Vsftp搭建（一）与PAM验证 SSL加密 登陆

Vsftp常用参数一览表：

编

参数选项

意义及用法

一、全局配置参数（同样用于本地用户、匿名用户、虚拟用户）

登录信息参数：

 

1

dirmessage_enable=YES

当切换目录时，显示该目录下.message隐藏文件的内容。

默认情况下有message_file=.message

2

ftpd_banner=welcome to simon’s ftp server

当登录服务器成功时显示的banner信息。

3

banner_file=/etc/vsftpd/banner_file

登录服务器成功后显示/etc/vsftpd/banner_file的信息。

4

banner_fail=/etc/vsftpd/banner_fail

登录服务器失败后显示/etc/vsftpd/banner_fail的信息。

l如果设置了ftp_banner=的值，登录服务器将覆盖vsftpd默认的连接后的信息。

l如果同时设置了ftp_banner=和banner_file=，那么banner_file将覆盖ftp_banner=的值。

日志文件参数：(用于开启本地用户匿名用户和虚拟用户的上传和下载的日志功能)

5

xferlog_enable=YES

xferlog_std_format=YES

xferlog_file=/var/log/vsftpd

激活上传和下载日志功能。

启用xferlog格式的日志。

指定日志的存放位置/var/log/vsftpd

性能参数：

6

设置空闲的用户会话中断时间：

idle_session_timeout=600

用户会话闲置10分钟后被中断

7

设置空闲的数据连接中断时间：

data_connection_timeout=120

将在数据连接空闲2分钟后被中断

8

设置客户端空闲时自动中断和激活的连接时间

accept_timeout=60

connect_timeout=60

 

将客户空闲一分钟后自动中断连接

并在中断一分钟后自动激活连接

9

设置被动连接时客户端连接时的端口范围

pasv_min_port=50000

pasv_max_port=60000

 

将客户连接时的端口范围在50000到60000之间。

10

listen=YES

vsftpd处于独立的启动模式下工作。开启ipv4支持

11

listen_port=21   默认21

Vsftpd监听的端口默认为21

12

listen_ipv6=YES

开启ipv6支持。

13

tcp_wrappers=YES

使用tcp_wrappers作为主机的访问控制。

14

pam_service_name=vsftpd

设置使用的pam验证的配置文件名称，默认路径在/etc/pam.d中

15

nopriv_user=ftp |  nobody

指定vsftp服务运行时的账号。

16

ls_recurse_enable=YES |NO 默认 YES

是否允许用户使用ls–R递归列表比较占用系统资源

17

dirlist_enable=YES |NO  默认YES

是否允许用户使用dir、ls之类得列目录命令。

18

download_enable=YES |NO 默认 YES

是否允许用户下载文件

19

write_enable=YES | NO  默认NO

是否允许用户上传（包括本地用户、匿名用户上传的前提条件）

20

local_enable=YES | NO  默认YES

本地用户是否可以访问ftp服务器

21

deny_file={*.exe,*.dll}

设置不允许传输的文件类型{}包括上传下载。

22

max_clients=200

设置最大的连接数量

23

max_per_ip=3

同一IP地址最多的连接数量，超过将被拒绝。

24

use_localtime=YES

是否使用本地时间？默认使用GMT时间，文件时间比中国晚8个小时，建议设置为YES

 二、本地用户配置参数：

25

local_enable=YES | NO 默认 YES

是否允许本地用户访问，默认允许。

26

local_umask=xxxx ( 四位)

1.      不管源文件权限如何，上传后文件根据由xxxx决定。777-xxx

2.      不管源文件权限如何，也不管xxx是否屏蔽1可执行，上传文件都不可执行。上传后的文件永远不可执行。

3.      默认xxx为177（0077）

4.      建立目录权限为700

27

local_max_rate=50000   50k

设置本地用户传输的最大速率（0为不限制）

 囚监本地用户使其不能切换到自家目录外选项：

28

chroot_local_user=YES | NO   默认NO

chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list

是否囚监本地用户使其不能切换到自家目录。（默认可以切换）

表示转折开启囚监列表功能，在列表中的用户可是例外。

囚监列表文件的存放位置。

 

                                             

29

userlist_enable=YES

userlist_deny=YES | NO

userlist_file=/etc/vsftpd/userlist_file指定列表文件

 

是否开启userlist访问控制功能。

列表中的用户是否被禁止访问，YES禁止列表中的用户。NO除列表中用户外都被禁止。当NO时，只有在列表中加入“ftp”匿名用户才可以访问。或加入“anonymous”,anonymous才可以访问。当最终文件拥有者仍为“ftp”用户。

30

local_root=

默认没有此参数，将本地用户引导到自家目录当中，也可加入此参数，指定本地用户来登录后进入其他目录中。

三、匿名用户选项参数：保证1#setsebool–P allow_ftpd_anon_write=1  2#chcon–R–t public_content_rw_t  /var/ftp或第二项#setsebool–p allow_ftpd_full_access=1

31

anonymous_enable=YES |NO 默认YES

匿名用户是否可以访问下载。默认可以

匿名用户上传选项 保证匿名用户有写的权限 如： chmod o+w /var/ftp/pub

32

anon_world_readable_only=YES | NO 默认NO

anon_upload_enable=YES |NO  默认NO

anon_mkdir_write_enable=YES |NO 默认NO

anon_other_write_enable=YES |NO 默认NO

 

匿名用户是否可以上传，默认不可以。

匿名用户是否可以建立目录，默认不可以。

匿名用户是否可以执行删除，重命名等

33

anon_max_rate= 单位B

设置匿名用户传输的最大速率（0为不限制）

34

chown_uploads=YES |NO 默认NO

chown_username=

匿名用户上传文件是否更改文件的拥有者（拥有组仍是FTP）匿名用户建立文件夹，拥有者仍是FTP

更改后的拥有者。

35

anon_umask=xxxx(四位)

同local_umask

四、虚拟用户选项参数：虚拟用户访问前提条件：local_enable=YES默认为NO不管anonymous_enable=YES或NO

36

guest_enable=YES |NO

guest_username=

开启虚拟用户选项

指定虚拟用户执行FTP时，映射成的本地用户

37

user_config_dir=/etc/vsftpd/config设置放置虚拟用户各自的配置文件，以该用户名字命名

38

local_root= 设置虚拟用户各自的家目录

 

虚拟用户其他选项参数由匿名用户的选项参数决定。

五、FTPS配置参数：以下参数除allow_anon_ssl=外 ，其他对本地用和虚拟用户有效,但此参数组写进虚拟用户各自配置文件当中无效（user_config_dir=）

39

ssl_enable=YES | NO 默认NO

ssl_sslv2=YES ssl_sslv3=YES ssl_tlsv1=YES

指定vsftpd支持加密协议

指定vsftpd支持安全套接字层v2,v3,tls加密方式v1

40

force_local_logins_ssl=YES |NO

 强制本地用户和虚拟用户 ssl加密登录

41

force_local_data_ssl=YES | NO

强制本地用户和虚拟用户数据传输用ssl

42

rsa_cert_file=/etc/vsftpd/.sslkey/vsftp.pem

指定证书存放位置

43

allow_anon_ssl=YES |NO

允许匿名用户ssl加密登录

搭建 

 搭建

------------------------

基于SSL加密

（可以应用于任何用户验证。可以利用本博的博文抓包验证）

#mkdir  /etc/vsftpd/.sslkey        //建立存放证书的目录
#cd  /etc/vsftpd/.sslkey           //进入该目录以备建立证书
#openssl  req  –new  -x509  -nodes  -out vsftpd.pem  -keyout  vsftpd.pem  //生成证书，Common Name必须是客户端访问FTP服务器时的FQDN.


#chmod  -R 400  /etc/vsftpd/.sslkey  //保证证书安全，修改证书目录的权限。
在/etc/vsftpd/vsftpd.conf配置文件中添加：
ssl_enable=YES   ssl_sslv2=YES   ssl_sslv3=YES   ssl_tlsv1=YES
force_local_logins_ssl=YES   force_local_data_ssl=YES
rsa_cert_file=/etc/vsftpd/.sslkey/vsftpd.pem
#service  vsftpd  restart

------------------------

基于mysql验证

#setsebool –P ftp_connect_db=1
 mysql正常运行需要per-*软件包的支持
 pam_mysql需要安装mysql_devel
 


 

#useradd –d /var/ftp/vuser  -s /sbin/nologin    //在系统中增加一个本地用户vuser。

#chmod o+rwx /var/ftp/vuser    //让数据库中虚拟用户test1和test2具有可读写执行权限。
在vsftpd配置文件中加入两条：
guest_enable=YES     //允许虚拟用户登录
guest_username=vuser //把test1,test2虚拟用户映射成本地用户vuser.
(虚拟用户访问服务器必须保证前提条件local_enable=YES默认为NO,与anonymous_enable=是否为NO无关，
虚拟用户要上传文件必须保证前提条件write_enable=YES,虚拟用户的特殊参数user_config_dir=,在各自的配置文件中可以加入一条本地用户配置参数local_root=和userlist(chroot选项不起作用，虚拟用户不可以切换到虚拟目录外的目录)，其它参数由匿名用户的各个参数和全局配置参数与决定如：
anon_umask= ,anon_upload_enable=,anon_mkdir_write=,anon_other_write_enable=)。


源码编译安装pam_mysql.模块路径为/usr/lib/security/pam_mysql.so


编辑/etc/pam.d/vsftpd注释掉原来的参数选项，添加：
auth    required  /usr/lib/security/pam_mysql.so  user=simon passwd=redhat host=loclahost db=vftpuser
table=users usercolumn=name passwdcolumn=pwd crypt=2
account required  /usr/lib/security/pam_mysql.so  user=simon passwd=redhat host=loclahost db=vftpuser
table=users usercolumn=name passwdcolumn=pwd crypt=2

------------------------

PAM_MYSQL 验证登陆实验

OS: Red Hat Enterprise Linux Server release 6.3 (Santiago) 64位系统
Network: 192.168.1.33/ 255.255.0.0
内核: 2.6.32-279.el6.x86_64
数据库: mysql-5.1.61-4.el6.x86_64
FTP服务器: vsftpd-2.2.2-11.el6.x86_64
相关联的其它软件：mysql-devel-5.1.61-4.el6.x86_64   pam-devel-1.1.1-10.el6_2.1.x86_64 
gcc-4.4.6-4.el6.x86_64            gcc-c++-4.4.6-4.el6.x86_64
注：本次实验系统配置基本上是默认安装，所需软件系统自带，除pam_mysql-0.7RC1.tar.gz另外下载，SELinux禁用，防火墙通过FTP功能。


第一步：安装pam_mysql
首先要说下，pam_mysql 在 RHEL6.3里目前还没有加入，需要自行编译.准备编译环境并编译 pam_mysql.so （mysql-devel pam-devel gcc gcc-c++系统默认安装自带）
wget http://prdownloads.sourceforge.net/pam-mysql/pam_mysql-0.7RC1.tar.gz
#tar zxvf pam_mysql-0.7RC1.tar.gz
#cd pam_mysql-0.7RC1
#./configure
#make   
#make install
编译完的 pam_mysql.so 放在 /lib/security 下是 pam 的默认路径。
64位系统的所有pam模块都在/lib64/security/
#ln /lib/security/pam_mysql.* /lib64/security/    要做成硬链接


第二步：创建数据库信息
[root@shinegoo /]# service mysqld start   启动数据库服务器
[root@shinegoo /]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 2
Server version: 5.1.61 Source distribution
Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights reserved.
Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners. 
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
1、建立数据库
mysql> create database vsftp;
Query OK, 1 row affected (0.02 sec)
2、创建用户权限
mysql> grant all privileges on vsftp.* to virtual@"%" identified by '123456';
Query OK, 0 rows affected (0.00 sec)
切换数据库
mysql> use vsftp;
Database changed
3、创建用户帐号数据表
mysql> create table account (
-> id INT NOT NULL AUTO_INCREMENT PRIMARY KEY,
-> name VARCHAR(128) NOT NULL UNIQUE,
-> passwd VARCHAR(128) NOT NULL
-> )engine=myisam;  // engine=myisam是性能极高的引擎，支持全文本搜索，不支持事务。
Query OK, 0 rows affected (0.10 sec)
4、创建日志记录表，记录用户访问信息
mysql> create table log (
    -> msg varchar(128),
    -> user varchar(128),
    -> pid int,
    -> host varchar(128),
    -> rhost varchar(128),
    -> time timestamp
    -> )engine=innodb;  // engine=innodb支持事务处理，不支持全文本搜索，以上两项可不要。
Query OK, 0 rows affected (0.08 sec)
5、创建触发器，自动把更新的密码用 md5 加密方式加密（本次配置下没创建，因为md5不是很稳定！）
mysql> CREATE TRIGGER trigger_format_passwd （注删除：drop trigger trigger_format_passwd）
-> BEFORE INSERT
-> ON account
-> FOR EACH ROW
-> SET NEW.passwd = md5(NEW.passwd);
Query OK, 0 rows affected (0.00 sec)
mysql> CREATE TRIGGER trigger_format_passwd_update （注删除：drop trigger 触发器名）
-> BEFORE UPDATE
-> ON account
-> FOR EACH ROW
-> SET NEW.passwd = md5(NEW.passwd);
Query OK, 0 rows affected (0.00 sec) 
mysql> quit
Bye
第三步：创建 pam 认证规则内容(注: 只能有两行不能有空格)
[root@shinegoo pam.d]# vim vsftpd_mysql    建vsftpd_mysql文件名
[root@shinegoo pam.d]# cat /etc/pam.d/vsftpd_mysql
auth required /lib64/security/pam_mysql.so user=virtual passwd=123456 host=192.168.1.33 db=vsftp table=account usercolumn=name passwdcolumn=passwd crypt=0 sqllog=true logtable=log logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=time verbose=1
account required /lib64/security/pam_mysql.so user=virtual passwd=123456 host=192.168.1.33 db=vsftp table=account usercolumn=name passwdcolumn=passwd crypt=0 sqllog=true logtable=log logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=time verbose=1


[root@localhost pam.d]#
user:连接 mysql 的用户
passwd:连接 mysql 的用户密码
host:mysql 服务器地址，格式可以是ip ip:port unix socket,比如/tmp/mysql.sock
db:存放 vsftp 验证信息的数据库
table:用户信息表
usercolumn:用户信息表用户名列
passwdcolumn:用户信息表密码列
logtable:日志表
logmsgcolumn:日志表消息列，记录日志消息主体。
logusercolumn:日志表用户列，记录访问 ftp 的用户。
logpidcolumn:日志表 pid 列，记录调用 pam_mysql.so 的进程的pid。
loghostcolumn:日志表 host 列，记录 ftp 服务器 ip。
logrhostcolumn:日志表 rhost 列，记录 ftp 客户端 ip.
logtimecolumn:日志表时间列，记录用户访问的时间。
crypt:加密方式，一共支持
0 / plain 明文密码。
1 / Y crypt 加密方式，在 mysql 查询语句中对应 encrypt 函数。
2 / mysql passwd 加密方式，在 mysql 查询语句中对应 password 函数。
3 / md5 md5 加密方式，在 mysql 查询语句中对应 md5 函数。
4 / sha1 sha1 加密方式，在 mysql 查询语句中对应 sha1 函数。
如果 RHEL6.3 上要使用 3 方式进行加密，务必把/etc/my.cnf 里面的 old_passwords=1 改成 old_passwords=0，否则 mysql 会使用老的加密算法，导致和 pam_mysql.so 密码验证不成功。
上面配置我不做过多解释。大家请看 pam_mysql 的 README，有很详尽的解释。
#chmod 600 vsftpd_mysql   //（注：vsftpd_mysql 含有密码信息，所以务必修改权限！）
#chown root.root vsftpd_mysql
第四步：创建虚拟用户
useradd -d /home/virtual -s /sbin/nologin virtual
chown –R virtual.virtual /home/virtual/ virtual
chmod  -R 700 /home/virtual


第五步：修改 vsftpd 配置文件，指定由pam 配置文件来进行用户身份验证
/etc/vsftpd/vsftpd.conf的配置如下
anonymous_enable=NO 
local_enable=YES    //允许本地用户访问(/etc/passwd中的用户)
write_enable=NO   //控制是否允许使用任何可以修改文件系统的FTP 的指令
local_umask=022 
dirmessage_enable=YES
message_file=.message          //目录提示信息的内容文件 
xferlog_enable=YES 
xferlog_std_format=YES 
connect_from_port_20=YES 
listen=YES 
#listen_port=21   //绑定到某个端口
#ftp_data_port=20   //数据传输端口
pam_service_name=vsftpd_mysql 
guest_enable=YES 
guest_username=virtual
user_config_dir=/etc/vsftpd/user_config 
userlist_enable=YES 
ftpd_banner=Welcome to 先谷科技 FTP service.
#chroot_local_user=YES  //限制用户在自己的主目录 整个其它目录都不能看到 全局性
#ls_recurse_enable=NO    //使用ls -R命令会消耗大量系统资源
#one_process_model=YES    //是否使用单进程模式，此项只有anonymous_enable=NO时才不会出错
idle_session_timeout=120   //空闲连接超时
data_connection_timeout=300    //数据传输超时
accept_timeout=60       //PAVS请求超时
connect_timeout=60      //PROT模式连接超时 
reverse_lookup_enable=NO  //解决登陆验证缓慢问题.〈新加进去的没实际测试过2011/12/15〉
anon_max_rate=2000000    //匿名用户的传输比率 (b/s) （2M）
local_max_rate=500000000   //本地用户的传输比率(b/s) (500M) 虚拟用户
max_clients=200    //可接受的最大client数目
max_per_ip=4    //每个ip的最大client数目
tcp_wrappers=YES
[root@localhost vsftpd]# service vsftpd start    重启 ftp 服务
Starting vsftpd for vsftpd: [ OK ]
[root@localhost vsftpd]#
第六步：添加用户权限配置文件
[root@shinegoo vsftpd]# mkdir user_config   //在目录下/etc/vsftpd/建立存放用户配置文件夹
[root@shinegoo vsftpd]#cd user_config
[root@shinegoo user_config]# vim admin (编辑用户权限）
#local_root=/mdraid5
#write_enable=YES
#anon_upload_enable=YES    //控制匿名用户文件上传, 只有在write_enable=YES时，此项才有效
#anon_mkdir_write_enable=YES  //控制文件夹的创建, 只有在write_enable=YES时，此项才有效
#anon_other_write_enable=YES  //控制对文件和文件夹的删除和重命名
#anon_world_readable_only=YES //文件下载, 具有全球读权限的文件（非目录）可以下载到本机阅读
#virtual_use_local_privs=YES  //加上这句用户能看到目录和文件显示信息
#chmod_enable=YES
#file_open_mode=0775  //上传档案的权限，与chmod 所使用的数值相同。如果希望上传的文件可以执行，设此值为0777。默认值为0666。
#local_max_rate=500000000  //本地用户的传输比率(b/s) (500M) 虚拟用户
第七步：创建用户数据添加用户名和密码
[root@shinegoo user_config]# mysql -u root –p
mysql> use vsftp;
mysql> insert into account (name, passwd) values ("admin", "12345678"); 
Query OK, 1 row affected (0.00 sec)
mysql> select * from account;
+----+-------+----------+
| id | name  | passwd   |
+----+-------+----------+
|  1 | admin | 12345678 |
+----+-------+----------+
1 row in set (0.00 sec) 
mysql> quit
Bye
第八步：测试登录
[root@shinegoo user_config]# ftp 192.168.1.33
Connected to 192.168.1.33
220 Welcome 
530 Please login with USER and PASS.
Name (192.168.1.33:root): admin
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> 
ftp>
第九步：查看日志
[root@shinegoo vsftpd]# mysql -u root -p
mysql> use vsftp;
mysql> select * from log;
+------------------------------------+-------+------+-----------+--------------+---------------------+
| msg                                | user  | pid  | host      | rhost        | time                |
+------------------------------------+-------+------+-----------+--------------+---------------------+
| AUTHENTICATION FALURE (FIRST_PASS) | admin | 5854 | (unknown) | 172.31.0.110 | 2012-08-11 11:56:57 |
| AUTHENTICATION SUCCESS             | admin | 5854 | (unknown) | 172.31.0.110 | 2012-08-11 11:56:57 |
| QUERYING SUCCESS                   | admin | 5854 | (unknown) | 172.31.0.110 | 2012-08-11 11:56:57 |
+------------------------------------+-------+------+-----------+--------------+---------------------+
3 rows in set (0.00 sec) 
mysql> 
系统管理
OS:系统用户名 root 
密码：1
Mysql数据库：用户名root和vsftp
密码：空  和123456（virtual虚拟用户）
VSFTPD管理员：admin 
密码：12345678