vsftpd基于mysql进行虚拟用户管理

概述:

    FTP是我们日常工作中经常用到的一个服务,但是FTP对用户的管理却比较薄弱,默认状态下,FTP利用pam机制进行账号管理,默认情况下使用的是系统账号,如何提升FTP对用户管理的有效性,针对不同的用户设定不同的上传权限,这就要基于虚拟账号来管理了,本篇就介绍下在vsftpd利用pam机制,结合mysql实现FTP虚拟账号的管理

    具体包含:

    1、vsftpd的日常配置使用

    2、利用mysql实现虚拟账号管理

环境:

    CentOS7.2 系统,IP为10.1.32.72

第一章    vsftpd的日常配置使用

    

    1、vsftpd服务器端的安装

        yum install vsftpd

    blob.png    

    2、vsftpd的配置文件介绍

[root@localhost ~]# grep -E "^(#[^[:space:]]+|[[:alpha:]]+)" /etc/vsftpd/vsftpd.conf 
anonymous_enable=YES     #####  是否启用匿名账户  #####
local_enable=YES    #####  是否启用本地系统账户  #####
write_enable=YES    #####  本地系统用户是否具有写权限  #####
local_umask=022     #####  本地系统账户上传文件时,文件默认的umask  #####
#anon_upload_enable=YES    #####  匿名账户是否允许上传  #####
#anon_mkdir_write_enable=YES    #####  匿名账户是否可以创建目录  #####
#anon_other_write_enable=NO     #####  匿名账户是否具有其他写操作的权限,如删除操作  #####
dirmessage_enable=YES     #####  目录的欢迎信息,要在目录下创建.message的文件  #####
xferlog_enable=YES    #####  是否启用传输日志  #####
connect_from_port_20=YES    #####  是否允许从20端口进行连接  #####
#chown_uploads=YES    #####  当上传文件时,是否更改文件的属主  #####
#chown_username=whoever    #####  更改文件属主为哪个用户  #####
#xferlog_file=/var/log/xferlog   #####  传输日志存储位置  #####
xferlog_std_format=YES     #####  传输日志格式是否为std标准格式  #####
#idle_session_timeout=600   #####  空闲命令连接的超时时长  #####
#data_connection_timeout=120   #####   数据连接的超时时长 #####
#ftpd_banner=Welcome to blah FTP service.     #####  登录ftp的欢迎信息  #####
#chroot_local_user=YES     #####  是否禁锢系统用户在其家目录  #####
#chroot_list_enable=YES    #####  是否对在/etc/vsftpd/chroot_list中的用户执行禁锢其在家目录  #####
#chroot_list_file=/etc/vsftpd/chroot_list   #####  chroot_list文件路径  #####
pam_service_name=vsftpd    #####  基于pam认证使用到的pam认证的文件名称  #####
userlist_enable=YES    #####  是否启用user_list文件中的用户列表功能  #####
[root@localhost ~]#

    禁锢用户于其家目录的说明:

        如果不禁锢用户于其家目录,那么在用户登录到FTP服务器时,可以切换到任意其具有权限的文件系统路径,可以操作文件系统路径上其具有权限的任意文件,但单纯的禁锢用户于其家目录也会存在风险,因此,如果要禁锢用户到其家目录,一般情况下会要求用户对自己的家目录不能有写权限,这样一来,该系统用户就只能作为FTP的账号登录了,而如果该用户也希望能登录系统,则就不能让其对其家目录只有写权限,故形成了对立的方面

        配置选项中禁锢用户于其家目录的几种方式:     

        <1>禁锢所有用户

            chroot_local_user=YES

            该选项就是让文件系统的用户,以自身用户名密码登录时,禁锢其职能在其家目录中,而不能切换到别的目录中

            注意,设定了chroot后,要将对应用户的家目录的写权限去掉

        <2>禁锢部分用户

            白名单:

                chroot_local_user=YES

                chroot_list_enable=YES

                chroot_list_file=/etc/vsftpd/chroot_list

                表示启用chroot_list列表,定义在文件中的用户将不被禁锢在其家目录

            黑名单:

                chroot_local_user=NO

                chroot_list_enable=YES

                chroot_list_file=/etc/vsftpd/chroot_list

                表示启用chroot_list列表,定义在文件中的用户将被禁锢在其家目录

    

    3、FTP的用户权限应用模型

        FTP的用户的权限,取决于FTP配置文件中其用该具有的权限,和该用户对FTP的文件共享目录的权限的交集

        即是:

            FTP服务有上传权限,但是其文件系统没有写权限,无法正常上传文件

            FTP服务没上传权限,文件系统有写权限,也无法通过FTP登录的方式上传文件

    4、配置nwc用户具有写权限示例

        默认配置的情况下,匿名用户可查看可下载,但不可上传,删除等写操作,系统用户可进行写相关操作

        blob.png        

        blob.png

        blob.png

        blob.png

        blob.png

        blob.png

第二章    vsftpd基于mysql实现虚拟账号的管理

    1、说明:

        通过上述对vsftpd的介绍,我们发现,vsftpd基于系统用户和匿名用户的权限管理是比较粗糙的

            由于vsftpd是基于pam认证,pam针对vsftpd的配置文件(/etc/pam.d/vsftpd中,编译安装此文件默认不存在)定义了在/etc/vsftpd/ftpusers文件中定义的文件系统用户都不允许登录FTP服务器,此机制有centos系统提供的

            用户是否能登录FTP的机制,还有FTP自身提供的配置:

                在/etc/vsftpd/有个文件,是user_list,此文件中定义了受控的用户账号

                该文件有两种用法:

                    一种是黑名单(处理文件中定义的用户,其他用户都能登录),要配合指令:

                        userlist_deny=YES 

                    一种是白名单(只有文件中的用户能登录),要配合指令

                        userlist_deny=NO

        基于虚拟用户,可对每个虚拟用户设定不同的权限,因此权限管理的颗粒度比较小

        所有的虚拟用户都会被映射为一个文件系统用户,因此访问时的文件目录是此系统用户的家目录

        虚拟用户存储位置:文件、MySQL、ldap、redis、…

            hash编码的文件中:

                奇数行为用户名,偶数行为密码

            关系型数据库:

                vsftpd认证机制是基于pam机制的,故vsftpd是否支持利用关系型数据库进行账户认证,取决于pam,而默认情况下,pam是不支持msql数据库的,要想支持,需要借助第三方pam-mysql模块

    2、pam-mysql模块说明

        在centos6系统上,epel仓库中有pam-mysql程序,如果在centos6上,直接yum安装即可

        在centos7系统上,并没有pam-mysql的程序,只能编译安装pam_mysql

        在本实验环境中,采用的是CentOS7的系统,故需要编译安装pam_mysql

    3、准备编译环境,确保"Development Tools"和"Server Platform Development"开发工具包组已经安装

        blob.png

    

    4、安装编译安装pam-mysql时,依赖的程序包mariadb-devel和pam-devel

        blob.png

    5、下载pam-mysql源码包,编译安装

        blob.png

        blob.png

        blob.png

        blob.png

   

    6、在数据库服务器上,创建vsftpd用到的数据库、创建表、插入具体的用户信息

        (本例中数据库服务器就在本机)

        blob.png

        blob.png

    7、修改pam的配置文件,让其利用mysql进行虚拟用户认证

        blob.png

        

    8、为虚拟用户添加本地文件系统用户,因为虚拟用户最终是要映射为某个文件系统用户的

        blob.png

    9、修改vsftpd的配置文件,让其使用虚拟用户认证

        blob.png

    10、修改完配置文件,重启vsftpd服务,验证使用虚拟账户是否能够正常登陆

        blob.png

    11、配置每个虚拟账户具有不同的权限

        blob.png

        修改vsftpd配置文件,让每个虚拟用户拥有不同的权限的定义

        blob.png

        111.png

        定义完后,重启vsftpd服务,然后进行验证

        blob.png

        blob.png

原创文章,作者:M20-1倪文超,如若转载,请注明出处:http://www.178linux.com/52492

(0)
M20-1倪文超M20-1倪文超
上一篇 2016-10-18
下一篇 2016-10-18

相关推荐

  • bash

    bash 配置文件   按生效范围划分:存在两类;     全局配置:            /etc/profile       &nbs…

    Linux干货 2015-04-15
  • linux上的LVM简明教程

    LVM是一个多才多艺的硬盘系统工具。在Linux上非常的好用,传统分区使用固定大小分区,重新调整大小十分麻烦。但是,LVM可以创建和管理“逻辑”卷,而不是直接使用物理硬盘。可以让管理员弹性的管理逻辑卷的扩大缩小,操作简单,而不损坏已存储的数据。可以随意将新的硬盘添加到LVM,以直接扩展已经存在的逻辑卷。 首先是实际的物理磁盘及其划分的分区和其上的物理卷(PV…

    Linux干货 2017-05-02
  • Linux第四周学习博客作业

    对第四周学习的内容进行总结

    Linux干货 2017-12-23
  • linux发行版说明和哲学思想,以及常用命令说明

    Linux发行版主要流行的版本有3种:debian,slackware,red 其说明和特点如下图。 Linux哲学思想: 1、一切皆文件;所有的一切都变成了文件!不光是软件方面的比如传统文件、目录、字符设备、还包括硬件或者接口。如鼠标/mouse、打印机/lp、还有接口比如/usb. 2、单一目的的小程序;一个程序只负责干一件事,而且要把这个任务做好。 3…

    Linux干货 2016-10-30
  • bash的基础特性[更新中]

    2、bash的工作特性之命令执行状态返回值和命令行展开所涉及的内容及其示例演示。
    3、请使用命令行展开功能来完成以下练习:
    (1)、创建/tmp目录下的:a_c, a_d, b_c, b_d
    (2)、创建/tmp/mylinux目录下的:
    mylinux/
    ├── bin
    ├── boot
    │   └── grub
    ├── dev
    ├── etc
    │   ├── rc.d
    │   │   └── init.d
    │   └── sysconfig
    │   └── network-scripts
    ├── lib
    │   └── modules
    ├── lib64
    ├── proc
    ├── sbin
    ├── sys
    ├── tmp
    ├── usr
    │   └── local
    │   ├── bin
    │   └── sbin
    └── var
    ├── lock
    ├── log
    └── run
    5、如何定义一个命令的别名,如何在命令中引用另一个命令的执行结果?
    6、显示/var目录下所有以l开头,以一个小写字母结尾,且中间至少出现一位数字(可以有其它字符)的文件或目录。
    7、显示/etc目录下,以任意一个数字开头,且以非数字结尾的文件或目录。
    8、显示/etc目录下,以非字母开头,后面跟了一个字母以及其它任意长度任意字符的文件或目录。
    9、在/tmp目录下创建以tfile开头,后跟当前日期和时间的文件,文件名形如:tfile-2016-05-27-09-32-22。
    10、复制/etc目录下所有以p开头,以非数字结尾的文件或目录到/tmp/mytest1目录中。
    11、复制/etc目录下所有以.d结尾的文件或目录至/tmp/mytest2目录中。
    12、复制/etc/目录下所有以l或m或n开头,以.conf结尾的文件至/tmp/mytest3目录中。

    2018-03-17