CentOS 搭建 Vsftpd 服務，一次性成功，收藏了！

文件傳輸協(xié)議

• FTP

文件傳輸協(xié)議(FTP)是一種基于TCP協(xié)議在客C/S架構(gòu)的協(xié)議，占用20和21端口

• TFTP

簡單文件傳輸協(xié)議(TFTP)是一種基于UDP協(xié)議在客C/S架構(gòu)的協(xié)議，占用69端口 TFTP的命令功能不如FTP服務強大，甚至不能遍歷目錄，在安全性方面也弱于FTP服務 因為TFTP不需要客戶端的權(quán)限認證，也就減少了無謂的系統(tǒng)和網(wǎng)絡帶寬消耗，效率更高。

FTP 協(xié)議概述

一般來講，人們將計算機聯(lián)網(wǎng)的首要目的就是獲取資料，而文件傳輸是一種非常重要的獲取資料的方式。今天的互聯(lián)網(wǎng)是由幾千萬臺個人計算機、工作站、服務器、小型機、大型機、巨型機等具有不同型號、不同架構(gòu)的物理設(shè)備共同組成的，而且即便是個人計算機，也可能會裝有Windows、Linux、UNIX、Mac等不同的操作系統(tǒng)。為了能夠在如此復雜多樣的設(shè)備之間解決問題解決文件傳輸問題，文件傳輸協(xié)議（FTP）應運而生。

FTP是一種在互聯(lián)網(wǎng)中進行文件傳輸?shù)膮f(xié)議，基于客戶端/服務器（C/S）模式，默認使用20、21號端口，其中端口20（數(shù)據(jù)端口）用于進行數(shù)據(jù)傳輸，端口21（命令端口）用于接受客戶端發(fā)出的相關(guān)FTP命令與參數(shù)。FTP服務器普遍部署于內(nèi)網(wǎng)中，具有容易搭建、方便管理的特點。而且有些FTP客戶端工具還可以支持文件的多點下載以及斷點續(xù)傳技術(shù)，因此FTP服務得到了廣大用戶的青睞。

• 命令連接
• 傳輸TCP的文件管理類命令給服務端
• 直到用戶退出才關(guān)閉連接，否則一直連接
• 數(shù)據(jù)連接
• 數(shù)據(jù)傳輸，按需創(chuàng)建及關(guān)閉的連接
• 數(shù)據(jù)傳輸可以為文本或二進制格式傳輸

FTP 工作模式

FTP服務器是按照FTP協(xié)議在互聯(lián)網(wǎng)上提供文件存儲和訪問服務的主機，F(xiàn)TP客戶端則是向服務器發(fā)送連接請求，以建立數(shù)據(jù)傳輸鏈路的主機。FTP協(xié)議有下面兩種工作模式。

• 主動模式：FTP服務器主動向客戶端發(fā)起連接請求
• 命令連接：Client:50000 --> Server:21
• 數(shù)據(jù)連接：Server:20/tcp --> Client:50000+1
• 模式缺點：客戶端有防火墻，一般會禁止服務的主動連接

• 被動模式：FTP服務器等待客戶端發(fā)起連接請求(FTP的默認工作模式)
• 命令連接：Client:50000 --> Server:21
• 數(shù)據(jù)連接：Client:50000+1 --> Server:隨機端口 ==> 通過命令連接得知這個隨機端口
• 模式缺點：服務器端需要修改防火墻規(guī)則并開放21和這個隨機端口

防火墻一般是用于過濾從外網(wǎng)進入內(nèi)網(wǎng)的流量，因此有些時候需要將FTP的工作模式設(shè)置為主動模式，才可以傳輸數(shù)據(jù)。但是因為客戶端主機一般都設(shè)有防火墻，會禁止服務器的連接請求，所有適當?shù)膇ptables規(guī)則變得越來越重要了。

FTP 服務程序

由于FTP是一種基于（C/S）客戶端/服務器模式的協(xié)議，所有有很多的程序能夠提供FTP服務的功能。

服務端程序

• wu-ftpd
• 一個Internet上最流行的FTP守護程序，功能十分強大，可以構(gòu)建多種類型FTP服務器。
• proftpd
• 一個Unix平臺上或是類Unix平臺上的FTP服務器開源程序，任何人只要遵守GPL版權(quán)聲明都可以隨意修改源碼。proftpd亦開發(fā)了有圖形用戶界面的FTP服務端軟體稱為gProFTPd，可以提供圖形界面的操作。針對Wu-FTP的弱項而開發(fā)的，除了改進的安全性，還具備許多Wu-FTP沒有的特點，能以Stand-alone、xinetd模式運行等。
• pureftp
• pureftp是免費和安全的FTP服務器，它注重效率和易用性。
• vsftpd
• vsftpd是very secure FTP daemon的縮寫，安全性是它的一個最大的特點，可以運行在多種平臺之上提供安全的FTP服務。在CentOS等系統(tǒng)以及多個互聯(lián)網(wǎng)廠商都在使用的FTP服務程序，你值得擁有。
• ServU
• Serv-U是一種被廣泛運用在Windows平臺的的FTP服務器軟件，可以設(shè)定多個FTP服務器、限定登錄用戶的權(quán)限、登錄主目錄及空間大小等優(yōu)點。

客戶端程序

• 命令行
• ftp
• lftp, lftpget
• wget, curl
• 因為FTP協(xié)議是通過TCP明文傳送的，所有為了安全可以使用ftps(SSL), sftp(SSH)工具
• 圖形化
• _ filezilla
• _ gftp
• _ gProFTPd
• _ flashfxp * cuteftp

FTP服務的響應碼

1xx: 信息
2xx: 成功類的狀態(tài)碼
3xx: 提示需進一步提供補充類信息的狀態(tài)碼
4xx: 客戶端錯誤
5xx: 服務端錯誤

vsftpd 服務程序

vsftpd(非常安全的FTP守護進程)是一款運行在Linux操作系統(tǒng)上的 FTP 服務程序，不僅完全開源而且免費，此外，還具有很高的安全性、傳輸速度，以及支持虛擬用戶驗證等其他FTP服務程序具備的特點。

安裝服務端程序

[root@localhost ~]# yum install vsftpd
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分輸出信息………………
================================================================================
Installing:
vsftpd x86_64 3.0.2-9.el7 rhel 166 k
Transaction Summary
================================================================================
Install 1 Package
vsftpd.x86_64 0:3.0.2-9.el7
Complete!

[root@linuxprobe ~]# yum install ftp
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分輸出信息………………
Install 1 Package
ftp.x86_64 0:0.17-66.el7
Complete!

關(guān)閉本機防火墻

# iptables防火墻管理工具默認禁止了FTP傳輸協(xié)議的端口號
[root@localhost ~]# iptables -F

配置 FTP 服務

# 程序的主配置文件為/etc/vsftpd/vsftpd.conf
[root@localhost ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

配置文件

CentOS6 中的配置文件位置，在 CentOS7 中有可能不同。

主配置文件：/etc/vsftpd/vsftpd.conf
配置文件目錄：/etc/vsftpd/*.conf
服務啟動腳本：/etc/rc.d/init.d/vsftpd
用戶認證配置文件：/etc/pam.d/vsftpd

共享目錄

匿名用戶(映射為ftp用戶)共享資源位置：/var/ftp
系統(tǒng)用戶通過ftp訪問的資源的位置：用戶自己的家目錄
虛擬用戶通過ftp訪問的資源的位置：給虛擬用戶指定的映射成為的系統(tǒng)用戶的家目錄

配置參數(shù)

常用配置參數(shù)都為主配置文件，/etc/vsftpd/vsftpd.conf 的常用配置。

通用基礎(chǔ)配置

listen=[YES|NO]         #是否以獨立運行的方式監(jiān)聽服務
listen_address=IP地址   #設(shè)置要監(jiān)聽的 IP 地址
listen_port=21        #設(shè)置 FTP 服務的監(jiān)聽端口
download_enable＝[YES|NO] #是否允許下載文件
max_clients=0   #最大客戶端連接數(shù)，0 為不限制
max_per_ip=0   #同一 IP 地址的最大連接數(shù)，0 為不限制
chown_uploads=[YES|NO] #是否允許改變上傳文件的屬主
chown_username=whoever #改變上傳文件的屬主為 whoever
pam_service_name=vsftpd #讓 vsftpd 使用 pam 完成用戶認證，使用的文件為/etc/pam.d/vsftpd

匿名用戶的配置

anonymous_enable=[YES|NO]      #是否允許匿名用戶訪問
anon_upload_enable=[YES|NO]    #是否允許匿名用戶上傳文件
anon_mkdir_write_enable=[YES|NO] #是否允許匿名用戶創(chuàng)建目錄
anon_other_write_enable=[YES|NO] #是否開放匿名用戶的其他寫入權(quán)限（包括重命名、刪除等操作權(quán)限）
anon_umask=022       #匿名用戶上傳文件的 umask 值
anon_root=/var/ftp   #匿名用戶的 FTP 根目錄
anon_max_rate=0       #匿名用戶的最大傳輸速率（字節(jié)/秒），0 為不限制

系統(tǒng)用戶的配置

anonymous_enable=NO    #禁止匿名訪問模式
local_enable=[YES|NO]  #是否允許本地用戶登錄 FTP
write_enable=[YES|NO]  #是否開放本地用戶的其他寫入權(quán)限
local_umask=022        #本地用戶上傳文件的 umask 值
local_root=/var/ftp    #本地用戶的 FTP 根目錄
local_max_rate=0      #本地用戶最大傳輸速率（字節(jié)/秒），0 為不限制
userlist_enable=[YES|NO] #開啟用戶作用名單文件功能
userlist_deny=[YES|NO]   #啟用禁止用戶名單，名單文件為 ftpusers 和/etc/vsftpd/user_list
chroot_local_user=[YES|NO] #是否將用戶權(quán)限禁錮在 FTP 家目錄中，以確保安全
chroot_list_enable=[YES|NO] #禁錮文件中指定的 FTP 本地用戶于其家目錄中
chroot_list_file=/etc/vsftpd/chroot_list #指定禁錮文件位置，需要和 chroot_list_enable 一同開啟

日志功能

xferlog_enable=[YES|NO]    #是否開啟 FTP 日志功能
xferlog_std_format=[YES|NO]    #是否以標準格式保持日志
xferlog_file=/var/log/xferlog  #指定保存日志的文件名稱，需要一同開啟

vsftpd 認證模式

vsftpd 作為更加安全的文件傳輸?shù)姆粘绦?，允許用戶以三種認證模式登錄到 FTP 服務器上。

• 匿名開放模式
• 匿名開放模式是一種最不安全的認證模式，任何人都可以無需密碼驗證而直接登錄到FTP服務器。這種模式一般用來訪問不重要的公開文件，在生產(chǎn)環(huán)境中盡量不要存放重要文件，不建議在生產(chǎn)環(huán)境中如此行事。
• 本地用戶模式
• 本地用戶模式是通過Linux系統(tǒng)本地的賬戶密碼信息進行認證的模式，相較于匿名開放模式更安全，而且配置起來相對簡單。但是如果被黑客破解了賬戶的信息，就可以暢通無阻地登錄FTP服務器，從而完全控制整臺服務器。
• 虛擬用戶模式
• 虛擬用戶模式是這三種模式中最安全的一種認證模式，它需要為FTP服務單獨建立用戶數(shù)據(jù)庫文件，虛擬出用來進行口令驗證的賬戶信息，而這些賬戶信息在服務器系統(tǒng)中實際上是不存在的，僅供FTP服務程序進行認證使用。這樣，即使黑客破解了賬戶信息也無法登錄服務器，從而有效降低了破壞范圍和影響。

匿名訪問模式

vsftpd 服務程序默認開啟了匿名開放模式，我們需要做的就是開放匿名用戶的上傳、下載文件的權(quán)限，以及讓匿名用戶創(chuàng)建、刪除、更名文件的權(quán)限。

# 匿名訪問模式主配置文件
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

# 重啟服務
[root@localhost ~]# systemctl restart vsftpd

# 服務程序加入到開機啟動項中，以保證服務器在重啟后依然能夠正常提供傳輸服務
[root@localhost ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service

# 在vsftpd服務程序的匿名開放認證模式下，其賬戶統(tǒng)一為anonymous，密碼為空
# 連接到FTP服務器后，默認訪問的是/var/ftp目錄，我們可以在其中進行創(chuàng)建、刪除等操作
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:此處敲擊回車即可
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir files
550 Permission denied.

# 系統(tǒng)顯示拒絕創(chuàng)建目錄，這是為什么呢？
# 查看該目錄的權(quán)限得知，只有root管理員才有寫入權(quán)限，開放ftp用戶權(quán)限(該賬戶在系統(tǒng)中已經(jīng)存在)
[root@localhost ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub

[root@localhost ~]# chown -Rf ftp /var/ftp/pub
[root@localhost ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub

[root@localhost ~]# ftp 192.168.10.10
………………省略部分輸出信息………………
ftp> mkdir files
550 Create directory operation failed.

# 我們發(fā)現(xiàn)還是無法創(chuàng)建目錄，發(fā)現(xiàn)是SELinux服務在搗亂了
# 使用getsebool命令查看與FTP相關(guān)的SELinux域策略都有哪些
[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
tftp_anon_write --> off
tftp_home_dir --> off

# 根據(jù)經(jīng)驗和策略的名稱判斷出是ftpd_full_access--> off策略規(guī)則導致了操作失敗
[root@localhost ~]# setsebool -P ftpd_full_access=on

# 此時，匿名用戶就可以正常使用FTP服務了
[root@linuxprobe ~]# ftp 192.168.10.10
………………省略部分輸出信息………………
ftp> mkdir files
257 "/pub/files" created
ftp> rename files database
350 Ready for RNTO.
250 Rename successful.
ftp> exit
221 Goodbye.

本地用戶模式

如果大家之前用的是匿名開放模式，現(xiàn)在就可以將它關(guān)了，然后開啟本地用戶模式。

# 本地用戶模式主配置文件
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO

local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
connect_from_port_20=YES
listen=NO
listen_ipv6=YES

pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
xferlog_enable=YES
xferlog_std_format=YES

# 同樣需要重啟服務和開機自啟動
[root@localhost ~]# systemctl restart vsftpd

# 服務程序加入到開機啟動項中，以保證服務器在重啟后依然能夠正常提供傳輸服務
[root@localhost ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service

# 現(xiàn)在已經(jīng)完全可以本地用戶的身份登錄FTP服務器了，但是使用root無法登陸
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): root
530 Permission denied.
Login failed.
ftp>

# 這是因為，為了系統(tǒng)的安全，默認禁止root等用戶登錄FTP服務被系統(tǒng)拒絕訪問
# 因為vsftpd服務程序所在的目錄中，默認存放著兩個名為用戶名單的文件，ftpusers和user_list
# 在ftpusers和user_list兩個用戶文件中將root用戶刪除就可以登錄了
[root@localhost ~]# cat /etc/vsftpd/user_list
root
bin
daemon

[root@localhost ~]# cat /etc/vsftpd/ftpusers
root
bin
daemon

# 在采用本地用戶模式登錄FTP服務器后，默認訪問的是該用戶的家目錄，因此不存在寫入權(quán)限不足的情況
# 如果不關(guān)閉SELinux，則需要再次開啟SELinux域中對FTP服務的允許策略
[root@localhost ~]# setsebool -P ftpd_full_access=on

# 即可以使用系統(tǒng)用戶進行FTP服務的登錄了
[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): escape
331 Please specify the password.
Password:此處輸入該用戶的密碼
230 Login successful.
Remote system type is UNIX.

虛擬用戶模式(文本文件)

認證模式：vsftpd + pam + file

• 第一步：創(chuàng)建用于進行 FTP 認證的用戶數(shù)據(jù)庫文件
• 這里使用文本文件進行用戶認證
• 數(shù)據(jù)庫文件中奇數(shù)行為賬戶名，偶數(shù)行為密碼

# 編輯虛擬用戶文件
[root@localhost ~]# cd /etc/vsftpd/
[root@localhost vsftpd]# vim vuser.list
zhangsan
redhat
lisi
redhat

# 明文信息既不安全，也不符合讓vsftpd服務程序直接加載的格式
# 因此需要使用db_load命令用哈希算法將原始的明文信息文件轉(zhuǎn)換成數(shù)據(jù)庫文件
# 降低數(shù)據(jù)庫文件的權(quán)限，然后再把原始的明文信息文件刪除
[root@localhost vsftpd]# db_load -T -t hash -f vuser.list vuser.db
[root@localhost vsftpd]# file vuser.db
vuser.db: Berkeley DB (Hash, version 9, native byte-order)

[root@localhost vsftpd]# chmod 600 vuser.db
[root@localhost vsftpd]# rm -f vuser.list

• 第二步：創(chuàng)建 vsftpd 服務程序用于存儲文件的根目錄以及虛擬用戶映射的系統(tǒng)本地用戶
• FTP服務用于存儲文件的根目錄指的是，當虛擬用戶登錄后所訪問的默認位置
• 可以把這個系統(tǒng)本地用戶的家目錄設(shè)置為/var目錄并設(shè)置不允許登錄FTP服務器

[root@localhost ~]# useradd -d /var/ftproot -s /sbin/nologin virtual

[root@localhost ~]# ls -ld /var/ftproot/
drwx------. 3 virtual virtual 74 Jul 14 17:50 /var/ftproot/

[root@localhost ~]# chmod -Rf 755 /var/ftproot/

• 第三步：建立支持虛擬用戶的 PAM 認證文件
• PAM是一種認證機制，通過一些動態(tài)鏈接庫和統(tǒng)一的API把系統(tǒng)提供的服務與認證方式分開
• PAM是可插拔認證模塊，使得系統(tǒng)管理員可以根據(jù)需求靈活調(diào)整服務程序的不同認證方式

# 新建一個用于虛擬用戶認證的PAM文件vsftpd.vu
# PAM文件內(nèi)的db=參數(shù)為使用db_load命令生成的賬戶密碼數(shù)據(jù)庫文件的路徑，但不用寫數(shù)據(jù)庫文件的后綴

[root@localhost ~]# vim /etc/pam.d/vsftpd.vu
auth       required     pam_userdb.so    db=/etc/vsftpd/vuser
account    required     pam_userdb.so    db=/etc/vsftpd/vuser

• 第四步：在 vsftpd.conf 文件中添加支持配置
• 在vsftpd服務程序的主配置文件中默認就帶有參數(shù)pam_service_name=vsftpd
• 表示登錄FTP服務器時是根據(jù)/etc/pam.d/vsftpd文件進行安全認證的

# 我們要做的就是把vsftpd主配置文件中原有的PAM認證文件vsftpd修改為新建的vsftpd.vu文件即可
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
pam_service_name=vsftpd.vu
user_config_dir=/etc/vsftpd/vusers_dir

local_enable=YES
guest_enable=YES
guest_username=virtual
allow_writeable_chroot=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
userlist_enable=YES
tcp_wrappers=YES

• 第五步：為虛擬用戶設(shè)置不同的權(quán)限
• 只需新建一個目錄，在里面分別創(chuàng)建兩個以zhangsan和lisi命名的文件
• 在每個文件中，對用戶分別進行配置，達到管理不用用戶權(quán)限的效果

[root@localhost ~]# mkdir /etc/vsftpd/vusers_dir/
[root@localhost ~]# cd /etc/vsftpd/vusers_dir/

[root@localhost vusers_dir]# touch lisi

[root@localhost vusers_dir]# vim zhangsan
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES

• 第六步：設(shè)置 SELinux 域允許策略

# 先按照前面實驗中的步驟開啟SELinux域的允許策略，以免再次出現(xiàn)操作失敗的情況
[root@localhost ~]# setsebool -P ftpd_full_access=on

[root@localhost ~]# getsebool -a | grep ftp
ftp_home_dir –> off
ftpd_anon_write –> off
ftpd_connect_all_unreserved –> off
ftpd_connect_db –> off
ftpd_full_access –> off
ftpd_use_cifs –> off
ftpd_use_fusefs –> off
ftpd_use_nfs –> off
ftpd_use_passive_mode –> off
httpd_can_connect_ftp –> off
httpd_enable_ftp_server –> off
sftpd_anon_write –> off
sftpd_enable_homedirs –> off
sftpd_full_access –> on
sftpd_write_ssh_home –> off
tftp_anon_write –> off
tftp_home_dir –> off

• 第七步：使用虛擬 FTP 用戶訪問測試

[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): lisi
331 Please specify the password.
Password:此處輸入虛擬用戶的密碼
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir files
550 Permission denied.
ftp> exit
221 Goodbye.

[root@localhost ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): zhangsan
331 Please specify the password.
Password:此處輸入虛擬用戶的密碼
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> mkdir files
257 "/files" created
ftp> rename files database
350 Ready for RNTO.
250 Rename successful.
ftp> rmdir database
250 Remove directory operation successful.
ftp> exit
221 Goodbye.

虛擬用戶模式(MySQL 數(shù)據(jù)庫)

認證模式：vsftpd + pam + mysql

• 第一步：安裝所需要程序

# 安裝mysql和pam_mysql，pam_mysql由epel源提供
$ yum -y install vsftpd mysql-server mysql-devel pam_mysql

• 第二步：創(chuàng)建虛擬用戶賬號

# 1、準備數(shù)據(jù)庫及相關(guān)表

首先請確保mysql服務已經(jīng)正常啟動。而后，按需要建立存儲虛擬用戶的數(shù)據(jù)庫即可，這里將其創(chuàng)建為vsftpd數(shù)據(jù)庫

mysql> create database vsftpd;

授權(quán)vsftpd用戶可以通過localhost主機操作select權(quán)限vsftpd庫的所有表，密碼為www.escapelife.com
mysql> grant select on vsftpd.* to vsftpd@localhost identified by 'www.escapelife.com';
mysql> grant select on vsftpd.* to [email protected] identified by 'www.escapelife.com';
mysql> flush privileges;

（這里是本機安裝所有授權(quán)l(xiāng)ocalhost主機，如果不同需要使用不同的主機地址）
（mysql> grant select on vsftpd.* to vsftpd@'192.168.31.%' identified by 'www.escapelife.com';）
（mysql> flush privileges;）

創(chuàng)建相關(guān)表
mysql> use vsftpd;
mysql> create table users (
    -> id INT UNSIGNED AUTO_INCREMENT NOT NULL,
    -> name VARCHAR(50) BINARY NOT NULL,
    -> password char(48) BINARY NOT NULL,
    -> PRIMARY KEY(id)
    -> );

# 2、添加測試的虛擬用戶

根據(jù)需要添加所需要的用戶，需要說明的是，這里將其密碼為了安全起見應該使用PASSWORD函數(shù)加密后存儲
mysql> INSERT INTO users(name, password) VALUES('tom', password('escapelife'));
mysql> INSERT INTO users(name, password) VALUES('bob', password('escapelife'));
SELETC * FROM user;

• 第三步：配置 vsftpd

# 1.建立pam認證所需文件

$ vi /etc/pam.d/vsftpd.mysql
#添加如下兩行，主要32位和64位庫文件的不同位置，模塊路徑可不寫表示pam模塊路徑
指定用戶、密碼、主機、數(shù)據(jù)庫、表、用戶名字段、密碼字段、密碼的加密方式
密碼的加密方式可以通過安裝的pam_mysql的文檔查看，/usr/share/doc/pam_mysql-0.7/README   rpm -ql pam_mysql
auth required /lib64/security/pam_mysql.so user=vsftpd passwd=www.escapelife.com host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /lib64/security/pam_mysql.so user=vsftpd passwd=www.escapelife.com host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

（auth required /lib64/security/pam_mysql.so user=vsftp passwd=www.escapelife.com host=192.168.31.71 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2）
（account required /lib64/security/pam_mysql.so user=vsftp passwd=www.escapelife.com host=192.168.31.71 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2）

注意：由于mysql的安裝方式不同，pam_mysql.so基于unix sock連接mysql服務器時可能會出問題，此時，建議授權(quán)一個可遠程連接的mysql并訪問vsftpd數(shù)據(jù)庫的用戶。

# 2.修改vsftpd的配置文件，使其適應mysql認證

建立虛擬用戶映射的系統(tǒng)用戶及對應的目錄
$ useradd -s /sbin/nologin -d /var/ftproot vuser
$ chmod go+rx /var/ftproot

請確保/etc/vsftpd.conf中已經(jīng)啟用了以下選項
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES

而后添加以下選項
guest_enable=YES
guest_username=vuser

并確保pam_service_name選項的值如下所示
pam_service_name=vsftpd.mysql

• 第四步：啟動 vsftpd 服務

# 啟動vsftpd服務
$ service vsftpd start
$ chkconfig vsftpd on

# 查看端口開啟情況
$ netstat -tnlp | grep :21
tcp      0      0 0.0.0.0:21      0.0.0.0:*      LISTEN      23286/vsftpd

# 使用虛擬用戶登錄，驗正配置結(jié)果
$ ftp localhost

• 第五步：配置虛擬用戶具有不同的訪問權(quán)限

# vsftpd可以在配置文件目錄中為每個用戶提供單獨的配置文件以定義其ftp服務訪問權(quán)限，每個虛擬用戶的配置文件名同虛擬用戶的用戶名。配置文件目錄可以是任意未使用目錄，只需要在vsftpd.conf指定其路徑及名稱即可。

# 1、配置vsftpd為虛擬用戶使用配置文件目錄
$ vim vsftpd.conf
user_config_dir=/etc/vsftpd/vusers_config

# 2、創(chuàng)建所需要目錄，并為虛擬用戶提供配置文件
$ mkdir /etc/vsftpd/vusers_config/
$ cd /etc/vsftpd/vusers_config/
$ touch tom bob

# 3、配置虛擬用戶的訪問權(quán)限
# 虛擬用戶對vsftpd服務的訪問權(quán)限是通過匿名用戶的相關(guān)指令進行的
# 如果需要讓tom用戶具有上傳文件的權(quán)限，可以修改/etc/vsftpd/vusers_config/tom文件
anon_upload_enable={YES|NO}
anon_mkdir_write_enable={YES|NO}
anon_other_write_enable={YES|NO}

作者: Escape  鏈接:https://www.escapelife.site/posts/8dc56d36.html 

版權(quán)聲明: 本博客所有文章除特別聲明外，均采用 CC BY 4.0 許可協(xié)議。