1. 概述

在本文中，将配置 vsftpd 以限制用户在通过 FTP 建立连接时浏览父目录。将通过创建 FTP 用户并修改 vsftpd.conf 文件中的默认配置来实现这一点。

2. 设置 FTP 用户

首先，创建一个具有有限权限的 FTP 用户：

sudo useradd ftpuser

接下来，设置用户的密码：

sudo passwd ftpuser
New password: 
Retype new password: 
passwd: password updated successfully

或者，可以使用 sudo useradd ftpuser -s /sbin/nologin 来防止 SSH 登录。

接下来，在 ftpuser 的主目录中创建一个名为 ftp 的目录。将使用 -p 标志来创建用户的默认主目录：

sudo mkdir -p /home/ftpuser/ftp

接下来，设置所有权并删除写入权限：

sudo chown ftpuser:ftpuser /home/ftpuser/ftp
sudo chmod a-w /home/ftpuser/ftp

删除所有用户的写入权限将拒绝任何人修改文件内容。将无法重命名或删除此目录中的文件。但是，目录的所有者仍具有书面权限。

在 ftp 目录中，添加两个目录并将其所有权更改为 ftpuser：

sudo mkdir /home/ftpuser/ftp/documents /home/ftpuser/ftp/Python
sudo chown ftpuser:ftpuser /home/ftpuser/ftp/documents /home/ftpuser/ftp/Python
sudo ls -l /home/ftpuser/ftp
total 8 
drwxr-xr-x 2 ftpuser ftpuser 4096 Sep  23 01:18 documents
drwxr-xr-x 2 ftpuser ftpuser 4096 Sep  23 01:39 Python

3. 配置vsftpd

现在，编辑 vsftpd 配置。将进行更改并添加所需的设置以限制 FTP 用户。

首先，确认 vsftpd 是否已安装并正在运行：

sudo systemctl status vsftpd
● vsftpd.service - vsftpd FTP server
Loaded: loaded (/lib/systemd/system/vsftpd.service; enabled; vendor preset>
Active: active (running) since Thu 2023-09-05 22:32:16 CDT; 4h 6min ago
Process: 2896 ExecStartPre=/bin/mkdir -p /var/run/vsftpd/empty (code=exited>
Main PID: 2897 (vsftpd)
Tasks: 1 (limit: 2256)
Memory: 852.0K
CPU: 175ms
CGroup: /system.slice/vsftpd.service
└─2897 /usr/sbin/vsftpd /etc/vsftpd.conf

否则，如果不可用，将通过以下方式安装它：

sudo apt-get install vsftpd

其次，编辑 vsftpd 配置文件以设置特定于用户的限制和目录访问。在进行任何调整之前，必须复制原始文件：

sudo cp /etc/vsftpd.conf /etc/vsftpd.conf.copy

创建原始文件的副本，以便在以后需要原始配置或修改不起作用时更容易恢复。编辑 vsftpd.conf 文件：

sudo nano /etc/vsftpd.conf

打开文件后，设置以下指令：

anonymous_enable=NO
local_enable=YES

这些指令很重要，因为anonymous_enable阻止匿名登录，而local_enable允许本地用户登录。接下来，找到并取消注释以下行：

write_enable=YES

该指令允许在文件系统上添加、更改或删除文件和目录。为了防止用户访问目录树之外的文件和命令，取消注释：

chroot_local_user=YES

最后，添加共享目录路径：

local_root=/home/ftpuser/ftp

如果管理许多用户，则可以使用 $USER 变量来设置共享目录并将用户路由到他们的主目录。user_sub_token 指令将每个用户登录到其主目录，同时local_root设置共享目录的路径：

user_sub_token=$USER
local_root=/home/$USER/ftp

要使这些更改生效，我们需要重新启动 vsftpd 服务：

sudo service vsftpd restart

测试连接并确认更改是否已生效：

ftp 192.168.0.105     
Connected to 192.168.0.105.
220 (vsFTPd 3.0.5)
Name (192.168.0.105:gt2): ftpuser
331 Please specify the password.
Password: 
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
Remote directory: /
ftp> ls
229 Entering Extended Passive Mode (|||24367|)
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Sep 05 22:39 Python
drwxr-xr-x    2 1001     1001         4096 Sep 05 22:18 documents
226 Directory send OK.
ftp> cd documents
250 Directory successfully changed.
ftp> cd /etc
550 Failed to change directory.
ftp> cd /root
550 Failed to change directory.
ftp> cd /Python
250 Directory successfully changed.
ftp> 

用户在登录时被定向到 ftp 目录（指示为远程目录或 /）。ftpuser 可以移动到子目录，但不能移动到 ftp 目录之外。

4. 结论

在本文中，我们讨论了创建功能有限的 FTP 用户并阻止用户访问父目录。我们创建的 FTP 用户只能浏览其中的目录。此外，我们提到我们应该关闭此类用户的 shell 登录，以防止授权访问（尤其是通过 SSH）。

接下来，我们必须确保 vsftpd 服务器正在运行。如果它正在运行并且状态不处于活动状态，让我们重新安装它。最后，在修改 vsftpd.conf 文件时，我们必须确保启用正确的指令，以确保为正确的用户提供适当的权限。