VSFTPD是一种在UNIX/Linux中非常安全且快速的FTP服务器,目前已经被许多大型站点所采用。VSFTPD支持将用户名和口令保存在数据库文件或数据库服务器中。VSFTPD称这种形式的用户为虚拟用户。相对于FTP的本地(系统)用户来说,虚拟用户只是FTP服务器的专有用户,虚拟用户只能访问FTP服务器所提供的资源,这大大增强系统本身的安全性。相对于匿名用户而言,虚拟用户需要用户名和密码才能获取FTP服务器中的文件,增加了对用户和下载的可管理性。对于需要提供下载服务,但又不希望所有人都可以匿名下载;既需要对下载用户进行管理,又考虑到主机安全和管理方便的FTP站点来说,虚拟用户是一种极好的解决方案。

1、编译安装pam_mysql

注意:安装这些软件包之前不要忘记安装开发环境

yum -y groupinstall "Development Tools"

yum -y groupinstall "Development Libraries"

mysql安装请参考本文LAMP最新编译安装

tar xf pam_mysql-0.7RC1.tar.gz

cd pam_mysql-0.7RC1

./configure --with-mysql=/usr/local/mysql

make && make install

cp /usr/lib/security/pam_mysql.so /lib/security/

2、编译安装vsftpd

tar xf vsftpd-2.3.5.tar.gz

cd vsftpd-2.3.5

less INSTALL /建议查看这个安装文档,里面有详细说明安装vsftpd步骤/

make && make install

复制vsftpd的主配置文件

mkdir -pv /etc/vsftpd

cp vsftpd.conf /etc/vsftpd/

编辑配置文件/etc/vsftpd/vsftpd.conf

添加:listen=YES

启动vsftpd服务器

/usr/local/sbin/vsftpd &

-----------------------------------------------------------------------------------------

二、服务配置

1、配置mysql,创建数据库表用户等操作

创建数据库为vsftpd

mysql> create database vsftpd;

Query OK, 1 row affected (0.10 sec)

创建表为users

mysql> use vsftpd;

Database changed

mysql> create table users (

   -> id INT NOT NULL AUTO_INCREMENT PRIMARY KEY,

   -> name CHAR(15) NOT NULL UNIQUE KEY,

   -> password CHAR(48) NOT NULL );

Query OK, 0 rows affected (0.22 sec)

添加两个用户,采用加密模式

mysql> insert into users (name,password) values ('test',password('123456'));

Query OK, 1 row affected (0.06 sec)

mysql> insert into users (name,password) values ('test1',password('123456'));

Query OK, 1 row affected (0.01 sec)

为用户vsftpd授权

mysql> grant select on vsftpd.* to vsftpd@localhost identified by '123456';

Query OK, 0 rows affected (0.08 sec)

mysql> grant select on vsftpd.* to vsftpd@127.0.0.1  identified by '123456';

Query OK, 0 rows affected (0.01 sec)

最后刷新一下表

mysql> flush privileges;            

Query OK, 0 rows affected (0.05 sec)

2、建立认证文件

cd /etc/pam.d

touch vsftpd.mysqluser

vim vsftpd.mysqluser 添加以下内容

auth required pam_mysql.so user=vsftpd passwd=123456 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

account required pam_mysql.so user=vsftpd passwd=123456 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

保存退出

说明:

auth 对用户所提供的认证信息进行验证,比如检查用户账号及密码

account 执行基于非验证的账号管理。它主要用来允许或者限制用户对某个服务的访问时间,当前有效的系统资源最多可以有多少个用户,限制用户的位置等

crypt=2: 使用MYSQL中的password()函数加密

3、建立虚拟用户映射的系统用户及对应的目录

useradd -s /sbin/nologin -d /var/ftpuser ftpuser

chmod go+rx /var/ftpuser

4、配置vsftpd主配置文件/etc/vsftpd/vsftpd.conf

请确保/etc/vsftpd/vsftpd.conf中已经启用了以下选项

anonymous_enable=YES           #表示允许匿名用户登录访问

local_enable=YES   #表示允许本地系统用户登录访问

write_enable=YES               #表示允许写入权限

anon_upload_enable=NO   #表示匿名用户是否有上传的权限,这里是关闭的,要开启NO改成YES

anon_mkdir_write_enable=NO     #表示匿名用户没有写入的权限,这里是关闭的,开开启NO改成YES

chroot_local_user=NO           #表示把ftp本地用户锁定在家目录,为了安全,建议关闭

添加以下选项

guest_enable=YES   #启用虚拟用户

guest_username=ftpuser   #虚拟用户映射的系统用户,就是上面我们建立的用户,名字是ftpuser

pam_service_name=vsftpd.ftp    #启用PAM认证,并指定文件,这个文件路径在/etc/pam.d/ftp

6、关闭vsftpd和开启vsftpd

关闭vsftpd:killall vsftpd

开启vsftpd:/usr/local/sbin/vsftpd   /etc/vsftpd/vsftpd.conf &

测试:lftp test@172.16.0.23

输入密码就可以正常登录了

三、解决系统用户无法登录ftp

如果使用虚拟用户,那么系统本地用户就无法登录了,如果要解决这个问题,必须可以修改/etc/pam.d/vsftpd文件,把虚拟用户基本mysql的配置文件(/etc/pam.d/vsftpd.my),放置到/etc/pam.d/vsftpd里就可以解决了,需要添加和修改的几个选项如下:

#%PAM-1.0

auth sufficient  pam_mysql.so user=vsftpd passwd=123456 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

account sufficient  pam_mysql.so user=vsftpd passwd=123456 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

#session    optional     pam_keyinit.so    force revoke

auth       required     pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

auth       required     pam_shells.so

auth       include      system-auth

account    include      system-auth

#session    include     system-auth  

#session    required     pam_loginuid.so

此时,再次测试,虚拟用户和系统本地用户都可以正常登录,但是系统本地用户登录的家目录是虚拟用户的家目录,无法登录自己系统

本地的家目录,如果系统用户要想使用家目录,可以用以下参数定义

实验过程中遇到的问题:

问题一、用虚拟账号登录ftp的时候报错:ls: Login failed: 500 OOPS: vsftpd: refusing to run with writable root inside chroot()

解决方法:chown a-w /var/ftpuser,做完这步但是虚拟用户就无法上传文件了,这时在/

user_config_dir=/etc/vsftpd/users

1. which vsftpd                       # 确定文件路径          

2. vim /etc/hosts.deny                 # 改文件立即生效  

vsftpd: 172.16.0.2300  

#假设仅允许172.16网段访问  

vim /etc/hosts.allow  

vsftpd: 171.16                        # 只允许172.16.0.0/16网段  

vim /etc/hosts.deny  

ALL: ALL                                            # 拒绝其他的用户登陆