linux下ftp和ftps以及ftp基于mysql虚拟用户认证服务器的搭建
1.FTP协议:有命令和数据连接两种
命令连接,控制连接:21/tcp
数据连接: 主动模式,运行在20/tcp端口 和 被动模式,运行在随机端口
数据传输模式(自动模式):有二进制(mp3,jpg等)和文本(html)两种传输模式
ftp服务器端程序:wu-ftpd:vsftpd pureftpd Filezilla Serv-U
ftp客户端程序:CLI文本模式命令:ftp lftp
GUI图形界面软件:gftpd FlashFXP Cuteftp Filezilla
vsftpd:命名为Very Secure ftp Daemon proftpd
/etc/vsftpd: 配置文件目录
/etc/init.d/vsftpd: 服务脚本
/usr/sbin/vsftpd: 主程序
/var/ftp:ftp服务和用户的根目录或家目录,也是匿名用户访问目录
基于PAM实现用户认证:
/etc/pam.d/* :认证程序位置
/lib/security/*:认证程序模块位置
可支持虚拟用户
ftp: 系统用户,分有以下三种用户
匿名用户:anonymous
系统用户: 本地系统用户
虚拟用户: 需要映射到系统用户
ftp文件服务权限:包括系统文件目录权限和配置文件授权,取交集权限
安全通信方式:分明文和密文两种,如下:
ftp:明文
ftps: ftp+ssl/tls,密文
sftp: OpenSSH, SubSystem, sftp(SSH),密文
2.配置vsftpd.conf文件详解
安装vsftpd 服务器软件
yum install vsftpd
编辑配置vsftpd.conf文件
vim /etc/vsftpd/vsftpd.conf
配置文件内容如下:
anonymous_enable=YES #开启匿名用户访问
local_enable=YES #开启本地用户访问
write_enable=YES #开启本地用户上传权限
anon_upload_enable=YES #开启匿名用户上传权限
#anon_mkdir_write_enable=YES #开启匿名用户创建目录权限
#anon_other_write_enable=YES #开启匿名用户其他权限,如创建,删除文件等权限
#dirmessage_enable=YES #如在共享目录创建.messages隐藏文件并添加提示语,给登入用户提示而已
#xferlog_enable=YES #开启日志功能
connect_from_port_20=YES #命令连接20/tcp端口开启
#chown_uploads=YES #开启修改上传用户的属主功能
#chown_username=whoever #改变上传用户属主是谁
#xferlog_file=/var/log/xferlog #对应上面的日志开启功能,日志文件路径位置
xferlog_std_format=YES #日志文件格式
#idle_session_timeout=600 #ftp命令连接时最大空闲连接时间
#data_connection_timeout=120 #ftp数据连接最大传输时间
#ftpd_banner=Welcome to blah FTP service. #ftp用户连接服务器提示语
#chroot_list_enable=YES #开启锁定用户家目录,以防用户切入至系统其他目录
#chroot_list_file=/etc/vsftpd/chroot_list #此文件下的ftp用户才会被锁定在家具录
#chroot_local_user=YES #开启本地系统用户全部开启chroot机制
listen=YES #独立守护进程,根据其他设置可将vsftpd变成瞬时守护进程
#max_clients= #同一时间最大并发用户连接数
#max_per_ip= #同一时刻每个IP地址最大连接数
pam_service_name=vsftpd #基于pam认证服务名字
userlist_enable=YES #user_list文件中的用户禁止登入ftp服务器
注意:如果上面配置开启上传下载或删除文件权限,但是所共享的目录指定的ftp登入用户没有写入
权限,这样也不能上传下载或删除文件
3.ftp明文传输服务器搭建,
实验目的:在/var/ftp/目录下创建upload目录
新增本地用户willow
允许匿名用户和本地系统用户willow能在upload目录上传下载创建删除文件
yum install vsftpd
mkdir /var/ftp/upload
useradd willow
echo "willow" | passwd --stdin willow
setfact -m u:willow:rwx /var/ftp/upload #这步骤很重要,授权willow对此目录有写入权限
vim /etc/vsftpd/vsftpd.conf
确保如下配置生效:
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
ftp localhost 利用willow用户登入测试效果
4.ftps密文传输服务器搭建,即ftp + tls加密认证
创建自签名证书
cd /etc/pki/CA
mkdir certs newcerts crl
touch index.txt
echo 01 > serial
vim /etc/pki/tls/openssl.cnf
dir = ../../CA
将上面一条语句修改成下面一条语句
dir = /etc/pki/CA
(umask 077,openssl genrsa -out private/cakey.pem 1024)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
mkdir /etc/vsftpd/ssl
cd /etc/vsftpd/ssl
(umask 077,openssl genrsa -out vsftpd.key 1024)
openssl req -new -key vsftpd.key -out vsftpd.csr
openssl ca -in vsftpd.key -out vsftpd.crt
注意到此为止,我仅给出创建证书并再申请证书步骤,并没有给出详细过程,依自己实验环境而定
如需了解证书建立详细步骤,请查看我前面的博客,在此我们得到如下信息:
私钥文件位置:/etc/vsftpd/ssl/vsftpd.key
证书文件位置:/etc/vsftpd/ssl/vsftpd.crt
vim /etc/vsftpd/vsftpd.conf
增加如下容:
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv3=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt #证书位置
rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key #私钥位置
重启vsftpd服务
service vsftpd restart
使用FlashFXP客户端软件测试即可,加密传输
5.基于mysql虚拟用户认证的ftp服务器搭建
5.1.编译安装pam_mysql-0.7RC1
tar zxvf pam_mysql-0.7RC1.tar.gz
cd pam_mysql-0.7RC1
./configure --with-mysql=/usr --with-openssl
make
make install
cp /usr/lib/security/pam_mysql.* /lib/security/
5.2.安装vsftpd
yum -y install vsftpd
5.3.安装mysql-server和mysql-devel
yum install -y mysql-server mysql-devel
service mysqld start
5.4.创建虚拟用户账号
5.4.1准备数据库及相关表
#mysql 本地连接mysql数据库
mysql> create database vsftpd;
mysql> grant select on vsftpd.* to [email protected] identified by ‘vsftpd‘;
mysql> grant select on vsftpd.* to [email protected] identified by ‘vsftpd‘;
mysql> flush privileges;
mysql> use vsftpd;
mysql> create table users (
-> id int AUTO_INCREMENT NOT NULL,
-> name char(20) binary NOT NULL,
-> password char(48) binary NOT NULL,
-> primary key(id)
-> );
5.4.2.添加测试的虚拟用户
mysql> insert into users(name,password) values(‘willow‘,‘willow‘);
mysql> insert into users(name,password) values(‘tom‘,‘tom‘);
注意;这里将其密码采用明文格式存储,原因是pam_mysql与MySQL的password()函数可能会有所不同。
可通过pam_mysql目录下的REDME文件查看加密解释,即less REDME
6.建立pam认证所需文件
#vim /etc/pam.d/vsftpd.mysql
添加如下两行
auth required /lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0
account required /lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0
7.修改vsftpd的配置文件,使其适应mysql认证
建立虚拟用户映射的系统用户及对应的目录
#useradd -s /sbin/nologin -d /var/ftpvuser vuser
#chmod go+rx /var/ftprootvuser
请确保/etc/vsftpd.conf中已经启用了以下选项
anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
chroot_local_user=YES
必须添加以下选项
guest_enable=YES
guest_username=vuser #虚拟用户映射本地用户vuser
pam_service_name=vsftpd.mysql #对照前面新增的/etc/pam.d/vsftpd.mysql名字
启动vsftpd服务并测试效果
# service vsftpd start
# chkconfig vsftpd on
# ftp localhost
8.配置虚拟用户具有不同的访问权限
8.1.配置vsftpd为虚拟用户使用配置文件目录
# vim vsftpd.conf
关闭匿名用户所有权限
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
必须添加如下选项
user_config_dir=/etc/vsftpd/vusers_dir
mkdir /etc/vsftpd/vusers_dir/
cd /etc/vsftpd/vusers_dir/
touch willow tom
8.2.配置虚拟用户的访问权限
8.2.1.让虚拟用户tom不能上传,只有下载权限
vim /etc/vsftpd/vusers/tom
anon_upload_enable=NO
8.2.2.让虚拟用户willow具有上传,下载,创建,删除等权限
vim /etc/vsftpd/vusers/willow
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES