创建vsftpd服务器基于mysql的虚拟用户认证

一、目的

要求：配置允许虚拟用户访问的vsftpd服务器，虚拟用户存储在另一台MySQL的服务器上面，虚拟用户账号有两个分别是tom和jerry，密码是tom和jerry，要求对这两个账户的权限做一下限制（根据实际的要求，自己调节）。

环境：MySQL服务器（172.16.49.1），CentOS 6.6和MariaDB-5.5.43。另一台是通过yum安装vsftpd（192.168.0.22），OS是CentOS 6.6。

• MySQL是通用二进制格式安装，前文的博客已经介绍过如何安装。

• vsftpd。

1、介绍vsftpd

Vsftpd是ftp协议实现的一种方式，在应用层，不依赖于通信子网，也就是不依赖于内核，所以，Windows用户也可以使用。本身基于C/S模式，服务器端始终监听在21端口，因为21端口是命令连接端口，而20端口是数据传输的端口，需要数据传输的时候建立，之后拆除，而不是一致处于监听状态，所以，client和server之前的数据传输的连接又可以分为“主动”和“被动”两个模式。

“主动”：由server端主动创建的连接。就是首先client的随机端口连接server的21端口，当收到下载数据的命令之后，server端主动会开启20端口，连接client的随机+1端口，传输完毕20端口将被“拆除”，一般不用“主动”连接的模式，因为如果client有防火墙的话，一般需要client手动去放行或设置。

“被动”：由client创建的连接。就是首先client的随机端口连接server的21端口，在21端口client和server已经“协商”完毕，server端使用哪个随机端口去连接client的随机+1端口（注意：为什么client不主动连接server的20端口，因为server的20端口不会像21端口那样，vsftpd一直在监听，按需要建立然后关闭）。

ftp的传输格式是看数据，如果数据是文本就文本传输，如果数据是二进制的程序，那就是以二进制传输，这一点不同于http协议，只能是以文本流进行传输。

ftp也有信息码：

1系列：信息码。

2系列：成功。

3系类：需要进一步提示补充的状态码（当你输入账户之后，会有，因为还有密码）。

4系类：客户端错误。

5系列：服务器端错误。

因为vsftpd只有在类unix服务器上实现，所以认证主要是通过OS自己的pam模块认证，OS的系统用户，匿名用户（没有用户和密码），虚拟用户（在数据库或其它文件中存储的账号和密码）认证。

2、yum安装vsftpd之后生成的主要文件。

用户认证(pam)配置文件：/etc/pam.d/vsftpd（注意：主配置文件中的pam_service_name=vsftpd，就是调用这个配置文件）。

主应用程序：/user/sbin/vsftpd

匿名用户共享的资源：/var/ftp（注意：所有的匿名的用户都需要映射到OS中的用户，为了安全起见，最好是系统用户，但是需要创建系统用户的时候建立家目录，因为模式开放的就是家目录，只有映射到OS中的用户你才能够访问文件，因为local file也是需要权限的，但是不能更改/var/ftp的权限，可以新建一个目录，然后修改可写的权限）。

系统用户就是用户的家目录。

配置文件目录：/etc/vsftpd

主配置文件：/etc/vsftpd/vsftpd.conf

3、对于主配置文件的部分内容进行说明

anonymous_enable=YES //是否启用匿名用户
anon_upload_enable=YES //是否开启匿名用户上传
anon_mkdir_write_enable=YES //是否允许匿名用户创建目录
anon_ohter_write_enable=YES //是否允许匿名用户删除文件
local_enable=YES //是否启用本地系统用户
write_enable=YES //是否允许本地系统用户删除、创建
local_umask=022 //限制权限

禁锢所有的ftp本地用户于其家目录中：

chroot_local_user=YES

禁锢文件中指定的ftp本地用户于其家目录中：

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

日志：

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog

改变上传文件的属主：

chown_uploads=YES
chown_username=whoever

是否启用控制用户登录的列表文件/etc/vsftpd/user_list

userlist_enable=YES
userlist_deny=YES|NO

连接限制：

max_clients:  //最大并发连接数
max_per_ip: //每个IP可同时发起的并发请求数

传输速率：

anon_max_rate:  //匿名用户的最大传输速率, 单位是“字节/秒”
local_max_rate:  //本地用户的最大传输速率, 单位是“字节/秒”

强制启动文本流传输，有可能客户端打开的文件是乱码

ascii_upload_enable=YES
ascii_download_enable=YES

4、配置

A、安装所需要的程序

1、安装vsftpd、pam_mysql和mysql_server

注意：pam_mysql是由epel源提供

B、创建虚拟用户账号

1、准备数据库及相关的表格

mysql>CREATE DATABASE vsftpd;
//mysql>GRANT SELECT ON vsftpd.* TO vsftp@localhost IDENTIFIED BY‘mima‘; 数据库在本机的时候可以使用
mysql>GRANT SELECT ON vsftpd.* TO vsftp@d‘172.16.%.%‘ IDENTIFIEDBY ‘mima‘;
mysql>FLUSH PRIVILEGES;
 
mysql>use vsftp;                                                                                                                     
mysql>CREATE TABLE users (id INT UNSIGNED AUTO_INCREMENT NOT NULLPRIMARY KEY,name CHAR(20) BINARY NOT NULL,password CHAR(48) BINARY NOT NULL);

2、添加测试的虚拟账户

为了密码的安全使用mysql内部的函数进行加密，之后密码的位数是48位。

mysql>INSERT INTO users (name,password) VALUES(’tom‘,password(‘tom‘)),(’jerry‘,password(‘jerry‘)

);

C、配置vsftpd

1、建立pam认证所需的文件

vim /etc/pam.d/vsftpd.mysql //为了不与原来的vsftpd的认证文件冲突，所以进行重新命名
添加如下两行（可以直接写pam_mysql.so,会自动去/lib64/security这个目录下面去找）：
auth required /lib64/security/pam_mysql.so user=vsftp passwd=mima host=MYSQL那台机器的IP db=vsftpd table=users usercolumn=name passwdcolumn=passwordcrypt=2  //认证账号，为什么是crypt=2,rpm-ql pam_mysql中的README解决
account required /lib64/security/pam_mysql.so user=vsftp passwd=mima host=MYSQL那台机器的IP db=vsftpd table=users usercolumn=name passwdcolumn=passwordcrypt=2  //检查账号是否在有效期之内

2、修改vsftpd的配置文件，使其适应mysql的认证

建立虚拟用户映射的系统用户及对应的家目录

useradd -s /sbin/nologin -d /var/ftproot vuser
chmod go+rx /var/ftproot

确保主配置文件/etc/vsftpd/vsftpd.conf中有，可以根据需要临时修改

anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES

而后添加以下选项

guest_enable=YES
guest_username=vuser

确保pam_service_name的值

pam_service_name=vsftpd.mysql //只能通过mysql认证登陆

D、启动vsftpd服务

/etc/init.d/vsftpd start
chkconfig vsftpd on

使用虚拟用户登陆，验证配置结果，你可以通过win的IE或者cmd等

E、配置虚拟用户具有不同的访问权限

vsftpd可以在配置文件目录中为每个用户提供单独的配置文件已定义其ftp服务访问权限，每个虚拟用户的配置文件名桐虚拟用户的用户名。配置文件目录可以是任意未使用目录，只需要在vsftpd.conf指定路径及名称即可。

1、配置vsftpd为虚拟用户使用配置文件目录

vim /etc/vsftpd/vsftpd.conf

添加如下

user_config_dir=/etc/vsftpd/vusers_config

2、创建所需要的目录，并为虚拟用户提供配置文件

mkdir /etc/vsftpd/vusers_config
touch /etc/vsftpd/vusers_config/{tom,jerry}

3、配置虚拟用户的访问权限

虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。比如，如果需要让tom用户具有上传下载的权限，可以修改/etc/vsftpd/vuser_config/tom文件，在里面添加

anon_upload_enable={YES|NO}
anon_mkdir_write_enable={YES|NO}
anon_other_write_enable={YES|NO}

四、截图如下

图1、数据库的创建

图2、虚拟用户tom登陆

图3、tom用户上传和创建目录

注意：图3中227 EnteringPassive Mode （192,168,0,22,28,236）告诉你是被动模式下载的数据，其实服务器的端口号就是28*256+236。

有志同道合的“战友”可以加我qq：865765761。（注明：Linux）

本文出自 “只写感受！” 博客，请务必保留此出处http://damihua.blog.51cto.com/6537272/1651073

创建vsftpd服务器基于mysql的虚拟用户认证

标签：vsftpd 虚拟用户 mysql认证