linux ftp 团队认证,linux下ftp和ftps以及ftp基于mysql虚拟用户认证服务器的搭建

linux下ftp和ftps以及ftp基于mysql虚拟用户认证服务器的搭建

1.FTP协议:有命令和数据连接两种

命令连接，控制连接：21/tcp

数据连接: 主动模式,运行在20/tcp端口 和 被动模式,运行在随机端口

数据传输模式(自动模式)：有二进制(mp3,jpg等)和文本(html)两种传输模式

ftp服务器端程序：wu-ftpd：vsftpd pureftpd Filezilla Serv-U

ftp客户端程序：CLI文本模式命令：ftp lftp

GUI图形界面软件:gftpd FlashFXP Cuteftp Filezilla

vsftpd:命名为Very Secure ftp Daemon proftpd

/etc/vsftpd: 配置文件目录

/etc/init.d/vsftpd: 服务脚本

/usr/sbin/vsftpd: 主程序

/var/ftp：ftp服务和用户的根目录或家目录,也是匿名用户访问目录

基于PAM实现用户认证：

/etc/pam.d/* ：认证程序位置

/lib/security/*：认证程序模块位置

可支持虚拟用户

ftp: 系统用户，分有以下三种用户

匿名用户:anonymous

系统用户: 本地系统用户

虚拟用户: 需要映射到系统用户

ftp文件服务权限：包括系统文件目录权限和配置文件授权,取交集权限

安全通信方式：分明文和密文两种,如下:

ftp:明文

ftps: ftp+ssl/tls，密文

sftp: OpenSSH, SubSystem, sftp(SSH)，密文

2.配置vsftpd.conf文件详解

安装vsftpd 服务器软件

yum install vsftpd

编辑配置vsftpd.conf文件

vim /etc/vsftpd/vsftpd.conf

配置文件内容如下:

anonymous_enable=YES  #开启匿名用户访问

local_enable=YES     #开启本地用户访问

write_enable=YES     #开启本地用户上传权限

anon_upload_enable=YES #开启匿名用户上传权限

#anon_mkdir_write_enable=YES #开启匿名用户创建目录权限

#anon_other_write_enable=YES #开启匿名用户其他权限,如创建,删除文件等权限

#dirmessage_enable=YES #如在共享目录创建.messages隐藏文件并添加提示语，给登入用户提示而已

#xferlog_enable=YES   #开启日志功能

connect_from_port_20=YES #命令连接20/tcp端口开启

#chown_uploads=YES     #开启修改上传用户的属主功能

#chown_username=whoever  #改变上传用户属主是谁

#xferlog_file=/var/log/xferlog #对应上面的日志开启功能,日志文件路径位置

xferlog_std_format=YES      #日志文件格式

#idle_session_timeout=600    #ftp命令连接时最大空闲连接时间

#data_connection_timeout=120  #ftp数据连接最大传输时间

#ftpd_banner=Welcome to blah FTP service.  #ftp用户连接服务器提示语

#chroot_list_enable=YES    #开启锁定用户家目录，以防用户切入至系统其他目录

#chroot_list_file=/etc/vsftpd/chroot_list #此文件下的ftp用户才会被锁定在家具录

#chroot_local_user=YES     #开启本地系统用户全部开启chroot机制

listen=YES  #独立守护进程,根据其他设置可将vsftpd变成瞬时守护进程

#max_clients= #同一时间最大并发用户连接数

#max_per_ip=  #同一时刻每个IP地址最大连接数

pam_service_name=vsftpd  #基于pam认证服务名字

userlist_enable=YES     #user_list文件中的用户禁止登入ftp服务器

注意:如果上面配置开启上传下载或删除文件权限，但是所共享的目录指定的ftp登入用户没有写入

权限，这样也不能上传下载或删除文件

3.ftp明文传输服务器搭建,

实验目的:在/var/ftp/目录下创建upload目录

新增本地用户willow

允许匿名用户和本地系统用户willow能在upload目录上传下载创建删除文件

yum install vsftpd

mkdir /var/ftp/upload

useradd willow

echo "willow" | passwd --stdin willow

setfact -m u:willow:rwx /var/ftp/upload #这步骤很重要,授权willow对此目录有写入权限

vim /etc/vsftpd/vsftpd.conf

确保如下配置生效:

anonymous_enable=YES

local_enable=YES

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

ftp localhost 利用willow用户登入测试效果

4.ftps密文传输服务器搭建,即ftp + tls加密认证

创建自签名证书

cd /etc/pki/CA

mkdir certs newcerts crl

touch index.txt

echo 01 > serial

vim /etc/pki/tls/openssl.cnf

dir            = ../../CA

将上面一条语句修改成下面一条语句

dir             = /etc/pki/CA

(umask 077,openssl genrsa -out private/cakey.pem 1024)

openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365

mkdir /etc/vsftpd/ssl

cd /etc/vsftpd/ssl

(umask 077,openssl genrsa -out vsftpd.key 1024)

openssl req -new -key vsftpd.key -out vsftpd.csr

openssl ca -in vsftpd.key -out vsftpd.crt

注意到此为止,我仅给出创建证书并再申请证书步骤，并没有给出详细过程，依自己实验环境而定

如需了解证书建立详细步骤,请查看我前面的博客,在此我们得到如下信息:

私钥文件位置:/etc/vsftpd/ssl/vsftpd.key

证书文件位置:/etc/vsftpd/ssl/vsftpd.crt

vim /etc/vsftpd/vsftpd.conf

增加如下容:

ssl_enable=YES

ssl_tlsv1=YES

ssl_sslv3=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt   #证书位置

rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key  #私钥位置

重启vsftpd服务

service vsftpd restart

使用FlashFXP客户端软件测试即可，加密传输

5.基于mysql虚拟用户认证的ftp服务器搭建

5.1.编译安装pam_mysql-0.7RC1

tar zxvf  pam_mysql-0.7RC1.tar.gz

cd  pam_mysql-0.7RC1

./configure --with-mysql=/usr --with-openssl

make

make install

cp /usr/lib/security/pam_mysql.* /lib/security/

5.2.安装vsftpd

yum -y install vsftpd

5.3.安装mysql-server和mysql-devel

yum install -y mysql-server mysql-devel

service mysqld start

5.4.创建虚拟用户账号

5.4.1准备数据库及相关表

#mysql  本地连接mysql数据库

mysql> create database vsftpd;

mysql> grant select on vsftpd.* to [email protected] identified by ‘vsftpd‘;

mysql> grant select on vsftpd.* to [email protected] identified by ‘vsftpd‘;

mysql> flush privileges;

mysql> use vsftpd;

mysql> create table users (

-> id int AUTO_INCREMENT NOT NULL,

-> name char(20) binary NOT NULL,

-> password char(48) binary NOT NULL,

-> primary key(id)

-> );

5.4.2.添加测试的虚拟用户

mysql> insert into users(name,password) values(‘willow‘,‘willow‘);

mysql> insert into users(name,password) values(‘tom‘,‘tom‘);

注意;这里将其密码采用明文格式存储，原因是pam_mysql与MySQL的password()函数可能会有所不同。

可通过pam_mysql目录下的REDME文件查看加密解释，即less REDME

6.建立pam认证所需文件

#vim /etc/pam.d/vsftpd.mysql

添加如下两行

auth required /lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0

account required /lib/security/pam_mysql.so user=vsftpd passwd=vsftpd host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=0

7.修改vsftpd的配置文件，使其适应mysql认证

建立虚拟用户映射的系统用户及对应的目录

#useradd -s /sbin/nologin -d /var/ftpvuser vuser

#chmod go+rx /var/ftprootvuser

请确保/etc/vsftpd.conf中已经启用了以下选项

anonymous_enable=YES

local_enable=YES

write_enable=YES

anon_upload_enable=YES

anon_mkdir_write_enable=YES

chroot_local_user=YES

必须添加以下选项

guest_enable=YES

guest_username=vuser  #虚拟用户映射本地用户vuser

pam_service_name=vsftpd.mysql #对照前面新增的/etc/pam.d/vsftpd.mysql名字

启动vsftpd服务并测试效果

# service vsftpd start

# chkconfig vsftpd on

# ftp localhost

8.配置虚拟用户具有不同的访问权限

8.1.配置vsftpd为虚拟用户使用配置文件目录

# vim vsftpd.conf

关闭匿名用户所有权限

anon_upload_enable=NO

anon_mkdir_write_enable=NO

anon_other_write_enable=NO

必须添加如下选项

user_config_dir=/etc/vsftpd/vusers_dir

mkdir /etc/vsftpd/vusers_dir/

cd /etc/vsftpd/vusers_dir/

touch willow tom

8.2.配置虚拟用户的访问权限

8.2.1.让虚拟用户tom不能上传，只有下载权限

vim /etc/vsftpd/vusers/tom

anon_upload_enable=NO

8.2.2.让虚拟用户willow具有上传,下载,创建,删除等权限

vim /etc/vsftpd/vusers/willow

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES