FTP基于PAM和MySQLMariaDB实现虚拟用户访问控制

FTP基于PAM和MySQL/MariaDB实现虚拟用户访问控制

前言

Vtpd是Linux发行版中最受推崇的FTP服务器程序，其特点是体积小、轻便、安全、易用。目前开源 *** 作系统中常用的FTP套件主要有proftpd、pureftp、ServU和wu-ftpd等。本文将阐述vsftpd的基本功能以及如何基于PAM和MySQL/MariaDB实现虚拟用户访问控制。

基本配置介绍

工作原理

状态响应代码

1xx:信息代码

2xx:成功状态代码

Xx:进一步提示信息完成的状态码。

4xx:客户端错误

5xx:服务器端错误

用户验证

虚拟用户:仅用于访问特定服务中的资源

nsswitch: network server switch, 名称解析框架 配置文件：/etc/nsswitch.conf 模块：/lib64/libnss*, /usr/lib64/libnss* pam: pluggable authentication module, 用户认证框架 模块：/lib64/security/ 配置文件：/etc/pam.conf, /etc/pam.d/*

系统通过ftp访问的资源的位置:用户自己的主目录。

虚拟用户通过ftp访问的资源的位置:分配给虚拟用户的映射系统用户的主目录。

配置文件

CentOS6.6中的Vsftpd配置文件

用户认证配置文件：/etc/pam.d/vsftpd 服务脚本：/etc/rc.d/init.d/vsftpd 配置文件目录：/etc/vsftpd 主配置文件：/etc/vsftpd/vsftpd.conf 匿名用户（映射为ftp用户）共享资源位置：/var/ftp

配置文件的详细说明

匿名用户的设置     anonymous_enable=YES：允许匿名登录     anonymous_upload_enable=YES：允许上传文件     anonymous_other_write_enable=YES：允许删除文件     anonymous_mkdir_write_enable=YES：允许创建目录     注：启用此功能，ftp用户对/var/ftp目录仍无权限，可在/var/ftp/目录下新建目录，     如/var/ftp/upload/，并给ftp用户设置权限 setfacl -m u:ftp:rw /var/ftp/upload 系统用户的配置     local_enable=YES：允许登录     write_enable=YES：允许上传文件 禁锢所有的ftp本地用户于其家目录中     chroot_local_user={YES|NO} 禁锢指定用户于家目录中     chroot_list_enable=YES     chroot_list_file=/etc/vsftpd/chroot_list  日志配置     xferlog_enable=YES     xferlog_std_format=YES     xferlog_file=/var/log/xferlog 改变上传文件的属主     chown_uploads=YES     chown_username=whoever 上传文件的umask     anon_umask：匿名用户上传文件的umask     local_umask：本地用户上传文件的umask vsftpd使用pam完成用户认证，其用到的pam配置文件     pam_service_name=vsftpd     控制用户登录：/etc/vsftpd/ftpusers中的用户都不允许使用ftp服务，基于pam 是否启用控制用户登录的列表文件     userlist_enable=YES     userlist_deny=YES|NO     默认文件为/etc/vsftpd/user_list 连接限制     max_clients: 最大并发连接数     max_per_ip: 每个IP可同时发起的并发请求数 传输速率     anon_max_rate：匿名用户的最大传输速率,单位是bytes/s     local_max_rate：本地用户的最大传输速率，单位是bytes/s 自定义信息配置         ftpd_banner=Welcome to FTP Server #自定义         dirmessage_enable=YES   #需创建.message文件

虚拟用户访问控制

虚拟用户

的所有虚拟用户将被统一映射到一个指定的系统帐户，访问的共享位置是该系统帐户的主目录。

每个虚拟用户可以被赋予不同的访问权限，这些权限由匿名用户的权限控制参数指定。

虚拟用户的存储模式:

哈希编码文件(奇数行为用户名，偶数行为密码)

关系数据库(由第三方模块pam-mysql认证)

工作原理

配置过程

准备环境

FTP服务器:172.16.10.10(CentOS6.6)

服务器:172.16.10.211(CentOS6.6)，MariaDB

安装所需的程序

首先FTP服务器需要安装vsftpd和pam_mysql，数据库服务器需要安装mysql或MariaDB。我这里已经安装好了，直接开始配置。

创建虚拟用户

[root@MariaDB ~]# mysql MariaDB [(none)]> CREATE DATABASE vsftpd; MariaDB [(none)]> use vsftpd; MariaDB [vsftpd]> GRANT SELECT ON vsftpd.* TO vsftp@'172.16.10.10' IDENTIFIED BY 'vpass'; MariaDB [vsftpd]> FLUSH PRIVILEGES; MariaDB [vsftpd]> CREATE TABLE users (     -> id INT UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,     -> name VARCHAR(50) BINARY NOT NULL,      -> password CHAR(48) BINARY NOT NULL ); #添加虚拟用户    MariaDB [vsftpd]> INSERT INTO users (name,password) VALUES ('tom',password('scholar')); #password('PASSWORD')加密密码 MariaDB [vsftpd]> INSERT INTO users (name,password) VALUES ('alice',password('scholar'));

vsftpd配置

[root@lab ~]# vim /etc/pam.d/vsftpd.mysql  #创建pam认证文件 auth required pam_mysql.so user=vsftp passwd=vpass host=172.16.10.211 db=vsftpd  table=users usercolumn=name passwdcolumn=password crypt=2 #密码经过加密，crypt值为2 account required pam_mysql.so user=vsftp passwd=vpass host=172.16.10.211 db=vsftpd  table=users usercolumn=name passwdcolumn=password crypt=2 [root@lab ~]# useradd -s /sbin/nologin -d /var/ftproot vuser #创建虚拟用户映射的系统用户及对应的目录 [root@lab ~]# chmod go+rx /var/ftproot  #给予权限 [root@lab ~]# vim /etc/vsftpd/vsftpd.conf  #请确保已经启用了以下选项 anonymous_enable=YES local_enable=YES write_enable=YES anon_upload_enable=NO anon_mkdir_write_enable=NO chroot_local_user=YES #添加以下选项 guest_enable=YES guest_username=vuser #设置的映射系统用户 #并确保pam_service_name选项的值如下所示 pam_service_name=vsftpd.mysql #创建的pam认证文件

为虚拟用户配置不同的访问权限。

vsftpd可以为配置文件目录中的每个用户提供单独的配置文件，以定义其ftp服务访问权限，并且每个虚拟用户的配置文件名称与虚拟用户的用户名相同。配置文件目录可以是任何未使用的目录，只需在vsftpd.conf中指定其路径和名称

将vsftpd配置为使用虚拟用户的配置文件目录。

[root@lab ~]# vim /etc/vsftpd/vsftpd.conf #添加如下选项 user_config_dir=/etc/vsftpd/vusers_config

创建所需的目录，并为虚拟用户提供配置文件。

[root@lab ~]# mkdir /etc/vsftpd/vusers_config [root@lab ~]# cd /etc/vsftpd/vusers_config/ [root@lab vusers_config]# touch tom alice

配置虚拟用户的访问权限。

虚拟用户对vsftpd服务的访问是通过匿名用户的相关指令进行的。例如，如果您需要让tom用户拥有上传文件的权限，您可以修改/etc/vsftpd/vusers_config/tom文件，并向其中添加以下选项。

[root@lab vusers_config]# vim tom anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES [root@lab vusers_config]# vim alice  anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO

启动服务，设置启动自启动，检查21号端口是否被监听

测试虚拟用户

结尾

好了，ftp是基于PAM和MySQL/MariaDB的虚拟用户访问控制，就这样吧。请确保在配置FTP的过程中不要敲多个空框，否则会报错或者无法登录，我也深受其害。这真的是一个坑。如果您在部署过程中遇到任何问题，请留言。感谢您的关注。以上仅供个人学习。如有错漏，请勿喷~~~