本篇博客主要讲解如何使用pam_mysql来配置vsftpd,前提是你已经安装好了mysql及其他的一些服务,如果没有请先参看网络上的其他教程。本文重点介绍pam_mysql的安装和配置,以及vsftpd配置文件的修改,期间的所有软件请自己下载,这里使用的pam_mysql是pam_mysql-0.7RC1。系统平台是CentOS5.6,下面进入正题——
- 安装pam_mysql。在这里使用的是pam_mysql-0.7RC1。
[root@localhost pam_mysql-0.7RC1]# ./configure --with-openssl --with-mysql
可能会提示错误:
configure: error: Cannot locate mysql client library. Please check your mysql installation.
解决方法:确保你已经安装mysql client library,否则安装之,然后
[root@localhost pam_mysql-0.7RC1]# ln -s /usr/local/mysql/include/mysql /usr/include/mysql
[root@localhost pam_mysql-0.7RC1]# ln -s /usr/local/mysql/lib/mysql /usr/lib/mysql
[root@localhost pam_mysql-0.7RC1]# ln -s /usr/include/openssl/md5.h /usr/include/md5.h
(这一步之前如果没有安装openssl,则要安装openssl开发包, yum install openssl-devel )
完成已成操作,执行以下命令完成pam_mysql的安装:
[root@localhost pam_mysql-0.7RC1]# ./configure --with-openssl=/usr --with-mysql=/usr
[root@localhost pam_mysql-0.7RC1]# make && make install
安装成功后,检查/lib/security下是否存在pam_mysql.so。
2. 安装 vsftpd 。这一步有各种安装方法,请参看网络上的教程,个人认为比较方便的是:
[root@localhost]yum -y install vsftpd
3. 配置vsftpd,使用mysql来存储虚拟用户。
最详细最准确的方法请查看pam_mysql 源码(你自己所下载的软件源码),貌似不同的版本的配置方法略有差异,个人一开始就被网络上的教程给误导了一晚上(crypt方式的代码不一致,有的上面写md5加密的代码是4,但我所安装的pam_mysql使用md5加密的代码是3,在README文档里可以找到),但大致思路是一致的。在这里我们假设vsftpd已经安装好,下面阐述一下我的安装思路。
1) 建立存储虚拟用户信息和日志使用的mysql 数据库。
1 mysql> create database vsftpd; 2 3 mysql> use vsftpd; 4 5 mysql> create table users ( 6 -> id int AUTO_INCREMENT NOT NULL, 7 -> name char(16) binary NOT NULL, 8 -> passwd char(48) binary NOT NULL, 9 -> primary key(id) 10 -> ); 11 12 mysql> create table logs (msg varchar(255), 13 -> user char(16), 14 -> pid int, 15 -> host char(32), 16 -> rhost char(32), 17 -> logtime timestamp 18 -> );
添加vsftpd虚拟用户的方法,就是直接在users表中插入记录即可。
1) 配置pam认证。
a) 添加/etc/pam.d/vsftpd.mysql。vsftpd.mysql这个文件名是可以任意取的,只用在vsftpd的配置文件中指明即可。在该文件中添加以下配置信息:
auth required /lib/security/pam_mysql.so config_file=/etc/security/pam_mysql.conf
account required /lib/security/pam_mysql.so config_file=/etc/security/pam_mysql.conf
以上信息,auth之后,account之前的内容攻占一行,剩下的内容占一行,这里知名了pam的库文件的位置,请根据你的配置自行修改;config_file知名pam_mysql的配置文件, 这样的配置方式貌似是在 pam_mysql-0.7RC1之后的版本才支持,如果不支持这种方式请使用经典配置方式,直接在vsftpd.mysql中编辑pam_mysql的配置信息如下:
auth required /lib/security/pam_mysql.so user=root passwd=1123 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd crypt=3 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1
account required /lib/security/pam_mysql.so user=root passwd=1123 host=localhost db=vsftpd table=users usercolumn=name passwdcolumn=passwd crypt=3 sqllog=1 logtable=logs logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=logtime verbose=1
同样,auth占一行,account占一行。
b) 如果上一步不是使用经典配置方式,则需要创建/etc/security/pam_mysql.conf(根据个人配置,自行决定该文件的位置),编辑pam_mysql认证的配置信息.(pam_mysql源码中的README写得很清楚,这里我就只写出我的配置内容):
users.host=localhost users.database=vsftpd users.db_user=root users.db_passwd=1123 users.table=users users.user_column=name users.password_column=passwd users.password_crypt=3 verbose=1 log.enabled=1 log.table=logs log.message_column=msg log.pid_column=pid log.user_column=user log.host_column=host log.rhost_column=rhost log.time_column=logtime
c) 至此pam的认证配置基本完成,下面修改vsftpd的配置。
2) 配置vsftpd。如果你是使用 yum install vsftpd,则vsftpd的配置文件默认在 /etc/vsftpd/目录下,我们在这里主要修改 vsftpd.conf这个文件。
Ps一下:vsftpd可以拥有多个配置文件,vsftpd的实例数=配置文件数。
前提:你已经安装好vsftpd,并为vsftpd建立好了虚拟用户virtual_user
主要配置一下选项(没有的请添加):
#start anonymous_enable=NO local_enable=YES pam_service_name=vsftpd.mysql userlist_enable=YES tcp_wrappers=YES guest_enable=YES guest_username=virtual_user user_config_dir=/etc/vsftpd/virtual_user_conf #over
说明:
pam_service_name就是上一步中pam_mysql认证所需要的配置文件。
guest_enable=YES
guest_username=virtual_user
这两句是说开启虚拟用户认证,并指定虚拟用户映射的系统本地用户为virtual_user。
user_config_dir=/etc/vsftpd/virtual_user_conf
指明vsftpd虚拟用户权限信息配置目录,每个虚拟用户对应一个配置文件。
3) 填写vsftpd虚拟用户权限配置信息。
内容如下
local_root=/var/www write_enable=YES download_enable=YES anon_world_readable_only=NO anon_upload_enable=YES anon_mkdir_write_enable=YES anon_other_write_enable=YES local_umask=022
4. 在mysql中相应表中添加虚拟用户信息,重启vsftpd,调试vsftpd的登录。
在此过程中不一定会成功,如果你按照以上步骤进行了配置,技术上是不存在问题的,成不成功就要看人品了。
Ps: 调试过程中可以查看/var/log/messages里面的错误信息,以便快速诊断问题。