VSftpd使用MySQL存儲虛擬用戶進行認證

• VSftpd使用MySQL存儲虛擬用戶進行認證

• 前言

• 實驗拓撲

• 實驗環境

• 實驗步驟

• 安裝vsftpd并測試

• 安裝MySQL并創建對應用戶和表

• 配置vsftpd基于MySQL表的虛擬用戶

• 測試

• 測試tom用戶的權限

• 測試anyisalin用戶的權限

• 總結

前言

周一的時候做這個實驗失敗了，當時以為是pam_mysql模塊的問題，今天晚上隨便試試，沒想到竟然成功了，遂寫一篇博客來分享一下

實驗拓撲

實驗環境

注意：本實驗所有操作都在SElinux和iptables關閉的前提下進行

實驗步驟

安裝vsftpd并測試

以下操作在server1.anyisalin.com執行

[root@server1 ~]# yum install vsftpd -y --nogpgcheck| tail -n 10   #安裝vsftpd
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : vsftpd-2.2.2-14.el6.x86_64                                   1/1 
  Verifying  : vsftpd-2.2.2-14.el6.x86_64                                   1/1 

Installed:
  vsftpd.x86_64 0:2.2.2-14.el6                                                  

Complete!
[root@server1 ~]# service vsftpd start
Starting vsftpd for vsftpd:                                [  OK  ]
[root@server1 ~]# yum install -y lftp --nogpgcheck &> /dev/null
[root@server1 ~]# lftp localhost   #vsftpd能夠正常運行
lftp localhost:~> ls                          
drwxr-xr-x    2 0        0            4096 Jul 24  2015 pub

安裝MySQL并創建對應用戶和表

以下操作在server2.anyisalin.com執行

[root@server2 ~]# yum install mysql-server -y --nogpgcheck &> /dev/null #安裝MySQL數據庫
[root@server2 ~]# service mysqld start #啟動MySQL數據庫
[root@server2 ~]# mysql_secure_installation  #初始化安裝MySQL數據庫，否則后面登錄可能會有問題

創建用戶并授權，創建對應數據庫和表并插入兩行數據

[root@server2 ~]# mysql -uroot -ppasswd    #連接MySQL

mysql>mysql> GRANT ALL ON vsftpd.* TO vsftpd@'%' IDENTIFIED BY 'passwd';    #授權用戶
Query OK, 0 rows affected (0.00 sec)

mysql> CREATE DATABASE vsftpd;    #創建數據庫
Query OK, 1 row affected (0.00 sec)

mysql> use vsftpd;    #指定數據庫
Database changed

mysql> create table users (        #創建表
    -> id int AUTO_INCREMENT NOT NULL,
    -> name char(20) binary NOT NULL,
    -> password char(48) binary NOT NULL,
    -> primary key(id)
    -> );
Query OK, 0 rows affected (0.01 sec)

mysql> insert into users(name,password) values('tom',password('magedu'));    #新建行，用戶為tom
Query OK, 1 row affected (0.00 sec)

mysql> insert into users(name,password) values('anyisalin',password('anyisalin'));    #新建行，用戶為anyisalin
Query OK, 1 row affected (0.00 sec)

mysql> FLUSH PRIVILEGES;    #刷新權限
Query OK, 0 rows affected (0.00 sec)

配置vsftpd基于MySQL表的虛擬用戶

以下操作在server1.anyisalin.com執行

首先要完成基于MySQL表的認證，需要通過pam_mysql模塊實現,我們要先安裝pam_mysql

[root@server1 ~]# wget -O /etc/yum.repos.d/epel.repo https://lug.ustc.edu.cn/wiki/_export/code/mirrors/help/epel?codeblock=0 #下載epel源的repo文件
[root@server1 ~]# yum install pam_mysql -y --nogpgcheck &> /dev/null

建立pam認證所需的配置文件

[root@server1 ~]# vim /etc/pam.d/vsftpd.mysql  #創建pam配置文件并按照自己的參數配置文件

auth required /lib64/security/pam_mysql.so user=vsftpd passwd=passwd host=172.16.1.3 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
account required /lib64/security/pam_mysql.so user=vsftpd passwd=passwd host=172.16.1.3 db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

創建虛擬用戶映射的系統用戶

[root@server1 ~]# useradd -r -s /sbin/nologin vuser -d /var/ftproot
[root@server1 ~]# mkdir /var/ftproot
[root@server1 ~]# chmod go+x /var/ftproot

編輯vsftpd配置文件并確保開啟以下選項

anonymous_enable=YES
local_enable=YES
write_enable=YES
anon_upload_enable=NO
anon_mkdir_write_enable=NO
chroot_local_user=YES

而后添加以下選項

guest_enable=YES
guest_username=vuser

并確保pam_service_name選項的值如下所示

pam_service_name=vsftpd.mysql

為每個用戶單獨提供配置文件

user_config_dir=/etc/vsftpd/vusers_config #在配置文件中添加這個選項

[root@server1 ~]# mkdir /etc/vsftpd/vusers_config
[root@server1 ~]# vim /etc/vsftpd/vusers_config/tom        #設置tom用戶有所有權限
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
[root@server1 ~]# vim /etc/vsftpd/vusers_config/anyisalin    #設置anyisalin用戶只有upload權限
anon_upload_enable=yes

重啟服務

[root@server1 ~]# service vsftpd restart
Shutting down vsftpd:                                      [  OK  ]
Starting vsftpd for vsftpd:                                [  OK  ]

測試

測試tom用戶的權限

[root@server2 ~]# lftp -u tom 172.16.1.2   #使用tom用戶登錄
Password: 
lftp tom@172.16.1.2:~> lcd /etc
lcd ok, local cwd=/etc
lftp tom@172.16.1.2:~> put fstab   #能夠上傳
711 bytes transferred                           
lftp tom@172.16.1.2:/> ls
-rw-------    1 496      492           711 Apr 03 22:34 fstab
lftp tom@172.16.1.2:/> rm fstab     #能夠刪除
rm ok, `fstab' removed
lftp tom@172.16.1.2:/> ls
lftp tom@172.16.1.2:/> mkdir 1  #能夠創建文件夾
mkdir ok, `1' created
lftp tom@172.16.1.2:/> ls
drwx------    2 496      492          4096 Apr 03 22:35 1
lftp tom@172.16.1.2:/> 

測試anyisalin用戶的權限

[root@server2 ~]# lftp -u anyisalin 172.16.1.2 #使用anyisalin用戶登錄
Password: 
lftp anyisalin@172.16.1.2:~> ls    
drwx------    2 496      492          4096 Apr 03 22:35 1
lftp anyisalin@172.16.1.2:/> lcd /etc/
lcd ok, local cwd=/etc
lftp anyisalin@172.16.1.2:/> put fstab  #能夠上傳
711 bytes transferred
lftp anyisalin@172.16.1.2:/> ls
drwx------    2 496      492          4096 Apr 03 22:35 1
-rw-------    1 496      492           711 Apr 03 22:36 fstab
lftp anyisalin@172.16.1.2:/> rm fstab   #不能刪除
rm: Access failed: 550 Permission denied. (fstab)
lftp anyisalin@172.16.1.2:/> mkdir 2    #不能創建文件夾
mkdir: Access failed: 550 Permission denied. (2)
lftp anyisalin@172.16.1.2:/> 

總結

其實我感覺使用MySQL存儲vsftpd虛擬用戶的賬號密碼沒有什么實際用處，畢竟用戶量也不會太大，還不如用文件的方式存儲 
作者：AnyISalIn QQ 1449472454 
感謝：MageEdu