服務(wù)部署-Vsftpd服務(wù)器
目錄
1 文件傳輸協(xié)議
1.1 FTP協(xié)議概述
1.2 FTP工作模式
1.3 FTP服務(wù)程序
2 vsftpd服務(wù)程序
2.1 安裝服務(wù)
2.2 配置文件
2.3 配置參數(shù)
3 vsftpd認(rèn)證模式
3.1 匿名訪問模式
3.2 本地用戶模式
3.3 虛擬用戶模式(文本文件)
3.4 虛擬用戶模式(MySQL數(shù)據(jù)庫)
一 文件傳輸協(xié)議
FTP
文件傳輸協(xié)議(FTP)是一種基于TCP協(xié)議在客C/S架構(gòu)的協(xié)議,占用20和21端口。
TFTP簡單文件傳輸協(xié)議(TFTP)是一種基于UDP,C/S架構(gòu)的協(xié)議,占用69端口
TFTP的命令功能不如FTP服務(wù)強大,甚至不能遍歷目錄,在安全性方面也弱于FTP服務(wù)
因為TFTP不需要客戶端的權(quán)限認(rèn)證,也就減少了無謂的系統(tǒng)和網(wǎng)絡(luò)帶寬消耗,效率更高
1.1 FTP 協(xié)議概述
一般來講,人們將計算機聯(lián)網(wǎng)的首要目的就是獲取資料,而文件傳輸是一種非常重要的獲取資料的方式。今天的互聯(lián)網(wǎng)是由幾千萬臺個人計算機、工作站、服務(wù)器、小型機、大型機、巨型機等具有不同型號、不同架構(gòu)的物理設(shè)備共同組成的,而且即便是個人計算機,也可能會裝有Windows、Linux、UNIX、Mac等不同的操作系統(tǒng)。為了能夠在如此復(fù)雜多樣的設(shè)備之間解決問題解決文件傳輸問題,文件傳輸協(xié)議(FTP)應(yīng)運而生。
FTP是一種在互聯(lián)網(wǎng)中進行文件傳輸?shù)膮f(xié)議,基于客戶端/服務(wù)器(C/S)模式,默認(rèn)使用20、21號端口,其中端口20(數(shù)據(jù)端口)用于進行數(shù)據(jù)傳輸,端口21(命令端口)用于接受客戶端發(fā)出的相關(guān)FTP命令與參數(shù)。
FTP服務(wù)器普遍部署于內(nèi)網(wǎng)中,具有容易搭建、方便管理的特點。而且有些FTP客戶端工具還可以支持文件的多點下載以及斷點續(xù)傳技術(shù),因此FTP服務(wù)得到了廣大用戶的青睞。
命令連接
傳輸TCP的文件管理類命令給服務(wù)端
直到用戶退出才關(guān)閉連接,否則一直連接
數(shù)據(jù)連接
數(shù)據(jù)傳輸,按需創(chuàng)建及關(guān)閉的連接
數(shù)據(jù)傳輸可以為文本或二進制格式傳輸
1.2 FTP 工作模式
FTP服務(wù)器是按照FTP協(xié)議在互聯(lián)網(wǎng)上提供文件存儲和訪問服務(wù)的主機,F(xiàn)TP客戶端則是向服務(wù)器發(fā)送連接請求,以建立數(shù)據(jù)傳輸鏈路的主機。FTP協(xié)議有下面兩種工作模式。
主動模式:FTP服務(wù)器主動向客戶端發(fā)起連接請求命令連接:Client:50000 --> Server:21
數(shù)據(jù)連接:Server:20/tcp --> Client:50000+1
模式缺點:客戶端有防火墻,一般會禁止服務(wù)的主動連接
被動模式:FTP服務(wù)器等待客戶端發(fā)起連接請求(FTP的默認(rèn)工作模式)命令連接:Client:50000 --> Server:21
數(shù)據(jù)連接:Client:50000+1 --> Server:隨機端口 ==> 通過命令連接得知這個隨機端口
模式缺點:服務(wù)器端需要修改防火墻規(guī)則并開放21和這個隨機端口
防火墻一般是用于過濾從外網(wǎng)進入內(nèi)網(wǎng)的流量,因此有些時候需要將FTP的工作模式設(shè)置為主動模式,才可以傳輸數(shù)據(jù)。但是因為客戶端主機一般都設(shè)有防火墻,會禁止服務(wù)器的連接請求,所有適當(dāng)?shù)膇ptables規(guī)則變得越來越重要了。
1.3 FTP 服務(wù)程序
由于FTP是一種基于(C/S)客戶端/服務(wù)器模式的協(xié)議,所有有很多的程序能夠提供FTP服務(wù)的功能。
服務(wù)端程序
wu-ftpd
一個Internet上最流行的FTP守護程序,功能十分強大,可以構(gòu)建多種類型FTP服務(wù)器。
proftpd
一個Unix平臺上或是類Unix平臺上的FTP服務(wù)器開源程序,任何人只要遵守GPL版權(quán)聲明都可以隨意修改源碼。proftpd亦開發(fā)了有圖形用戶界面的FTP服務(wù)端軟體稱為gProFTPd,可以提供圖形界面的操作。針對Wu-FTP的弱項而開發(fā)的,除了改進的安全性,還具備許多Wu-FTP沒有的特點,能以Stand-alone、xinetd模式運行等。
pureftp
pureftp是免費和安全的FTP服務(wù)器,它注重效率和易用性。
vsftpd
vsftpd是very secure FTP daemon的縮寫,安全性是它的一個最大的特點,可以運行在多種平臺之上提供安全的FTP服務(wù)。在CentOS等系統(tǒng)以及多個互聯(lián)網(wǎng)廠商都在使用的FTP服務(wù)程序,你值得擁有。
ServU
Serv-U是一種被廣泛運用在Windows平臺的的FTP服務(wù)器軟件,可以設(shè)定多個FTP服務(wù)器、限定登錄用戶的權(quán)限、登錄主目錄及空間大小等優(yōu)點。
客戶端程序
命令行
ftp
lftp, lftpget
wget, curl
因為FTP協(xié)議是通過TCP明文傳送的,所有為了安全可以使用ftps(SSL), sftp(SSH)工具
圖形化
_ filezilla
_ gftp
_ gProFTPd
_ flashfxp * cuteftp
FTP服務(wù)的響應(yīng)碼
1xx: 信息
2xx: 成功類的狀態(tài)碼
3xx: 提示需進一步提供補充類信息的狀態(tài)碼
4xx: 客戶端錯誤
5xx: 服務(wù)端錯誤
二 vsftpd 服務(wù)程序
vsftpd(非常安全的FTP守護進程)是一款運行在Linux操作系統(tǒng)上的 FTP 服務(wù)程序,不僅完全開源而且免費,此外,還具有很高的安全性、傳輸速度,以及支持虛擬用戶驗證等其他FTP服務(wù)程序具備的特點。
2.1 安裝服務(wù)
安裝服務(wù)端程序
[root@localhost ~]# yum install vsftpd
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分輸出信息………………
================================================================================
Installing:
vsftpd x86_64 3.0.2-9.el7 rhel 166 k
Transaction Summary
================================================================================
Install 1 Package
vsftpd.x86_64 0:3.0.2-9.el7
Complete!
[root@linuxprobe ~]# yum install ftp
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分輸出信息………………
Install 1 Package
ftp.x86_64 0:0.17-66.el7
Complete!
關(guān)閉本機防火墻
# iptables防火墻管理工具默認(rèn)禁止了FTP傳輸協(xié)議的端口號
[root@localhost ~]# iptables -F
配置 FTP 服務(wù)
# 程序的主配置文件為/etc/vsftpd/vsftpd.conf
[root@localhost ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
2.2 配置文件
這里主要說的是,CentOS6中的配置文件位置,在CentOS7中有可能不同。
配置文件
主配置文件:/etc/vsftpd/vsftpd.conf
配置文件目錄:/etc/vsftpd/*.conf
服務(wù)啟動腳本:/etc/rc.d/init.d/vsftpd
用戶認(rèn)證配置文件:/etc/pam.d/vsftpd
共享目錄
匿名用戶(映射為ftp用戶)共享資源位置:/var/ftp
系統(tǒng)用戶通過ftp訪問的資源的位置:用戶自己的家目錄
虛擬用戶通過ftp訪問的資源的位置:給虛擬用戶指定的映射成為的系統(tǒng)用戶的家目錄
2.3 配置參數(shù)
常用配置參數(shù)都為主配置文件,/etc/vsftpd/vsftpd.conf的常用配置。
通用基礎(chǔ)配置
匿名用戶的配置
系統(tǒng)用戶的配置
日志功能
三 vsftpd 認(rèn)證模式
vsftpd 作為更加安全的文件傳輸?shù)姆?wù)程序,允許用戶以三種認(rèn)證模式登錄到 FTP 服務(wù)器上。
匿名開放模式
匿名開放模式是一種最不安全的認(rèn)證模式,任何人都可以無需密碼驗證而直接登錄到FTP服務(wù)器。這種模式一般用來訪問不重要的公開文件,在生產(chǎn)環(huán)境中盡量不要存放重要文件,不建議在生產(chǎn)環(huán)境中如此行事。
本地用戶模式
本地用戶模式是通過Linux系統(tǒng)本地的賬戶密碼信息進行認(rèn)證的模式,相較于匿名開放模式更安全,而且配置起來相對簡單。但是如果被黑客破解了賬戶的信息,就可以暢通無阻地登錄FTP服務(wù)器,從而完全控制整臺服務(wù)器。
虛擬用戶模式
虛擬用戶模式是這三種模式中最安全的一種認(rèn)證模式,它需要為FTP服務(wù)單獨建立用戶數(shù)據(jù)庫文件,虛擬出用來進行口令驗證的賬戶信息,而這些賬戶信息在服務(wù)器系統(tǒng)中實際上是不存在的,僅供FTP服務(wù)程序進行認(rèn)證使用。這樣,即使黑客破解了賬戶信息也無法登錄服務(wù)器,從而有效降低了破壞范圍和影響。
3.1 匿名訪問模式
vsftpd 服務(wù)程序默認(rèn)開啟了匿名開放模式,我們需要做的就是開放匿名用戶的上傳、下載文件的權(quán)限,以及讓匿名用戶創(chuàng)建、刪除、更名文件的權(quán)限。
# 匿名訪問模式主配置文件
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
# 重啟服務(wù)
[root@localhost ~]# systemctl restart vsftpd
# 服務(wù)程序加入到開機啟動項中,以保證服務(wù)器在重啟后依然能夠正常提供傳輸服務(wù)
[root@localhost ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service
# 在vsftpd服務(wù)程序的匿名開放認(rèn)證模式下,其賬戶統(tǒng)一為anonymous,密碼為空
# 連接到FTP服務(wù)器后,默認(rèn)訪問的是/var/ftp目錄,我們可以在其中進行創(chuàng)建、刪除等操作
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:此處敲擊回車即可
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir files
550 Permission denied.
# 系統(tǒng)顯示拒絕創(chuàng)建目錄,這是為什么呢?
# 查看該目錄的權(quán)限得知,只有root管理員才有寫入權(quán)限,開放ftp用戶權(quán)限(該賬戶在系統(tǒng)中已經(jīng)存在)
[root@localhost ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub
[root@localhost ~]# chown -Rf ftp /var/ftp/pub
[root@localhost ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub
[root@localhost ~]# ftp 192.168.10.10
………………省略部分輸出信息………………
ftp> mkdir files
550 Create directory operation failed.
# 我們發(fā)現(xiàn)還是無法創(chuàng)建目錄,發(fā)現(xiàn)是SELinux服務(wù)在搗亂了
# 使用getsebool命令查看與FTP相關(guān)的SELinux域策略都有哪些
[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
tftp_anon_write --> off
tftp_home_dir --> off
# 根據(jù)經(jīng)驗和策略的名稱判斷出是ftpd_full_access--> off策略規(guī)則導(dǎo)致了操作失敗
[root@localhost ~]# setsebool -P ftpd_full_access=on
# 此時,匿名用戶就可以正常使用FTP服務(wù)了
[root@linuxprobe ~]# ftp 192.168.10.10
………………省略部分輸出信息………………
ftp> mkdir files
257 "/pub/files" created
ftp> rename files database
350 Ready for RNTO.
250 Rename successful.
ftp> exit
221 Goodbye.
3.2 本地用戶模式
如果大家之前用的是匿名開放模式,現(xiàn)在就可以將它關(guān)了,然后開啟本地用戶模式。
# 本地用戶模式主配置文件
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
connect_from_port_20=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
xferlog_enable=YES
xferlog_std_format=YES
# 同樣需要重啟服務(wù)和開機自啟動
[root@localhost ~]# systemctl restart vsftpd
# 服務(wù)程序加入到開機啟動項中,以保證服務(wù)器在重啟后依然能夠正常提供傳輸服務(wù)
[root@localhost ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service
# 現(xiàn)在已經(jīng)完全可以本地用戶的身份登錄FTP服務(wù)器了,但是使用root無法登陸
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): root
530 Permission denied.
Login failed.
ftp>
# 這是因為,為了系統(tǒng)的安全,默認(rèn)禁止root等用戶登錄FTP服務(wù)被系統(tǒng)拒絕訪問
# 因為vsftpd服務(wù)程序所在的目錄中,默認(rèn)存放著兩個名為用戶名單的文件,ftpusers和user_list
# 在ftpusers和user_list兩個用戶文件中將root用戶刪除就可以登錄了
[root@localhost ~]# cat /etc/vsftpd/user_list
root
bin
daemon
[root@localhost ~]# cat /etc/vsftpd/ftpusers
root
bin
daemon
# 在采用本地用戶模式登錄FTP服務(wù)器后,默認(rèn)訪問的是該用戶的家目錄,因此不存在寫入權(quán)限不足的情況
# 如果不關(guān)閉SELinux,則需要再次開啟SELinux域中對FTP服務(wù)的允許策略
[root@localhost ~]# setsebool -P ftpd_full_access=on
# 即可以使用系統(tǒng)用戶進行FTP服務(wù)的登錄了
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): escape
331 Please specify the password.
Password:此處輸入該用戶的密碼
230 Login successful.
Remote system type is UNIX.
3.3 虛擬用戶模式(文本文件)
認(rèn)證模式:
vsftpd+pam+file
第一步:創(chuàng)建用于進行 FTP 認(rèn)證的用戶數(shù)據(jù)庫文件
這里使用文本文件進行用戶認(rèn)證
數(shù)據(jù)庫文件中奇數(shù)行為賬戶名,偶數(shù)行為密碼
# 編輯虛擬用戶文件
[root@localhost ~]# cd /etc/vsftpd/
[root@localhost vsftpd]# vim vuser.list
zhangsan
redhat
lisi
redhat
# 明文信息既不安全,也不符合讓vsftpd服務(wù)程序直接加載的格式
# 因此需要使用db_load命令用哈希算法將原始的明文信息文件轉(zhuǎn)換成數(shù)據(jù)庫文件
# 降低數(shù)據(jù)庫文件的權(quán)限,然后再把原始的明文信息文件刪除
[root@localhost vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@localhost vsftpd]# file vuser.db
vuser.db: Berkeley DB (Hash, version 9, native byte-order)
[root@localhost vsftpd]# chmod 600 vuser.db
[root@localhost vsftpd]# rm -f vuser.list
第二步:創(chuàng)建 vsftpd 服務(wù)程序用于存儲文件的根目錄以及虛擬用戶映射的系統(tǒng)本地用戶
FTP服務(wù)用于存儲文件的根目錄指的是,當(dāng)虛擬用戶登錄后所訪問的默認(rèn)位置
可以把這個系統(tǒng)本地用戶的家目錄設(shè)置為/var目錄并設(shè)置不允許登錄FTP服務(wù)器
[root@localhost ~]# useradd -d /var/ftproot -s /sbin/nologin virtual
[root@localhost ~]# ls -ld /var/ftproot/
drwx------. 3 virtual virtual 74 Jul 14 17:50 /var/ftproot/
[root@localhost ~]# chmod -Rf 755 /var/ftproot/
第三步:建立支持虛擬用戶的 PAM 認(rèn)證文件
PAM是一種認(rèn)證機制,通過一些動態(tài)鏈接庫和統(tǒng)一的API把系統(tǒng)提供的服務(wù)與認(rèn)證方式分開
PAM是可插拔認(rèn)證模塊,使得系統(tǒng)管理員可以根據(jù)需求靈活調(diào)整服務(wù)程序的不同認(rèn)證方式
#新建一個用于虛擬用戶認(rèn)證的PAM文件vsftpd.vu
#PAM文件內(nèi)的db=參數(shù)為使用db_load命令生成的賬戶密碼數(shù)據(jù)庫文件的路徑,但不用寫數(shù)據(jù)庫文件的后綴
[root@localhost ~]# vim /etc/pam.d/vsftpd.vu
auth required pam_userdb.so db=/etc/vsftpd/vuser
account required pam_userdb.so db=/etc/vsftpd/vuser
第四步:在 vsftpd.conf 文件中添加支持配置
在vsftpd服務(wù)程序的主配置文件中默認(rèn)就帶有參數(shù)
pam_service_name=vsftpd表示登錄FTP服務(wù)器時是根據(jù)
/etc/pam.d/vsftpd文件進行安全認(rèn)證的
# 我們要做的就是把vsftpd主配置文件中原有的PAM認(rèn)證文件vsftpd修改為新建的vsftpd.vu文件即可
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
pam_service_name=vsftpd.vu
user_config_dir=/etc/vsftpd/vusers_dir
local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
userlist_enable=YES
tcp_wrappers=YES
第五步:為虛擬用戶設(shè)置不同的權(quán)限
只需新建一個目錄,在里面分別創(chuàng)建兩個以zhangsan和lisi命名的文件
在每個文件中,對用戶分別進行配置,達到管理不用用戶權(quán)限的效果
[root@localhost ~]# mkdir /etc/vsftpd/vusers_dir/
[root@localhost ~]# cd /etc/vsftpd/vusers_dir/
[root@localhost vusers_dir]# touch lisi
[root@localhost vusers_dir]# vim zhangsan
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
第六步:設(shè)置 SELinux 域允許策略
# 先按照前面實驗中的步驟開啟SELinux域的允許策略,以免再次出現(xiàn)操作失敗的情況
[root@localhost ~]# setsebool -P ftpd_full_access=on
[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir –> off
ftpd_anon_write –> off
ftpd_connect_all_unreserved –> off
ftpd_connect_db –> off
ftpd_full_access –> off
ftpd_use_cifs –> off
ftpd_use_fusefs –> off
ftpd_use_nfs –> off
ftpd_use_passive_mode –> off
httpd_can_connect_ftp –> off
httpd_enable_ftp_server –> off
sftpd_anon_write –> off
sftpd_enable_homedirs –> off
sftpd_full_access –> on
sftpd_write_ssh_home –> off
tftp_anon_write –> off
tftp_home_dir –> off
第七步:使用虛擬 FTP 用戶訪問測試
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): lisi
331 Please specify the password.
Password:此處輸入虛擬用戶的密碼
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir files
550 Permission denied.
ftp> exit
221 Goodbye.
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): zhangsan
331 Please specify the password.
Password:此處輸入虛擬用戶的密碼
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir files
257 "/files" created
ftp> rename files database
350 Ready for RNTO.
250 Rename successful.
ftp> rmdir database
250 Remove directory operation successful.
ftp> exit
221 Goodbye.
3.4 虛擬用戶模式(MySQL 數(shù)據(jù)庫)
認(rèn)證模式:vsftpd + pam + mysql
第一步:安裝所需要程序
# 安裝mysql和pam_mysql,pam_mysql由epel源提供
$ yum -y install vsftpd mysql-server mysql-devel pam_mysql
第二步:創(chuàng)建虛擬用戶賬號
# 1、準(zhǔn)備數(shù)據(jù)庫及相關(guān)表
首先請確保mysql服務(wù)已經(jīng)正常啟動。而后,按需要建立存儲虛擬用戶的數(shù)據(jù)庫即可,這里將其創(chuàng)建為vsftpd數(shù)據(jù)庫
mysql> create database vsftpd;
授權(quán)vsftpd用戶可以通過localhost主機操作select權(quán)限vsftpd庫的所有表,密碼為www.escapelife.com
mysql> grant select on vsftpd.* to vsftpd@localhost identified by 'www.escapelife.com';
mysql> grant select on vsftpd.* to [email protected] identified by 'www.escapelife.com';
mysql> flush privileges;
(這里是本機安裝所有授權(quán)l(xiāng)ocalhost主機,如果不同需要使用不同的主機地址)
(mysql> grant select on vsftpd.* to vsftpd@'192.168.31.%' identified by 'www.escapelife.com';)
(mysql> flush privileges;)
創(chuàng)建相關(guān)表
mysql> use vsftpd;
mysql> create table users (
-> id INT UNSIGNED AUTO_INCREMENT NOT NULL,
-> name VARCHAR(50) BINARY NOT NULL,
-> password char(48) BINARY NOT NULL,
-> PRIMARY KEY(id)
-> );
# 2、添加測試的虛擬用戶
根據(jù)需要添加所需要的用戶,需要說明的是,這里將其密碼為了安全起見應(yīng)該使用PASSWORD函數(shù)加密后存儲
mysql> INSERT INTO users(name, password) VALUES('tom', password('escapelife'));
mysql> INSERT INTO users(name, password) VALUES('bob', password('escapelife'));
SELETC * FROM user;
第三步:配置 vsftpd
# 1.建立pam認(rèn)證所需文件
$ vi /etc/pam.d/vsftpd.mysql
添加如下兩行,主要32位和64位庫文件的不同位置,模塊路徑可不寫表示pam模塊路徑
指定用戶、密碼、主機、數(shù)據(jù)庫、表、用戶名字段、密碼字段、密碼的加密方式
密碼的加密方式可以通過安裝的pam_mysql的文檔查看,/usr/share/doc/pam_mysql-0.7/README rpm -ql pam_mysql
auth required /lib64/security/pam_mysql.so user=vsftpd passwd=www.escapelife.com host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /lib64/security/pam_mysql.so user=vsftpd passwd=www.escapelife.com host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
(auth required /lib64/security/pam_mysql.so user=vsftp passwd=www.escapelife.com host=192.168.31.71 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2)
(account required /lib64/security/pam_mysql.so user=vsftp passwd=www.escapelife.com host=192.168.31.71 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2)
注意:由于mysql的安裝方式不同,pam_mysql.so基于unix sock連接mysql服務(wù)器時可能會出問題,此時,建議授權(quán)一個可遠程連接的mysql并訪問vsftpd數(shù)據(jù)庫的用戶。
# 2.修改vsftpd的配置文件,使其適應(yīng)mysql認(rèn)證
建立虛擬用戶映射的系統(tǒng)用戶及對應(yīng)的目錄
$ useradd -s /sbin/nologin -d /var/ftproot vuser
$ chmod go+rx /var/ftproot
請確保/etc/vsftpd.conf中已經(jīng)啟用了以下選項
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES
而后添加以下選項
guest_enable=YES
guest_username=vuser
并確保pam_service_name選項的值如下所示
pam_service_name=vsftpd.mysql
第四步:啟動 vsftpd 服務(wù)
# 啟動vsftpd服務(wù)
$ service vsftpd start
$ chkconfig vsftpd on
# 查看端口開啟情況
$ netstat -tnlp | grep :21
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 23286/vsftpd
# 使用虛擬用戶登錄,驗證配置結(jié)果
$ ftp localhost
第五步:配置虛擬用戶具有不同的訪問權(quán)限
# vsftpd可以在配置文件目錄中為每個用戶提供單獨的配置文件以定義其ftp服務(wù)訪問權(quán)限,每個虛擬用戶的配置文件名同虛擬用戶的用戶名。配置文件目錄可以是任意未使用目錄,只需要在vsftpd.conf指定其路徑及名稱即可。
# 1、配置vsftpd為虛擬用戶使用配置文件目錄
$ vim vsftpd.conf
user_config_dir=/etc/vsftpd/vusers_config
# 2、創(chuàng)建所需要目錄,并為虛擬用戶提供配置文件
$ mkdir /etc/vsftpd/vusers_config/
$ cd /etc/vsftpd/vusers_config/
$ touch tom bob
# 3、配置虛擬用戶的訪問權(quán)限
# 虛擬用戶對vsftpd服務(wù)的訪問權(quán)限是通過匿名用戶的相關(guān)指令進行的
# 如果需要讓tom用戶具有上傳文件的權(quán)限,可以修改/etc/vsftpd/vusers_config/tom文件
anon_upload_enable={YES|NO}
anon_mkdir_write_enable={YES|NO}
anon_other_write_enable={YES|NO}
文章作者: Escape
文章鏈接: https://escapelife.github.io/posts/8dc56d36.html
整理:微信公眾號【開源Linux】
關(guān)注「開源Linux」加星標(biāo),提升IT技能
