Chinaunix

标题: 用pureftpd+pureDB虚拟用户,建立一个简单安全(不需要数据库支持)的linux ftp站 [打印本页]

作者: dongfengyu 时间: 2006-10-21 23:40
标题: 用pureftpd+pureDB虚拟用户,建立一个简单安全(不需要数据库支持)的linux ftp站
用pureftpd+pureDB虚拟用户,建立一个简单安全(不需要数据库支持)的linux ftp站
(陈佳毅编写,献给LINUX刚入门者,多谢linux社区对我的支持.博客： http://dongfengyu.bokee.com/)。

关键字：ubuntu linux  Pure-FTPD pureftpd  pureDB虚拟用户

规划：
目的:

  建一个有多个虚拟用户的ftp站点，可匿名访问，也可验证访问。匿名用户只可下载可上传。验证用户可下载，也可上传。
  虚拟用户使用ftpgroup组的ftpuser帐户访问。

  admin2帐户不属于ftpgroup组，而属于管理员组admin2。

目录结构：

1，pureftpd的数据文件存放目录:/var/ftpd/*，属主admin2，组admin2。

/var/ftpd/source/public  ［存放公共资料，匿名anonymous可访问。权限：777］。
/var/ftpd/source       ［存放伙伴用户群内交流的资料，伙伴用户vuser可访问，权限：777。］
/var/ftpd/home          ［存放管理员等高级人员的资料，管理用户admin2可访问，权限：755。］

2,pureftpd的可执行文件存放位置：/usr/local/pureftpd/*,属主：root，组root。

  /usr/local/pureftpd/etc/ 里面有“参数及配置文件夹”：etc；pureftpd自动生成的bin，man，sbin文件夹等
  /usr/local/pureftpd/etc/ 有文件：ftpmsg（自创）,pureftpd.log（自创）,pure-ftpd.conf（从编译中拷贝）,pureftpd.pdb（程序自动生成）,pureftpd.passwd（程序自动生成）。

用户分配

虚拟用户：包括anonymous、vuser、admin2。

匿名用户：anonymous

可访问资源：/var/ftpd/source/public/*  [可访问公共目录下面的所有资料public/* ]

上传：不允许

下载速率：受限

伙伴用户：vuser

可访问资源：/var/ftpd/source/*  ［可访问群内用户的所有资料,可创建、删除子目录，可创建、覆盖文件:source/*,包括/source/public/*］

上传：允许

上传空间：受限

速率：受限


管理用户：admin2

可访问资源：/var/ftpd/*  ［可访ftp所有资料,可创建、删除子目录，可创建、覆盖文件:包括home/*,source/*,/source/public/*］

上传：允许
上传空间：受限

速率：不限

执行：

建立数据文件目录、设置属主、权限：
代码:

--------------------------------------------------------------------------------
#su
#mkdir /var/ftpd

#mkdir /var/ftpd/home
#mkdir /var/ftpd/source
#mkdir /var/ftpd/source/public

#groupadd admin2
#useradd  admin2 -g admin2 -d /home/admin2  -s /bin/bash
#passwd  admin2

#cd /var
#chown -R admin2 ftpd
#chgrp -R admin2 ftpd
#chmod -R 755 ftpd

#cd /var/ftpd
#chmod -R 777 source
--------------------------------------------------------------------------------

建立pureftpd的可执行文件目录：
代码:

--------------------------------------------------------------------------------
#cd /usr
#mkdir /usr/local/pureftpd
#mkdir /usr/local/pureftpd/etc
#mkdir /usr/local/pureftpd/temp  ##安装程序用的临时目录，用完后，可删除

--------------------------------------------------------------------------------

安装pureftpd

下载： http://www.pureftpd.org
拷贝、解压

代码:

--------------------------------------------------------------------------------

#cp  pure-ftpd-1.0.21.tar.gz  /usr/local/pureftpd/temp
#cd  /usr/local/pureftpd/temp

#tar xzvf pure-ftpd-1.0.21.tar.gz
#cd pure-ftpd-1.0.21

--------------------------------------------------------------------------------

编译

代码:

---------------------------------------------------------------------------------------------



./configure --prefix=/usr/local/pureftpd  --with-everything  --with-rfc2640

---------------------------------------------------------------------------------------------
#注：
--prefix是安装的目标目录

--with-eyerything是安装所有功能
--with-rfc2640,此参数UTF-8,gb2312等异构系统的语言集转换

另外如果需要与mysql连接，修改提示语言等还需要在此指定，例如：
--with-mysql=/opt/mysql

--with-language=simplified-chinese

本文不涉及。

安装

代码:

--------------------------------------------------------------------------------

#make
#make check
#make install

--------------------------------------------------------------------------------

2.3 配置pureftpd

拷贝配置文件到指定目录



代码:

--------------------------------------------------------------------------------

#chmod 755 configuration-file/pure-config.pl
#cp configuration-file/pure-config.pl  /usr/local/pureftpd/sbin/
#cp configuration-file/pure-ftpd.conf  /usr/local/pureftpd/etc/
#cd  /usr/local/pureftpd/etc/
#gedit  pure-ftpd.conf

--------------------------------------------------------------------------------

pure-ftpd.conf全文注释(直接粘贴也可以):

--------------------------------------------------------------------------------

############################################################
#                                                       #
#       Configuration file for pure-ftpd wrappers       #
#                                                       #
############################################################

# 如果你想要使用配置文件代替命令行选项来运行 Pure-FTPd ，请运行下面的命令：

#/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf

# RPM 缺省使用另外一个配置文件：
# /etc/sysconfig/pure-ftpd
#
# 请不要忘了浏览一下 http://www.pureftpd.org/documentation.html 的
# 文档，查看全部的选项列表。

# 限制所有用户在其主目录中

ChrootEveryone             yes

# 如果前一个指令被设置为了 "no"，下面组的成员(GID)就不受主目录的限制了。而其他的用户还是
# 会被限制在自己的主目录里。如果你不想把任何用户限制在自己的主目录里，只要注释掉 ChrootEveryone
# 和 TrustedGID 就可以了。

# TrustedGID                   100

# 兼容ie等比较非正规化的ftp客户端

BrokenClientsCompatibility  yes

# 服务器总共允许同时连接的最大用户数

MaxClientsNumber          50

# 做为守护(doemon)进程运行(Fork in background)

Daemonize                yes

# 同一IP允许同时连接的用户数（Maximum number of sim clients with the same IP address）

MaxClientsPerIP          10

# 如果你要记录所有的客户命令，设置这个指令为 "yes"。
# This directive can be duplicated to also log server responses.

VerboseLog                no

# 即使客户端没有发送 '-a' 选项也列出隐藏文件( dot-files )。

DisplayDotFiles          no

# 不允许认证用户 - 仅作为一个公共的匿名FTP。

AnonymousOnly             no

# 不允许匿名连接，仅允许认证用户使用。

NoAnonymous                no

# Syslog facility (auth, authpriv, daemon, ftp, security, user, local*)
# 缺省的功能( facility )是 "ftp"。 "none" 将禁止日志。

SyslogFacility             ftp

# 定制用户登陆后的显示信息（Display fortune cookies）

FortunesFile             /usr/local/pureftpd/etc/ftpmsg

# 在日志文件中不解析主机名。日志没那么详细的话，就使用更少的带宽。在一个访问量很大
# 的站点中，设置这个指令为 "yes" ，如果你没有一个能工作的DNS的话。

DontResolve                yes

# 客户端允许的最大的空闲时间（分钟，缺省15分钟）

MaxIdleTime                15

# LDAP 配置文件 (参考 README.LDAP)

# LDAPConfigFile             /etc/pureftpd-ldap.conf

# MySQL 配置文件 (参考 README.MySQL)

# MySQLConfigFile             /etc/pureftpd-mysql.conf

# Postgres 配置文件 (参考 README.PGSQL)

# PGSQLConfigFile             /etc/pureftpd-pgsql.conf

# PureDB 用户数据库 (参考 README.Virtual-Users)

PureDB                      /usr/local/pureftpd/etc/pureftpd.pdb

# pure-authd 的socket 路径(参考 README.Authentication-Modules)

# ExtAuth                      /var/run/ftpd.sock

# 如果你要启用 PAM 认证方式, 去掉下面行的注释。

# PAMAuthentication          yes

# 如果你要启用简单的 Unix系统认证方式(/etc/passwd), 去掉下面行的注释。

# UnixAuthentication          yes

# 请注意，LDAPConfigFile, MySQLConfigFile, PAMAuthentication 和
# UnixAuthentication 这些指令只能被使用一次，不过，他们能被混合在一起用。例如：如果你使用了
# MySQLConfigFile 和 UnixAuthentication，那么 SQL 服务器将被访问。如果因为用户名未找
# 到而使 SQL 认证失败的话，就会在/etc/passwd 和 /etc/shadow 中尝试另外一种认证，如果因
# 为密码错误而使 SQL 认证失败的话，认证就会在此结束了。认证方式由它们被给出来的顺序而被链
# 接了起来。

# 'ls' 命令的递归限制。第一个参数给出文件显示的最大数目。第二个参数给出最大的子目录深度。

LimitRecursion             2000 8

# 允许匿名用户创建新目录？

AnonymousCanCreateDirs    yes

# 如果系统被 loaded 超过下面的值，匿名用户会被禁止下载。

MaxLoad                   10

# 被动连接响应的端口范围。- for firewalling.

# PassivePortRange       30000 50000

# 强制一个IP地址使用被动响应（ PASV/EPSV/SPSV replies）。 - for NAT.
# Symbolic host names are also accepted for gateways with dynamic IP
# addresses.

# ForcePassiveIP             192.168.0.1

# 匿名用户的上传/下载的比率。
# AnonymousRatio             1 10

# 所有用户的上传/下载的比率。

# UserRatio                1 10

# 不接受所有者为 "ftp" 的文件的下载。例如：那些匿名用户上传后未被本地管理员验证的文件。

AntiWarez                no

# 服务监听的IP 地址和端口。(缺省是所有IP地址和21端口)

# Bind                   127.0.0.1,21

# 匿名用户的最大带宽（KB/s）。

# AnonymousBandwidth          8

# 所有用户的最大带宽（KB/s），包括匿名用户。
# Use AnonymousBandwidth *or* UserBandwidth, both makes no sense.

UserBandwidth          1000

# 新建目录及文件的属性掩码值。<文件掩码>:<目录掩码> .
# 177:077 if you feel paranoid.

Umask                      133:022

# 认证用户允许登陆的最小组ID（UID）。

MinUID                   100

# 仅允许认证用户进行 FXP 传输。

AllowUserFXP             no

# 对匿名用户和非匿名用户允许进行匿名 FXP 传输。

AllowAnonymousFXP          no

# 用户不能删除和写点文件（文件名以 '.' 开头的文件），即使用户是文件的所有者也不行。
# 如果 TrustedGID 指令是 enabled ，文件所属组用户能够访问点文件(dot-files)。

ProhibitDotFilesWrite    yes

# 禁止读点文件（文件名以 '.' 开头的文件） (.history, .ssh...)

ProhibitDotFilesRead       yes

# 永不覆盖文件。当上传的文件，其文件名已经存在时，自动重命名，如： file.1, file.2, file.3, ...

AutoRename                yes

# 不接受匿名用户上传新文件( no = 允许上传)

AnonymousCantUpload       no

# 仅允许来自以下IP地址的非匿名用户连接。你可以使用这个指令来打开几个公网IP来提供匿名FTP，
# 而保留一个私有的防火墙保护的IP来进行远程管理。你还可以只允许一内网地址进行认证，而在另外
# 一个IP上提供纯匿名的FTP服务。

#TrustedIP                10.1.1.1

# 如果你要为日志每一行添加 PID 去掉下面行的注释。

#LogPID                   yes

# 使用类似于Apache的格式创建一个额外的日志文件，如：
# fw.c9x.org - jedi [13/Dec/1975:19:36:39] "GET /ftp/linux.tar.bz2" 200 21809338
# 这个日志文件能被 www 流量分析器处理。

# AltLog                   clf:/var/log/pureftpd.log

# 使用优化过的格式为统计报告创建一个额外的日志文件。

# AltLog                   stats:/var/log/pureftpd.log

# 使用标准的W3C格式创建一个额外的日志文件。（与大部分的商业日志分析器兼容）

AltLog                   w3c:/usr/local/pureftpd/etc/pureftpd.log

# 不接受 CHMOD 命令。用户不能更改他们文件的属性。

NoChmod                   yes

# 允许用户恢复和上传文件，却不允许删除他们。

KeepAllFiles             no

# 用户主目录不存在的话，自动创建。

#CreateHomeDir             yes

# 启用虚拟的磁盘限额。第一个数字是最大的文件数。
# 第二个数字是最大的总的文件大小(单位：Mb)。
# 所以，1000:10 就限制每一个用户只能使用 1000 个文件，共10Mb。

Quota                      2000:1000

# 如果你的 pure-ftpd 编译时加入了独立服务器( standalone )支持，你能够改变 pid 文件
# 的位置。缺省位置是 /var/run/pure-ftpd.pid 。

#PIDFile                   /var/run/pure-ftpd.pid

# 如果你的 pure-ftpd 编译时加入了 pure-uploadscript 支持，这个指令将会使 pure-ftpd
# 发送关于新上传的情况信息到 /var/run/pure-ftpd.upload.pipe，这样 pure-uploadscript
# 就能读然后调用一个脚本去处理新的上传。

#CallUploadScript yes

# 这个选项对允许匿名上传的服务器是有用的。当 /var/ftp 在 /var 里时，需要保留一定磁盘空间
# 来保护日志文件。当所在磁盘分区使用超过百分之 X 时，将不在接受新的上传。

MaxDiskUsage             99

# 如果你不想要你的用户重命名文件的话，就设置为 'yes' 。

NoRename                no

# 是 'customer proof' : 工作区(workaround)反对普通的客户错误，类似于：'chmod 0 public_html' 的错误。
# 那是一个有效的命令，不过，将导致无知的客户所定他们自己的文件，将使你的技术支持忙于愚蠢的的问题中。
# 如果你确信你所有的用户都有基本的Unix知识的话，这个特性将没什么用了。不过，如果你是一个主机提供商
# 的话，启用它。

CustomerProof             yes

# 每一个用户的并发限制。只有在添加了 --with-peruserlimits 编译选项进行编译后，这个指令才起
# 作用。(大部分的二进制的发布版本就是例子)
# 格式是 : <每一个用户最大允许的进程>:<最大的匿名用户进程>
# 例如： 3:20 意思是同一个认证用户最大可以有3个同时活动的进程。而且同时最多只能有20个匿名用户进程。

PerUserLimits          10:200

# When a file is uploaded and there is already a previous version of the file
# with the same name, the old file will neither get removed nor truncated.
# Upload will take place in a temporary file and once the upload is complete,
# the switch to the new version will be atomic. For instance, when a large PHP
# script is being uploaded, the web server will still serve the old version and
# immediatly switch to the new one as soon as the full file will have been
# transfered. This option is incompatible with virtual quotas.

# NoTruncate             yes

# This option can accept three values :
# 0 : disable SSL/TLS encryption layer (default).
# 1 : accept both traditional and encrypted sessions.
# 2 : refuse connections that don't use SSL/TLS security mechanisms,
#    including anonymous sessions.
# Do _not_ uncomment this blindly. Be sure that :
# 1) Your server has been compiled with SSL/TLS support (--with-tls),
# 2) A valid certificate is in place,
# 3) Only compatible clients will log in.

# TLS                   1

# Listen only to IPv4 addresses in standalone mode (ie. disable IPv6)
# By default, both IPv4 and IPv6 are enabled.

# IPV4Only                yes

# Listen only to IPv6 addresses in standalone mode (ie. disable IPv4)
# By default, both IPv4 and IPv6 are enabled.

# IPV6Only                yes

#可对服务器端和客户端的字符集进行自定义，如果服务器端和客户端所属的字符集不一样，可分别定义
#但如果你想下面的参数生效，在程序编译的时候要加上参数--with-rfc2640

FileSystemCharset UTF-8
ClientCharset gbk

--------------------------------------------------------------------------------

虚拟用户公共帐号设置



代码:

--------------------------------------------------------------------------------

#groupadd ftpgroup
#useradd  ftpuser -g ftpgroup -d /dev/null -s /etc

或：
#mkdir /home/null
#chmod 777 /home/null
#useradd  ftpuser -g ftpgroup -d /home/null -s /etc

--------------------------------------------------------------------------------

添加ftp用户，让匿名支持:
-------------------------------------------------------------------------------
#useradd ftp -g ftpgroup    #添加一个用户“ftp”必须是这个名，它与其它ftp用户都从属于上面的ftpgroup。
  (如果ftp用户已经存在，请修改ftp的默认组：  #usermod -g ftpgroup ftp)
#usermod -d /var/ftpd/source/public  ftp #更改“ftp”这个用户的主目录。
#chown ftp.ftpgroup /var/ftpd/source/public

---------------------------------------------------------------------------------

虚拟用户帐号设置

代码:

--------------------------------------------------------------------------------
#cd  /usr/local/pureftpd/bin



#./pure-pw useradd vuser -u ftpuser -d /var/ftpd/source
#./pure-pw useradd admin2 -u admin2 -d /var/ftpd

--------------------------------------------------------------------------------
##说明：vuser是用户名，-u ftpuser是其实际的linux用户，-d指定起始目录,并锁定于该目录。如果不锁定，则用-D

##如果需要限制IP段的加上： -r 192.168.0.0/24

建立用户数据库
代码：
--------------------------------------------------------------------------------

#./pure-pw mkdb /usr/local/pureftpd/etc/pureftpd.pdb

--------------------------------------------------------------------------------
#说明：今后每添加或修改用户数据库都应该执行一次mkdb，执行后不需要重起ftp

启动pureftpd

代码:

------------------------------------------------------------------------------------------------------

#/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf
------------------------------------------------------------------------------------------------------



或设置执行文件pureftpd.sh为系统服务：
  # vi pureftpd.sh
内容：

#!/bin/sh
echo ""
/usr/local/pureftpd/sbin/pure-config.pl /usr/local/pureftpd/etc/pure-ftpd.conf

然后：
#chmod 755 pureftpd.sh

执行以下命令立即生效，#./pureftpd.sh

重新启动系统，测试安装效果。

pure-ftpdconf1022

11.12 KB, 下载次数: 122

pure-ftpd

作者: langue 时间: 2006-10-22 10:00
支持楼主。希望能够有所扩充和更新。

作者: dongfengyu 时间: 2006-10-22 22:35
无论是什么版本都能建立，我已经成功在，suse，ubuntu，dubuntu上面安装，其实，上面的教程已经很详细，把每一行复制下来，在终端直接运行即可，每一层的目录都已经定好。这样的设置支持（server=utf8,client=gbk）服务器端和客户端不同字符集的情况。
例如服务器端是linux用utf8,客户端是windows用gbk，程序自动转换字符集，不会造成乱码。

作者: dongfengyu 时间: 2006-10-22 22:40
其实一般的ftp站，并不需要mysql等数据库的支持，只需要一般虚拟用户（文件）的支持即可，简单，方便快速设置是最好的。
假如对上面安装不了解的话，用root用户，把每一行copy下来，直接运行，就会安装到一个完整的ftp网站，经多次测试都没有故障，

作者: wcxgo 时间: 2008-09-03 18:15
不得不顶的好资料，我一直被权限困扰，今天看到了楼主的帖子，感觉明白了一些，下步是试验看看

作者: ipaddr 时间: 2008-09-04 15:20
我以前在一个UTM(Linux网关，功能强劲）上面加装过FTP服务器，用的也是PureFTPd。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)