vsftpd+TLS+MySQL

693579551

　　操作环境(虚拟机):
　　
rhel5.8(光盘源),  IP: 192.168.88.131
　　
vsftpd-2.0.5-24.el5  (yum安装)
　　
openssl-0.9.8e-22.el5  (yum安装)
　　
db4-utils-4.3.29-10.el5_5.2  (yum安装,{可选,待笔者操作时解})
　　
MySQL5.5.28.tar.gz  (源码编译安装)
　　
pam_mysql-0.7RC1.tar.gz  (源码安装,必须项)
　　
setenforce 0  (selinux对vsftpd的管制很严格,本文暂不细说selinux.临时关闭之)
　　物理机(Win7 IP: 192.168.88.1),
　　
测试软件: FlashFXP(windows软件...笔者就不细说了)
　　一.  安装vsftpd.及配置文件一些注释
　　
　　
1.1 基本功能实现
　　

• yum install vsftpd –y
  
• service vsftpd restart
  

　　

　　
　　
1.2 简单配置解说:
　　

　　

• grep –v ‘^#’ /etc/vsftpd/vsftpd.conf   #过滤vsftpd.conf的有效行
  
• anonymous_enable=YES #允许匿名用户
  
• local_enable=YES #允许系统有效用户登陆
  
• write_enable=YES #允许用户写权限,全局
  
• local_umask=022 #本地用户上传文件时的umask值
  
• anon_upload_enable=YES #允许匿名用户上传
  
• anon_mkdir_write_enable=YES #允许匿名用户创建目录
  
• dirmessage_enable=YES   #登录时显示相关目录中,message_file文件的内容,自行创建
  
• xferlog_enable=YES  #开启日志记录,默认日志文件/var/log/vsftpd.log
  
• connect_from_port_20=YES #数据传输端口(vsftpd命令端口为21,此为数据传输端口.)
  
• xferlog_std_format=YES  #使用标准日志记录格式
  
• listen=YES #开启服务器后为监听状态(这不废话吗...)
  
• chroot_local_user=YES  #开启此行,表示所有用户都限制在家目录
  
• chroot_list_enable=YES  #控制用户锁定在家目录(同上行配可实现仅允许,仅限制)
  
• chroot_list_file=/etc/vsftpd/chroot_list #上一行的控制用户写在此文件
  
• pam_service_name=vsftpd #pam模块文件位置.(/etc/pam.d/vsftpd)
  
• userlist_enable=YES  #写在/etc/vsftpd/user_list中的用户禁止登陆
  
• tcp_wrappers=YES  #支持tcp_wrappers(就是/etc/hosts.{deny,allow} 的访问控制支持)
  

　　

　　1.3 不安全的vsftpd测试
　　

• useradd mos1  #创建一个普通测试用户(名: mos1 密码: redhat)
  
• echo “redhat” |passwd –stdin mos1
  
• tcpdump -i eth1 -nn -X tcp port 21 and host 192.168.88.131
  

　　

　　#使用抓包工具,抓取知道网卡IP的指定协议的指定端口数据:
　　
使用物理机登陆ftp时,抓到如下图:
　　

　　二.   实现加密的ftp
　　(PS:请先执行 ldd `which vsftpd`|grep libssl  保证有字符出现!若没有,安装openssl-0.9.8e-22.el5后在检查,这个必须有.)
　　2.1 创建私有CA及其私有证书签发:
　　

　　证书的过程,笔者之前写过,不再罗嗦,超级传送门如下:

openssl个人笔记
　　
  2.2 在配置文件vsftpd.conf中添加对tls的支持
　　

　　

• ssl_enable=YES #支持加密的ftp
  
• allow_anon_ssl=NO   #匿名用户不使用加密连接
  
• force_local_data_ssl=YES  #强制所有本地用户数据加密传输
  
• force_local_logins_ssl=YES  #强制本地用户登陆时账号和密码加密传输
  
• ssl_tlsv1=YES  #支持tlsv1版本
  
• ssl_sslv2=NO  #不支持sslv2版本
  
• ssl_sslv3=NO   #不支持sslv3版本
  
• rsa_cert_file=/etc/vsfpd/ssl/vsftpd.crt  #CA签署csr后的证书,用于传递给客户端
  
• rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key   #私钥文件
  

　　

　　2.3 重启vsftpd服务,在物理机做测试即可,若出现下图,则OK.

　　'

　　三.  vsftpd, tls和MySQL整合.
　　3.1 创建一个普通用户(用于做虚拟用户映射,指定特定目录,给shell为/sbin/nologin即可)
　　

　　

• mkdir –pv /var/testuser
  
  
  
  • useradd -s /sbin/nologin -d /var/testuser guest
    
  
  
• chown -R guest. /var/testuser
  

　　

　　
　　
3.2 先做一个简单的不通过mysql认证的测试,不做可直接跳过3.2所有操作.
　　
    3.2.1 安装文件数据库生成工具,并生成数据库文件
　　

• yum install db4-utils –y
  
• echo -e 'demo1\n123\ndemo2\n456' > /etc/vsftpd/ulist.txt #数据库模板,奇数行用户名,偶数行密码
  
• db_load -T -t hash -f /etc/vsftpd/ulist.txt /etc/vsftpd/ulist.db #生成数据库文件
  

　　

　　
　　
    3.2.2 修改配置pam认证文件(里面的文件不用指定扩展名).
　　

• vim /etc/pam.d/vsftpd
  
• #%PAM-1.0
  
• auth required pam_userdb.so db=/etc/vsftpd/ulist
  
• account required pam_userdb.so db=/etc/vsftpd/ulist
  

　　

　　
　　
    3.2.3 修改vsftpd.conf支持虚拟用户
　　

• vim /etc/vsftpd/vsftpd.conf #追加如下两行
  
• guest_enable=YES
  
• guest_username=guest
  

　　

　　
     Ps:   重启服务,使用用户demo1,密码123 和用户demo2,密码456 登陆测试即可
　　
　　
3.3 使用基于MySQL的认证
　　

　　3.3.1 安装MySQL
　　
   这里笔者偷个懒.笔者的里面第一个就是mysql的编译安装,而且笔者测试时也是使用的这个MySQL,因此,笔者便不再罗嗦啦,超级传送门如下:

LAMPX-AMPX编译安装篇:
　　3.3.2 在MySQL中创建虚拟用户的数据
　　

　　

• mysql>create database vsftpd;
  
• mysql>GRANT SELECT ON vsftpd.* TO 'ftpuser'@'localhost' IDENTIFIED BY '123';
  
• mysql>use vsftpd;
  
• mysql>CREATE TABLE vusers (id INT UNSIGNED NOT NULL AUTO_INCREMENT PRIMARY KEY, Name VARCHAR(30) NOT NULL, Password CHAR(48) NOT NULL);
  
• mysql>INSERT INTO vusers (Name,Password) VALUES ('demo1',password('123')),('demo2',password('123'));
  
• mysq>FLUSH PRIVILEGES;
  
• mysql>\q
  

　　

　　Ps:对上面几条数据库命令做个注释,按顺序:
　　创建名为 vsftpd 的数据库
　　创建一个用户ftpuser,允许其通过localhost使用123密码访问
　　创建一个名字为vusers的表,id为主键,自增,不得为空,其后是Name和密码,都不得为空
　　插入俩数据(测试用户),分别是demo1和demo2,密码123加密存放.
　　刷新权限
　　退出mysql
　　3.3.3编译生成pam_mysql.so模块.
　　
    (Ps: 笔者不推荐使用yum安装MySQL,笔者肯定不会说在其它虚拟机测试时使用yum安装的mysql,编译这个模块一直失败的......笑话,这种事儿能说吗.)
　　

• mkdir –pv /root/work
  
• wget http://down1.chinaunix.net/distfiles/pam_mysql-0.7RC1.tar.gz
  
• tar xf pam_mysql-0.7RC1.tar.gz
  
• cd pam_mysql-0.7RC1
  
• ./configure –with-mysql=/usr/local/mysql
  
• make && make install #编译后请确认/lib/security/pam_mysql.so这个文件存在.
  

　　

　　
　　

　　
3.3.4 编辑pam认证文件
　　

　　

• vim /etc/pam.d/vsftpd
  
• auth required pam_mysql.so user=ftpuser passwd=123 host=localhost db=vsftpd table=vusers usercolumn=Name passwdcolumn=Password crypt=2
  
• account required pam_mysql.so user=ftpuser passwd=123 host=localhost db=vsftpd table=vusers usercolumn=Name passwdcolumn=Password crypt=2
  

　　

　　Ps: 这两行中前面都好说,末尾的crypt加个注释:
　　crypt=0: 明文密码
　　
crypt=1: 使用crpyt()函数(对应SQL数据里的encrypt()，encrypt()随机产生salt)
　　
crypt=2: 使用MYSQL中的password()函数加密 libmysqlclient_r.so.18.0.0