mysql+pam模塊實(shí)現(xiàn)vsftp虛擬用戶統(tǒng)一管理

mysql+pam模塊實(shí)現(xiàn)vsftp虛擬用戶統(tǒng)一管理

最近開始學(xué)mysql，自己做一個(gè)小實(shí)驗(yàn)，來個(gè)總結(jié)，比較容易理解，沒什么太多理論性的東西。

一、實(shí)驗(yàn)環(huán)境的準(zhǔn)備

1. 先下載需要用到的軟件和依賴包

[root@localhost ~]# yum -y install mariadb-server mariadb-devel pam-devel gcc-c++ vsftpd

2. 安裝pam_mysql模塊（Plugable Authentication Module 插件式認(rèn)證模塊）

[root@localhost ~]# tar zxf pam_mysql-0.7RC1.tar.gz
[root@localhost ~]# cd pam_mysql-0.7RC1
[root@localhost pam_mysql-0.7RC1]# ./configure --with-mysql=/usr --with-openssl --with-pam-mods-dir=/lib/pam_mysql/

[root@localhost pam_mysql-0.7RC1]# make

[root@localhost pam_mysql-0.7RC1]# make install

3. 啟動(dòng)相關(guān)服務(wù)

[root@localhost ~]# systemctl start mariadb
[root@localhost ~]# systemctl start vsftpd
[root@localhost ~]# systemctl enable mariadb
[root@localhost ~]# systemctl enable vsftpd

4.數(shù)據(jù)庫安全設(shè)置

[root@localhost ~]# mysql_secure_installation

Set root password? [Y/n] Y

Remove anonymous users? [Y/n] Y

Disallow root login remotely? [Y/n] Y

Remove test database and access to it? [Y/n] Y

Reload privilege tables now? [Y/n] Y

二、創(chuàng)建虛擬用戶

1.創(chuàng)建數(shù)據(jù)庫和表（用于存儲(chǔ)虛擬用戶的信息）

[root@localhost ~]# mysql -u root -p
Enter password:

MariaDB [(none)]> create database testdb;       #創(chuàng)建測試數(shù)據(jù)庫

MariaDB [(none)]> grant select on testdb.* to linos@localhost identified by 'linux';   #創(chuàng)建用戶

MariaDB [(none)]> flush privileges;

MariaDB [(none)]> use testdb;
Database changed
MariaDB [testdb]> create table users(id int AUTO_INCREMENT NOT NULL,name char(20) binary NOT NULL,password char(20) binary NOT NULL,primary key(id));    #創(chuàng)建存儲(chǔ)用戶的表

2.添加虛擬用戶

MariaDB [testdb]> insert into users(name,password) values('tom','linux');    #創(chuàng)建用戶

MariaDB [testdb]> insert into users(name,password) values('sam','linux');    #創(chuàng)建用戶

MariaDB [testdb]> flush privileges;

三、配置vsftp服務(wù)

1.創(chuàng)建pam認(rèn)證文件

[root@localhost ~]# cat /etc/pam.d/vsftpd.mysql
auth required /lib/pam_mysql/pam_mysql.so user=linos passwd=linux host=localhost db=testdb table=users usercolumn=name passwdcolumn=password crypt=0
account required /lib/pam_mysql/pam_mysql.so user=linos passwd=linux host=localhost db=testdb table=users usercolumn=name passwdcolumn=password crypt=0

2.修改vsftp配置文件，主要需要修改下面的配置

anonymous_enable=NO     #不允許匿名用戶登錄
local_enable=YES       #允許系統(tǒng)用戶登錄
write_enable=YES      #允許系統(tǒng)用戶有寫權(quán)限
anon_upload_enable=NO     #不允許匿名用戶上傳文件
anon_mkdir_write_enable=NO    #不允許匿名用戶創(chuàng)建目錄
chroot_local_user=YES     #默認(rèn)情況下用系統(tǒng)用戶登錄ftp之后，用戶可以cd到任何目錄，這樣會(huì)有一定的安全隱患，啟用這個(gè)選項(xiàng)可以把用戶禁錮在自己的家目錄

guest_enable=YES    #啟用這個(gè)選項(xiàng)可以開啟非匿名用戶重映射為系統(tǒng)用戶的功能
guest_username=virtuser    #映射的系統(tǒng)用戶
allow_writeable_chroot=YES    #從2.3.5版本之后，vsftpd增強(qiáng)了安全檢查，如果用戶被限定在了其主目錄下，則該用戶的主目錄不能再具有寫權(quán)限了！如果檢查發(fā)現(xiàn)還有寫權(quán)限，就會(huì)報(bào)該錯(cuò)誤。 要修復(fù)這個(gè)錯(cuò)誤，可以用命令chmod a-w /home/username去除用戶主目錄的寫權(quán)限，或者你可以在vsftpd的配置文件中增加下列一項(xiàng)：allow_writeable_chroot=YES
pam_service_name=vsftpd.mysql    #指定插件pam模塊的配置文件

四、驗(yàn)證

1.重啟服務(wù)

[root@localhost ~]# systemctl restart mariadb
[root@localhost ~]# systemctl restart vsftpd

2.添加虛擬用戶映射到的系統(tǒng)用戶

[root@localhost ~]# useradd -s /sbin/nologin virtuser    #指定shell為/sbin/nologin，禁止用戶登錄系統(tǒng)

3.登錄虛擬用戶驗(yàn)證

4.驗(yàn)證用戶映射

[root@localhost virtuser]# pwd
/home/virtuser
[root@localhost virtuser]# mkdir pub
[root@localhost virtuser]# touch pub/test  #virtuser家目錄下創(chuàng)建test文件，然后用sam用戶登錄ftp，可以看到映射到了virtuser用戶的家目錄

5.配置授權(quán)權(quán)限

有時(shí)候我們需要針對(duì)不同的虛擬用戶設(shè)置不同的權(quán)限

[root@localhost ~]# tail -1 /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/users_permission/
[root@localhost ~]# mkdir /etc/vsftpd/users_permission/
[root@localhost ~]# cd /etc/vsftpd/users_permission/
[root@localhost users_permission]# echo #anon_upload_enable=YES >> sam

[root@localhost home]# chmod -R 777 virtuser/

在啟用匿名用戶上傳權(quán)限之前可以看到是禁止上傳的，使用sam用戶

開啟匿名用戶上傳功能，使用sam用戶上傳一個(gè)文件

其他的權(quán)限可以使用同樣的方式賦予給用戶。

如有紕漏，歡迎指正。