ubuntu vsftpd 530 Login incorrect 根本原因和解决方案

小渣渣

1 背景分析
ubuntu安装vsftpd一般使用：

登录可见。

我centOS服务版本如下：

[root@itsvse ~]# vsftpd -version
vsftpd: version 3.0.2

参照其他网上教程的配置后，在账号、密码、主目录都是正确的情况下，可能会遇到账号登录提示  530 Login incorrect 的问题。
网络上有好多解决方案，例如修改/etc/vsftpd.conf文件 将pam_service_name=vsftpd 修改为 pam_service_name=ftp ，虽然能够解决这个问题，但是这种方法其实是错误的。这样由于/etc/pam.d/ftp文件不存在，等于是绕过了PAM。

2 vsftpd pam文件分析

/etc/pam.d/vsftpd 默认如下

#%PAM-1.0
session    optional     pam_keyinit.so    force revoke
auth       required        pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
auth       required        pam_shells.so
auth       include        password-auth
account    include        password-auth
session    required     pam_loginuid.so
session    include        password-auth

可能导致530错误的有

auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed

和

auth required pam_shells.so

2.1 /etc/ftpusers

auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
该配置项的含义是 /etc/ftpusers 中的用户禁止登陆，如果文件不存在在默认所有用户均允许登录. 所以确保用户没在这个文件内。

2.2 pam_shells.so

auth required pam_shells.so 配置项的含文件内的shell命令时，才能够成功

cat /etc/shells
# /etc/shells: valid login shells
/bin/sh
/bin/dash
/bin/bash
/bin/rbash

而创建ftp用户时，为了禁止ssh登录，一般多为/bin/false 、/usr/sbin/nologin 等，显然不是一个有效的bash，也就无法登录了。

3 解决方案

1、查看/etc/ftpusers ，确保账号没有在这个文件内。
2、修改/etc/pam.d/vsftpd
将auth required pam_shells.so修改为->auth required pam_nologin.so 即可（或者注释掉这一行）
3、重启vsftpd

登录可见。

（完）