用PAM_MySQL配置vsftpd

用PAM_MySQL配置vsftpd

 

本篇博客主要讲解如何使用pam_mysql来配置vsftpd，前提是你已经安装好了mysql及其他的一些服务，如果没有请先参看网络上的其他教程。本文重点介绍pam_mysql的安装和配置，以及vsftpd配置文件的修改，期间的所有软件请自己下载，这里使用的pam_mysql是pam_mysql-0.7RC1。系统平台是CentOS5.6，下面进入正题——

安装pam_mysql。在这里使用的是pam_mysql-0.7RC1。

[root@localhost pam_mysql-0.7RC1]# ./configure --with-openssl --with-mysql

可能会提示错误：  www.2cto.com  

configure: error: Cannot locate mysql client library. Please check your mysql installation.

 

解决方法：确保你已经安装mysql client library，否则安装之，然后

[root@localhost pam_mysql-0.7RC1]# ln -s /usr/local/mysql/include/mysql /usr/include/mysql

[root@localhost pam_mysql-0.7RC1]# ln -s /usr/local/mysql/lib/mysql /usr/lib/mysql

[root@localhost pam_mysql-0.7RC1]# ln -s /usr/include/openssl/md5.h /usr/include/md5.h

         (这一步之前如果没有安装openssl，则要安装openssl开发包, yum install openssl-devel )

   www.2cto.com  

完成已成操作，执行以下命令完成pam_mysql的安装：

[root@localhost pam_mysql-0.7RC1]# ./configure --with-openssl=/usr --with-mysql=/usr

[root@localhost pam_mysql-0.7RC1]# make && make install

 

安装成功后，检查/lib/security下是否存在pam_mysql.so。

　　

　　2. 安装 vsftpd 。这一步有各种安装方法,请参看网络上的教程,个人认为比较方便的是：

[root@localhost]yum -y install vsftpd

 

　　3. 配置vsftpd，使用mysql来存储虚拟用户。

最详细最准确的方法请查看pam_mysql 源码（你自己所下载的软件源码），貌似不同的版本的配置方法略有差异，个人一开始就被网络上的教程给误导了一晚上（crypt方式的代码不一致，有的上面写md5加密的代码是4，但我所安装的pam_mysql使用md5加密的代码是3，在README文档里可以找到），但大致思路是一致的。在这里我们假设vsftpd已经安装好，下面阐述一下我的安装思路。
 

1)       建立存储虚拟用户信息和日志使用的mysql 数据库。

  www.2cto.com  

 1 mysql> create database vsftpd;

 2 

 3 mysql> use vsftpd;

 4 

 5 mysql> create table users (

 6     -> id int AUTO_INCREMENT NOT NULL,

 7     -> name char(16) binary NOT NULL,

 8     -> passwd char(48) binary NOT NULL,

 9     -> primary key(id)

10     -> );

11 

12 mysql> create table logs (msg varchar(255),

13     -> user char(16),

14     -> pid int,

15     -> host char(32),

16     -> rhost char(32),

17     -> logtime timestamp

18     -> );

  www.2cto.com  

添加vsftpd虚拟用户的方法，就是直接在users表中插入记录即可。

1)       配置pam认证。

a)         添加/etc/pam.d/vsftpd.mysql。vsftpd.mysql这个文件名是可以任意取的，只用在vsftpd的配置文件中指明即可。在该文件中添加以下配置信息：

 

auth    required        /lib/security/pam_mysql.so config_file=/etc/security/pam_mysql.conf

account     required      /lib/security/pam_mysql.so config_file=/etc/security/pam_mysql.conf

以上信息，auth之后，account之前的内容攻占一行，剩下的内容占一行，这里知名了pam的库文件的位置，请根据你的配置自行修改；config_file知名pam_mysql的配置文件， 这样的配置方式貌似是在 pam_mysql-0.7RC1之后的版本才支持，如果不支持这种方式请使用经典配置方式，直接在vsftpd.mysql中编辑pam_mysql的配置信息如下：

 

auth   required     /lib/security/pam_mysql.so user=root passwd=1123 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd crypt=3 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1

account  required   /lib/security/pam_mysql.so user=root passwd=1123 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd crypt=3 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1

同样，auth占一行，account占一行。

  www.2cto.com  

b)         如果上一步不是使用经典配置方式，则需要创建/etc/security/pam_mysql.conf(根据个人配置，自行决定该文件的位置)，编辑pam_mysql认证的配置信息.(pam_mysql源码中的README写得很清楚，这里我就只写出我的配置内容)：

 

users.host=localhost

users.database=vsftpd

users.db_user=root

users.db_passwd=1123

users.table=users

users.user_column=name

users.password_column=passwd

users.password_crypt=3

verbose=1

log.enabled=1

log.table=logs

log.message_column=msg

log.pid_column=pid

log.user_column=user

log.host_column=host

log.rhost_column=rhost

log.time_column=logtime

 

c)         至此pam的认证配置基本完成，下面修改vsftpd的配置。

2)       配置vsftpd。如果你是使用 yum install vsftpd，则vsftpd的配置文件默认在 /etc/vsftpd/目录下,我们在这里主要修改 vsftpd.conf这个文件。

Ps一下：vsftpd可以拥有多个配置文件，vsftpd的实例数=配置文件数。

前提：你已经安装好vsftpd,并为vsftpd建立好了虚拟用户virtual_user

主要配置一下选项(没有的请添加):

  www.2cto.com  

#start

anonymous_enable=NO

local_enable=YES

pam_service_name=vsftpd.mysql

userlist_enable=YES

tcp_wrappers=YES

guest_enable=YES

guest_username=virtual_user

user_config_dir=/etc/vsftpd/virtual_user_conf

#over

 

说明：

pam_service_name就是上一步中pam_mysql认证所需要的配置文件。

guest_enable=YES

guest_username=virtual_user

这两句是说开启虚拟用户认证，并指定虚拟用户映射的系统本地用户为virtual_user。

user_config_dir=/etc/vsftpd/virtual_user_conf

指明vsftpd虚拟用户权限信息配置目录,每个虚拟用户对应一个配置文件。
 

3)       填写vsftpd虚拟用户权限配置信息。

内容如下 

  www.2cto.com  

local_root=/var/www 

write_enable=YES 

download_enable=YES

anon_world_readable_Only=NO

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

local_umask=022

 

4. 在mysql中相应表中添加虚拟用户信息，重启vsftpd,调试vsftpd的登录。

在此过程中不一定会成功，如果你按照以上步骤进行了配置，技术上是不存在问题的，成不成功就要看人品了。

Ps: 调试过程中可以查看/var/log/messages里面的错误信息，以便快速诊断问题。