vsftpd如何用PAM去认证用户

Admin 2023-02-10 群英技术资讯 750 次浏览

关于“vsftpd如何用PAM去认证用户”的知识有一些人不是很理解,对此小编给大家总结了相关内容,具有一定的参考借鉴价值,而且易于学习与理解,希望能对大家有所帮助,有这个方面学习需要的朋友就继续往下看吧。


vsftpd可能是世界上最好的ftpd。它在linux世界非常流行,安全,性能高。
本文的目的是让PgSQL存储你的vsftp的虚拟用户和密码,通过一个叫做pam的来认证。
零、简述PAM原理。
如果你已经对pam有所了解,请跳过,我知道的可能还不如你多。你不感兴趣也请跳过,因为不看这个也可配置。
代码:
用户 vsftpd PAM模块 用户和密码数据库
vsftpd用了一种很聪明同时也是unix/linux规范的方法来认证用户,就是PAM。大家对于PAM,也许有些陌生,但是一直在用。所谓PAM,英文是:Pluggable Authentication Modules,可拔插认证模块(不知道这样翻译对不对)。看见plug这个关键字,就知道是很灵活的。
现在几乎所有daemon程序一般都是用PAM来进行认证的,包括telnet/sshd/imapd,甚至你的login,都是用PAM。在 fbsd 4上的朋友,你可以打ps -ax|grep pam,你会发现login了多少个控制台,就会有多少个写着pam的进程。
PAM的最大好处是灵活。它不管你的用户和密码用什么数据格式存储(数据库也好,通常用的密码文件也好),只要有相应的PAM模块就可以存储。比如说,大家不仅可以用vsftpd + PgSQL做用户登陆验证,只要你喜欢你还可以用MySQL,Oracle,LDAP数据库存储用户数据,只要有相应的PAM就可以。所有的daemon 都可以用一个后台数据库来做用户验证登陆,包括telnet/sshd等等。
pam的配置机制在不同版本的freebsd上有差异。
freebsd-4放在/etc/pam.conf,一个文件记录所有pam服务。
freebsd-5放在/etc/pam.d,/usr/local/etc/pam.d。每个pam服务由一个独立的文件记录。
本文不打算详细叙述PAM的配置。PAM的配置不是很难,毕竟,只是要你配置一些参数,不是叫你开发一个pam模块出来。而且本文的篇幅所限,偶刚刚知道的一点东西希望能够起到抛砖引玉的作用。等偶对pam再玩得深入和熟一点的时候,再写一篇关于深入一点关于pam的东东?
准备开始:提要
简单讲讲要用到的配置文件的作用。
引用:
/etc/pam.conf #pam服务的配置
/etc/pam_pgsql.conf #pam_pgsql.so的配置
/usr/local/etc/vsftpd.conf #vsftpd的配置
一、安装vsftpd,PostgreSQL,pam_pgsql。
我都是使用port来安装的,请大家用port/package来安装,不要自己下载源码来编译,否则可能根据本文的方法可能无法正常使用。其中vsftpd和pam-pgsql一定要用port/package来安装。
以下是他们的port目录:
引用:
/usr/ports/ftp/vsftpd
/usr/ports/databases/postgresql7
/usr/ports/security/pam-pgsql
安装:只要cd进去,然后make install就OK了。
二、PostgreSQL安装(如果你已经有了PostgreSQL,不需要看这一节)
简单提提用port来装PostgreSQL的过程,因为BSD版上的装PgSQL的方法都是自己下载源码编译的。我是用port来编译安装,因为这是fbsd推荐的安装方法,而且安装的软件会根据bsd的hier(目录结构)来安装,比较便于管理。
当用port来安装好PostgreSQL,默认的数据库管理用户是pgsql(port里头的安装程序自动添加的),其他系统默认的是postgres。初始化PostgreSQL的程序如下:
1、初始数据库。请先用root登陆或者su到root。然后,打命令:
代码:
# su pgsql
# initdb
正常初始化的应该有以下提示:
引用:
This database system will be initialized with username "pgsql".
This user will own all the data files and must also own the server process.
Creating directory /usr/local/pgsql/data
Creating directory /usr/local/pgsql/data/base
Creating directory /usr/local/pgsql/data/global
Creating directory /usr/local/pgsql/data/pg_xlog
Creating template1 database in /usr/local/pgsql/data/base/1
[snip]
Success. You can now start the database server using:
/usr/local/bin/postmaster -D /usr/local/pgsql/data
or
/usr/local/bin/pg_ctl -D /usr/local/pgsql/data -l logfile start
2、启动PostgreSQL
代码:
# /usr/local/etc/rc.d/010.pgsql.sh start
更多详细的帮助,请看freebsddiary上面的一篇用port来安装PostgreSQL的文章,全英文。
http://www.freebsddiary.org/postgresql.php
三、设定用户数据库。
我是PgSQL的初学者,命令行用得不熟,因而要借助phpPgAdmin来管理数据库。
1、先创建一个数据库,叫做mydb。
2、建立一个数据表叫做ftp,用来存储用户名和帐号。这个数据表的结构是pam_pgsql模块规定的最简单的表了,每一个字段都是必须的,你可以扩展这个表的结构,但是不要删除这些字段。我导出了一个SQL脚本,方便大家创建。
代码:
CREATE TABLE "ftp" (
 "ID"                int4 DEFAULT nextval('public."ftp_ID_seq"')  NOT NULL ,
 "usr"               varchar(32) NOT NULL ,
 "pass"              varchar(32) NOT NULL ,
 "expired"           bool DEFAULT false  NOT NULL ,
 "newtok"            bool DEFAULT false  NOT NULL
);
请创建一些用户,方便调试:
这是我的ftp表,这些记录名字都是随便起的。但请注意只有expired为f(假)的可以成功登陆。
代码:
 ID |   usr   |  pass   | expired | newtok

 1 | ftp     | ftp     | f       | f
  2 | ftp1    | ftp1    | t       | t
  4 | ftp3    | ftp3    | f       | f
  6 | go      | abcdef  | f       | f
  3 | ftp2    | ftp2    | f       | f
  5 | downftp | downftp | f       | f
3、创建一个pgsql用户叫做pamusr,密码也是pamusr。赋予pamusr对于ftp表的select权限,注意select就够了。pam_pgsql只是读数据表,而不是修改它。你也可以用其他用户,比如管理PgSQL的pgsql/postgres用户,但是从安全角度着想,建一个专门提供给pam_pgsql的弱权限的用户更好!
备注:
数据库,数据表,用户名都不必跟我一样,pam_pgsql没有规定,但是这些设定,必须跟pam_pgsql的配置文件/etc/pam_pgsql.conf的一致。
四、设定pam_pgsql模块:编辑/etc/pam_pgsql.conf
在/etc/pam.conf里头加上以上的几行,更多的资料参考/usr/local/share/doc/pam-pgsql/README
代码:
#host = 127.0.0.1  这个不需要,默认是本地连接的。如果要连接远程服务器,请设置你的IP,并且去掉#
database = mydb
user = pamusr  #刚才添加的访问PgSQL的用户
password = pamusr #访问PgSQL的密码
table = ftp
user_column = usr     #用户名在数据表中的字段
pwd_column = pass     #用户密码在数据表中的字段
expired_column = expired  #用户是否已经过期的字段名
newtok_column = newtok    #用户是否需要修改密码的字段
五、设置pam服务。在/etc/pam.conf,加入以下几项
代码:
# service-name  module-type     control-flag    module-path  argument
vsftpd    auth          required        pam_pgsql.so  #
vsftpd   account        required        pam_pgsql.so #
vsftpd    password      required        pam_pgsql.so#
注意这里的service name为vsftpd,这不是必须的。前提是不要跟pam.conf已经有的service name冲突。vsftpd.conf中的pam_service_name一项要跟这里的service name对应。
关于freebsd-5的PAM的配置
在freebsd-5中的pam配置机制,跟freebsd-4有不同。你应该在/etc/pam.d或者/usr/local/etc/pam.d里头建立一个名位vsftpd的文件,内容跟上面的内容一样。本人在fbsd 5-current上尝试过配置,但总不成功,无论是pam_pgsql还是pam_mysql,总是提示说找不到这些pam。google了一下,发现这个错误好像是fbsd 5-current的bug
六、配置vsftpd。这个是参考vsftpd虚拟用户设置1的官方文档进行配置的
1、用adduser增加一个用户,名为virtual。
2、配置/usr/local/etc/vsftpd.conf
代码:
anonymous_enable=NO
local_enable=YES
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO
chroot_local_user=YES
guest_enable=YES
dual_log_enable=YES
guest_username=virtual   #我们刚才增加的本地用户,虚拟用户将会享有这个名为virtual本地用户的权限。
pam_service_name=[color=red]vsftpd[/color]  # 这个就是我在pam.conf里头设置的pam服务的名称,没有这一项,vsftpd是用名为ftp的pam服务。
listen=YES
secure_chroot_dir=/usr/local/share/vsftpd/empty   #请加上这一项,vsftpd默认的secure_chroot_dir是/usr/share/empty,用port安装的话,不会自动创建这个目录,而是放在/usr/local/share/vsftpd/empty。当然你也可以自己创建一个目录。
七、调试
用standalone的方法来启动vsftpd,不要用inetd。
代码:
/usr/local/libexec/vsftpd
或者
/usr/local/libexec/vsftpd 配置文件名(如vsftpd.conf.1, vsftpd.conf.2)
一般他是搜索/usr/local/etc目录,如果你放在其他地方就要写上完整的路径。
如果没有没有出什么提示证明vsftpd启动成功。实践中,我常常出现的错误是没有用root来启动vsftpd,或者chroot路径不对。
下面ftp试试
代码:
> ftp 192.168.1.10
Connected to 192.168.1.10.
220 (vsFTPd 1.2.0)
Name (192.168.1.10:powerplane): downftp
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
yeah,成功了。
总结
想要配置vsftpd + 其他的PAM认证方法,本文都可做参考。当然,你可能会修改有关pam.conf的设置了。
freebsd的port里头除了有pam_pgsql的模块以外,还有pam_mysql,pam_ldap的。
一般都是放在/usr/ports/security
 
以上就是关于“vsftpd如何用PAM去认证用户”的介绍了,感谢各位的阅读,如果大家想要了解更多相关的内容,欢迎关注群英网络,小编每天都会为大家更新不同的知识。
群英智防CDN,智能加速解决方案
标签: vsftpd,PAM认证

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:mmqy2019@163.com进行举报,并提供相关证据,查实之后,将立刻删除涉嫌侵权内容。

猜你喜欢

成为群英会员,开启智能安全云计算之旅

立即注册
专业资深工程师驻守
7X24小时快速响应
一站式无忧技术支持
免费备案服务
免费拨打  400-678-4567
免费拨打  400-678-4567 免费拨打 400-678-4567 或 0668-2555555
在线客服
微信公众号
返回顶部
返回顶部 返回顶部
在线客服
在线客服