FTP基于PAM和MySQL/MariaDB实现虚拟用户访问控制

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介:

前言

vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序,特点是小巧轻快,安全易用,目前在开源操作系统中常用的FTP套件主要有proftpd、pureftp、ServU和wu-ftpd等。本文将讲解vsftpd的基本功能和如何基于PAM和MySQL/MariaDB实现虚拟用户访问控制。

基础配置介绍

工作原理

wKioL1U0crDDiyOgAAFcT6Kq79I735.jpg

状态响应码

1xx:信息码

2xx:成功状态码

3xx:进一步提示补全信息的状态码

4xx:客户端错误

5xx:服务器端错误

用户认证

虚拟用户:仅用于访问某特定服务中的资源

1
2
3
4
5
6
nsswitch: network server switch, 名称解析框架
         配置文件: /etc/nsswitch .conf
         模块: /lib64/libnss *,  /usr/lib64/libnss *
pam: pluggable authentication module, 用户认证框架
         模块: /lib64/security/
         配置文件: /etc/pam .conf,  /etc/pam .d/*

系统用户通过ftp访问的资源的位置:用户自己的家目录

虚拟用户通过ftp访问的资源的位置:给虚拟用户指定的映射成为的系统用户的家目录

配置文件

vsftpd在CentOS6.6的配置文件

1
2
3
4
5
用户认证配置文件: /etc/pam .d /vsftpd
服务脚本: /etc/rc .d /init .d /vsftpd
配置文件目录: /etc/vsftpd
主配置文件: /etc/vsftpd/vsftpd .conf
匿名用户(映射为 ftp 用户)共享资源位置: /var/ftp

配置文件详解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
匿名用户的设置
     anonymous_enable=YES:允许匿名登录
     anonymous_upload_enable=YES:允许上传文件
     anonymous_other_write_enable=YES:允许删除文件
     anonymous_mkdir_write_enable=YES:允许创建目录
     注:启用此功能, ftp 用户对 /var/ftp 目录仍无权限,可在 /var/ftp/ 目录下新建目录,
     /var/ftp/upload/ ,并给 ftp 用户设置权限 setfacl -m u: ftp :rw  /var/ftp/upload
系统用户的配置
     local_enable=YES:允许登录
     write_enable=YES:允许上传文件
禁锢所有的 ftp 本地用户于其家目录中
     chroot_local_user={YES|NO}
禁锢指定用户于家目录中
     chroot_list_enable=YES
     chroot_list_file= /etc/vsftpd/chroot_list 
日志配置
     xferlog_enable=YES
     xferlog_std_format=YES
     xferlog_file= /var/log/xferlog
改变上传文件的属主
     chown_uploads=YES
     chown_username=whoever
上传文件的 umask
     anon_umask:匿名用户上传文件的 umask
     local_umask:本地用户上传文件的 umask
vsftpd使用pam完成用户认证,其用到的pam配置文件
     pam_service_name=vsftpd
     控制用户登录: /etc/vsftpd/ftpusers 中的用户都不允许使用 ftp 服务,基于pam
是否启用控制用户登录的列表文件
     userlist_enable=YES
     userlist_deny=YES|NO
     默认文件为 /etc/vsftpd/user_list
连接限制
     max_clients: 最大并发连接数
     max_per_ip: 每个IP可同时发起的并发请求数
传输速率
     anon_max_rate:匿名用户的最大传输速率,单位是bytes /s
     local_max_rate:本地用户的最大传输速率,单位是bytes /s
自定义信息配置
         ftpd_banner=Welcome to FTP Server  #自定义
         dirmessage_enable=YES    #需创建.message文件

虚拟用户访问控制

虚拟用户

所有的虚拟用户会被统一映射为一个指定的系统账号,访问的共享位置即为此系统账号的家目录

各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定

虚拟用户的存放方式:

hash编码的文件(奇数行为用户名,偶数行为密码)

关系型数据库(通过第三方模块pam-mysql实现认证)

工作原理

wKioL1U0lX7SMeqEAADUzbJtf8I522.jpg

配置过程

环境准备

FTP服务器:172.16.10.10(CentOS6.6)

数据库服务器:172.16.10.211(CentOS6.6),MariaDB

安装所需程序

首先FTP服务器需要安装vsftpd和pam_mysql,数据库服务器需要安装MySQL或者MariaDB,我这里已经安装完毕了,就直接开始配置了

创建虚拟用户

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
[root@MariaDB ~] # mysql
 
MariaDB [(none)]> CREATE DATABASE vsftpd;
 
MariaDB [(none)]> use vsftpd;
 
MariaDB [vsftpd]> GRANT SELECT ON vsftpd.* TO vsftp@ '172.16.10.10'  IDENTIFIED BY  'vpass' ;
 
MariaDB [vsftpd]> FLUSH PRIVILEGES;
 
MariaDB [vsftpd]> CREATE TABLE  users  (
     ->  id  INT UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY,
     -> name VARCHAR(50) BINARY NOT NULL, 
     -> password CHAR(48) BINARY NOT NULL );
#添加虚拟用户   
MariaDB [vsftpd]> INSERT INTO  users  (name,password) VALUES ( 'tom' ,password( 'scholar' ));
#password('PASSWORD')加密密码
MariaDB [vsftpd]> INSERT INTO  users  (name,password) VALUES ( 'alice' ,password( 'scholar' ));

vsftpd配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
[root@lab ~] # vim /etc/pam.d/vsftpd.mysql  #创建pam认证文件
 
auth required pam_mysql.so user=vsftp  passwd =vpass host=172.16.10.211 db=vsftpd 
table= users  usercolumn=name passwdcolumn=password crypt=2  #密码经过加密,crypt值为2
account required pam_mysql.so user=vsftp  passwd =vpass host=172.16.10.211 db=vsftpd 
table= users  usercolumn=name passwdcolumn=password crypt=2
 
[root@lab ~] # useradd -s /sbin/nologin -d /var/ftproot vuser
#创建虚拟用户映射的系统用户及对应的目录
[root@lab ~] # chmod go+rx /var/ftproot  #给予权限
[root@lab ~] # vim /etc/vsftpd/vsftpd.conf 
 
#请确保已经启用了以下选项
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES
#添加以下选项
guest_enable=YES
guest_username=vuser  #设置的映射系统用户
#并确保pam_service_name选项的值如下所示
pam_service_name=vsftpd.mysql  #创建的pam认证文件

配置虚拟用户具有不同的访问权限

vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可。

配置vsftpd为虚拟用户使用配置文件目录

1
2
3
4
[root@lab ~] # vim /etc/vsftpd/vsftpd.conf
 
#添加如下选项
user_config_dir= /etc/vsftpd/vusers_config

创建所需要目录,并为虚拟用户提供配置文件

1
2
3
[root@lab ~] # mkdir /etc/vsftpd/vusers_config
[root@lab ~] # cd /etc/vsftpd/vusers_config/
[root@lab vusers_config] # touch tom alice

配置虚拟用户的访问权限

虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。比如,如果需要让tom用户具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/tom文件,在里面添加如下选项即可。

1
2
3
4
5
6
7
8
9
10
11
[root@lab vusers_config] # vim tom
 
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
 
[root@lab vusers_config] # vim alice 
 
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

启动服务,设置开机自启,查看21端口是否被监听

wKioL1U0o7aySHnUAABzZrUoe9w172.jpg

测试虚拟用户

wKiom1U0ujLjFDnqAAHiQJfvXi8688.jpg

wKioL1U0u6fBt_wYAAE1pXpZmxg827.jpg

The end 

好了,FTP基于PAM和MySQL/MariaDB的虚拟用户访问控制,就说到这里啦,配置ftp过程中请确保不要敲多空格,否则是会报错或者登录失败的,我就深受其害,这确实是个坑,部署过程中遇到问题可留言,多谢关注呦。以上仅为个人学习整理,如有错漏,大神勿喷~~~



本文转自 北城书生  51CTOhttp://blog.51cto.com/scholar/1636190博客,原文链接:http://blog.51cto.com/scholar/1636190


相关文章
|
8月前
|
NoSQL 关系型数据库 MySQL
阿里云RDS关系型数据库大全_MySQL版、PolarDB、PostgreSQL、SQL Server和MariaDB等
阿里云RDS关系型数据库如MySQL版、PolarDB、PostgreSQL、SQL Server和MariaDB等,NoSQL数据库如Redis、Tair、Lindorm和MongoDB
275 0
|
8月前
|
NoSQL 关系型数据库 MySQL
阿里云关系型数据库详细介绍MySQL/MariaDB/SQL Server/PolarDB/PostgreSQL等
阿里云关系型数据库详细介绍MySQL/MariaDB/SQL Server/PolarDB/PostgreSQL等,阿里云RDS关系型数据库如MySQL版、PolarDB、PostgreSQL、SQL Server和MariaDB等
136 0
|
8月前
|
NoSQL Cloud Native 关系型数据库
阿里云RDS数据库_MySQL_SQL Server_MariaDB_PolarDB_PostgreSQL
阿里云RDS关系型数据库大全:MySQL版、PolarDB、PostgreSQL、SQL Server和MariaDB等
114 0
|
10月前
|
关系型数据库 MySQL API
MariaDB数据库中如何允许远程链接mysql并开放3306端口
MariaDB数据库管理系统是MySQL的一个分支,主要由开源社区在维护,采用GPL授权许可。开发这个分支的原因之一是:甲骨文公司收购了MySQL后,有将MySQL闭源的潜在风险,因此社区采用分支的方式来避开这个风险。
612 0
|
10月前
|
存储 关系型数据库 MySQL
mysql--Centos安装MariaDB(mysql)
mysql--Centos安装MariaDB(mysql)
1515 0
|
10月前
|
Ubuntu 关系型数据库 MySQL
Ubuntu安装MariaDB-10.3数据库(等同于Mysql-5.7)
Ubuntu安装MariaDB-10.3数据库(等同于Mysql-5.7)
233 0
|
SQL Oracle 前端开发
使用MariaDB线程池提高MySQL的扩展性
MySQL的线程池能够有效地解决大量短连接的性能问题,大幅提高MySQL数据库的扩展性。但官方MySQL的线程池在收费的企业版中才有,免费的社区版中没有这个功能,这里介绍MairaDB的线程池。
176 0
|
存储 自然语言处理 关系型数据库
mysql/mariadb 实现全文检索
mysql/mariadb 实现全文检索
mysql/mariadb 实现全文检索
|
关系型数据库 MySQL 网络安全
关于对连接数据库时出现1130-host “**” is not allowed to connect to this MySql/mariadb server
关于对连接数据库时出现1130-host “**” is not allowed to connect to this MySql/mariadb server
392 0
|
SQL 运维 Oracle
使用MariaDB线程池提高MySQL的扩展性
MySQL的线程池能够有效地解决大量短连接的性能问题,大幅提高MySQL数据库的扩展性。但官方MySQL的线程池在收费的企业版中才有,免费的社区版中没有这个功能,这里介绍MairaDB的线程池。
183 0

热门文章

最新文章