RHEL6____VSFTPD服务器配置之一
——使用mysql实现虚拟用户的访问
VSFTPD是一个非常优秀的FTP服务程序,很多大的站点都在使用,其中支持虚拟用户是vsftpd的一个特性,VSFTPD支持将用户和密码保存在本地数据文件、MYSQL数据库以及LDAP目录服务中,如果在企业中管理的用户数量比较多或者用户变化比较频繁时,建议使用mysql来实现虚拟用户的认证。
下面我在rhel6上来实现以下功能,具体步骤如下:
1、安装vsftpd并设置开机自动启动
yum -y install vsftpd
chkconfig vsftpd on
2.安装mysql数据库
yum -y install mysql-devel mysql-server
3.启动mysql服务并设置开机自动启动
service mysqld start
chkconfig mysqld on
4.设置mysql的管理员密码,本例密码设置为xiaofeixia
mysqladmin -u root password xiaofeixia
5.建立用于虚拟用户的数据库、表,并创建虚拟用户mary和jack
(1) 登录 mysql 数据库,注意 p 和密码之间不能有空格
(2)创建用于存放虚拟用户的数据库vftp
(3)使用vftp数据库
(4)在vftp数据库中创建表userifno,包含name和pwd两个字段
(5)在表中插入mary和jack两条用户的记录,其中123456为密码
(6)查询用户信息
6.在mysql中创建一个专门用于读取数据库中虚拟用户信息的用户(ftpuser),这样做的目的主要是基于安全的考虑。
mysql> grant select on vftp.userinfo to ftpuser@localhost identified by 'xiaofeixia';
mysql> flush privileges;
7. 测试ftpuser是否可以正常查询数据库信息
8.创建本地映射用户,并修改其家目录的权限
useradd -d /var/ftp/guest -s /sbin/nologin guest
注: -d 指定家目录的位置
-s 指定用户登录的shell,如果为用户分配的shell是/sbin/nologin,则该用户是不能登录到系统的。
chmod o+rw /var/ftp/guest
9.编辑/etc/vsftpd/vsftpd.conf,添加以下两句,用于启用虚拟账号,并禁用匿名账号
guest_enable=yes
guest_username=guest
anonymous_enable=no
10.安装支持mysql认证的PAM模块。
其下载地址为:http://sourceforge.net/projects/pam-mysql/files/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz/download
tar xvzf pam_mysql-0.7RC1.tar.gz -C /usr/src
cd /usr/src/pam_mysql-0.7RC1/
./configure
make
make install
注:如果在./configure的过程中出现以下错误
configure: error: Cannot find pam headers. Please check if your system is ready for pam module development.
建议安装pam-devle软件包
yum -y install pam-devel
安装完之后,相应的库文件被安装在/lib/security目录中。
Libraries have been installed in:
/lib/security
注:由于我的系统是64位的,相应的pam认证库文件是放在/lib64/security目录中,所以我把对pam_mysql.la和pam_mysql.so做了一个软链接,其实这一步大可不做,只要你在pam文件中指定正确的位置即可
11.编辑pam认证文件/etc/pam.d/vsftpd,将原有的内容注释并添加以下两行内容以使用mysql认证
auth required pam_mysql.so user=ftpuser passwd=xiaofeixia host=localhost db=vftp table=userinfo usercolumn=name passwdcolumn=pwd crypt=0
account required pam_mysql.so user=ftpuser passwd=xiaofeixia host=localhost db=vftp table=userinfo usercolumn=name passwdcolumn=pwd crypt=0
其中user 是读取mysql数据库时使用的用户名,passwd 为其对应的密码
host指定mysql数据库所在的主机
db指定存放虚拟用户的数据库,在以上做了定义
table指定存放虚拟用户的表
usercolumn、passwdcolumn是指定表中存放用户名和密码的字段。
crypt指定密码字段是以什么方式存储到数据库中
(1)crypt=0表示以明文保存密码
(2)crypt=1表示使用crypt( )函数加密保存密码
(3)crypt=2表示使用mysql中的password( )函数加密保存密码
(4)crypt=3表示使用md5的方式保存密码
12.启动ftp服务器
service vsftpd start
13. 在客户端测试
如图所有没有任何反应,怀疑可能是开启了iptables防火墙,如 下图所示,真是防火墙在捣的鬼。
怎么办呢?要么使用iptables –F 把防火墙默认规则清空,但不推荐,建议在INPUT链上插入一条规则
iptables -I INPUT 2 -p tcp - -dport 21 -j ACCEPT
再次尝试访问,可以输入用户名和密码,但却登录失败,如下图
难道是我以上的配置出错了,检查之后发现并没有什么问题,百思不得其解,后来突然想到可能是默认开启了selinux的原因,好好检查一下
[root@mail ~]# getenforce
Enforcing
发现SELinux是开启的。
把SELinux的模式设置为permissive模式再试试。发现可以正常登录
[root@mail ~]# setenforce 0
[root@mail ~]# getenforce
Permissive
通过以上判断可以认为是selinux在影响我们的正常访问,查看相关日志如下
通过日志我们知道了原来selinux策略阻止了对mysql数据库的访问,找到症结了那问题解决就变是容易起来了,使用下面命令允许ftp 服务器使用mysql认证
[root@mail security]# setsebool -P ftpd_connect_db 1
再把selinux模式设置为enforce状态
[root@mail security]# setenforce 1
使用虚拟用户可以正常访问了,真是好事多磨。
其实写下此文的目的是帮助自己做个总结,同时也希望此文对大家有所帮助,如有不当之处,还请大家多多指正。