MySQL中怎么利用pam_mysql模块实现vsftpd虚拟用户

发布时间：2021-07-29 16:59:25 作者：Leah
来源：亿速云阅读：282

# MySQL中怎么利用pam_mysql模块实现vsftpd虚拟用户

## 一、前言

在企业级文件传输场景中，FTP服务仍然是重要的文件共享手段。vsftpd（Very Secure FTP Daemon）作为Linux平台下安全高效的FTP服务器，配合MySQL用户认证可以实现灵活的虚拟用户管理。本文将详细介绍如何通过pam_mysql模块建立vsftpd与MySQL的认证桥梁。

## 二、环境准备

### 2.1 系统要求
- Linux服务器（本文以CentOS 8为例）
- MySQL 5.7+ 或 MariaDB 10.3+
- vsftpd 3.0+
- pam_mysql 0.7+

### 2.2 软件安装
```bash
# 安装基础组件
yum install -y vsftpd mariadb-server pam_mysql

# 启动服务
systemctl start mariadb
systemctl enable mariadb
systemctl start vsftpd
systemctl enable vsftpd

三、MySQL数据库配置

3.1 创建专用数据库

CREATE DATABASE vsftpd_auth;
USE vsftpd_auth;

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    password VARCHAR(128) NOT NULL,
    active BOOLEAN DEFAULT TRUE
);

CREATE TABLE user_settings (
    user_id INT PRIMARY KEY,
    home_dir VARCHAR(255) NOT NULL,
    uid INT NOT NULL,
    gid INT NOT NULL,
    FOREIGN KEY (user_id) REFERENCES users(id)
);

3.2 添加测试用户

-- 插入用户数据（密码使用SHA256加密）
INSERT INTO users (username, password) VALUES 
    ('ftpuser1', SHA2('password123', 256)),
    ('ftpuser2', SHA2('securepass', 256));

-- 设置用户目录
INSERT INTO user_settings VALUES
    (1, '/var/ftp/virtual_users/ftpuser1', 1001, 1001),
    (2, '/var/ftp/virtual_users/ftpuser2', 1002, 1002);

四、PAM模块配置

4.1 安装pam_mysql

# CentOS 8需要从EPEL安装
dnf install -y epel-release
dnf install -y pam_mysql

4.2 配置PAM认证

编辑 /etc/pam.d/vsftpd_mysql 文件：

auth required pam_mysql.so \
    user=vsftpd \
    passwd=dbpassword \
    host=localhost \
    db=vsftpd_auth \
    table=users \
    usercolumn=username \
    passwdcolumn=password \
    crypt=3 \
    where=users.active=1

account required pam_mysql.so \
    user=vsftpd \
    passwd=dbpassword \
    host=localhost \
    db=vsftpd_auth \
    table=users \
    usercolumn=username \
    where=users.active=1

参数说明： - crypt=3 表示使用SHA256加密验证 - where 子句实现账户状态检查

五、vsftpd服务配置

5.1 主配置文件修改

编辑 /etc/vsftpd/vsftpd.conf：

# 启用虚拟用户
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES

# PAM认证配置
pam_service_name=vsftpd_mysql
guest_enable=YES
guest_username=virtualftp
virtual_use_local_privs=YES
user_sub_token=$USER
local_root=/var/ftp/virtual_users/$USER

5.2 创建系统映射用户

useradd -d /var/ftp/virtual_users -s /sbin/nologin virtualftp
mkdir -p /var/ftp/virtual_users/{ftpuser1,ftpuser2}
chown -R virtualftp:virtualftp /var/ftp/virtual_users

六、SELinux与防火墙配置

6.1 SELinux策略调整

# 允许FTP访问用户目录
setsebool -P ftp_home_dir on

# 如果使用非标准端口需要额外设置
semanage port -a -t ftp_port_t -p tcp <PORT>

6.2 防火墙规则

firewall-cmd --permanent --add-service=ftp
firewall-cmd --reload

七、高级配置技巧

7.1 用户权限隔离

-- 在数据库中增加权限字段
ALTER TABLE user_settings ADD COLUMN permissions VARCHAR(10) DEFAULT 'elradfmw';

-- 修改PAM配置添加权限检查

7.2 连接池优化

在PAM配置中添加：

... pam_mysql.so ... \
    passwd=dbpassword \
    sqllog=0 \
    conn=10 \
    ...

7.3 日志记录

# 在vsftpd.conf中添加
dual_log_enable=YES
log_ftp_protocol=YES
xferlog_file=/var/log/vsftpd_xfer.log

八、测试与验证

8.1 测试连接

ftp localhost
# 输入数据库中的用户名密码

8.2 常见问题排查

认证失败：
- 检查/var/log/secure日志
- 确认密码加密方式匹配

目录无法访问：

# 检查目录权限
namei -l /var/ftp/virtual_users/ftpuser1

PAM调试：
```
tail -f /var/log/secure
```

九、安全加固建议

MySQL安全措施：
- 为vsftpd用户设置最小权限
- 启用SSL连接
vsftpd增强配置：
```
require_ssl_reuse=NO
ssl_ciphers=HIGH
```

定期维护：

-- 清理非活跃用户
DELETE FROM users WHERE active=0;

十、总结

通过本文的配置，我们实现了： 1. 用户信息集中存储在MySQL数据库 2. 通过pam_mysql完成认证集成 3. 灵活的虚拟用户权限管理 4. 可扩展的目录架构设计

这种方案特别适合需要管理大量FTP账号的企业环境，后续可以通过编写管理脚本实现用户自助密码修改、管理员批量导入等功能扩展。

附录A：常用命令参考

功能	命令
重启服务	`systemctl restart vsftpd`
测试PAM认证	`pamtester vsftpd_mysql ftpuser1 authenticate`
查看开放端口	`netstat -tulnp \| grep vsftpd`

附录B：参考文档 1. vsftpd官方文档：https://security.appspot.com/vsftpd.html 2. pam_mysql项目页：http://pam-mysql.sourceforge.net/ “`

注：本文实际约3500字，可根据需要增减具体配置细节或补充故障排查案例。建议在生产环境部署前进行充分测试，特别是密码加密方式和目录权限设置部分。