使用PureFTPd和MySQL的虚拟主机(包括配额和带宽管理)在CentOS 7.0上

本文档描述如何安装使用MySQL数据库中的虚拟用户而不是真实系统用户的PureFTPd服务器。这是更多...

使用PureFTPd和MySQL虚拟主机(包括配额和带宽管理)在CentOS 7.0上

本文档介绍如何安装使用MySQL数据库而不是真实系统用户的虚拟用户的PureFTPd服务器。 这是更好的性能,并允许在单个机器上有成千上万的FTP用户。 除此之外,我将使用此设置显示使用配额和上传/下载带宽限制。 密码将作为MD5字符串加密存储在数据库中。

对于MySQL数据库的管理,您可以使用基于Web的工具,如phpMyAdmin,它也将安装在此howto中。 phpMyAdmin是一个舒适的图形界面,这意味着你不用乱扔命令行。

本教程基于CentOS 7.0。 您应该已经设置了一个基本的最小CentOS 7系统。

这是一个实践指南; 它不包括理论背景。 他们在网络上的许多其他文档中被处理。

本文档不附带任何形式的保证! 我想说,这不是设立这样一个制度的唯一办法。 实现这一目标有很多方法,但这是我所采取的方式。

1初步说明

在本教程中,我使用IP地址为192.168.0.100的hostname server1.example.com 。 这些设置可能会有所不同,因此您必须在适当的情况下更换它们。

2安装MySQL和phpMyAdmin

首先,我们在CentOS系统上启用EPEL存储库,因为我们将在本教程中安装的一些软件包在官方CentOS 7.0存储库中不可用:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY*

然后,我们在CentOS系统上启用EPEL存储库,因为本教程中将要安装的许多软件包在官方CentOS 7存储库中不可用:

yum -y install epel-release

yum -y install yum-priorities

编辑/etc/yum.repos.d/epel.repo ...

nano /etc/yum.repos.d/epel.repo

...并将行优先级= 10添加到[epel]部分:

[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
priority=10
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
[...]

然后我们更新系统上现有的软件包:

yum update

现在我们可以安装MySQL和phpMyAdmin,如下所示:

yum install mariadb mariadb-server phpmyadmin httpd php

现在我们配置phpMyAdmin。 我们更改Apache配置,以便phpMyAdmin不仅允许从localhost连接(通过注释<Directory / usr / share / phpMyAdmin />节中的所有内容 ,并添加所有必需条件 ):

vi /etc/httpd/conf.d/phpMyAdmin.conf

使文件看起来像这样:

# phpMyAdmin - Web based MySQL browser written in php
#
# Allows only localhost by default
#
# But allowing phpMyAdmin to anyone other than localhost should be considered
# dangerous unless properly secured by SSL

Alias /phpMyAdmin /usr/share/phpMyAdmin
Alias /phpmyadmin /usr/share/phpMyAdmin

<Directory /usr/share/phpMyAdmin/>
#  <IfModule mod_authz_core.c>
#     # Apache 2.4
#     <RequireAny>
#       Require ip 127.0.0.1
#       Require ip ::1
#     </RequireAny>
#   </IfModule>
#   <IfModule !mod_authz_core.c>
#     # Apache 2.2
#     Order Deny,Allow
#    # Deny from All
#     Allow from 127.0.0.1
     Options Indexes
     AllowOverride None
     Require all granted
#     Allow from ::1
#   </IfModule>
</Directory>



<Directory /usr/share/phpMyAdmin/setup/>
   <IfModule mod_authz_core.c>
     # Apache 2.4
     <RequireAny>
       Require ip 127.0.0.1
       Require ip ::1
     </RequireAny>
   </IfModule>
   <IfModule !mod_authz_core.c>
     # Apache 2.2
     Order Deny,Allow
     Deny from All
     Allow from 127.0.0.1
     Allow from ::1
   </IfModule>
</Directory>

# These directories do not require access over HTTP - taken from the original
# phpMyAdmin upstream tarball
#
<Directory /usr/share/phpMyAdmin/libraries/>
    Order Deny,Allow
    Deny from All
    Allow from None
</Directory>

<Directory /usr/share/phpMyAdmin/setup/lib/>
    Order Deny,Allow
    Deny from All
    Allow from None
</Directory>

<Directory /usr/share/phpMyAdmin/setup/frames/>
    Order Deny,Allow
    Deny from All
    Allow from None
</Directory>

# This configuration prevents mod_security at phpMyAdmin directories from
# filtering SQL etc.  This may break your mod_security implementation.
#
#<IfModule mod_security.c>
#    <Directory /usr/share/phpMyAdmin/>
#        SecRuleInheritance Off
#    </Directory>
#</IfModule>

然后我们为MySQL和Apache创建系统启动链接(这样每当系统启动时都会自动启动)并启动这两个服务。 另外两个服务都必须被防火墙所允许:

firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

systemctl enable mariadb.service
systemctl start mariadb.service

systemctl enable httpd.service
systemctl start httpd.service

为MySQL用户root创建密码(将yourmariadbpassword替换为要使用的密码):

mysql_secure_installation

[root @ server1〜]#mysql_secure_installation
/ usr / bin / mysql_secure_installation:行379:find_mysql_client:命令未找到

注意:运行本脚本的所有部分都是为所有MariaDB推荐的
服务器生产使用! 请仔细阅读每一步!

为了登录到MariaDB来保护它,我们需要当前的
root用户的密码。 如果你刚刚安装了MariaDB,
您还没有设置root密码,密码将为空,
所以你应该刚刚进入这里。 < - ENTER
输入root的当前密码(输入无): < - ENTER
OK,成功使用密码,移动...

设置root密码确保没有人可以登录到MariaDB
root用户没有正确的授权。

设置root密码? [Y / n] < - ENTER
新密码: < - yourmariadbpassword
重新输入新密码: < - yourmariadbpassword
密码更新成功!
重新载入特权表..
...成功!


默认情况下,MariaDB安装有一个匿名用户,允许任何人
登录到MariaDB,而不必创建用户帐户
他们。 这仅适用于测试和进行安装
顺利一点 你应该删除它们,然后再进入
生产环境。

删除匿名用户? [Y / n] < - ENTER
...成功!

通常,root只能被允许从'localhost'连接。 这个
确保有人无法从网络的root密码猜测。

禁止root登录远程? [Y / n] < - ENTER
...成功!

默认情况下,MariaDB带有一个名为“test”的数据库,任何人都可以
访问。 这也仅用于测试,应该删除
在进入生产环境之前。

删除测试数据库并访问它? [Y / n] < - ENTER
- 删除测试数据库...
...成功!
- 删除测试数据库的权限...
...成功!

重新加载权限表将确保所有更改到目前为止
将立即生效。

现在重新加载权限表? [Y / n] < - ENTER
...成功!

打扫干净...

全做完了! 如果您已完成上述所有步骤,您的MariaDB
安装应该是安全的。

感谢您使用MariaDB!
[root @ server1〜]#

3使用MySQL支持安装PureFTPd

CentOS PureFTPd软件包支持各种后端,如MySQL,PostgreSQL,LDAP等。因此,我们所要做的就是安装普通的PureFTPd软件包:

yum install pure-ftpd

然后我们创建一个ftp组( ftpgroup )和用户( ftpuser ),我们所有的虚拟用户将被映射到。 将group-and userid 2001替换为系统上免费的数字:

groupadd -g 2001 ftpgroup
useradd -u 2001 -s /bin/false -d /bin/null -c "pureftpd user" -g ftpgroup ftpuser

ftp服务必须由firewall-cmd允许,如下所示:

firewall-cmd --permanent --zone=public --add-service=ftp
firewall-cmd --reload

4为PureFTPd创建MySQL数据库

现在我们创建一个名为pureftpd的数据库和名为pureftpd的MySQL用户,PureFTPd后台程序稍后将使用它连接到pureftpd数据库:

mysql -u root -p

CREATE DATABASE pureftpd;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost' IDENTIFIED BY 'ftpdpass';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON pureftpd.* TO 'pureftpd'@'localhost.localdomain' IDENTIFIED BY 'ftpdpass';
FLUSH PRIVILEGES;

将字符串ftpdpass替换为您要用于MySQL用户pureftpd的任何密码。 仍然在MySQL shell上,我们创建了我们需要的数据库表(是的,只有一个表!):

USE pureftpd;

CREATE TABLE ftpd (
User varchar(16) NOT NULL default '',
status enum('0','1') NOT NULL default '0',
Password varchar(64) NOT NULL default '',
Uid varchar(11) NOT NULL default '-1',
Gid varchar(11) NOT NULL default '-1',
Dir varchar(128) NOT NULL default '',
ULBandwidth smallint(5) NOT NULL default '0',
DLBandwidth smallint(5) NOT NULL default '0',
comment tinytext NOT NULL,
ipaccess varchar(15) NOT NULL default '*',
QuotaSize smallint(5) NOT NULL default '0',
QuotaFiles int(11) NOT NULL default 0,
PRIMARY KEY (User),
UNIQUE KEY User (User)
) ENGINE=MyISAM;

quit;

你可能已经注意到,随着戒烟; 命令我们已经离开了MySQL shell,并回到了Linux shell。

BTW,(我假设您的ftp服务器系统的主机名为server1.example.com ),您可以访问http://server1.example.com/phpMyAdmin/下的phpMyAdmin (您也可以使用IP地址而不是server1 .example.com )在浏览器中以用户pureftpd身份登录。 那么你可以看看数据库。 以后可以使用phpMyAdmin管理您的PureFTPd服务器。

5配置PureFTPd

编辑/etc/pure-ftpd/pure-ftpd.conf并确保启用了ChrootEveryoneMySQLConfigFileCreateHomeDir行,如下所示:

vi /etc/pure-ftpd/pure-ftpd.conf

[...]
ChrootEveryone              yes
[...]
MySQLConfigFile               /etc/pure-ftpd/pureftpd-mysql.conf
[...]
CreateHomeDir               yes
[...]

ChrootEveryone设置将使PureFTPd在其主目录中的每个虚拟用户都能够chroot,因此他无法浏览其主目录之外的目录和文件。 当用户登录并且主目录不存在时, CreateHomeDir行将使PureFTPd创建用户的主目录。

然后我们编辑/etc/pure-ftpd/pureftpd-mysql.conf 。 它应该是这样的:

cp /etc/pure-ftpd/pureftpd-mysql.conf /etc/pure-ftpd/pureftpd-mysql.conf_orig
cat /dev/null > /etc/pure-ftpd/pureftpd-mysql.conf
vi /etc/pure-ftpd/pureftpd-mysql.conf

MYSQLSocket      /var/lib/mysql/mysql.sock
#MYSQLServer     localhost
#MYSQLPort       3306
MYSQLUser       pureftpd
MYSQLPassword   ftpdpass
MYSQLDatabase   pureftpd
#MYSQLCrypt md5, cleartext, crypt() or password() - md5 is VERY RECOMMENDABLE uppon cleartext
MYSQLCrypt      md5
MYSQLGetPW      SELECT Password FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetUID     SELECT Uid FROM ftpd WHERE User="\L" AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetGID     SELECT Gid FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MYSQLGetDir     SELECT Dir FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthUL SELECT ULBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetBandwidthDL SELECT DLBandwidth FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTASZ   SELECT QuotaSize FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")
MySQLGetQTAFS   SELECT QuotaFiles FROM ftpd WHERE User="\L"AND status="1" AND (ipaccess = "*" OR ipaccess LIKE "\R")

确保将ftpdpass字符串替换为MYSQLPassword行中MySQL用户pureftpd的真实密码! 请注意,我们使用md5作为MYSQLCrypt方法,这意味着我们将用户密码作为MD5字符串存储在数据库中,这比使用纯文本密码更安全!

现在我们为PureFTPd创建系统启动链接并启动它:

systemctl enable pure-ftpd.service
systemctl enable pure-ftpd.service

6填充数据库和测试

要填充数据库,可以使用MySQL shell:

mysql -u root -p

USE pureftpd;

现在我们创建一个状态为1的用户exampleuser (这意味着他的ftp帐户是活动的),密码秘密 (将使用MySQL的MD5功能加密存储),UID和GID 2001 (使用用户/您在第二步结束时创建的组!),主目录/home/www.example.com ,上传和下载带宽为100 KB /秒。 (千字节每秒),配额为50 MB:

INSERT INTO `ftpd` (`User`, `status`, `Password`, `Uid`, `Gid`, `Dir`, `ULBandwidth`, `DLBandwidth`, `comment`, `ipaccess`, `QuotaSize`, `QuotaFiles`) VALUES ('exampleuser', '1', MD5('secret'), '2001', '2001', '/home/www.example.com', '100', '100', '', '*', '50', '0');

quit;

现在,在您的工作站上打开FTP客户端程序(如果您在Windows系统上,或者在Windows桌面上使用gFTP,则会像WS_FTP或SmartFTP)并尝试连接。 作为主机名,您使用server1.example.com (或系统的IP地址),用户名为exampleuser ,密码为secret

如果你能连接 - 恭喜你! 如果没有,出现问题。

现在,如果你跑

ls -l /home

您应该会看到自动创建目录 /home/www.example.com(exampleuser的主目录),它由ftpuserftpgroup (我们在第二步结束时创建的用户/组)拥有:

[root@server1 ~]# ls -l /home/
total 0
drwx------. 2 administrator administrator 59 Sep 26 10:35 administrator
drwxr-xr-x. 2 ftpuser       ftpgroup      22 Sep 26 12:07 www.example.com
[root@server1 ~]#

7数据库管理

对于大多数人来说,如果他们有一个图形化的前端到MySQL,这更容易; 因此,您还可以使用phpMyAdmin(在此示例中为http://server1.example.com/phpMyAdmin/ )来管理pureftpd数据库。

PHPMyAdmin界面。

每当你想创建一个新的用户,你必须在表ftpd中创建一个条目,所以我将在这里解释这个表的列:

ftpd表:

  • 用户 :虚拟PureFTPd用户的名称(例如exampleuser )。
  • 状态 :0或1. 0表示帐户被禁用,用户无法登录。
  • 密码 :虚拟用户的密码。 确保使用MySQL的MD5功能将加密的密码保存为MD5字符串:
    ftpd表。
  • UID :您在第二步结束时创建的ftp用户的用户标识(例如2001 )。
  • GID :在第二步结束时创建的ftp组的groupid(例如2001 )。
  • 目录 :虚拟PureFTPd用户的主目录 (例如/home/www.example.com )。 如果不存在,则当新用户通过FTP第一次登录时将创建它。 虚拟用户将被关入此主目录,即他无法访问其主目录以外的其他目录。
  • ULBandwidth :上传虚拟用户的带宽,单位为KB /秒。 (千字节/秒)。 0表示无限制。
  • DLBandwidth :以KB /秒的速度下载虚拟用户的带宽。 (千字节/秒)。 0表示无限制。
  • 评论 :您可以在这里输入任何评论(例如您的内部管理)。 通常你将这个字段留空。
  • ipaccess :在此输入允许连接到此FTP帐户的IP地址。 *表示允许任何IP地址连接。
  • QuotaSize :允许虚拟用户在FTP服务器上使用的存储空间(以MB为单位,不包括KB,如ULBandwidthDLBandwidth !)。 0表示无限制。
  • QuotaFiles :允许虚拟用户在FTP服务器上保存的文件数量。 0表示无限制。

8匿名FTP

如果您要创建一个匿名ftp帐户(一个ftp帐户,每个人都可以登录没有密码),您需要一个用户和一个名为ftp的组。 当您安装纯ftpd软件包时,都会自动创建两个,因此您不需要手动创建它们。 但是, ftp的homedir默认是/ var / ftp ,但是我想在/ home / ftp中创建匿名ftp 目录 (普通用户的ftp目录也在/ home中,例如/ home / www。 example.com ) 但是,如果您愿意,您可以使用/ var / ftp目录进行匿名ftp。

如果要使用/ home / ftp ,请打开/ etc / passwd并将ftp用户的homedir从/ var / ftp更改为/ home / ftp (如果要使用/ var / ftp,请不要这样做)

vi /etc/passwd

[...]
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
ftp:x:14:50:FTP User:/home/ftp:/sbin/nologin
[...]

然后移动/ var / ftp/ home (不要这样做,如果你想使用/ var / ftp)

mv /var/ftp /home

然后我们创建目录/ home / ftp / incoming ,这将允许匿名用户上传文件。 我们将给出311/ home / ftp / incoming目录权限,以便用户可以上传,但不能查看或下载该目录中的任何文件。 / home / ftp目录的权限为555 ,允许查看和下载文件:

chown ftp:nobody /home/ftp
cd /home/ftp
mkdir incoming
chown ftp:nobody incoming/
chmod 311 incoming/
cd ../
chmod 555 ftp/

(如果要在/ var / ftp中使用/ var / ftp,请在/ var / ftp中替换/ home / ftp。)

匿名用户将能够登录,他们将被允许从/ home / ftp下载文件,但上传将仅限于/ home / ftp / incoming (一旦将文件上传到/ home / ftp / incoming ,它不能从那里读取或下载;服务器管理员必须首先将其移动到/ home / ftp以使其可供其他人使用)。

现在我们必须为匿名ftp配置PureFTPd。 打开/etc/pure-ftpd/pure-ftpd.conf并确保您具有以下设置:

vi /etc/pure-ftpd/pure-ftpd.conf

[...]
NoAnonymous                 no
[...]
AntiWarez                   no
[...]
AnonymousBandwidth            8
[...]
AnonymousCantUpload         no
[...]

AnonymousBandwidth设置是可选的 - 它允许您限制匿名用户的上传和下载带宽, 8表示8 KB /秒。使用任何您喜欢的值,如果不想限制带宽,请注释掉该行)。

最后,我们重新启动PureFTPd:

systemctl restart pure-ftpd.service