[教程]在CentOS7上配置 FTP服务器 Proftpd 支持 MySQL 虚拟用户加密认证以及磁盘限额(Quota)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 本文软件采用 yum 安装,不需要编译,而且随时都可以跟随 CentOS 升级 Proftpd 到最新版本,以避免可能的漏洞攻击。利用 Proftpd 现成的配置以及设置好的各种模块,可以实现 sftp 和 ssh 的结合,完美的实现虚拟用户加密密码存放于数据库。

有一些很古老的教程,一般都是走编译安装路线的,本文是教你不需要编译,而且随时都可以跟随 CentOS 升级 Proftpd 到最新版本,以避免可能的漏洞攻击。利用 Proftpd 现成的配置以及设置好的各种模块,可以实现 sftp 和 ssh 的结合,完美的实现虚拟用户加密密码存放于数据库。

1. 安装:

Proftpd 支持多种后端的数据库存储,在 CentOS7 上, 相关的软件包有:

proftpd-devel.x86_64 : ProFTPD – Tools and header files for developers
proftpd-ldap.x86_64 : Module to add LDAP support to the ProFTPD FTP server
proftpd-mysql.x86_64 : Module to add MySQL support to the ProFTPD FTP server
proftpd-postgresql.x86_64 : Module to add PostgreSQL support to the ProFTPD FTP server
proftpd-sqlite.x86_64 : Module to add SQLite support to the ProFTPD FTP server
proftpd-utils.x86_64 : ProFTPD – Additional utilities
proftpd.x86_64 : Flexible, stable and highly-configurable FTP server

我们只需要安装
proftpd-mysql-1.3.5e-4.el7.x86_64
proftpd-1.3.5e-4.el7.x86_64

可以选择安装: proftpd-utils-1.3.5e-4.el7.x86_64
至于想了解包里面的所有文件, 可以用 # rpm -ql proftpd 这样的命令来查看。

2. 设置自动启动:

# systemctl enable proftpd
# systemctl start proftpd
查看状态:
# systemctl status proftpd

3. 配置:
添加 ftp 用户和组:
# groupadd -g 2001 ftpgroup
# useradd -u 2001 -g 2001 ftpuser
查看基本模块: # proftpd -l
查看所有加载的模块: # proftpd -vv
如果结果里没有看到 mod_sql_mysql,就对了, 那是因为我们还没有把模块加载。
查看配置文件的路径: # proftpd -V , 可以看到 “Configuration File”指向 /etc/proftpd.conf
以下是我配置的一些核心的设置,其他没有包含在里面的,可以保留原来系统的配置。

LogFormat awstats “%t %h %u %m %f %s %b”
ExtendedLog /var/log/proftpd/transfer.log read,write awstats
TransferLog /var/log/proftpd/transfer.log
ServerLog /var/log/proftpd/server.log

ServerName “ProFTPD server”
ServerIdent on “FTP Server ready.”
ServerAdmin ftpadmin@freelamp.com
DefaultServer on

DefaultRoot ~ !adm

UseReverseDNS off

User ftpuser
Group ftpgroup

MaxInstances 20

UseSendfile off

LogFormat default “%h %l %u %t \”%r\” %s %b”
LogFormat auth “%v [%P] %h %t \”%r\” %s”

LoadModule mod_sql.c
LoadModule mod_sql_passwd.c
LoadModule mod_sql_mysql.c
LoadModule mod_quotatab.c
LoadModule mod_quotatab_sql.c
LoadModule mod_ctrls_admin.c
LoadModule mod_deflate.c
LoadModule mod_sftp.c

LoadModule mod_sftp_sql.c
LoadModule mod_vroot.c

 

<IfModule mod_vroot.c>
VRootEngine on
</IfModule>

<Global>
# 设置正确的时区,保证日志文件里的时间是当前时区。
SetEnv TZ “Asia/Shanghai”
Umask 022
# Allow users to overwrite files and change permissions
AllowOverwrite yes
<Limit ALL SITE_CHMOD>
AllowAll
</Limit>
ExtendedLog /var/log/proftpd/access.log WRITE,READ default
ExtendedLog /var/log/proftpd/auth.log AUTH auth

</Global>

# MySQL 相关的配置:
SQLBackend mysql
SQLEngine on
SQLAuthenticate on
SQLLogFile /var/log/proftpd/sql.log
# 这个 AuthTypes 网上的很多教程都是不对的。
SQLAuthTypes OpenSSL

SQLAuthenticate users* groups*
SQLConnectInfo MySQLUser@localhost MySQLDBName MySQLPassword

SQLUserInfo ftpuser userid passwd uid gid homedir shell
SQLGroupInfo ftpgroup groupname gid members
SQLMinUserGID 2001
SQLMinUserUID 2001
# SQLHomedirOnDemand on
# Update count every time user logs in
SQLLog PASS updatecount
# SQLLog PASS counter
SQLNamedQuery updatecount UPDATE “count=count+1, accessed=now() WHERE userid=’%u'” ftpuser

# Update modified everytime user uploads or deletes a file
SQLLog STOR,DELE modified
SQLNamedQuery modified UPDATE “modified=now() WHERE userid=’%u'” ftpuser

# User quotas
# ===========
#打开磁盘限额引擎
QuotaEngine on
#设置磁盘限额
QuotaDirectoryTally on
#设置测盘容量显示时的单位
QuotaDisplayUnits Mb
#允许显示磁盘限额信息,ftp登陆后可执行 quote site quota 命令察看当前磁盘使用情#况
QuotaShowQuotas on
#设置磁盘限额日志文件
QuotaLog “/var/log/proftpd/quota.log”

SQLNamedQuery get-quota-limit SELECT “name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM ftpquotalimits WHERE name = ‘%{0}’ AND quota_type = ‘%{1}'”

SQLNamedQuery get-quota-tally SELECT “name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM ftpquotatallies WHERE name = ‘%{0}’ AND quota_type = ‘%{1}'”

SQLNamedQuery update-quota-tally UPDATE “bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used + %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} WHERE name = ‘%{6}’ AND quota_type = ‘%{7}'” ftpquotatallies

SQLNamedQuery insert-quota-tally INSERT “%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}” ftpquotatallies

QuotaLimitTable sql:/get-quota-limit
QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally
# ===========

RootLogin off
RequireValidShell off

# =============== 配置 结束  ===============

4. MySQL 数据库部分,可以直接保存成 sql 文件,用 mysql 数据库名 < sql文件 来导入表结构和示例用户数据。
## 数据库部分
CREATE TABLE `ftpgroup` (
`groupname` varchar(16) NOT NULL DEFAULT ”,
`gid` smallint(6) NOT NULL DEFAULT ‘2001’,
`members` varchar(16) NOT NULL DEFAULT ”,
KEY `groupname` (`groupname`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1 COMMENT=’ProFTP group table’;

INSERT INTO `ftpgroup` VALUES (‘ftpgroup’,2001,’ftpuser’);

CREATE TABLE `ftpquotalimits` (
`name` varchar(30) DEFAULT NULL,
`quota_type` enum(‘user’,’group’,’class’,’all’) NOT NULL DEFAULT ‘user’,
`per_session` enum(‘false’,’true’) NOT NULL DEFAULT ‘false’,
`limit_type` enum(‘soft’,’hard’) NOT NULL DEFAULT ‘soft’,
`bytes_in_avail` int(10) unsigned NOT NULL DEFAULT ‘0’,
`bytes_out_avail` int(10) unsigned NOT NULL DEFAULT ‘0’,
`bytes_xfer_avail` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_in_avail` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_out_avail` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_xfer_avail` int(10) unsigned NOT NULL DEFAULT ‘0’
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

INSERT INTO `ftpquotalimits` VALUES (‘exampleuser’,’user’,’true’,’hard’,15728640,0,0,0,0,0),(‘demo’,’user’,’false’,’soft’,104857600,0,0,0,0,0);

CREATE TABLE `ftpquotatallies` (
`name` varchar(30) NOT NULL DEFAULT ”,
`quota_type` enum(‘user’,’group’,’class’,’all’) NOT NULL DEFAULT ‘user’,
`bytes_in_used` int(10) unsigned NOT NULL DEFAULT ‘0’,
`bytes_out_used` int(10) unsigned NOT NULL DEFAULT ‘0’,
`bytes_xfer_used` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_in_used` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_out_used` int(10) unsigned NOT NULL DEFAULT ‘0’,
`files_xfer_used` int(10) unsigned NOT NULL DEFAULT ‘0’
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

INSERT INTO `ftpquotatallies` VALUES (‘demo’,’user’,0,0,0,0,0,0);

CREATE TABLE `ftpuser` (
`id` bigint(20) unsigned NOT NULL AUTO_INCREMENT,
`userid` varchar(32) NOT NULL DEFAULT ”,
`passwd` varchar(32) NOT NULL DEFAULT ”,
`uid` smallint(6) NOT NULL DEFAULT ‘2001’,
`gid` smallint(6) NOT NULL DEFAULT ‘2001’,
`homedir` varchar(255) NOT NULL DEFAULT ”,
`shell` varchar(16) NOT NULL DEFAULT ‘/sbin/nologin’,
`count` int(11) NOT NULL DEFAULT ‘0’,
`accessed` datetime NOT NULL DEFAULT ‘0000-00-00 00:00:00’,
`modified` datetime NOT NULL DEFAULT ‘0000-00-00 00:00:00′,
PRIMARY KEY (`id`),
UNIQUE KEY `userid` (`userid`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=latin1 COMMENT=’ProFTP user table’;

INSERT INTO `ftpuser` VALUES (1,’simon’,'{md5}md5password’,2001,2001,’/opt/ftphome/simon’,’/sbin/nologin’,0,’2018-02-18 19:48:48′,’0000-00-00 00:00:00′),(2,’simon2′,'{md5}uk7kAgOCIdt21o0YJ6grVg==’,2001,2001,’/opt/ftphome/simon2′,’/sbin/nologin’,4,’2018-02-18 20:35:04′,’0000-00-00 00:00:00′);

# =============== 数据库部分 结束  ===============

5. 添加用户的 shell 脚本,添加用户需要插表,创建用户目录等,参照网上的脚本修改如下:

# cat /usr/local/bin/add_ftpuser.sh
#!/bin/bash
# Modified by Albert Xu <albertxu@freelamp.com>
#
usage () {
        echo “”
        echo ”  USAGE: `basename $0` username user_home_dir “
        echo ”  e.g.: `basename $0` albertxu /opt/ftphome/albertxu “
        echo “”
        echo ”  Result:”
        echo ”          UserName: albertxu”
        echo ”          PassWord: N2Jy3Fqol”
        echo “”
exit
}
# == MySQL ========
MYSQL_USER=ftpd
MYSQL_PASS=MySQLP@ssw0rd
MYSQL_DB=ftpd
MYSQL_HOST=localhost
# ================
FTP_USER=ftpuser
FTP_UID=`id -u ${FTP_USER}`
FTP_GID=`id -g ${FTP_USER}`
FTP_GRP=`id -gn ${FTP_USER}`
# ===============
userid=$1
[ -z “${userid}” ] && usage
datetime=`date +”%Y-%m-%d %H:%M:%S”`
passwd=`mkpasswd -l 9 -d 2 -c 3 -C 3 -s 1`
FTP_HOME=/opt/ftphome/${userid}
[ ! -d ${FTP_HOME} ] && mkdir -p ${FTP_HOME} && chown ${FTP_USER}.${FTP_GRP} ${FTP_HOME}
dst_passwd='{md5}’`/bin/echo -n “$passwd” | openssl dgst -binary -md5 | openssl enc -base64`
shell=’/sbin/nologin’
/bin/mysql -u ${MYSQL_USER} -p${MYSQL_PASS} -h ${MYSQL_HOST} ${MYSQL_DB}  \
-e “INSERT INTO ftpuser (userid,passwd,uid,gid,homedir,shell,accessed) VALUES (‘$userid’,’$dst_passwd’,${FTP_UID},${FTP_GID},’${FTP_HOME}’,’/sbin/nologin’,’$datetime’);”
echo “UserName: $userid”
echo “PassWord: $passwd”
echo “userHome: ${FTP_HOME}”
echo “”
exit

# =============== 添加用户脚本 结束  ===============

6. 测试
重启 proftpd 服务后,用脚本添加用户后,可以尝试用 ftp 主机名 以及 ftp 主机名 22,端口来测试两种方式的认证。
我们不需要在操作系统添加用户,而是直接把用户和组的配置通过数据库实现,后端的数据库用户和组可以灵活的通过和其他应用整合,实现完美的安全 ftp 解决方案。 在 ftphome 的权限配置上,我们需要把所有 /opt/ftphome 下创建的用户目录和组的读写都设置为 ftpuser:ftpgroup 的 755 权限。在防火墙设置上,我们仍旧需要把 20/21 TCP 端口都打开。

很多人根据本教程可能会遇到数据库连接问题,本人认为这些都是基本功,看过这个教程就应该明白数据库的用户怎么设置了。

相关实践学习
如何快速连接云数据库RDS MySQL
本场景介绍如何通过阿里云数据管理服务DMS快速连接云数据库RDS MySQL,然后进行数据表的CRUD操作。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
6天前
|
安全 编译器 Linux
深入解析与防范:基于缓冲区溢出的FTP服务器攻击及调用计算器示例
本文深入解析了利用缓冲区溢出漏洞对FTP服务器进行远程攻击的技术,通过分析FreeFlow FTP 1.75版本的漏洞,展示了如何通过构造过长的用户名触发缓冲区溢出并调用计算器(`calc.exe`)。文章详细介绍了攻击原理、关键代码组件及其实现步骤,并提出了有效的防范措施,如输入验证、编译器保护和安全编程语言的选择,以保障系统的安全性。环境搭建基于Windows XP SP3和Kali Linux,使用Metasploit Framework进行攻击演示。请注意,此内容仅用于教育和研究目的。
30 4
|
1月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。通过具体案例,读者可以了解如何准备环境、下载源码、编译安装、配置服务及登录 MySQL。编译源码安装虽然复杂,但提供了更高的定制性和灵活性,适用于需要高度定制的场景。
112 3
|
1月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。
本文介绍了在 CentOS 7 中通过编译源码安装 MySQL 数据库的详细步骤,并与使用 RPM 包安装进行了对比。内容涵盖准备工作、下载源码、编译安装、配置服务、登录设置及实践心得,帮助读者根据需求选择最适合的安装方法。
94 2
|
1月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据需求选择最合适的方法。通过具体案例,展示了编译源码安装的灵活性和定制性。
158 2
|
2月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤
本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置服务等,并与使用 RPM 包安装进行了对比,帮助读者根据需求选择合适的方法。编译源码安装虽然复杂,但提供了更高的定制性和灵活性。
289 2
|
2月前
|
关系型数据库 MySQL Linux
在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤
【10月更文挑战第7天】本文介绍了在 CentOS 7 中通过编译源码方式安装 MySQL 数据库的详细步骤,包括准备工作、下载源码、编译安装、配置 MySQL 服务、登录设置等。同时,文章还对比了编译源码安装与使用 RPM 包安装的优缺点,帮助读者根据自身需求选择合适的方法。
65 3
|
2月前
|
网络协议 文件存储 Windows
Windows Server 2019 FTP服务器搭建
Windows Server 2019 FTP服务器搭建
|
2月前
|
安全 网络协议 网络安全
Windows Server 2003 FTP服务器搭建
Windows Server 2003 FTP服务器搭建
|
2天前
|
存储 Oracle 关系型数据库
数据库传奇:MySQL创世之父的两千金My、Maria
《数据库传奇:MySQL创世之父的两千金My、Maria》介绍了MySQL的发展历程及其分支MariaDB。MySQL由Michael Widenius等人于1994年创建,现归Oracle所有,广泛应用于阿里巴巴、腾讯等企业。2009年,Widenius因担心Oracle收购影响MySQL的开源性,创建了MariaDB,提供额外功能和改进。维基百科、Google等已逐步替换为MariaDB,以确保更好的性能和社区支持。掌握MariaDB作为备用方案,对未来发展至关重要。
10 3
|
2天前
|
安全 关系型数据库 MySQL
MySQL崩溃保险箱:探秘Redo/Undo日志确保数据库安全无忧!
《MySQL崩溃保险箱:探秘Redo/Undo日志确保数据库安全无忧!》介绍了MySQL中的三种关键日志:二进制日志(Binary Log)、重做日志(Redo Log)和撤销日志(Undo Log)。这些日志确保了数据库的ACID特性,即原子性、一致性、隔离性和持久性。Redo Log记录数据页的物理修改,保证事务持久性;Undo Log记录事务的逆操作,支持回滚和多版本并发控制(MVCC)。文章还详细对比了InnoDB和MyISAM存储引擎在事务支持、锁定机制、并发性等方面的差异,强调了InnoDB在高并发和事务处理中的优势。通过这些机制,MySQL能够在事务执行、崩溃和恢复过程中保持
14 3