■ 枝江市職業(yè)教育中心 楊華 枝江市顧家店初級中學 劉興波

編者按：在VSFTPD 本地用戶模式配置中，有幾種故障在初學者的配置中比較常見，本文將加以介紹。

VSFTPD 有三種用戶訪問驗證方式：匿名開放模式無需密碼認證即可直接登錄到FTP 服務器；本地用戶模式是通過系統本地的賬戶密碼信息登錄到FTP 服務器；虛擬用戶模式是通過創(chuàng)建獨立的FTP 用戶數據庫文件來進行認證并登錄到FTP服務器，相較來說它也是最安全的認證模式。

在實際生產環(huán)境中，本地用戶模式配置簡單，安全性有一定保障，如果用戶規(guī)模不大，這種方式是不錯的選擇。以下幾種故障在初學者的配置中較常見，且現有文檔中少有介紹，根據筆者平時反復實驗、調試總結得出部分結論。

資源管理器方式登錄沒有提示輸入用戶名及密碼，且提示錯誤信息：打開FTP 服務器上的文件夾時發(fā)生錯誤，請檢查是否有權限訪問該文件夾

故障分析：

首先在VSFTP 服務器端已停用匿名訪問模式，啟用本地用戶訪問，而且通過FTP工具或瀏覽器可以正常通過用戶名及密碼登錄。且在資源管理器中可通過鼠標右鍵選擇“登錄”，出現登錄窗口，可以正常登錄了，但不能每次都這樣。通過抓包分析，發(fā)現如圖1 所示故障信息。

原來，系統默認用匿名去登錄，但在FTP 服務器端未啟用匿名訪問，所以就出現權限拒絕的提示嗎？但這樣也不應該影響正常的本地用戶名訪問。經過對配置文件中關于本地用戶選項的深入分析，終于發(fā)現了端倪。如下兩項配置參數：

userlist_deny=YES 啟用“禁止用戶名單”，名單文件為ftpusers 和user_list

userlist_enable= YES 開啟用戶作用名單文件功能

以上配置可以拒絕特 定的用戶登錄。打開user_list配置文件，果然anonymous 在列，將其刪除。

[root@hbzj ftptest]# vim /etc/vsftpd/user_list

anonymous

root

………

重新登錄，當客戶端試圖用anonymous 連接時，服務端檢測配置文件發(fā)現匿名方式停用，但它沒有在拒絕列表中，所以客戶端瀏覽器不會收到一個拒絕權限的響應，當匿名登錄超時，就自然跳到登錄窗口要求用戶輸入用戶名及密碼了。

在實際應用中，登錄連接成功，但登錄過程緩慢。即便用戶名密碼正確輸入后，認證很久才連上。

故障分析：

圖1 資源管理器方式登錄提示錯誤信息

先在本機通過連接回環(huán)地址，發(fā)現連接還是比較快的，沒有出現卡頓。通過Ping 測試到FTP 服務的連接狀況，一切正常。換其他客戶端連接，也是出現同樣情況。

整個網絡連通沒有問題，就出在服務器的某項配置上，再 查 看vsftpd.conf 配置沒發(fā)現什么異常。

通過抓包信息發(fā)現，認證過程中延遲在20 s 左右，這20 s 花在了哪里呢？筆者通過認真查詢vsftpd 主配置文件中參數說明，發(fā)現reverse_lookup_enable 參數可能會出現較大的延遲。

關于該參數的注釋信息如圖2 所示。意思是：如果希望VSFTPD 在PAM 身份 驗證之前將IP 地址轉換為主機名，請設置為YES。如果使用pam_訪問（包括主機名），這將非常有用。如果希望VSFTPD 在對某些主機名的反向查找可用且名稱服務器暫時不響應的環(huán)境中運行，則應將此設置為“否”以避免性能問題。

默認值：是。

既然默認是YES，而且會嘗試反解析，這里就修改一下。在/etc/vsftpd/vsftpd. conf 文件中增加“reverse_ lookup_enable =NO”，并 重啟VSFTPD 服務后，問題解決。

注意：可以把resolv.conf中的內容清空也能解決這個問題，但會影響到DNS 的解析。

本地用戶登錄后沒有登錄到自己的用戶目錄中。

故障分析：

有一個本地賬戶DHM 信息為dhm:x:1012:1012::/home/dhm:/sbin/nologin

按照正常配置，登錄成功后就轉到自己的家目錄了，但卻跳到了另一個目錄/home/ ftptest，而且試著用另一個本地賬戶登錄，也是同樣轉到該目錄。筆者通過查看本地賬戶配置文件，發(fā)現該目錄屬于賬戶ftptest。還是先檢查主配置文件vsftpd.conf，終于找到該賬戶的蹤跡：

圖2 reverse_lookup_enable 參數的注釋信息

guest_username= ftptest

原來之前配置過的虛擬用戶登錄，這項沒有注釋掉。這樣以來，所有登錄賬戶都映射到這個虛擬賬戶上，自然登錄的主目錄就是該賬戶的家目錄了。把此項注釋掉，重啟FTP 服務，故障排除。

登錄出現vsftpd：500 OOPS: vsftpd: refusing to run with writable root inside chroot

在新版本中，VSFTPD 增強了安全檢查，如果用戶被限定在了其主目錄下，則該用戶的主目錄不能再具有寫權限了！如果檢查發(fā)現還有寫權限，就會報該錯誤。

方法一：將用戶主目錄去除寫權限。

chmod a-w /home/XX/

但是這樣用戶就不能進行寫操作了。

方法二：在vsftpd.conf中新增“allow_writeable_chroot=YES”配置，允許用戶具有主目錄寫權限，這樣用戶被限定在了主目錄中，并且具有寫權限了。