Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问

VSFTP

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第1张图片

VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。除了这与生俱来的安全特性以外,高速与高稳定性也是VSFTP的两个重要特点。在速度方面,使用ASCII代码的模式下载数据时,VSFTP的速度是Wu-FTP的两倍,如果Linux主机使用2.4.*的内核,在千兆以太网上的下载速度可达86MB/S。在稳定方面,VSFTP就更加的出色,VSFTP在单机(非集群)上支持4000个以上的并发用户同时连接,根据Red Hat的Ftp服务器的数据,VSFTP服务器可以支持15000个并发用户

  • 它是一个安全、高速、稳定的FTP服务器
  • 它可以做基于多个IP的虚拟FTP主机服务器
  • 匿名服务设置十分方便
  • 匿名FTP的根目录不需要任何特殊的目录结构,或系统程序或其它的系统文件
  • 不执行任何外部程序,从而减少了安全隐患
  • 支持虚拟用户,并且每个虚拟用户可以具有独立的属性配置
  • 可以设置从inetd中启动,或者独立的FTP服务器两种运行方式
  • 支持两种认证方式(PAP或xinetd/ tcp_wrappers)
  • 支持带宽限制

  • 下面开始配置基于 MariaDB 验证的 VSFTP虚拟用户访问

  • 实验环境
  • VSFTP      192.168.10.2     CentOS 7.5 
  • MariaDB    192.168.10.6     CentOS 7.5

  • 首先在 192.168.10.2 上使用 YUM方式安装 VSFTP服务

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第2张图片

VSftp 服务主配置文件 /etc/vsftpd/vsftpd.conf 详细说明

  • anonymous_enable=YES/NO(YES)#控制是否允许匿名用户登入,YES 为允许匿名登入,NO 为不允许。默认值为YES。
  • write_enable=YES/NO(YES)#是否允许登陆用户有写权限。属于全局设置,默认值为YES。
  • no_anon_password=YES/NO(NO)#若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO。
  • ftp_username=ftp #定义匿名登入的使用者名称。默认值为ftp。
  • anon_root=/var/ftp #使用匿名登入时,所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性,即匿名用户的家目录不能有777的权限。
  • anon_upload_enable=YES/NO(NO)#如果设为YES,则允许匿名登入者有上传文件(非目录)的权限,只有在write_enable=YES时,此项才有效。当然,匿名用户必须要有对上层目录的写入权。默认值为NO。
  • anon_world_readable_only=YES/NO(YES)#如果设为YES,则允许匿名登入者下载可阅读的档案(可以下载到本机阅读,不能直接在FTP服务器中打开阅读)。默认值为YES。
  • anon_mkdir_write_enable=YES/NO(NO)#如果设为YES,则允许匿名登入者有新增目录的权限,只有在write_enable=YES时,此项才有效。当然,匿名用户必须要有对上层目录的写入权。默认值为NO。
  • anon_other_write_enable=YES/NO(NO)#如果设为YES,则允许匿名登入者更多于上传或者建立目录之外的权限,譬如删除或者重命名。(如果 anon_upload_enable=NO,则匿名用户不能上传文件,但可以删除或者重命名已经存在的文件;如果 anon_mkdir_write_enable=NO,则匿名用户不能上传或者新建文件夹,但可以删除或者重命名已经存在的文件夹。)默认值为NO。
  • chown_uploads=YES/NO(NO)#设置是否改变匿名用户上传文件(非目录)的属主。默认值为NO。
  • chown_username=username #设置匿名用户上传文件(非目录)的属主名。建议不要设置为root。
  • anon_umask=077 #设置匿名登入者新增或上传档案时的umask 值。默认值为077,则新建档案的对应权限为700。
  • deny_email_enable=YES/NO(NO)#若是启动这项功能,则必须提供一个档案/etc/vsftpd/banner_emails,内容为email address。若是使用匿名登入,则会要求输入email address,若输入的email address 在此档案内,则不允许进入。默认值为NO。
  • banned_email_file=/etc/vsftpd/banner_emails #此文件用来输入email address,只有在deny_email_enable=YES时,才会使用到此档案。若是使用匿名登入,则会要求输入email address,若输入的email address 在此档案内,则不允许进入。
  • local_enable=YES/NO(YES)#控制是否允许本地用户登入,YES 为允许本地用户登入,NO为不允许。默认值为YES。
  • local_root=/home/username #当本地用户登入时,将被更换到定义的目录下。默认值为各用户的家目录。
  • write_enable=YES/NO(YES)#是否允许登陆用户有写权限。属于全局设置,默认值为YES。
  • local_umask=022 #本地用户新增档案时的umask 值。默认值为077。
  • file_open_mode=0755 # 本地用户上传档案后的档案权限,与chmod 所使用的数值相同。默认值为0666。
  • dirmessage_enable=YES/NO(YES)#如果启动这个选项,那么使用者第一次进入一个目录时,会检查该目录下是否有.message这个档案,如果有,则会出现此档案的内容,通常这个档案会放置欢迎话语,或是对该目录的说明。默认值为开启。
  • message_file=.message #设置目录消息文件,可将要显示的信息写入该文件。默认值为.message。
  • banner_file=/etc/vsftpd/banner #当使用者登入时,会显示此设定所在的档案内容,通常为欢迎话语或是说明。默认值为无。如果欢迎信息较多,则使用该配置项。
  • ftpd_banner=Welcome to BOB's FTP server #这里用来定义欢迎话语的字符串,banner_file是档案的形式,而ftpd_banner 则是字符串的形式。预设为无。
  • 在默认配置下,本地用户登入FTP后可以使用cd命令切换到其他目录,这样会对系统带来安全隐患。可以通过以下三条配置文件来控制用户切换目录。
  • chroot_list_enable=YES/NO(NO) #设置是否启用chroot_list_file配置项指定的用户列表文件。默认值为NO。
  • chroot_list_file=/etc/vsftpd.chroot_list #用于指定用户列表文件,该文件用于控制哪些用户可以切换到用户家目录的上级目录。
  • chroot_local_user=YES/NO(NO)#用于指定用户列表文件中的用户是否允许切换到上级目录。默认值为NO。
  • 通过搭配能实现以下几种效果:
  • 当chroot_list_enable=YES,chroot_local_user=YES时,在/etc/vsftpd.chroot_list文件中列出的用户,可以切换到其他目录;未在文件中列出的用户,不能切换到其他目录。
  • 当chroot_list_enable=YES,chroot_local_user=NO时,在/etc/vsftpd.chroot_list文件中列出的用户,不能切换到其他目录;未在文件中列出的用户,可以切换到其他目录。
  • 当chroot_list_enable=NO,chroot_local_user=YES时,所有的用户均不能切换到其他目录。
  • 当chroot_list_enable=NO,chroot_local_user=NO时,所有的用户均可以切换到其他目录。
  • ascii_upload_enable=YES/NO(NO)#设置是否启用ASCII 模式上传数据。默认值为NO。
  • ascii_download_enable=YES/NO(NO) #设置是否启用ASCII 模式下载数据。默认值为NO。
  • tcp_wrappers=YES/NO(YES)#设置vsftpd是否与tcp wrapper相结合来进行主机的访问控制。默认值为YES。如果启用,则vsftpd服务器会检查/etc/hosts.allow 和/etc/hosts.deny 中的设置,来决定请求连接的主机,是否允许访问该FTP服务器。这两个文件可以起到简易的防火墙功能。仅允许192.168.0.1—192.168.0.254的用户可以连接FTP服务器,则在/etc/hosts.allow文件中添加以下内容:
  • vsftpd:192.168.0. :allow
  • all:all :deny
  • 对于用户的访问控制可以通过/etc目录下的vsftpd.user_list和ftpusers文件来实现。
  • userlist_file=/etc/vsftpd.user_list #控制用户访问FTP的文件,里面写着用户名称。一个用户名称一行。
  • userlist_enable=YES/NO(NO)#是否启用vsftpd.user_list文件。
  • userlist_deny=YES/NO(YES)#决定vsftpd.user_list文件中的用户是否能够访问FTP服务器。若设置为YES,则vsftpd.user_list文件中的用户不允许访问FTP,若设置为NO,则只有vsftpd.user_list文件中的用户才能访问FTP。
  • /etc/vsftpd/ftpusers文件专门用于定义不允许访问FTP服务器的用户列表(注意: 如果userlist_enable=YES,userlist_deny=NO,此时如果在vsftpd.user_list和ftpusers中都有 某个用户时,那么这个用户是不能够访问FTP的,即ftpusers的优先级要高)。默认情况下vsftpd.user_list和ftpusers,这 两个文件已经预设置了一些不允许访问FTP服务器的系统内部账户。如果系统没有这两个文件,那么新建这两个文件,将用户添加进去即可。
  • anon_max_rate=0 #设置匿名登入者使用的最大传输速度,单位为B/s,0 表示不限制速度。默认值为0。
  • local_max_rate=0 #本地用户使用的最大传输速度,单位为B/s,0 表示不限制速度。预设值为0。
  • accept_timeout=60 #设置建立FTP连接的超时时间,单位为秒。默认值为60。
  • connect_timeout=60 #PORT 方式下建立数据连接的超时时间,单位为秒。默认值为60。
  • data_connection_timeout=120 #设置建立FTP数据连接的超时时间,单位为秒。默认值为120。
  • idle_session_timeout=300 #设置多长时间不对FTP服务器进行任何操作,则断开该FTP连接,单位为秒。默认值为300 。
  • xferlog_enable= YES/NO(YES)#是否启用上传/下载日志记录。如果启用,则上传与下载的信息将被完整纪录在xferlog_file 所定义的档案中。预设为开启。
  • xferlog_file=/var/log/vsftpd.log #设置日志文件名和路径,默认值为/var/log/vsftpd.log。
  • xferlog_std_format=YES/NO(NO) #如果启用,则日志文件将会写成xferlog的标准格式,如同wu-ftpd 一般。默认值为关闭。
  • log_ftp_protocol=YES|NO(NO) #如果启用此选项,所有的FTP请求和响应都会被记录到日志中,默认日志文件在/var/log/vsftpd.log。启用此选项时,xferlog_std_format不能被激活。这个选项有助于调试。默认值为NO。
  • user_config_dir=/etc/vsftpd/userconf #设置用户配置文件所在的目录。当设置了该配置项后,用户登陆服务器后,系统就会到/etc/vsftpd/userconf目录下,读取与当前用户名相同的文件,并根据文件中的配置命令,对当前用户进行更进一步的配置。
  • 例如:定义user_config_dir=/etc/vsftpd/userconf,且主机上有使用 者 test1,test2,那么我们就在user_config_dir 的目录新增文件名为test1和test2两个文件。若是test1 登入,则会读取user_config_dir 下的test1 这个档案内的设定。默认值为无。利用用户配置文件,可以实现对不同用户进行访问速度的控制,在各用户配置文件中定义local_max_rate=XX, 即可。
  • listen_port=21 #设置FTP服务器建立连接所监听的端口,默认值为21。
  • connect_from_port_20=YES/NO  #指定FTP使用20端口进行数据传输,默认值为YES。
  • ftp_data_port=20 #设置在PORT方式下,FTP数据连接使用的端口,默认值为20。
  • pasv_enable=YES/NO(YES) #若设置为YES,则使用PASV工作模式;若设置为NO,则使用PORT模式。默认值为YES,即使用PASV工作模式。
  • pasv_max_port=0 #在PASV工作模式下,数据连接可以使用的端口范围的最大端口,0 表示任意端口。默认值为0。
  • pasv_min_port=0 #在PASV工作模式下,数据连接可以使用的端口范围的最小端口,0 表示任意端口。默认值为0。
  • listen=YES/NO(YES)#设置vsftpd服务器是否以standalone模式运行。以standalone模式运行是一种较好 的方式,此时listen必须设置为YES,此为默认值。建议不要更改,有很多与服务器运行相关的配置命令,需要在此模式下才有效。若设置为NO,则 vsftpd不是以独立的服务运行,要受到xinetd服务的管控,功能上会受到限制。
  • max_clients=0 #设置vsftpd允许的最大连接数,默认值为0,表示不受限制。若设置为100时,则同时允许有100个连接,超出的将被拒绝。只有在standalone模式运行才有效。
  • max_per_ip=0 #设置每个IP允许与FTP服务器同时建立连接的数目。默认值为0,表示不受限制。只有在standalone模式运行才有效。
  • listen_address=IP地址 #设置FTP服务器在指定的IP地址上侦听用户的FTP请求。若不设置,则对服务器绑定的所有IP地址进行侦听。只有在standalone模式运行才有效。
  • setproctitle_enable=YES/NO(NO)#设置每个与FTP服务器的连接,是否以不同的进程表现出来。默认值为NO,此时使用ps aux |grep ftp只会有一个vsftpd的进程。若设置为YES,则每个连接都会有一个vsftpd的进程。
  • pam_service_name=vsftpd #设置PAM使用的名称,默认值为/etc/pam.d/vsftpd。
  • guest_enable= YES/NO(NO) #启用虚拟用户。默认值为NO。
  • guest_username=ftp #这里用来映射虚拟用户。默认值为ftp。
  • virtual_use_local_privs=YES/NO(NO)#当该参数激活(YES)时,虚拟用户使用与本地用户相同的权限。当此参数关闭(NO)时,虚拟用户使用与匿名用户相同的权限。默认情况下此参数是关闭的(NO)。
  • text_userdb_names= YES/NO(NO)#设置在执行ls –la之类的命令时,是显示UID、GID还是显示出具体的用户名和组名。默认值为NO,即以UID和GID方式显示。若希望显示用户名和组名,则设置为YES。
  • ls_recurse_enable=YES/NO(NO)#若是启用此功能,则允许登入者使用ls –R(可以查看当前目录下子目录中的文件)这个指令。默认值为NO。
  • hide_ids=YES/NO(NO)#如果启用此功能,所有档案的拥有者与群组都为ftp,也就是使用者登入使用ls -al之类的指令,所看到的档案拥有者跟群组均为ftp。默认值为关闭。
  • download_enable=YES/NO(YES)#如果设置为NO,所有的文件都不能下载到本地,文件夹不受影响。默认值为YES。

  • 编辑 /etc/vsftpd/vsftpd.conf
  • 红色字体部分为必须选项
  • write_enable=YES                      #允许登陆用户有写权限         
    xferlog_enable=YES                   #启用上传/下载日志记录
    connect_from_port_20=YES      #指定FTP使用20端口进行数据传输  
    xferlog_file=/var/log/xferlog        
    xferlog_std_format=YES            #日志文件写成xferlog的标准格式
    idle_session_timeout=600          #设置自动断开连接时间为600秒
    data_connection_timeout=120    #设置建立FTP数据连接的超时时间120秒
    chroot_local_user=YES               #允许切换到上级目录
    ls_recurse_enable=YES
    listen=yes                                     #设置vsftpd服务器以standalone模式运行
    allow_writeable_chroot=YES       #锁定访问目录为用户目录  
    userlist_enable=YES                    #启用vsftpd.user_list文件
    tcp_wrappers=YES
    local_enable=YES                        #允许本地用户登入
    anonymous_enable=YES            #启用匿名用户登录
    guest_enable=YES                      #启用虚拟用户 
    guest_username=vuser               #映射虚拟用户为 vuser (可以自行设定用户)
    pam_service_name=vsftpd.mysql      #设置PAM使用的名称,默认值为/etc/pam.d/vsftpd,可以自行设定
    user_config_dir=/etc/vsftpd/conf.d     #设置虚拟用户配置文件所在的目录

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第3张图片

  • 确认无误重启 VSftpd 服务
  •  
  • mkdir -p /var/ftproot/ftp{1,2,3}/{upload,pub}     创建3个虚拟用户 FTP 家目录,不允许目录有写入权限
  • chmod -R 555 /var/ftproot     设置目录为只读,不允许写入
  • useradd -s /sbin/nologin  -d /var/ftproot vuser    创建虚拟映射用户 vuser ,家目录为 /var/ftproot/ ,不允许登录系统
  • setfacl -R -m u:vuser:rwx /var/ftproot/ftp{1,2,3}/{upload,pub}    使用访问控制列表增加映射用户有写入权限

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第4张图片

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第5张图片

  • 创建 /etc/vsftpd/conf.d 目录
  • 分别创建虚拟用户配置文件 /etc/vsftpd/conf.d/ftp1  /etc/vsftpd/conf.d/ftp2  /etc/vsftpd/conf.d/ftp3
  • vim /etc/vsftpd/conf.d/ftp1
  • local_root=/var/ftproot/ftp1/                #锁定登录目录
    anon_upload_enable=YES                 #开启文件上传功能
    anon_mkdir_write_enable=YES         #允许匿名登入者有新增目录的权限
    anon_other_write_enable=YES         #允许匿名登入者更多于上传或者建立目录之外的权限,譬如删除或者重命名
    anon_umask=022        #设置匿名登入者新增或上传档案时的umask 值。值为022,则新建档案的对应权限为755
  • vim /etc/vsftpd/conf.d/ftp2
    anon_upload_enable=YES                #仅允许用户有上传文件的功能
    local_root=/var/ftproot/ftp2/
    anon_umask=022
  • vim /etc/vsftpd/conf.d/ftp3 
    local_root=/var/ftproot/                     #仅允许登录

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第6张图片

  • 安装支持mysql的pam模块  pam_mysql

  • 官网下载地址 https://sourceforge.net/projects/pam-mysql/files/latest/download

  • 安装依赖库
  • yum -y install mariadb-devel pam-devel
  • yum -y groupinstall Development\ Tools
  • wget https://jaist.dl.sourceforge.net/project/pam-mysql/pam-mysql/0.7RC1/pam_mysql-0.7RC1.tar.gz
  • tar xf pam_mysql-0.7RC1.tar.gz
  • cd pam_mysql-0.7RC1/
  • sudo ./configure --with-pam-mods-dir=/lib64/security --with-pam=/usr
  • sudo make && sudo make instal
  • 生成的模块文件路径及文件名
  • -rwxr-xr-x 1 root root     /lib64/security/pam_mysql.la
    -rwxr-xr-x 1 root root     /lib64/security/pam_mysql.so

  • 建立pam认证所需文件  vsftpd.mysql 
  • vim /etc/pam.d/vsftpd.mysql

  • 添加下面2条内容

auth required pam_mysql.so user=ftp passwd=password host=192.168.10.6 db=vsftpd table=ftpusers usercolumn=name passwdcolumn=password  crypt=2

account required pam_mysql.so user=ftp passwd=password host=192.168.10.6 db=vsftpd table=ftpusers usercolumn=name passwdcolumn=password  crypt=2


  • 接下来在 192.168.10.6 上创建需要的数据库、表、用户
  • 需要安装、配置好 MariaDB 详细操作请参考拙作:https://blog.csdn.net/gaofei0428/article/details/103829676
  • 创建需要的数据库、表、用户,然后在表中插入数据

  • mysql -uroot -p123456 -e "create database vsftpd;"
    mysql -uroot -p123456 -e "create table vsftpd.ftpusers(name char(20),password char(50));"
    mysql -uroot -p123456 -e "grant select on vsftpd.ftpusers to ftp@'%' identified by 'password';"
    mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp1',password('ftp1password'));"
    mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp2',password('ftp2password'));"
    mysql -uroot -p123456 -e "insert vsftpd.ftpusers value ('ftp3',password('ftp3password'));"

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第7张图片

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第8张图片


  • 回到 192.168.10.2 上重新启动 VSFTP

  • 使用虚拟用户登陆测试

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第9张图片

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第10张图片

Linux VSFTP 实现基于MariaDB 验证的虚拟用户访问_第11张图片

 

你可能感兴趣的:(学习笔记)