• 29500
  • 33
  • 2
Нравится блог?
Подписывайтесь!

Vsftpd + AD && Vsftpd + MySQL

FTP – это протокол передачи файлов. Программы, использующие этот протокол, стали частью отдельного сервиса Интернет. Для пользования FTP нужна специальная программа – FTP-клиент. FTP-клиент - это сервисная программа, с помощью которой можно произвести соединение с FTP сервером. Обычно эта программа имеет командную строку, но некоторые имеют оконный интерфейс и не требуют запоминания команд. Пример FTP-клиента - программы CuteFTP, Go!Zilla, ReGet и т.д, называются они менеджерами загрузки. У них удобный интерфейс и позволяют пользователям удобно осуществлять загрузку-выгрузку файлов.

FTP-сервер - компьютер, который содержит общедоступные файлы и настроен на поддержку протокола FTP (FTP-сервер должен иметь программное обеспечение, поддерживающее протокол FTP).

И так приступим к настройке нашего FTP сервера, вся установка проводилась на FreeBSD v_7.1. Нам понадобятся следующие пакеты:

 
Port:   vsftpd-2.0.7
Path:   /usr/ports/ftp/vsftpd
Info:   A FTP daemon that aims to be "very secure"
 
Port:   mysql-server-5.0.67_1
Path:   /usr/ports/databases/mysql50-server
Info:   Multithreaded SQL database (server)
 
 
Port:   pam_mysql-0.7.r1
Path:   /usr/ports/security/pam-mysql
Info:   A pam module for authenticating with MySQL

Так же для связки FTP с AD необходимо что бы машина с FreeBSD была включена в домен Windows. Статья, которая описывает процедуру введения машины с FreeBSD в домен - FreeBSD и AD.

Устанавливаем базу данных MySQL, пример настройки и установки я не буду приводить, думаю в интернете есть большое количество статей :)

Настроим сначала связку vsftpd и AD, для этого устанавливаем vsftpd со следующими опциями:

 
[X] RC_NG       install RC_NG script               
[X] VSFTPD_SSL  Include support for SSL

После того как vsftpd установлен, необходимо создать пользователя 'ftp' с домешнем каталогом, в который будут логиниться anonymous и создать файл конфигурации в каталоге /usr/local/etc есть файл vsftpd.conf.dist, его можно переименовать в vsftpd.conf, но лучше сделать с нуля:

 
touch /usr/local/etc/vsftpd.conf

После создания файла vsftpd.conf приступаем к внесению конфигурационных опций :) Созданный нами конфиг предполагает работу vsftpd в качестве анонимного сервера и сервера с авторизацией юзеров из AD. По желанию можно отключить одно из двух :)

 
# Работа сервера  в standalone режиме
listen=YES
 
# Работа в качестве демона
background=YES
 
# На каком IP работать
listen_address=192.168.0.1
 
# Имя файла pam сервиса в /etc/pam.d
pam_service_name=ftp
session_support=YES
 
# Включить пассивный режим
pasv_enable=YES
pasv_max_port=50000
pasv_min_port=60000
 
# Использовать sendfile
use_sendfile=YES
 
# Для пролхих клиентов
async_abor_enable=YES
 
 
 
#----Ограничения
#-----------------------------------------------
# Определяет какие email адреса использовать для анонимов в качестве пароля
# из файла email_password_file
secure_email_list_enable=NO
#email_password_file=/usr/local/etc/vsftpd_email.password
 
# Запретить использовать email для доступа анонима из файла banned_email_file
deny_email_enable=NO
#banned_email_file=/usr/local/etc/vsftpd_email.deny
 
# Chroot в каталог 
secure_chroot_dir=/usr/local/share/vsftpd/empty
 
# Chroot по списку из файла chroot_list_file
chroot_list_enable=NO
#chroot_list_file=/usr/local/etc/vsftpd_chroot.list
 
# Разрешить запись
write_enable=YES
 
# Чтение юзеров из файлов deny
userlist_enable=YES
 
# Запрещён доступ для юзеров перечисленных в указанном файле
userlist_deny=YES
userlist_file=/usr/local/etc/vsftpd_user.deny
 
# Время ожидания соединения на порт в sec
connect_timeout=60
 
# Время передачи простоя, если данные не передаются
data_connection_timeout=300
 
# Задержка перед сообщением об ошибке регистрации
delay_failed_login=1
 
# Задержка при правильной регистрации
delay_successful_login=0
 
# Задрежка между вводом FTP команд в sec
idle_session_timeout=300
 
# Запрет команды chmod
chmod_enable=NO
 
# Максимальное количество клиентов
max_clients=10
 
# Максимально количество неправильных входов, далее разрыв
max_login_fails=3
 
# Максимальное количество соединений с одного ip
max_per_ip=1
 
# Запрещённые файлы через запятую
deny_file={*.lnk}
 
# Скрыть указанные файлы через запятую
hide_file={*.lnk} 
 
# Запретить использовать команду ls -R
ls_recurse_enable=NO
 
# Проверка существования shell в /etc/shells
check_shell=NO
 
# Не показывать файлы начинающиеся с точки
force_dot_files=NO
 
# Скрывать кто является реальным владельцем файла
# Будет указываться владелец 'ftp'
hide_ids=YES
 
# Блокировать доступ к загружаемому файлу
lock_upload_files=YES
 
# Разрешить чтение каталогов
dirlist_enable=YES
 
# Разрешить загрузку
download_enable=YES
 
# Удалить файлы загруженные с ошибками или недокачанные
delete_failed_uploads=YES
 
# Разрешить соединение на 20 порт
connect_from_port_20=NO
#------------------------------------------------
 
 
 
#----Локальные пользователи
#------------------------------------------------
# Разрешить локальных пользователей из файла /etc/passwd
local_enable=YES
 
# Использовать привелегии локальных юзеров для виртуальных
# Если NO то используются привелегии anonymous
virtual_use_local_privs=YES
 
# Посадить в тюрьму локального юзера
chroot_local_user=YES
 
# Маска для локальных пользователей
local_umask=022
 
# Каталог для локальных юзеров
local_root=/home/IMPEX/$USER
 
# Создание папки пользователя
# Образец каталога берётся из параметра guest_username
user_sub_token=$USER
 
# Chroot в каталоге юзера указанного в /etc/passwd
passwd_chroot_enable=YES
 
# Скорость закачки byt/sec
local_max_rate=2097152
#-------------------------------------------------
 
 
 
#----Анонимные пользователи
#-------------------------------------------------
# Разрешить анонимных пользователей
anonymous_enable=YES
 
# Каталог для анонимов
anon_root=/server/ftp
 
# Разрешает загрузку. Работает при write_enable=YES
anon_upload_enable=YES
 
# Создание каталогов. Работает при write_enable=YES
anon_mkdir_write_enable=YES
 
# Создание, загрузка и удаление
anon_other_write_enable=NO
 
# Не использовать пароль для анонимного доступа
no_anon_password=YES
 
# Маска для файлов созаваемых анонимом
anon_umask=022
 
# Режим для загружаемых файлов
chown_upload_mode=0440
 
# Только чтение, запрещает скачивать файлы с FTP
anon_world_readable_only=NO
 
# Установить владельцем файлов юзера указанного в chown_username
chown_uploads=YES
chown_username=ftp
 
# Скорость закачки byt/sec
anon_max_rate=2097152
#--------------------------------------------------
 
 
 
#----Ведение логов
#--------------------------------------------------
# Логирование всех запросов к ftp
# Работает при выключенной опции xferlog_std_format
# Используется для отладки
log_ftp_protocol=NO
 
# Файл логов
vsftpd_log_file=/var/log/vsftpd.log
 
# Отправка логов в syslog
syslog_enable=YES
 
# Паралельное ведение логов в vsftpd.log и xferlog
dual_log_enable=NO
 
# Логи детальной upload/download
xferlog_enable=NO
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#--------------------------------------------------
 
 
#----Определение кодировки
#--------------------------------------------------
# Использование ASCII  при скачке/загрузке
# Работают русские символы, кодировка для клиента KOI8-R
ascii_download_enable=YES
ascii_upload_enable=YES
#--------------------------------------------------
 
 
 
#----Сообщения
#---------------------------------------------------
# Банер приветствия при входе
ftpd_banner=Welcom to FTP service
 
# Показ сообщения пользователю из файла '.message' при входе в каталог. Файл определяется 
# в опции message_file. Файл должен находится в этом же каталоге.
dirmessage_enable=NO
message_file=.message
#--------------------------------------------------
 
 
# Разрешить гостя. Все не анонимные пользователи логинятся как гость
# Имя юзера гостя определено в опции 'guest_username'
guest_enable=NO
guest_username=atrium
 
# Пользователь для анонимных юзеров
ftp_username=ftp
nopriv_user=nobody
 
# Показать имя и группу вместо uid/gid
text_userdb_names=YES

После того как настроили vsftpd, создаём файл с именем 'ftp' в /etc/pam.d, если он отсутствует, со следующим содержанием:

 
auth    required  pam_nologin.so  no_warn
auth    sufficient  /usr/local/lib/pam_winbind.so krb5_auth
auth    sufficient  pam_opie.so no_fake_prompts  
auth    requisite pam_opieaccess.so   allow_local no_warn
auth    required  pam_unix.so no_warn try_first_pass
 
 
account   required  pam_nologin.so  no_warn
account   sufficient  /usr/local/lib/pam_winbind.so krb5_auth
account   required  pam_unix.so
 
session   required  pam_permit.so

Делаем проверку:

 
 
220 Welcom to FTP service
Name (10.178.1.11:atrium): Administrator
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

Настроим теперь vsftpd с MySQL :)
Как говорилось выше, базу данных MySQL установили и запустили, всё работает. Создаём необходимую базу и таблицу, в которой будут храниться наши юзвери :)

 
-- MySQL dump 10.11
--
-- Host: localhost    Database: vsftpd
-- ------------------------------------------------------
-- Server version 5.0.67
 
/*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
/*!40103 SET @OLD_TIME_ZONE=@@TIME_ZONE */;
/*!40103 SET TIME_ZONE='+00:00' */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
 
--
-- Current Database: `vsftpd`
--
 
CREATE DATABASE /*!32312 IF NOT EXISTS*/ `vsftpd`
                /*!40100 DEFAULT CHARACTER SET cp1251 */;
 
USE `vsftpd`;
 
--
-- Table structure for table `accounts`
--
 
DROP TABLE IF EXISTS `accounts`;
SET @saved_cs_client     = @@character_set_client;
SET character_set_client = utf8;
CREATE TABLE `accounts` (
  `id` int(11) NOT NULL auto_increment,
  `username` varchar(50) NOT NULL,
  `pass` varchar(50) NOT NULL,
  PRIMARY KEY  (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM DEFAULT CHARSET=cp1251;
SET character_set_client = @saved_cs_client;

Создадим тестового пользователя, пароль будет шифроваться алгоритмом MD5, заданный алгоритм определят параметр crypt=3 в файле /etc/pam.d/ftp, листинг которого приводится ниже:

 
use vsftpd;
insert into accounts set username='testuser', pass=md5('test');

После создания базы, таблицы и пользователя необходимо установить pam-mysql и создать файл с именем 'ftp' в каталоге /etc/pam.d, если он отсутствует, со следующим содержанием:

 
auth            requisite         /usr/local/lib/pam_mysql.so   user=root passwd=root \
db=vsftpd host=localhost table=accounts usercolumn=username passwdcolumn=pass crypt=3
account         requisite         /usr/local/lib/pam_mysql.so   user=root passwd=root \
db=vsftpd host=localhost table=accounts usercolumn=username passwdcolumn=pass crypt=3

После всех операций в конфиге vsftpd.conf, который был представлен выше необходимо изменить:

 
# Разрешить гостя. Все не анонимные пользователи логинятся как гость
# Имя юзера гостя определено в опции 'guest_username'
guest_enable=YES
guest_username=ftp

Делаем проверку:

 
220 Welcom to FTP service
Name (10.178.1.11:atrium): testuser
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

Важно:
- Для доступа к MySQL создайте отдельного пользователя с минимальными привилегиями
- Представленный конфиг vsftpd.conf подходит также для работы с локальными пользователями, аутентификация определяется с помощью pam.

morkovka
9 июля 2010, 21:11
1280

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Школа High Tech High – дети здесь самостоятельны так же, как и профессионалы в офисах

Школа High Tech High – дети здесь самостоятельны так же, как и профессионалы в офисах

Известный казахстанский бизнесмен становится первопроходцем и создает школу, о которой можно только мечтать. То, что мы, как взрослые, делаем в бизнесе, дети будут делать в этой школе.
Zhumanova
24 апр. 2017 / 16:29
  • 20611
  • 5
Кому в Казахстане жить хорошо? Почему мы остаёмся в топ-5 стран мира по числу самоубийств

Кому в Казахстане жить хорошо? Почему мы остаёмся в топ-5 стран мира по числу самоубийств

Всё ли так хорошо у жителей Казахстана? Почему-то наша страна сохраняет твёрдые позиции в первых строчках мировых рейтингов по числу самоубийств.
openqazaqstan
24 апр. 2017 / 16:54
  • 3637
  • 20
Как выбрать новостройку в Алматы: инсайты, критерии и личный опыт

Как выбрать новостройку в Алматы: инсайты, критерии и личный опыт

Я прекрасно понимаю тех, кто долго ищет подходящую квартиру - сама искала, потратила на поиск 1,5 года. Что, прежде всего, повлияло на мой выбор при покупке квартиры в новостройке Алматы?
Zhumanova
21 апр. 2017 / 10:04
  • 3875
  • 12
«Третья мировая война начнётся в мае 2017 года» – провидец из Португалии

«Третья мировая война начнётся в мае 2017 года» – провидец из Португалии

Провидец из Португалии по имени Горацио Вильегас считает, что новая мировая война состоится уже в текущем году. Считается, что португалец два года назад объявил, что Трамп станет президентом.
Seattle
21 апр. 2017 / 15:33
  • 3806
  • 13
«А ты покушала?» или Как завоевать сердце женщины простой заботой

«А ты покушала?» или Как завоевать сердце женщины простой заботой

Так как опыт хождения по свиданиям у меня немаленький, да и с интуицией давно дружу, я быстро отсеиваю тех, с кем будут проблемы. Как я это определяю? Очень просто.
Bonittta
22 апр. 2017 / 14:10
«Казпочта» отжигает. Редкий шанс вспомнить агрессивные советские очереди

«Казпочта» отжигает. Редкий шанс вспомнить агрессивные советские очереди

Люди старшего и среднего поколений помнят шумные, недобрые, грубо ругающиеся очереди советских лет. Увидеть, как это было, можно теперь разве что в каком-нибудь фильме. Хотя не только.
openqazaqstan
26 апр. 2017 / 16:14
  • 2381
  • 30
Юный алматинец покорил Первый канал на шоу Максима Галкина

Юный алматинец покорил Первый канал на шоу Максима Галкина

Житель Алматы по имени Марк Усачев недавно оказался на телепрограмме "Лучше всех", с успехом идущей на Первом канале России. 9-летний алматинец покорил публику своими недюжинными знаниями.
Seattle
24 апр. 2017 / 16:59
  • 2148
  • 2
Инстаграм – это «рынок девушек» и он круче любой базы данных

Инстаграм – это «рынок девушек» и он круче любой базы данных

Для меня Инстаграм – это рынок. Почему? Ничего не изменилось, девушки все так же бьются в попытках наиболее выгодно себя продать, посредством привлечения внимания.
Annette_Scherer
24 апр. 2017 / 22:35
  • 1984
  • 4
Паводок в Атбасаре глазами блогера

Паводок в Атбасаре глазами блогера

Ситуация в населенном пункте непростая, много домов подтопило, по сравнению с 2014-м годом уровень воды поднялся намного выше. Жители держатся молодцом.
kokshetau_today
21 апр. 2017 / 14:17
  • 2022
  • 8