vsftpd如何用PAM去认证用户

2023-04-25 21:29:31 浏览数 (1)

关于“vsftpd如何用PAM去认证用户”的知识有一些人不是很理解,对此小编给大家总结了相关内容,具有一定的参考借鉴价值,而且易于学习与理解,希望能对大家有所帮助,有这个方面学习需要的朋友就继续往下看吧。

vsftpd可能是世界上最好的ftpd。它在linux世界非常流行,安全,性能高。 本文的目的是让PgSQL存储你的vsftp的虚拟用户和密码,通过一个叫做pam的来认证。 零、简述PAM原理。 如果你已经对pam有所了解,请跳过,我知道的可能还不如你多。你不感兴趣也请跳过,因为不看这个也可配置。 代码: 用户 vsftpd PAM模块 用户和密码数据库 vsftpd用了一种很聪明同时也是unix/linux规范的方法来认证用户,就是PAM。大家对于PAM,也许有些陌生,但是一直在用。所谓PAM,英文是:Pluggable Authentication Modules,可拔插认证模块(不知道这样翻译对不对)。看见plug这个关键字,就知道是很灵活的。 现在几乎所有daemon程序一般都是用PAM来进行认证的,包括telnet/sshd/imapd,甚至你的login,都是用PAM。在 fbsd 4上的朋友,你可以打ps -ax|grep pam,你会发现login了多少个控制台,就会有多少个写着pam的进程。 PAM的最大好处是灵活。它不管你的用户和密码用什么数据格式存储(数据库也好,通常用的密码文件也好),只要有相应的PAM模块就可以存储。比如说,大家不仅可以用vsftpd PgSQL做用户登陆验证,只要你喜欢你还可以用MySQL,Oracle,LDAP数据库存储用户数据,只要有相应的PAM就可以。所有的daemon 都可以用一个后台数据库来做用户验证登陆,包括telnet/sshd等等。 pam的配置机制在不同版本的freebsd上有差异。 freebsd-4放在/etc/pam.conf,一个文件记录所有pam服务。 freebsd-5放在/etc/pam.d,/usr/local/etc/pam.d。每个pam服务由一个独立的文件记录。 本文不打算详细叙述PAM的配置。PAM的配置不是很难,毕竟,只是要你配置一些参数,不是叫你开发一个pam模块出来。而且本文的篇幅所限,偶刚刚知道的一点东西希望能够起到抛砖引玉的作用。等偶对pam再玩得深入和熟一点的时候,再写一篇关于深入一点关于pam的东东? 准备开始:提要 简单讲讲要用到的配置文件的作用。 引用: /etc/pam.conf #pam服务的配置 /etc/pam_pgsql.conf #pam_pgsql.so的配置 /usr/local/etc/vsftpd.conf #vsftpd的配置 一、安装vsftpd,PostgreSQL,pam_pgsql。 我都是使用port来安装的,请大家用port/package来安装,不要自己下载源码来编译,否则可能根据本文的方法可能无法正常使用。其中vsftpd和pam-pgsql一定要用port/package来安装。 以下是他们的port目录: 引用: /usr/ports/ftp/vsftpd /usr/ports/databases/postgresql7 /usr/ports/security/pam-pgsql 安装:只要cd进去,然后make install就OK了。 二、PostgreSQL安装(如果你已经有了PostgreSQL,不需要看这一节) 简单提提用port来装PostgreSQL的过程,因为BSD版上的装PgSQL的方法都是自己下载源码编译的。我是用port来编译安装,因为这是fbsd推荐的安装方法,而且安装的软件会根据bsd的hier(目录结构)来安装,比较便于管理。 当用port来安装好PostgreSQL,默认的数据库管理用户是pgsql(port里头的安装程序自动添加的),其他系统默认的是postgres。初始化PostgreSQL的程序如下: 1、初始数据库。请先用root登陆或者su到root。然后,打命令: 代码: # su pgsql # initdb 正常初始化的应该有以下提示: 引用:

代码语言:javascript复制
This database system will be initialized with username "pgsql".
This user will own all the data files and must also own the server process.
Creating directory /usr/local/pgsql/data
Creating directory /usr/local/pgsql/data/base
Creating directory /usr/local/pgsql/data/global
Creating directory /usr/local/pgsql/data/pg_xlog
Creating template1 database in /usr/local/pgsql/data/base/1
[snip]
Success. You can now start the database server using:
/usr/local/bin/postmaster -D /usr/local/pgsql/data
or
/usr/local/bin/pg_ctl -D /usr/local/pgsql/data -l logfile start

2、启动PostgreSQL 代码: # /usr/local/etc/rc.d/010.pgsql.sh start 更多详细的帮助,请看freebsddiary上面的一篇用port来安装PostgreSQL的文章,全英文。 http://www.freebsddiary.org/postgresql.php 三、设定用户数据库。 我是PgSQL的初学者,命令行用得不熟,因而要借助phpPgAdmin来管理数据库。 1、先创建一个数据库,叫做mydb。 2、建立一个数据表叫做ftp,用来存储用户名和帐号。这个数据表的结构是pam_pgsql模块规定的最简单的表了,每一个字段都是必须的,你可以扩展这个表的结构,但是不要删除这些字段。我导出了一个SQL脚本,方便大家创建。 代码:

代码语言:javascript复制
CREATE TABLE "ftp" (
 "ID"                int4 DEFAULT nextval('public."ftp_ID_seq"')  NOT NULL ,
 "usr"               varchar(32) NOT NULL ,
 "pass"              varchar(32) NOT NULL ,
 "expired"           bool DEFAULT false  NOT NULL ,
 "newtok"            bool DEFAULT false  NOT NULL
);

请创建一些用户,方便调试: 这是我的ftp表,这些记录名字都是随便起的。但请注意只有expired为f(假)的可以成功登陆。 代码:

代码语言:javascript复制
 ID |   usr   |  pass   | expired | newtok
  1 | ftp     | ftp     | f       | f
 
   2 | ftp1    | ftp1    | t       | t
 
   4 | ftp3    | ftp3    | f       | f
 
   6 | go      | abcdef  | f       | f
 
   3 | ftp2    | ftp2    | f       | f
 
   5 | downftp | downftp | f       | f

3、创建一个pgsql用户叫做pamusr,密码也是pamusr。赋予pamusr对于ftp表的select权限,注意select就够了。pam_pgsql只是读数据表,而不是修改它。你也可以用其他用户,比如管理PgSQL的pgsql/postgres用户,但是从安全角度着想,建一个专门提供给pam_pgsql的弱权限的用户更好! 备注: 数据库,数据表,用户名都不必跟我一样,pam_pgsql没有规定,但是这些设定,必须跟pam_pgsql的配置文件/etc/pam_pgsql.conf的一致。 四、设定pam_pgsql模块:编辑/etc/pam_pgsql.conf 在/etc/pam.conf里头加上以上的几行,更多的资料参考/usr/local/share/doc/pam-pgsql/README 代码:

代码语言:javascript复制
 #host = 127.0.0.1  这个不需要,默认是本地连接的。如果要连接远程服务器,请设置你的IP,并且去掉#
 
 database = mydb
 
 user = pamusr  #刚才添加的访问PgSQL的用户
 
 password = pamusr #访问PgSQL的密码
 
 table = ftp
 
 user_column = usr     #用户名在数据表中的字段
 
 pwd_column = pass     #用户密码在数据表中的字段
 
 expired_column = expired  #用户是否已经过期的字段名
 
 newtok_column = newtok    #用户是否需要修改密码的字段
 

五、设置pam服务。在/etc/pam.conf,加入以下几项 代码:

代码语言:javascript复制
 # service-name  module-type     control-flag    module-path  argument
 
 vsftpd    auth          required        pam_pgsql.so  #
 
 vsftpd   account        required        pam_pgsql.so #
 
 vsftpd    password      required        pam_pgsql.so#

注意这里的service name为vsftpd,这不是必须的。前提是不要跟pam.conf已经有的service name冲突。vsftpd.conf中的pam_service_name一项要跟这里的service name对应。 关于freebsd-5的PAM的配置 在freebsd-5中的pam配置机制,跟freebsd-4有不同。你应该在/etc/pam.d或者/usr/local/etc/pam.d里头建立一个名位vsftpd的文件,内容跟上面的内容一样。本人在fbsd 5-current上尝试过配置,但总不成功,无论是pam_pgsql还是pam_mysql,总是提示说找不到这些pam。google了一下,发现这个错误好像是fbsd 5-current的bug 六、配置vsftpd。这个是参考vsftpd虚拟用户设置1的官方文档进行配置的 1、用adduser增加一个用户,名为virtual。 2、配置/usr/local/etc/vsftpd.conf 代码:

代码语言:javascript复制
 anonymous_enable=NO
 
 local_enable=YES
 
 write_enable=NO
 
 anon_upload_enable=NO
 
 anon_mkdir_write_enable=NO
 
 anon_other_write_enable=NO
 
 chroot_local_user=YES
 
 guest_enable=YES
 
 dual_log_enable=YES
 
 guest_username=virtual   #我们刚才增加的本地用户,虚拟用户将会享有这个名为virtual本地用户的权限。
 
 pam_service_name=[color=red]vsftpd[/color]  # 这个就是我在pam.conf里头设置的pam服务的名称,没有这一项,vsftpd是用名为ftp的pam服务。
 
 listen=YES
 
 secure_chroot_dir=/usr/local/share/vsftpd/empty   #请加上这一项,vsftpd默认的secure_chroot_dir是/usr/share/empty,用port安装的话,不会自动创建这个目录,而是放在/usr/local/share/vsftpd/empty。当然你也可以自己创建一个

目录。 七、调试 用standalone的方法来启动vsftpd,不要用inetd。 代码: /usr/local/libexec/vsftpd 或者 /usr/local/libexec/vsftpd 配置文件名(如vsftpd.conf.1, vsftpd.conf.2) 一般他是搜索/usr/local/etc目录,如果你放在其他地方就要写上完整的路径。 如果没有没有出什么提示证明vsftpd启动成功。实践中,我常常出现的错误是没有用root来启动vsftpd,或者chroot路径不对。 下面ftp试试 代码:

代码语言:javascript复制
> ftp 192.168.1.10
 
 Connected to 192.168.1.10.
 
 220 (vsFTPd 1.2.0)
 
 Name (192.168.1.10:powerplane): downftp
 
 331 Please specify the password.
 
 Password:
 
 230 Login successful.
 
 Remote system type is UNIX.
 
 Using binary mode to transfer files.
 
 yeah,成功了。

总结 想要配置vsftpd 其他的PAM认证方法,本文都可做参考。当然,你可能会修改有关pam.conf的设置了。 freebsd的port里头除了有pam_pgsql的模块以外,还有pam_mysql,pam_ldap的。 一般都是放在/usr/ports/security 以上就是关于“vsftpd如何用PAM去认证用户”的介绍了,感谢各位的阅读

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:zbxhhzj@qq.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。 转载本站文章请保留原文链接,如文章内说明不允许转载该文章,请不要转载该文章,谢谢合作。

0 人点赞