配置vsFTP的虚拟用户认证

      本文主要参考让Vsftp支持虚拟用户

      HTTP对大文件上传总是不给力，还是要借助FTP啊，说到FTP就让我想起大学年代，真让人怀念，废话少说，开始吧：

      首先是检查所需的RPM包是否齐全：

rpm -aq|grep vsftp
rpm -aq|grep db4

      我的CentOS 4.6是完全安装的，所以都有了 ^_^ ：

[root@test02 ~]# rpm -aq|grep vsftp
vsftpd-2.0.1-5.EL4.7
[root@test02 ~]# rpm -aq|grep db4
db4-devel-4.2.52-7.3.el4
db4-4.2.52-7.3.el4
db4-devel-4.2.52-7.3.el4
db4-tcl-4.2.52-7.3.el4
db4-4.2.52-7.3.el4
db4-java-4.2.52-7.3.el4
db4-utils-4.2.52-7.3.el4

      建立低权限用户：

useradd vsftpd -s /sbin/nologin

      安全、安全……..

      设置基本的vsFTP配置文件，配置文件/etc/vsftpd/vsftpd.conf 如下：

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
chown_uploads=NO
xferlog_file=/var/log/vsftpd.log
vsftpd_log_file=/var/log/vsftpd.log
xferlog_std_format=YES
idle_session_timeout=600
data_connection_timeout=30
nopriv_user=vsftpd
async_abor_enable=YES
chroot_list_enable=NO
chroot_local_user=YES
chmod_enable=NO
ls_recurse_enable=NO
pam_service_name=vsftpd
userlist_enable=YES
listen=YES
tcp_wrappers=YES

      其实基本的配置没有太特殊的地方，就是禁止了匿名访问，改了vsFTP的运行用户，锁定用户的路径，真没有什么特殊的地方。到现在为止vsFTP就可跑起来了。

      下面是重头戏了。

      建立虚拟用户的爹，所谓虚拟用户不过是一名字，虚拟用户在系统中的权限全看他爹的权限，如果他爹的权限很低，那只能是“恨爹不成刚”了。

useradd overlord -s /sbin/nologin 

      建立虚拟用户数据库，总得找个地方保存虚拟用户的信息吧，保存在哪呢？在文件数据库中。新建一个文件写入如下内容：

vi /etc/vsftpd/virtusers

      写入如下内容：

xinwen
p@ssw0rd

      第一行是用户名，第二行是第一行用户名对应的用户的密码（比较拗口），如果愿意，可以多加几个用户，一行用户名紧接一行密码就可以了。

      生成一下数据库：

db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db

      配置虚拟用户的认证，有数据库保存这些用户信息了，vsFTP会乖乖地去读这些信息吗？ 当然不会，我们要借助Linux的PAM认证。

      将vsFTP的PAM认证配置文件/etc/pam.d/vsftpd修改成这样：

#%PAM-1.0
auth    sufficient      /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers
account sufficient      /lib64/security/pam_userdb.so     db=/etc/vsftpd/virtusers

      注意，我的是64位的Linux，如果是32位的Linux要写成 这样：

#%PAM-1.0
auth    sufficient      /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers
account sufficient      /lib/security/pam_userdb.so     db=/etc/vsftpd/virtusers

      网上有朋友反映pam_userdb.so完全可以不写全路径，不过没有试过。其次要注意，db的路径指向的文件名是没有.db后缀的，但是的的确确是去读 /etc/vsftpd/virtusers.db这个文件。

      开启vsFTP对虚拟用户的支持，其实也很简单了，就在刚才 vsFTP 的配置文件 /etc/vsftpd/vsftpd.conf 最后加上以下几行：

guest_enable=YES
guest_username=overlord
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd/vconf

      细致设定每个虚拟用户，可能已经注意到 user_config_dir 这个参数了吧，这个参数就是用来描述每个虚拟用户的私有配置文件。在/etc/vsftpd/vconf/ 目录下建立一个文件，名叫xinwen，记住要和用户名对应，写入以下几行：

local_root=/opt/vsftp/xinwen
anonymous_enable=NO
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
idle_session_timeout=600
data_connection_timeout=120
max_clients=10
max_per_ip=5
local_max_rate=50000

      第一行是该用户（xinwen）的根目录，当然还要主要一下这个目录对虚拟用户他爹——overlord的权限问题啦,其他可以参照vsFTP配置文件的说明。

      重启 vsFTP 就可以用xinwen这个虚拟用户登录了：

service vsftpd restart 

      怎么添加用户呢？其实就是修改文件数据库的事情，譬如我想增加一个叫做 cgx 的用户，密码也是 cgx 可以这样做：

mkdir -p /opt/vsftp/cgx
echo "cgx" >> /etc/vsftpd/virtusers
echo "cgx" >> /etc/vsftpd/virtusers
db_load -T -t hash -f /etc/vsftpd/virtusers /etc/vsftpd/virtusers.db
cp /etc/vsftpd/vconf/xinwen /etc/vsftpd/vconf/cgx

      修改一下 /etc/vsftpd/vconf/cgx 的 local_root 为 /opt/vsftp/cgx 就可以了。注意，每一次修改用户都要用db_load命令重新生成文件数据库。