Я пытаюсь настроить сервер vsftp с виртуальными пользователями, и, насколько я понимаю, эти виртуальные пользователи являются просто «вспомогательными учетными записями» пользователя ftp, тогда эти файлы, загруженные виртуальным пользователем, будут принадлежать пользователю ftp. (Поправьте меня, если я я не прав)
Цель этих виртуальных пользователей - просто загрузить и изменить веб-страницу, поэтому должен ли каталог разрешать, чтобы / var / www / html принадлежал пользователю ftp, а затем chroot виртуального пользователя в этом каталоге, или это подразумевает какой-либо риск безопасности? Могут ли эти виртуальные пользователи входить в систему с ключами rsa вместо паролей или это возможно только для ssh и реальных пользователей?
Причина, по которой у вас возникают проблемы с этим вопросом, заключается в том, что вы недостаточно обдумали желаемое намерение того, что будет способствовать каждая учетная запись. Вопрос, который вам нужно задать себе:
Под этим я подразумеваю, предъявляет ли виртуальный пользователь A те же требования к доступу, что и виртуальный пользователь B?
Если "да", вам необходимо предложить уникальные аутентификация для нескольких учетных записей, но все пользователи имеют одинаковые разрешение отношения.
В таком случае то, что вы делаете, работает.
Если ответ отрицательный, значит, вы хотите предложить уникальные аутентификация и уникальный разрешение для указанных аккаунтов.
В этой форме конструкция в корне ошибочна, поскольку авторизация на системном уровне не может идентифицировать одного виртуального пользователя по сравнению с другим.
VSFTP предоставляет функцию chroot. У вашего виртуального пользователя есть корень документа, и его можно привязать к нему, используя:
write_enable=YES
chroot_local_user=YES
local_root=/var/www/html/$USER
user_sub_token=$USER
Что касается владения, просто убедитесь, что пользователь FTP может управлять файлами в каждом домашнем каталоге. /var/www/html не обязательно должен принадлежать ему (хотя для этого требуется разрешение на выполнение). Вы также можете использовать группу учетной записи FTP, если хотите использовать другую учетную запись в качестве владельца. Может ты мог бы сделать что-нибудь вроде www-data:ftp или ftp:www-data (который, я бы сказал, самый распространенный) на /var/www/htmlподкаталоги?
rwxr-x--- ftp www-data /var/www/html
rwxr-x--- ftp www-data /var/www/html/myvirtualuser
rwxrwx--- ftp www-data /var/www/html/myvirtualuser/someuploaddirectory
Разрешения UNIX - довольно сильный механизм. Никакого риска для безопасности не будет, если вы уделите время размышлениям кому что нужно.
Редактировать о ключах RSA : Ключи RSA используются в соединениях SSH, а не FTP. Что касается FTP, аутентификация без пароля обычно означает анонимное соединение, используется на общедоступных FTP-серверах, таких как ftp.kernel.org. Вы можете настроить SSL-шифрование для ваших VSFTP-соединений: см. http://wiki.vpslink.com/Configuring_vsftpd_for_secure_connections_(TLS/SSL/SFTP).