub

4.创建vuser2的根目录和测试文件

5.修改vsftp配置文件

guest_enable=YES
anon_upload_enable=NO
allow_writeable_chroot=YES
user_config_dir=/etc/vsftpd/user_conf
pam_service_name=vsftpd

write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES

pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

6.为虚拟用户添加自定义配置文件

guest_username=itopub
write_enable=YES
anon_upload_enable=YES
local_root=/siso/ito/pub

guest_username=ftp
write_enable=YES
local_root=/var/ftp/vuser

7.重启FTP服务，修改防火墙和SELinux

客户端

0.安装ftp

1.创建测试文件

2.使用vuser1登录测试

3.使用vuser2登录测试