开发者社区> 余二五> 正文

vsftpd的基于pam_mysql的虚拟用户机制

简介:
+关注继续查看

vsftpd的基于pam_mysql的虚拟用户机制

虚拟用户:是ftp中常用的一种策略,因为ftp服务古老而且不安全,使用匿名用户不能有效的控制权限,而本地用户可以登录操作系统,极为不安全,所以引入了虚拟用户的概念,其只是将多个虚拟用户映射为一个本地用户,此用户可以设置不允许登录,从而加强了系统的安全性,本问主要介绍基于mysql虚拟用户

配置pam_mysql

1
2
3
4
5
6
下载地址:pam-mysql.sourceforge.net
# yum -y  groupinstall  "Development Tools" "Server Platform Development"
# yum -y install pam-devel openssl-devel mariadb-devel
# ./configure --with-mysql=/usr --with-openssl=/usr --with-pam=/usr --with-pam-mods-dir=/lib64/security
# make && make install
安装后模块路径:/usr/lib64/security/pam_mysql.so

mariadb配置 
创建所需数据库和表,插入所需用户,这里的密码使用password加密方式加密

1
2
3
4
5
6
7
8
9
10
11
12
13
MariaDB [(none)]> CREATE DATABASE ftpdb;
MariaDB [ftpdb]> CREATE TABLE users (id int AUTO_INCREMENT PRIMARY KEY,name char(30) NOT NULL,password char(48));
MariaDB [ftpdb]> INSERT INTO users(name,password) VALUES ('tom',password('tom'));               
MariaDB [ftpdb]> INSERT INTO users(name,password) VALUES ('jerry',password('jerry'));
MariaDB [ftpdb]> SELECT * FROM users;
+----+-------+-------------------------------------------+
id | name  | password                                  |
+----+-------+-------------------------------------------+
|  1 | tom   | *71FF744436C7EA1B954F6276121DB5D2BF68FC07 |
|  2 | jerry | *09FB9E6E2AA0750E9D8A8D22B6AA8D86C85BF3D0 |
+----+-------+-------------------------------------------+
MariaDB [(none)]> GRANT ALL ON ftpdb.* TO vsftpuser@'172.18.%.%' IDENTIFIED BY 'vsftpuser';
MariaDB [ftpdb]> FLUSH PRIVILEGES;


修改pam配置文件,添加配置

1
2
3
# vim /etc/pam.d/vsftpd.mysql
auth required /usr/lib/security/pam_mysql.so user=vsftpuser passwd=vsftpuser host=172.18.4.70 db=ftpdb table=users usercolumn=name  passwdcolumn=password crypt=2
account required /usr/lib/security/pam_mysql.so user=vsftpuser passwd=vsftpuser host=172.18.4.70 db=ftpdb table=users usercolumn=name passwdcolumn=password crypt=2

添加虚拟用户映射用户

1
2
3
4
# useradd -s /sbin/nologin -d /ftproot vuser
# chmod -w /ftproot
# mkdir /ftproot/{download,upload} # 建议创建目录在子目录中赋予权限
# chown vuser.vuser /ftproot/{download,upload}

注意:CentOS 7后对vsftpd的权限限制更为严格,所以用户家目录不应有写权限,如果需要设置写权限,需在目录下创建子目录即可。


修改其权限保证用户可进入读取

1
# chmod go+rx /ftproot/


修改配置文件:/etc/vsftpd/vsftpd.conf


必须选项

1
2
3
4
5
6
7
8
9
修改pam认证模块为vsftpd.mysql:
    pam_service_name=vsftpd.mysql
保证下面三项开启:
    anonymous_enable=YES
    local_enable=YES
    write_enable=YES
添加:
    guest_enable=YES
    guest_username=vuser

可选选项

1
2
3
4
5
chroot_local_user=YES  # 基于安全考虑建议开启
anon_upload_enable=YES # 用户可上传文件
anon_mkdir_write_enable=YES #用户科协
anon_other_write_enable=YES #除了上传和写入的其他权限
# 因为虚拟用户基于匿名用户,所以权限控制可以基于匿名用户使用。

设置用户可上传并测试


wKioL1cczS3zCurTAACpFOishO4437.pngwKiom1cczGWwpQI4AAFKicanhRc409.gif

单独用户权限控制

编辑配置文件:/etc/vsftpd/vsftpd.conf 

添加对应目录:user_config_dir=/etc/vsftpd/vuser.conf.d 

创建对应目录:mkdir /etc/vsftpd/vuser.conf.d 

创建对应用户名的文件:touch tom jerry 

修改文件,添加权限即可

实例:控制tom用户可上传,jerry用户不可上传 
1、创建对应目录及修改配置文件

1
2
mkdir /etc/vsftpd/vuser.conf.d
echo "user_config_dir=/etc/vsftpd/vuser.conf.d" >> /etc/vsftpd/vsftpd.conf

2、设置文件系统及用户权限

1
2
3
echo "anon_upload_enable=YES" >>/etc/vsftpd/vuser.conf.d/tom
echo "anon_upload_enable=NO" >>/etc/vsftpd/vuser.conf.d/jerry
chown -R vuser.vuser /ftproot/upload

3、重启服务并测试

1
systemctl restart vsftpd.service


wKiom1cczg_R859TABh9Iu09mOE605.gif










本文转自 赵大鑫 51CTO博客,原文链接:http://blog.51cto.com/xinzong/1767316,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
手撸一款简单高效的线程池(五)
在之前的内容中,我们给大家介绍了 C++实现线程池过程中的一些常用线优化方案,并分析了不同机制使用时的利弊。这一篇,是线程池系列的最后一章。我们会介绍一下 CGraph 中的 threadpool 如何使用,给出性能对比,并对接下来的工作做一些展望。让我们在线程池性能优化和功能提升的道路上,越走越远。
5 0
心中有“树”!图文并茂介绍数据结构中常见的树(一)
提到数据结构中的树(Tree) ,大家应该都不陌生,相关书籍中都有大段篇幅的介绍,刷 Leetcode 的时候会遇到很多相关问题。很多人往往会用 “手写红黑树” 来形容面试难度很高。
10 0
心中有“树”!图文并茂介绍数据结构中常见的树(二)
计算机科学家尼古拉斯·沃斯(Niklaus Wirth)曾说过:编程=数据结构+算法 ,可见数据结构在编程中的重要性。
5 0
心中有“树”!图文并茂介绍数据结构中常见的树(三)
在前面两篇文章中,我们简要介绍了数据结构中的各种【树】在搜索、数据库等领域的使用场景,希望对大家有所帮助。
11 0
Travis CI简介
什么是持续集成? Travis CI 提供的是持续集成服务(Continuous Integration,简称 CI)。它绑定 Github 上面的项目,只要有新的代码,就会自动抓取。然后,提供一个运行环境,执行测试,完成构建,还能部署到服务器。
8 0
如何在小游戏制作工具中使用云函数
本节试图以最简单的方式带你了解如何在小程序后台申请和开通云开发服务,创建并编写第一个云函数并在小游戏制作工具中对其进行调用。
10 0
+关注
20381
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载