如何进行VSFTP+MySQL虚拟用户配置

62次阅读
没有评论

共计 5167 个字符,预计需要花费 13 分钟才能阅读完成。

本篇文章为大家展示了如何进行 VSFTP+MySQL 虚拟用户配置,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

VSFTPD 是一种在 UNIX/Linux 中非常安全且快速的 FTP 服务器,目前已经被许多大型站点所采用。VSFTPD 支持将用户名和口令保存在数据库文件或数据库服务器中。VSFTPD 称这种形式的用户为虚拟用户。相对于 FTP 的本地 (系统) 用户来说,虚拟用户只是 FTP 服务器的专有用户,虚拟用户只能访问 FTP 服务器所提供的资源,这大大增强系统本身的安全性。相对于匿名用户而言,虚拟用户需要用户名和密码才能获取 FTP 服务器中的文件,增加了对用户和下载的可管理性。对于需要提供下载服务,但又不希望所有人都可以匿名下载; 既需要对下载用户进行管理,又考虑到主机安全和管理方便的 FTP 站点来说,虚拟用户是一种极好的解决方案。本文介绍在 RedHat Linux 9 上如何将 VSFTPD 的虚拟用户名和密码保存在 MySQL 数据库服务器中。

一、VSFTPD 的安装

目前,VSFTPD 的最新版本是 1.2.0 版。官方下载地址为 ftp://vsftpd.beasts.org/users/cevans/vsftpd-1.2.0.tar.gz。在安装前,需要先做以下准备工作:

VSFTPD 默认配置中需要“nobody”用户。在系统中添加此用户,如果用户已经存在,useradd 命令有相应提示。

[root@hpe45 root]# useradd nobody

useradd: user nobody exists

VSFTPD 默认配置中需要“/usr/share/empty”目录。在系统中此目录,如果目录已经存在,mkdir 命令有相应提示。

[root@hpe45 root]# mkdir /usr/share/empty/

mkdir: cannot create directory /usr/share/empty : File exists

VSFTPD 提供匿名 FTP 服务时,需要“ftp”用户和一个有效的匿名目录。

[root@hpe45 root]# mkdir /var/ftp/

[root@hpe45 root]# useradd -d /var/ftp ftp

接下来的操作对于 ftp 用户是否已经存在都是有用的。

[root@hpe45 root]# chown root.root /var/ftp

[root@hpe45 root]# chmod og-w /var/ftp

以上准备工作完成后,我们就可以开始编译源代码了。假定我们下载的 vsftpd-1.2.0.tar.gz 在 /root 目录,执行以下命令:

[root@hpe45 root]# tar zxvf vsftpd-1.2.0.tar.gz

[root@hpe45 root]# cd vsftpd-1.2.0

[root@hpe45 vsftpd-1.2.0]# make

[root@hpe45 vsftpd-1.2.0]# make install

上面的“make install”命令将编译好的二进制文件、手册等复制到相应目录。在 RHL9 上,可能需要手动执行以下复制:

[root@hpe45 vsftpd-1.2.0]# cp vsftpd /usr/local/sbin/vsftpd

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf.5 /usr/local/share/man/man5

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.8 /usr/local/share/man/man8

接下来,我们复制一个简单的配置文件作为基础供后面修改。

[root@hpe45 vsftpd-1.2.0]# cp vsftpd.conf /etc

[root@hpe45 vsftpd-1.2.0]# cp RedHat/vsftpd.pam /etc/pam.d/ftp

复制 PAM 验证文件,以允许本地用户登录 VSFTPD。

[root@hpe45 vsftpd-1.2.0]# cp RedHat/vsftpd.pam /etc/pam.d/ftp

二、创建 guest 用户

VSFTPD 采用 PAM 方式验证虚拟用户。由于虚拟用户的用户名 / 口令被单独保存,因此在验证时,VSFTPD 需要用一个系统用户的身份来读取数据库文件或数据库服务器以完成验证,这就是 VSFTPD 的 guest 用户。这正如同匿名用户也需要有一个系统用户 ftp 一样。当然,我们也可以把 guest 用户看成是虚拟用户在系统中的代表。下面在系统中添加 vsftpdguest 用户,作为 VSFTPD 的 guest。

[root@hpe45 vsftpd-1.2.0]# useradd vsftpdguest

当虚拟用户登录后,所在的位置为 vsftpdguest 的自家目录 /home/vsftpdguest。如果要让虚拟用户登录到 /var/ftp 等其他目录,修改 vsftpdguest 的自家目录即可。

三、设置 VSFTPD 配置文件

在 /etc/vsftpd.conf 文件中,加入以下选项:

guest_enable=YES

guest_username=vsftpdguest

然后执行以下命令,让 VSFTPD 在后台运行:

[root@hpe45 vsftpd-1.2.0]# /usr/local/sbin/vsftpd

四、将虚拟用户保存在 MySQL 数据库服务器中

我们建立数据库 vsftpdvu,表 users,字段 name 和 passwd 用于保存虚拟用户的用户名和口令, 同时增加两个虚拟用户 xiaotong 和 xiaowang。

[root@hpe45 vsftpd-1.2.0]# mysql -p

mysql create database vsftpdvu;

mysql use vsftpdvu;

mysql create table users(name char(16) binary,passwd char(16) binary);

mysql insert into users (name,passwd) values (xiaotong ,password( qqmywife

mysql insert into users (name,passwd) values (xiaowang ,password( ttmywife

mysql quit

然后,授权 vsftpdguest 可以读 vsftpdvu 数据库的 users 表。执行以下命令:

[root@hpe45 vsftpd-1.2.0]# mysql -u root mysql -p

mysql grant select on vsftpdvu.users to vsftpdguest@localhost identified by i52serial0

mysql quit

如果要验证刚才的操作是否成功可以执行下面命令:

[root@hpe45 vsftpd]#mysql -u vsftpdguest -pi52serial0 vsftpdvu

mysql select * from users;

如果成功,将会列出 xiaotong、xiaowang 和加密后的密码

五、设置 MySQL 的 PAM 验证

这里我们要用到一个利用 mysql 进行 pam 验证的开源项目(http://sourceforge.net/projects/pam-mysql/)。首先从网站下载它的程序包 pam_myql-0.5.tar.gz,复制到 /root 目录中。在编译安装之前,要确保 mysql-devel 的 RPM 包已经安装在你的机器上,如果没有请从 RHL 安装光盘中安装该包。然后,执行以下命令:

[root@hpe45 root]#tar xvzf pam_mysql-0.5.tar.gz

[root@hpe45 root]#cd pam_mysql

[root@hpe45 pam_mysql]#make

[root@hpe45 pam_mysql]#make install

make install 这一步可能会出现错误,那只好手动将该目录下生成的 pam_mysql.o 复制到 /lib/security 目录下。

接下来,我们要设置 vsftpd 的 PAM 验证文件。打开 /etc/pam.d/ftp 文件,加入以下内容:

auth required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2

account required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2

上面涉及到的参数,只要对应前面数据库的设置就可以明白它们的含义。这里需要说明的是 crypt 参数。crypt 表示口令字段中口令的加密方式:crypt=0,口令以明文方式 (不加密) 保存在数据库中;crypt=1,口令使用 UNIX 系统的 DES 加密方式加密后保存在数据库中;crypt=2,口令经过 MySQL 的 password()函数加密后保存。

六、进一步的虚拟用户设置

经过以上的步骤,虚拟用户就可以正常使用了。这里介绍进一步的虚拟用户设置。首先,介绍虚拟用户的权限设置。

VSFTPD-1.2.0 新添了 virtual_use_local_privs 参数,当该参数激活 (YES) 时,虚拟用户使用与本地用户相同的权限。当此参数关闭 (NO) 时,虚拟用户使用与匿名用户相同的权限,这也就是 VSFTPD-1.2.0 之前版本对虚拟用户权限的处理方法。这两者种做法相比,后者更加严格一些,特别是在有写访问的情形下。默认情况下此参数是关闭的(NO)。

当 virtual_use_local_privs=YES 时,只需设置 write_enable=YES,虚拟用户就可以就拥有写权限。而 virtual_use_local_privs=NO 时,对虚拟用户权限的设置就更多一些更严格一些。

控制虚拟用户浏览目录:如果让用户不能浏览目录,但仍可以对文件操作,那么需要执行以下二个步骤:一,配置文件中,anon_world_readable_only=YES。二,虚拟用户目录的权限改为只能由 vsftpdguest 操作:

[root@hpe45 root]# chown vsftpdguest.vsftpdguest /home/vsftpdguest

[root@hpe45 root]# chmod 700 /home/vsftpdguest

允许虚拟用户上传文件:

write_enable=YES

anon_upload_enable=YES

允许虚拟用户修改文件名和删除文件:

anon_other_write_enable=YES

由于以上选项的设置同样会对匿名用户生效。如果不想匿名用户趁机拥有同样的权限,最好是禁止匿名用户登录。

其次,由于虚拟用户在系统中是 vsftpdguest 身份,所以可以访问到系统的其他目录。为了更加安全,我们可以将虚拟用户限制在自家目录下。有两种做法:一,在配置文件中增加以下选项

chroot_local_user=NO

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd.chroot_list

然后,在 /etc/vsftpd.chroot_list 文件中加入虚拟用户名 xiaotong 和 xiaowang。

第二种做法,在配置文件中修改 chroot_local_user=YES。

经过修改后,虚拟用户登录后其根目录就限制在 /home/vsftpdguest 下,无法访问其他目录。

七、虚拟用户的个人目录

大家可以发现,无论是哪个虚拟用户,登录后所在的目录都是 /home/vsftpdguest,即都是 guest_username 用户的自家目录。下面,介绍如何为每个虚拟用户建立自家目录。首先,在主配置文件中加入以下选项:

user_config_dir=/etc/vsftpd/vsftpd_user_conf

然后,生成 /etc/vsftpd/vsftpd_user_conf 目录,并在该目录下建立与特定虚拟用户同名的文件:

[root@hpe45 root]# mkdir /etc/vsftpd/vsftpd_user_conf

[root@hpe45 root]# cd /etc/vsftpd/vsftpd_user_conf

上述内容就是如何进行 VSFTP+MySQL 虚拟用户配置,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-07-19发表,共计5167字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)