19、vftpd基于PAM_MYSQL进行虚拟用户的认证且每个用户有自己的独立目录及不同的访问权限
1、vsftp相关介绍
FTP 是File Transfer Protocol(文件传输协议)的英文简称
两个连接:命令连接、数据连接(相对服务器来讲)
FTP连接支持两种模式:主动模式(Port模式)、被动模式(Passive模式)
主动模式:服务器端通过20端口主动连接客户端,客户端监听在与服务器端建立命令连接的端口+1上,服务器工作在TCP/20
被动模式:客户端使用自己与服务器端建立命令连接的端口+1上连接服务器端的随机端口,该随机端口在建立命令连接的时候已发给客户端
vsftp的用户有三种类型,分别是匿名用户、系统用户、虚拟用户
/etc/vsftpd/vsftpd.conf主配置文件常用选项
anonymous_enable=NO (是否允许匿名登录)
local_enable=YES (是否允许本地用户登录,设置虚拟账户必须设会YES)
write_enable=NO (决定是否允许一些FTP命令去更改文件系统。包括上传文件,删除文件,新增目录,删除目录)
anon_upload_enable=NO (是否允许匿名用户上传文件,须将write_enable=YES,默认为YES)
anon_mkdir_write_enable=NO (是否允许虚拟用户创建文件夹)
xferlog_enable=YES (如果启用此选项,系统将会维护记录服务器上传和下载情况的日志文件)
xferlog_file=/var/log/xferlog (设置日志存放位置)
ftpd_banner=Welcome to blah FTP service. (实现用户的欢迎信息login banners)
chroot_local_user=YES (设置为NO时,用户登录FTP 服务器后具有访问自己目录以外的其他文件的权限,设置为YES时,用户被锁定在自己的宿主目录中)
pam_service_name=vsftpd.mysql (设置 PAM 外挂模块提供的认证服务所使用的配置文件名)
guest_enable=YES (如果启用,所有的非匿名用户登录时将被视为游客,其名字将被映射为guest_username里所指定的名字。采用虚拟用户必须设置该选项)
guest_username=vuser (设置当游客进入后,其将会被映射的名字。这里设置为“vuser”,即虚拟用户登陆ftp后被映射的本地用户名)
user_config_dir=/etc/vsftpd/user_config (定义用户配置文件的目录,在文件夹中创建虚拟用户同名的的文件,在文件中定义虚拟用户的权限)
virtual_use_local_privs=YES (虚拟用户和本地用户权限相同。很重要,保证虚拟用户有和映射的本地用户相同的权限)
注意:启用写入功能时,ftp用户对相应的本地文件系统也有相应的写入权限;生效的权限取决于文件系统权限和服务权限的交集
连接数和速率限制
max_clients:最大并发连接数
max_per_ip:每IP可同时发起并发请求
anon_max_rete: 匿名用户的传输速率,单位为“字节/秒”
local_max_rate:本地用户传输速率,单位为“字节/秒”
2、vftpd基于PAM_MYSQL进行虚拟用户的认证且每个用户有自己的独立目录及不同的访问权限(test1用户只拥有上传,下载,新建权限,不允许删除操作,test2用户拥有上传,下载,新建,删除权限)
2.1 安装mysql和pam_mysql
rpm -ivh https://mirrors.aliyun.com/epel/6Server/x86_64/epel-release-6-8.noarch.rpm
yum -y install vsftpd mysql-server mysql-devel pam_mysql
service mysqld start
chkconfig mysqld on
2.2 创建虚拟账号
mysql
mysql> create database vsftpd;
mysql> grant all on vsftpd. to vsftpd@'localhost' identified by 'vsftpd';
mysql> grant all on vsftpd. to vsftpd@'192.168.%.%' identified by 'vsftpd';
mysql> grant all on vsftpd. to vsftpd@127.0.0.1 identified by 'vsftpd';
mysql> flush privileges;
mysql> \q
mysql -uvsftpd -p
mysql> use vsftpd;
mysql> CREATE TABLE users (id INT UNSIGNED AUTO_INCREMENT NOT NULL PRIMARY KEY, name VARCHAR(50) NOT NULL, password CHAR(48) NOT NULL);
mysql> desc users;
mysql> insert into users(name,password) values('test1',password('test1'));
mysql> insert into users(name,password) values('test2',password('test2'));
mysql> select from users;
mysql> \q
2.3 创建PAM认证文件
vim /etc/pam.d/vsftpd.mysql
auth required /lib64/security/pam_mysql.so user=vsftpd passwd=vsftpd host=192.168.130.61 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /lib64/security/pam_mysql.so user=vsftpd passwd=vsftpd host=192.168.130.61 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
2.4 建立虚拟用户映射的系统用户及对应的目录、子目录
useradd -s /sbin/nologin -d /var/ftproot vuser
mkdir /var/ftproot/test{1,2}
chown vuser:vuser /var/ftproot/test*
chmod -R go+rx /var/ftproot
2.5 修改vsftpd的配置如下
anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_umask=022
xferlog_enable=YES
xferlog_file=/var/log/xferlog
ftpd_banner=Welcome to blah FTP service.
chroot_local_user=YES
pam_service_name=vsftpd.mysql
guest_enable=YES
guest_username=vuser
user_config_dir=/etc/vsftpd/vusers_config
#virtual_use_local_privs=YES
2.6 创建账号差异权限文件
mkdir /etc/vsftpd/vusers_config
vim /etc/vsftpd/vusers_config/test1
local_root=/var/ftproot/test1
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=NO
vim /etc/vsftpd/vusers_config/test2
local_root=/var/ftproot/test2
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
2.7 启动vsftpd并设置开机启动
service vsftpd start
chkconfig vsftpd on
2.8 登录FTP进行权限验证
lftp -u test1,test1 192.168.130.61
lftp -u test2,test2 192.168.130.61