实战：用Linux构建高效FTP服务器（3）

为了测试不同连机用户使用的是不同进程，可以使用ps -ef指令，显示如下所示：

# ps -ef|grep ftp

root 12972 1356 0 13:44 pts/1 00:00:00 ftp 127.0.0.1 2121

nobody 12973 12908 0 13:44 ？ 00:00:00 ［vsftpd］

ylg 12975 12973 0 13:44 ？ 00:00:00 ［vsftpd］

user1 13013 13011 0 13:46 ？ 00:00:00 ［vsftpd］

root 13041 13015 0 13:47 pts/4 00:00:00 grep ftp

到现在为止，一个基本可以满足普通使用需求的FTP服务器就已经架设完成。

在实际应用中，有时为了增加安全性，会将FTP服务器置于防火墙之后。如本文开头所述，被动传输模式适合于带有防火墙的情况。下面就来创建一个防火墙后的FTP服务器，该服务器FTP端口为2121，数据传输端口为2020。

执行以下两行指令，只允许2121和2020端口打开，其余端口关闭：

#iptables -A INPUT -p tcp -m multiport --dport 2121，2020 -j ACCEPT

#iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset

修改/etc/vsftpd/vsftpd.conf文件，在文本最后添加以下两行：

listen_port=2121

ftp_data_port=2020

重新启动vsftpd：

#service vsftpd restart

有时希望直接在/etc/hosts.allow中定义允许或拒绝某一源地址，可以通过以下配置来实现。先确保/etc/vsftpd/vsftpd.conf中tcp_wrappers=YES，Red Hat 9.0中，这是默认值。重新启动vsftpd

#service vsftpd restart

假设提供168.192.2.1和210.31.8.1到210.31.8.254的连接，则可对/etc/hosts.allow进行如下设定：

vsftpd ： 168.192.2.1 210.31.8. ： allow

ALL ： ALL ： DENY

配置虚拟用户FTP

上面配置的FTP服务器有一个特点，就是FTP服务器的用户本身也是系统用户。这显然是一个安全隐患，因为这些用户不仅能够访问FTP，也能够访问其它的系统资源。如何解决这个问题呢？答案就是创建一个虚拟用户的FTP服务器。虚拟用户的特点是只能访问服务器为其提供的FTP服务，而不能访问系统的其它资源。所以，如果想让用户对FTP服务器站内具有写权限，但又不允许访问系统其它资源，可以使用虚拟用户来提高系统的安全性。

在VSFTP中，认证这些虚拟用户使用的是单独的口令库文件（pam_userdb），由可插入认证模块（PAM）认证。使用这种方式更加安全，并且配置更加灵活。

下面介绍配置过程。

1．生成虚拟用户口令库文件。为了建立此口令库文件，先要生成一个文本文件。该文件的格式如下，单数行为用户名，偶数行为口令：

#vi account.txt

ylg

1234

zhanghong

4321

gou

5678

2．生成口令库文件，并修改其权限：

#db_load -T -t hash -f 。/account.txt /etc/vsftpd/account.db

#chmod 600 /etc/vsftpd/account.db

3．新建一个虚拟用户的PAM文件。加上如下两行内容：

#vi /etc/pam.d/vsftp.vu

auth required /lib/security/pam_userdb.so db=/etc/vsftpd/account

account required /lib/security/pam_userdb.so db=/etc/vsftpd/account

4．建立虚拟用户，设置该用户所要访问的目录，并设置虚拟用户访问的权限：

#useradd -d /ftpsite virtual_user

#chmod 700 /ftpsite

经过该步骤的设置，/ftpsite就是virtual_user用户的主目录，该用户也是/ftpsite目录的拥有者。除root用户之外，只有该用户具有对该目录的读、写和执行的权限。