vsftp在centos上的权限管理技巧

vsftpd 在 CentOS 上的权限管理技巧

一 基础安全与最小权限配置

• 安装与启停
  • 安装：sudo yum install vsftpd（或 dnf）；启动与开机自启：sudo systemctl enable --now vsftpd。
• 核心配置 /etc/vsftpd/vsftpd.conf（示例为最小安全基线）
  • 禁用匿名：anonymous_enable=NO
  • 允许本地用户：local_enable=YES
  • 允许写入：write_enable=YES
  • 本地掩码：local_umask=022
  • 日志：xferlog_enable=YES、xferlog_std_format=YES
  • 连接与端口：connect_from_port_20=YES
  • 监听：listen=YES、listen_ipv6=NO
  • PAM 与 TCP Wrappers：pam_service_name=vsftpd、tcp_wrappers=YES
  • 说明：按需开启被动模式（见第四节）。以上为常见且安全的起步配置，随后再按用户与目录细化权限。

二 用户隔离与目录权限

• 使用 chroot 将用户限制在主目录
  • 全局锁定：chroot_local_user=YES。为降低风险，建议主目录属主为 root:root、权限 755，并在其下为可写创建子目录（如 uploads），避免对 chroot 根目录本身可写。
  • 例外控制：若仅对少数用户禁锢，可改为 chroot_local_user=NO 并启用 chroot_list_enable=YES、chroot_list_file=/etc/vsftpd/chroot_list，在列表中的用户将被 chroot。
• 目录与权限示例
  • 锁定根目录可写性：
    • sudo chown root:root /home/ftpuser
    • sudo chmod 755 /home/ftpuser
  • 可写上传目录：
    • sudo mkdir -p /home/ftpuser/uploads
    • sudo chown ftpuser:ftpuser /home/ftpuser/uploads
    • sudo chmod 755 /home/ftpuser/uploads
• 说明：vsftpd 默认不允许 chroot 目录可写以防安全漏洞；若必须可写，优先采用“根目录不可写 + 子目录可写”的结构，或使用后续介绍的虚拟用户方式按需赋权。

三 用户访问控制与名单策略

• 用户名单
  • 启用名单：userlist_enable=YES、userlist_file=/etc/vsftpd/user_list
  • 两种模式：
    • 黑名单：userlist_deny=YES（默认，名单内拒绝）
    • 白名单：userlist_deny=NO（仅名单内允许）
• 访问控制补充
  • 结合 /etc/hosts.allow 与 /etc/hosts.deny 做来源 IP 限制（需启用 tcp_wrappers=YES）。
• 典型用法
  • 仅允许特定用户登录：设置 userlist_deny=NO，在 /etc/vsftpd/user_list 中逐行写入允许的用户名。

四 被动模式与防火墙

• 被动模式端口
  • 在 vsftpd.conf 中启用并限定端口范围，便于防火墙放行：
    • pasv_enable=YES
    • pasv_min_port=10090
    • pasv_max_port=10100
• firewalld 放行
  • 放行 FTP 控制端口与服务：
    • sudo firewall-cmd --permanent --add-service=ftp
    • 或精确放行端口：sudo firewall-cmd --permanent --add-port=21/tcp
    • 放行被动端口范围：sudo firewall-cmd --permanent --add-port=10090-10100/tcp
    • 使配置生效：sudo firewall-cmd --reload
• 说明：若未启用被动模式，数据连接可能被 NAT/防火墙拦截；限定端口范围有助于安全与运维。

五 虚拟用户与细粒度权限

• 适用场景
  • 多用户、不同目录、不同权限（如仅上传、仅下载、可删改等），且不与系统账号耦合。
• 快速步骤
  • 创建系统映射账号（不可登录）：sudo useradd -s /sbin/nologin -d /var/ftp/vusers -M vftp
  • 准备用户文件：/etc/vsftpd/vusers.txt（格式：用户名一行、密码一行）
  • 生成数据库：db_load -T -t hash -f /etc/vsftpd/vusers.txt /etc/vsftpd/vusers.db
  • 保护数据库：chmod 600 /etc/vsftpd/vusers.db
  • 配置 PAM：/etc/pam.d/vsftpd 添加
    • auth required pam_userdb.so db=/etc/vsftpd/vusers
    • account required pam_userdb.so db=/etc/vsftpd/vusers
  • vsftpd 启用虚拟用户：
    • guest_enable=YES
    • guest_username=vftp
    • virtual_use_local_privs=YES
    • 按用户指定根目录与权限（可通过 per-user 配置或目录权限实现）
• 细粒度示例
  • 仅上传不可下载：对对应用户的目录设置“可写不可读”的权限位组合（如仅赋予写/执行位），或在应用层限制；注意多数 FTP 客户端在下载时会尝试读取，需结合业务与客户端行为验证。
• 排错要点
  • 日志：/var/log/vsftpd.log、/var/log/messages、/var/log/xferlog
  • SELinux：若启用，放行家目录访问：sudo setsebool -P ftp_home_dir on；必要时修正上下文：sudo chcon -Rv --type=ftp_home_t /home/ftpuser
  • 连接失败与 530 错误：核对 PAM、用户名单、目录属主与权限、SELinux 与防火墙设置。