如何在 Linux 中将 FTP 用户限制为目录
1. 概述
在本文中,将配置 vsftpd 以限制用户在通过 FTP 建立连接时浏览父目录。将通过创建 FTP 用户并修改 vsftpd.conf 文件中的默认配置来实现这一点。
2. 设置 FTP 用户
首先,创建一个具有有限权限的 FTP 用户:
sudo useradd ftpuser接下来,设置用户的密码:
sudo passwd ftpuser
New password:
Retype new password:
passwd: password updated successfully或者,可以使用 sudo useradd ftpuser -s /sbin/nologin 来防止 SSH 登录。
接下来,在 ftpuser 的主目录中创建一个名为 ftp 的目录。将使用 -p 标志来创建用户的默认主目录:
sudo mkdir -p /home/ftpuser/ftp接下来,设置所有权并删除写入权限:
sudo chown ftpuser:ftpuser /home/ftpuser/ftp
sudo chmod a-w /home/ftpuser/ftp删除所有用户的写入权限将拒绝任何人修改文件内容。将无法重命名或删除此目录中的文件。但是,目录的所有者仍具有书面权限。
在 ftp 目录中,添加两个目录并将其所有权更改为 ftpuser:
sudo mkdir /home/ftpuser/ftp/documents /home/ftpuser/ftp/Python
sudo chown ftpuser:ftpuser /home/ftpuser/ftp/documents /home/ftpuser/ftp/Python
sudo ls -l /home/ftpuser/ftp
total 8
drwxr-xr-x 2 ftpuser ftpuser 4096 Sep 23 01:18 documents
drwxr-xr-x 2 ftpuser ftpuser 4096 Sep 23 01:39 Python3. 配置vsftpd
现在,编辑 vsftpd 配置。将进行更改并添加所需的设置以限制 FTP 用户。
首先,确认 vsftpd 是否已安装并正在运行:
sudo systemctl status vsftpd
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset>
Active: active (running) since Thu 2023-09-05 22:32:16 CDT; 4h 6min ago
Process: 2896 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited>
Main PID: 2897 (vsftpd)
Tasks: 1 (limit: 2256)
Memory: 852.0K
CPU: 175ms
CGroup: /system.slice/vsftpd.service
└─2897 /usr/sbin/vsftpd /etc/vsftpd.conf否则,如果不可用,将通过以下方式安装它:
sudo apt-get install vsftpd其次,编辑 vsftpd 配置文件以设置特定于用户的限制和目录访问。在进行任何调整之前,必须复制原始文件:
sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.copy创建原始文件的副本,以便在以后需要原始配置或修改不起作用时更容易恢复。编辑 vsftpd.conf 文件:
sudo nano /etc/vsftpd.conf打开文件后,设置以下指令:
anonymous_enable=NO
local_enable=YES这些指令很重要,因为anonymous_enable阻止匿名登录,而local_enable允许本地用户登录。接下来,找到并取消注释以下行:
write_enable=YES该指令允许在文件系统上添加、更改或删除文件和目录。为了防止用户访问目录树之外的文件和命令,取消注释:
chroot_local_user=YES最后,添加共享目录路径:
local_root=/home/ftpuser/ftp如果管理许多用户,则可以使用 $USER 变量来设置共享目录并将用户路由到他们的主目录。user_sub_token 指令将每个用户登录到其主目录,同时local_root设置共享目录的路径:
user_sub_token=$USER
local_root=/home/$USER/ftp要使这些更改生效,我们需要重新启动 vsftpd 服务:
sudo service vsftpd restart测试连接并确认更改是否已生效:
ftp 192.168.0.105
Connected to 192.168.0.105.
220 (vsFTPd 3.0.5)
Name (192.168.0.105:gt2): ftpuser
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
Remote directory: /
ftp> ls
229 Entering Extended Passive Mode (|||24367|)
150 Here comes the directory listing.
drwxr-xr-x 2 0 0 4096 Sep 05 22:39 Python
drwxr-xr-x 2 1001 1001 4096 Sep 05 22:18 documents
226 Directory send OK.
ftp> cd documents
250 Directory successfully changed.
ftp> cd /etc
550 Failed to change directory.
ftp> cd /root
550 Failed to change directory.
ftp> cd /Python
250 Directory successfully changed.
ftp> 用户在登录时被定向到 ftp 目录(指示为远程目录或 /)。ftpuser 可以移动到子目录,但不能移动到 ftp 目录之外。
4. 结论
在本文中,我们讨论了创建功能有限的 FTP 用户并阻止用户访问父目录。我们创建的 FTP 用户只能浏览其中的目录。此外,我们提到我们应该关闭此类用户的 shell 登录,以防止授权访问(尤其是通过 SSH)。
接下来,我们必须确保 vsftpd 服务器正在运行。如果它正在运行并且状态不处于活动状态,让我们重新安装它。最后,在修改 vsftpd.conf 文件时,我们必须确保启用正确的指令,以确保为正确的用户提供适当的权限。