[root@hpe45 pam_mysql]#make
[root@hpe45 pam_mysql]#make install
make install这一步可能会出现错误,那只好手动将该目录下生成的pam_mysql.o复制到/lib/security目录下。
接下来,我们要配置vsftpd的PAM验证文档。打开/etc/pam.d/ftp文档,加入以下内容:
auth required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2
account required pam_mysql.o user=vsftpdguest passwd=i52serial0 host=localhost db=vsftpdvu table=users usercolumn=name passwdcolumn=passwd crypt=2
上面涉及到的参数,只要对应前面数据库的配置就能够明白他们的含义。这里需要说明的是crypt参数。crypt表示口令字段中口令的加密方式:crypt=0,口令以明文方式(不加密)保存在数据库中;crypt=1,口令使用UNIX系统的DES加密方式加密后保存在数据库中;crypt=2,口令经过MySQL的password()函数加密后保存。
六、进一步的虚拟用户配置
经过以上的步骤,虚拟用户就能够正常使用了。这里介绍进一步的虚拟用户配置。首先,介绍虚拟用户的权限配置。
VSFTPD-1.2.0新添了virtual_use_local_privs参数,当该参数激活(YES)时,虚拟用户使用和本地用户相同的权限。当此参数关闭(NO)时,虚拟用户使用和匿名用户相同的权限,这也就是VSFTPD-1.2.0之前版本对虚拟用户权限的处理方法。这两者种做法相比,后者更加严格一些,特别是在有写访问的情形下。默认情况下此参数是关闭的(NO)。
当virtual_use_local_privs=YES时,只需配置write_enable=YES,虚拟用户就能够就拥有写权限。而virtual_use_local_privs=NO时,对虚拟用户权限的配置就更多一些更严格一些。
控制虚拟用户浏览目录:假如让用户不能浏览目录,但仍能够对文档操作,那么需要执行以下二个步骤:一,配置文档中,anon_world_readable_only=YES。二,虚拟用户目录的权限改为只能由vsftpdguest操作:
[root@hpe45 root]# chown vsftpdguest.vsftpdguest /home/vsftpdguest
[root@hpe45 root]# chmod 700 /home/vsftpdguest
允许虚拟用户上传文档:
write_enable=YES
anon_upload_enable=YES
允许虚拟用户修改文档名和删除文档:
anon_other_write_enable=YES
由于以上选项的配置同样会对匿名用户生效。假如不想匿名用户趁机拥有同样的权限,最好是禁止匿名用户登录。
其次,由于虚拟用户在系统中是vsftpdguest身份,所以能够访问到系统的其他目录。为了更加安全,我们能够将虚拟用户限制在自家目录下。有两种做法:一,在配置文档中增加以下选项
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
然后,在/etc/vsftpd.chroot_list文档中加入虚拟用户名xiaotong和xiaowang。
第二种做法,在配置文档中修改chroot_local_user=YES。经过修改后,虚拟用户登录后其根目录就限制在/home/vsftpdguest下,无法访问其他目录。
七、虚拟用户的个人目录
大家能够发现,无论是哪个虚拟用户,登录后所在的目录都是/home/vsftpdguest,即都是guest_username用户的自家目录。下面,介绍如何为每个虚拟用户建立自家目录。首先,在主配置文档中加入以下选项:
user_config_dir=/etc/vsftpd/vsftpd_user_conf
然后,生成/etc/vsftpd/vsftpd_user_conf目录,并在该目录下建立和特定虚拟用户同名的文档:
[root@hpe45 root]# mkdir /etc/vsftpd/vsftpd_user_conf
[root@hpe45 root]# cd /etc/vsftpd/vsftpd_user_conf
[root@hpe45 vsftpd_user_conf]# touch xiaowang
以上的操作为虚拟用户xiaowang建立了个人配置文档/etc/vsftpd/vsftpd_user_conf/xiaowang。接下来,在xiaowang的个人配置文档中将xiaowang的自家目录修改为/home/xiaowang,配置选项为:
local_root=/home/xiaowang
然后,新建xiaowang目录,并将权限设为vsftpdguest:
[root@hpe45 vsftpd_user_conf]# mkdir /home/xiaowang
[root@hpe45 vsftpd_user_conf]# chown vsftpdguest.vsftpdguest ./xiaowang
[root@hpe45 vsftpd_user_conf]# chmod 600 /home/xiaowang
经过以上配置,xiaowang登录VSFTPD后,用“pwd”指令就能够发现被自己被定位到自己的“/home/xiaowang”目录。
从文档系统层次来看,由于“/home/xiaowang”目录的权限是属于vsftpdguest的,所以其他的虚拟用户同样也能够访问xiaowang的自家目录。解决这个问题也很简单,我们只需要让VSFTPD负责将虚拟用户限制在其自家目录,就能够避免虚拟用户的互相访问。具体做法参照前面第六步中所述,这里不再赘述。经过以上配置后,虚拟用户就能够拥有属于自己的目录了。
