虚拟主机与vsftpd + TLS加密和MySQL在Ubuntu 15.10

Vsftpd是Linux最安全,最快的FTP服务器之一。通常vsftpd配置为与系统用户一起工作。本文档描述了

Vsftpd是Linux最安全最快的FTP服务器之一。 通常,vsftpd配置为与系统用户配合使用。 本文档介绍如何安装使用MySQL数据库而不是真实系统用户的虚拟用户的vsftpd服务器。 这是更好的性能,并允许在单个机器上有成千上万的ftp用户。

对于MySQL数据库的管理,您可以使用基于Web的工具,如phpMyAdmin,它也将安装在此howto中。 phpMyAdmin是一个舒适的图形界面,这意味着您不必乱用命令行。

本教程基于Ubuntu 15.10。 您应该已经设置了一个基本的Ubuntu 15.10系统

这是一个实践指南; 它不包括理论背景。 他们在网络上的许多其他文档中被处理。

本文档不附带任何形式的保证! 我想说,这不是设立这样一个制度的唯一办法。 实现这一目标有很多方法,但这是我所采取的方式。 我不会保证这将为您工作!

1初步说明

在本教程中,我使用IP地址为192.168.1.100的hostname server1.example.com 。 这些设置可能会有所不同,因此您必须在适当的情况下更换它们。

因为我们必须使用root权限运行本教程的所有步骤,所以我们可以使用字符串sudo在本教程中添加所有命令,也可以通过键入来成为root

sudo su

2安装vsftpd,MySQL和phpMyAdmin

Vsftpd没有内置的MySQL支持,因此我们必须使用PAM对MySQL数据库进行身份验证。 所以我们安装libpam-mysql除了vsftpd,MySQL和phpMyAdmin之外:

apt-get -y install vsftpd libpam-mysql mysql-server mysql-client phpmyadmin libpam-ldap

您将被问到以下问题:

New password for the MySQL "root" user: <-- yourrootsqlpassword
Repeat password for the MySQL "root" user: <-- yourrootsqlpassword
LDAP server Uniform Resource Identifier: <--  ENTER
Distinguished name of the search base: <-- ENTER
LDAP version to use: <-- 3
Make local root Database admin: <-- Yes
Does the LDAP database require login?  <-- No
LDAP account for root: <-- ENTER
LDAP root account password: <-- ldaprootpw
Web server to configure automatically: <-- Select the option: apache2
Configure database for phpmyadmin with dbconfig-common? <-- Yes
Password of the database's administrative user: <-- Enter the MariaDB root password
MySQL application password for phpmyadmin: <-- Press enter, apt will create a random password automatically.

3为vsftpd创建MySQL数据库

现在我们创建一个名为vsftpd的数据库和一个名为vsftpd的MySQL用户,vsftpd守护程序稍后将使用它连接到vsftpd数据库:

mysql --defaults-file=/etc/mysql/debian.cnf

CREATE DATABASE vsftpd;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'ftpdpass';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP ON vsftpd.* TO 'vsftpd'@'localhost.localdomain' IDENTIFIED BY 'ftpdpass';
FLUSH PRIVILEGES;

ftpdpass替换您要用于MySQL用户vsftpd的任何密码。 仍然在MySQL shell上,我们创建了我们需要的数据库表(是的,只有一个表!):

USE vsftpd;

CREATE TABLE `accounts` (
`id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`username` VARCHAR( 30 ) NOT NULL ,
`pass` VARCHAR( 50 ) NOT NULL ,
UNIQUE (
`username`
)
);

quit;

你可能已经注意到,随着戒烟; 命令我们已经离开了MySQL shell,并回到了Linux shell。

BTW,(我假设您的ftp服务器系统的主机名是server1.example.com ),您可以访问http://server1.example.com/phpmyadmin/下的phpMyAdmin (您也可以使用IP地址而不是server1 .example.com ),并以用户vsftpd身份登录。 那么你可以看看数据库。 以后可以使用phpMyAdmin来管理vsftpd服务器。

4配置vsftpd

首先,我们创建一个名为vsftpd (与homedir / home / vsftpd )属于组nogroup的非特权用户。 我们将在此用户下运行vsftpd,虚拟用户的FTP目录将位于/ home / vsftpd目录中(例如/ home / vsftpd / user1/ home / vsftpd / user2等)。

useradd --home /home/vsftpd --gid nogroup -m --shell /bin/false vsftpd

然后我们备份原始的/etc/vsftpd.conf文件并创建我们自己的:

cp /etc/vsftpd.conf /etc/vsftpd.conf_orig
cat /dev/null > /etc/vsftpd.conf
nano /etc/vsftpd.conf

该文件应具有以下内容:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
nopriv_user=vsftpd
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/certs/vsftpd.pem
guest_enable=YES
guest_username=vsftpd
local_root=/home/vsftpd/$USER
user_sub_token=$USER
virtual_use_local_privs=YES
user_config_dir=/etc/vsftpd_user_conf

配置选项在http://vsftpd.beasts.org/vsftpd_conf.html中进行了说明 。 我们的虚拟设置的重要选项是chroot_local_userguest_enableguest_usernameuser_sub_tokenlocal_rootvirtual_use_local_privs

使用user_config_dir选项,您可以为覆盖部分全局设置的每个用户配置文件指定一个目录。 如果您想使用此功能,这是完全可选的。 但是,我们现在应该创建该目录:

mkdir /etc/vsftpd_user_conf

现在我们必须配置PAM,以便它使用MySQL数据库来验证我们的虚拟FTP用户,而不是/ etc / passwd/ etc / shadow 。 vsftpd的PAM配置位于/etc/pam.d/vsftpd中 。 我们备份原始文件并创建一个新的文件:

cp /etc/pam.d/vsftpd /etc/pam.d/vsftpd_orig
cat /dev/null > /etc/pam.d/vsftpd
nano /etc/pam.d/vsftpd

auth required pam_mysql.so user=vsftpd passwd=ftpdpass host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2
account required pam_mysql.so user=vsftpd passwd=ftpdpass host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2

请确保您用自己的MySQL密码替换!

之后,我们重新启动vsftpd:

service vsftpd restart

5为TLS创建SSL证书

为了使用TLS,我们必须创建SSL证书。 我在/ etc / ssl / private中创建它 - 如果目录不存在,请立即创建它::

mkdir -p /etc/ssl/private
chmod 700 /etc/ssl/private

之后,我们可以生成SSL证书,如下所示:

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem

国家名称(2个字母代码)[AU]: < - 输入您的国家名称(例如,“DE”)。
州或省名称(全名)[某些州]: < - 输入您的州或省名称。
地点名称(例如,城市)[]: < - 输入您的城市。
组织名称(例如,公司)[互联网Widgits有限公司]: < - 输入您的组织名称(例如,您公司的名称)。
组织单位名称(如部分)[]: < - 输入您的组织单位名称(例如“IT部门”)。
通用名称(例如,您的姓名)[]: < - 输入系统的完全限定域名(例如“server1.example.com”)。
电子邮件地址[]: < - 输入您的电子邮件地址。

6启用vsftpd中的TLS

为了在vsftpd中启用TLS,请打开/etc/vsftpd.conf ...

nano /etc/vsftpd.conf

...并添加以下选项:

# Turn on SSL
ssl_enable=YES

# Allow anonymous users to use secured SSL connections
allow_anon_ssl=YES

# All non-anonymous logins are forced to use a secure SSL connection in order to
# send and receive data on data connections.
force_local_data_ssl=YES

# All non-anonymous logins are forced to use a secure SSL connection in order to send the password.
force_local_logins_ssl=YES

# Permit TLS v1 protocol connections. TLS v1 connections are preferred
ssl_tlsv1=YES

# Permit SSL v2 protocol connections. TLS v1 connections are preferred
ssl_sslv2=NO

# permit SSL v3 protocol connections. TLS v1 connections are preferred
ssl_sslv3=NO

# Disable SSL session reuse (required by WinSCP)
require_ssl_reuse=NO

# Select which SSL ciphers vsftpd will allow for encrypted SSL connections (required by FileZilla)
ssl_ciphers=HIGH

# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/private/vsftpd.pem
[...]

如果使用force_local_logins_ssl = YESforce_local_data_ssl = YES ,则只允许TLS连接(这将锁定任何没有TLS支持的旧FTP客户端的用户); 通过使用force_local_logins_ssl = NOforce_local_data_ssl =否,可以使用TLS和非TLS连接,具体取决于FTP客户端支持的内容。

之后再重新启动vsftpd:

service vsftpd restart

而已。 您现在可以尝试使用FTP客户端连接; 但是,您应该将FTP客户端配置为使用TLS(如果使用force_local_logins_ssl = YES并且force_local_data_ssl = YES ,则必须使用) - 请参阅下一章如何使用FileZilla执行此操作。

7创建第一个虚拟用户

要填充数据库,可以使用MySQL shell:

mysql --defaults-file=/etc/mysql/debian.cnf

USE vsftpd;

现在我们创建了密码密码的虚拟用户testuser (将使用MySQL的PASSWORD函数加密存储):

INSERT INTO accounts (username, pass) VALUES('testuser', PASSWORD('secret'));
quit;

testuser的homedir是/ home / vsftpd / testuser ; 不幸的是,vsftpd不会自动创建该目录,如果它不存在。 因此,我们手动创建它,并使其由vsftpd用户和nogroup组拥有:

mkdir /home/vsftpd/testuser
chown vsftpd:nogroup /home/vsftpd/testuser
chmod a-w /home/vsftpd/testuser

现在打开您的工作站上的FTP客户端程序(如FileZilla或FireFTP)并尝试连接。 作为主机名,您使用server1.example.com (或系统的IP地址),用户名为testuser ,密码为secret

成功登录FileZilla

8数据库管理

对于大多数人来说,如果他们有一个图形化的前端到MySQL,这更容易; 因此,您还可以使用phpMyAdmin(在此示例中为http://server1.example.com/phpmyadmin/ )来管理vsftpd数据库。

vsftpd MySQL数据库。

无论何时创建或修改用户,请确保使用MySQL的PASSWORD函数加密该用户的密码。 另外,当您创建一个新的虚拟用户时,请不要忘记在shell上创建该用户的homedir,如上一章结尾所示。

使用MySQL密码功能。

9虚拟机映像

本教程可用于为Howtoforge订阅者准备使用OVA / OVF格式的虚拟机。 VM格式与VMWare和Virtualbox以及可以导入此格式的其他工具兼容。 您可以在顶部的右侧菜单中找到下载链接。 点击文件名开始下载。

VM的登录详细信息如下:

SSH登录

用户名:administrator
密码:howtoing

管理员用户具有sudo权限。

MySQL登录

用户名:root
密码:howtoing

请在首次启动后更改密码。

虚拟机配置为静态IP 192.168.1.100,IP可以在文件/ etc / network / interfaces中更改。