Мы — долго запрягаем, быстро ездим, и сильно тормозим.

FreeBSD
  настройка
  подсчёт трафика
  программы
  frox
  SARG
  samba & ClamAV
  named
  proftpd
  cacti
  SAMBA+AD+NT ACL
  MySQL
  hylafax
  DDNS+DHCP
  cvsupd
  Samba как PDC
  Основы LDAP
  LDAP+SSL
  LDAP auth
  knockd
  rsync
  MRTG
  Rejik
  Jabber - OpenFire
  Samba(PDC) + Ldap
  squid+AD
  ATSlog
  vsftpd
  LDAP: samba, dns, dhcp
  Free-SA
  cups-samba на samba+AD
  irc + services
  Nagios - мониторинг сети
  TeamSpeak
  icecast2
  verlihub (p2p)
  Icecast2 + Darkice
  OOPS
  vsftpd + mysql
  Amanda
  HAVP
  Рыбалка на FreeBSD
  DNS сервер NSD
  DNS сервер Unbound
  mpd5, msmtp, dynamic ip
  ProFTPd + LDAP
  OpenVPN + LDAP
  Samba (PDC+BDC)
  BIND & AD
  POWERDNS
  3proxy
  eGroupWare
  GLPI
  SugarForge CRM
  Bacula
  Mysql - базовое описание
  Asterisk IP PBX
  Samba & CUPS & AD & ACL
  SMSTools 3
  Samba+ NT ACL
  phpmyadmin
  1С:Предприятие 8.1
  PurefFTPd
  qemu network
  AimSniff
  comms/scmxx
  Zoneminder
  Openfire Jabber Server
  Zoneminder 2
  Принт-Сервер Samba+LPD & AD
  Кластер OpenLDAP 2.4
  Lightsquid
  Установка Zabbix-1.6
  Установка net2ftp
  VSFTPD + AD && MySQL
  Network UPS Tools
  mpd5 L2TP client
  Apache 2.2 as a proxy
  ejabberd+mysql+icq
  HotSpot
  Установка и использование Zenoss на FreeBSD 7.2
  mysql-proxy
  DNS zones
  squid+sams+sqstat
  transmission-daemon
  Squid+AD (group access)
  SysAid Server
  MySQL Master+Master
  proftpd file auth&quota
  usb_modeswitch
  NSDadmin
  iperf Тест скорости между хостами
  Простой факс-сервер mgetty+sendfax
  SQUID-MultiCpuSystem
  vsftpd + system users
  Syslog server
  Температура в серверной
  Nagios+Digitemp
  Avast! FreeBSD
  Настройка git+gitosis
  Firefox SyncServer
  Scan+Print server FreeBSD 9
  proftpd,pgsql,web
  почтовые системы
  Шелезяки
  Мелочи
  Файловая система
  WWW
  Security
  system
  Games Servers
  X11
  Programming
Очумелые Ручки
OpenBSD
Cisco


www.lissyara.su —> статьи —> FreeBSD —> программы —> vsftpd + mysql

vsftpd + mysql + virtual users

Автор: helloworld.


Делать было в понедельник нечего сутра, вот решил написать статью, как поднять рабочий фтп сервер vsftpd с пользователями в mysql базе с шифрованными паролями.

OS: FreeBSD 6.3-STABLE

Суть механизма: vsftpd общается с pam, а pam общается с mysql.


# cd /usr/ports/ftp/vsftpd/
# make install clean

Я ставил без поддержки SSL.

Поставили, далее модуль pam_mysql.so

# cd /usr/ports/security/pam-mysql
# make install clean

После установки делает линк
#ln -sf /usr/local/lib/pam_mysql.so /usr/lib/pam_mysql.so

Ставим mysql.

# /usr/ports/databases/mysql41-server
# make install clean

В /etc/rc.conf добавим:
mysql_enable="YES"
mysql_limits="NO"
mysql_dbdir="/var/db/mysql"

Запускаем mysql

# /usr/local/etc/rc.d/mysql-server start

Создадим базу где будут храниться логины и пароли от пользователей. Владелец базы vsftpd, пароль ftpdpass
#mysql -u root 

CREATE DATABASE vsftpd;
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, \
DROP ON vsftpd.* TO 'vsftpd'@'localhost' IDENTIFIED BY 'ftpdpass';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, \
DROP ON vsftpd.* TO 'vsftpd'@'localhost.localdomain' IDENTIFIED BY 'ftpdpass';
FLUSH PRIVILEGES;

Создаем таблицу:
USE vsftpd;
CREATE TABLE `accounts` (
`id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY ,
`username` VARCHAR( 30 ) NOT NULL ,
`pass` VARCHAR( 50 ) NOT NULL ,
UNIQUE (
`username`
)
) ENGINE = MYISAM ;
quit; 

Далее командой # adduser создаем пользователя с похожими данными /etc/passwd
 vsftpd:*:1003:1003:User &:/home/vsftpd:/usr/sbin/nologin

Теперь конфиг фтп сервера:
/usr/local/etc/vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=NO
anon_mkdir_write_enable=NO
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
nopriv_user=vsftpd

chroot_local_user=YES
secure_chroot_dir=/usr/local/share/vsftpd/empty
listen=YES
pasv_min_port=50000
pasv_max_port=50100

pam_service_name=vsftpd
guest_enable=YES
guest_username=vsftpd
local_root=/home/vsftpd/$USER
user_sub_token=$USER
virtual_use_local_privs=YES
user_config_dir=/usr/local/etc/vsftpd_user_conf

Далее создадим директорию (если чесно я пока сам не разобрался зачем, но видимо так надо)
# mkdir /usr/local/etc/vsftpd_user_conf

Создаем конфигурационный файл vsftpd, что бы pam функционировал с фпт сервером
# ee /etc/pam.d/vsftpd

auth required pam_mysql.so user=vsftpd passwd=ftpdpass \
host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2
account required pam_mysql.so user=vsftpd passwd=ftpdpass \
host=localhost db=vsftpd table=accounts usercolumn=username passwdcolumn=pass crypt=2

В файле /etc/pam.d/vsftpd убедитесь, что бы было только 2 строки(первая начинается с auth required, вторая account required), без переносов.

Добавим тестового пользователя с логином testuser и паролем secret:

#mysql -u root
USE vsftpd;
INSERT INTO accounts (username, pass) VALUES('testuser', PASSWORD('secret'));
quit;

И еще немного прав пользователям на каталоги:

mkdir /home/vsftpd/testuser
chown vsftpd:nogroup /home/vsftpd/testuser

Создадим загрузочник фтп сервера:
# ee  /usr/local/etc/rc.d/vsftpd.sh

#!/bin/sh

echo 'vsftpd starting...'
/usr/local/libexec/vsftpd &

Запускаем:

#/usr/local/etc/rc.d/vsftpd.sh

Или можете перегрузиться...

ps: в качестве фаервола я всегда использую pf, добавляем в /etc/pf.conf правила для фтп сервера:
pass in on $ext_if inet proto tcp from any port 1024:65535 to \
ваш.ip.адрес port 21 flags S/SA keep state
pass in on $ext_if inet proto tcp from any port 1024:65535 to \
ваш.ip.адрес port 50000:50100 flags S/SA keep state

Строки
pasv_min_port=50000
pasv_max_port=50100
в /usr/local/etc/vsftpd.conf означают, что открываются порты с 50000 до 50100 для пассивного режима работы фтп сервера и максимально может быть только 100 одновременных сессий.

pss: пользователей можно заводить и при помощи обычного phpmyadmin

ОЧЕНЬ ПОЛЕЗНО: читайте оригинал статьи - он написан для линупса Дибиван
http://www.howtoforge.com/vsftpd_mysql_debian_etch



размещено: 2008-03-11,
последнее обновление: 2008-03-11,
автор: helloworld

оценить статью:

rufer, 2008-03-11 в 20:15:31

Спасибо, отличная статья, как раз то, что я искал! :)

max, 2008-03-11 в 20:38:33

Неплохо,неплохо :)

Gleb, 2008-03-12 в 11:52:43

Запускающий скрипт не обязательно писать самому. Он автоматически пропишется куда надо если при сборке vsftpd из портов отметить RC.SUBR.

DyuS, 2008-03-13 в 11:32:23

Можно ли указать шифрование MD5:MD5 в pam

Zerox, 2008-03-18 в 22:38:22

У меня, к сожалению, не заработало. Не знаю, в чем проблема. Читал подобную статью для других операционок, везде, в принципе, все одинаково. Делаю как написано, но не могу залогиниться на сервак, логин с паролем не подходят, даже не знаю, что проверять.

Создавать директорию vsftpd_user_conf нужно для того, чтобы там хранить персональные настройки каждого юзера. В этой папке создается файл с именем пользователя и для каждого юзера можно выставить отдельные настройки.

papa_vasi, 2008-05-06 в 18:38:24

Спасибо за отличную статью!!!

skinc, 2008-06-19 в 13:56:16

Опция "user_config_dir=/usr/local/etc/vsftpd_user_conf" задает директорию, в которой лежат персональные конфиги для каждого виртуального пользователя (название файла совпадает с логином).

DonOrlando, 2008-08-01 в 17:56:58

to Zerox
У тебя скорее всего отсутствует либа pam_mysql.so, которая ставится из портов отдельно. Ставить отсюда /usr/ports/security/pam-mysql. Не забыть сделать симлинк на либу как показанно в конце инстала данного порта.

Kolesya, 2008-10-15 в 20:55:09

на ipfw может кто-то перевести ?
pass in on $ext_if inet proto tcp from any port 1024:65535 to \
ваш.ip.адрес port 21 flags S/SA keep state
pass in on $ext_if inet proto tcp from any port 1024:65535 to \
ваш.ip.адрес port 50000:50100 flags S/SA keep state

Z0RG, 2008-10-21 в 10:09:03

ipfw add allow tcp from any 1024-65535 to $your_ip 21 in via $ext_if keep-state

ipfw add allow tcp from any 1024-65535 to $your_ip 50000-50010 in via $ext_if keep-state

Только не понял что такое "flags S/SA" предполагаю, что один из них флаг установленного соединения, в таком случае можно дописать после keep-state setup

Zerox, 2008-11-14 в 0:58:25

Спасибо за статью. Первый раз пол года назад делал, не получилось, но не сильно надо было, не стал разбираться. Сейчас на 7.0 проделал все точно так же как в статье и заработало с первого раза без всяких поправок.

Zerox, 2008-12-03 в 16:54:41

Ставлю на 6.3, опять не работает. Все перепроверил. Не авторизует юзера из mysql и все тут. Как продиагностировать проблему - не знаю. Ни логов ни ошибок, просто не пускает, логин и пароль неверны.

Zulu, 2009-01-21 в 15:28:39

crypt=2 не прокатывает. Работает только с =0
А так всё завелось и работает на УРА.

CTOPMbI4, 2009-01-27 в 7:11:06

Все завелось и работает. Правда пришлось немного подумать)

Александр, 2009-03-27 в 15:55:01

vsftpd.sh можно взять с некоторой редакторской правкой из /usr/ports/ftp/vsftpd/files/

eugene210682, 2009-04-21 в 15:46:20

Наваял аналогичную сатью на основании этой, добавил чуть отсебятинки - убрал лишнее, на мой взгляд, и добавил кое-что, что как мне показалось добавит секурности. Если кому-то будет интересно, посмотреть можно здесь http://eugene210682.livejournal.com/1527.html

eugene210682, 2009-04-21 в 15:49:25

To DyuS: чтобы шифровать в MD5, нужно использовать при добавлении записей в таблицу с аккаунтами функцию MD5() вместо PASSWORD() и в /etc/pam.d/vsftpd должно быть crypt=3, если не ошибусь.

DREAMER_ALEX, 2010-02-16 в 18:49:23

както странно по ПАМУ из статьи локальным юзерам на вход был банан ((((
вот так работает совсеми юзверями
auth sufficient pam_mysql.so user=***** passwd=***** host=localhost db=test table=users usercolumn=name passwdcolumn=crypt crypt=1
auth<-->required<------>pam_unix.so<---><------>no_warn try_first_pass
account sufficient pam_mysql.so user=******* passwd=****** host=localhost db=test table=users usercolumn=name passwdcolumn=crypt crypt=1
account required<------><------>pam_unix.so

maximka, 2010-04-02 в 17:21:52

Для разнообразия)))
Berkeley DB + PAM
http://www.cyberciti.biz/tips/centos-redhat-vsftpd-ftp-with-virtual-users.html

scompik, 2010-05-07 в 0:01:39

DREAMER_ALEX
Паму из статьи с локальными юзерами банан, паму с Berkeley DB аналогичный фрукт и на altlinux

Klop, 2010-06-03 в 11:10:46

make config
Выбираем опцию RC_NG, и в итоге имеем готовый скрипт запуска в /usr/local/etc/rc.d

Если не нужны конфиги (отдельные) для пользователей, не вписываем в конфиг строку

user_config_dir=/usr/local/etc/vsftpd_user_conf

Соостветственно, отпадает необходимость в создании директории.

dimanger, 2010-08-16 в 1:57:57

херня , не пашет авторизация.

dimanger, 2010-08-16 в 6:39:26

сори, все работает ))

anon, 2010-12-07 в 9:31:24

спасибо! все работает, фря 8.1

Zerox, 2010-12-16 в 12:39:58

На всякий случай повторю:
\"crypt=2 не прокатывает. Работает только с =0
А так всё завелось и работает на УРА.\"
Только что настроил по статье на 8.1

fanatat, 2011-05-18 в 15:36:39

Я пользуюсь вот таким скриптом

cd /usr/local/etc/rc.d/
ee vsftpd.sh



#!/bin/sh
#
# $FreeBSD: ports/ftp/vsftpd/files/vsftpd.sh.in,v 1.10 2010/03/27 00:13:02 dougb Exp $
#

# PROVIDE: vsftpd
# REQUIRE: DAEMON

# To enable 'vsftpd' in standalone mode, you need to edit two files.
# 1. add the following line(s) to /etc/rc.conf to enable `vsftpd':
#
# vsftpd_enable="YES"
# vsftpd_flags="/some/path/conf.file" # Not required
#
# 2. tell vsftpd about standalone mode
# Edit %%PREFIX%%/etc/vsftpd.conf (or /some/path/conf.file) to contain
#
# listen=YES
# background=YES
#
# Samples are provided at the end of the configuration file.

. /etc/rc.subr

name="vsftpd"
rcvar=`set_rcvar`

load_rc_config "$name"
: ${vsftpd_enable:="NO"}

command="/usr/local/libexec/$name"
required_files="/usr/local/etc/$name.conf"
start_precmd="vsftpd_check"

vsftpd_check()
{
   if grep -q "^ftp[     ]" /etc/inetd.conf ${required_files}
   then
       err 1 "ftp is already activated in /etc/inetd.conf"
   fi
   if ! egrep -q -i -E "^listen.*=.*YES$" ${required_files}
   then
       err 1 'vsftpd script need "listen=YES" in config file'
   fi
   if ! egrep -q -i -E "^background.*=.*YES$" ${required_files}
   then
       err 1 'vsftpd script need "background=YES" in config file'
   fi
}

run_rc_command "$1"



после этого делаем

chmod +x vsftpd.sh

маленький нюанс в конфиге должно быть

ee vsftpd.conf

background=YES
listen=YES

kenny, 2011-07-21 в 10:04:32

В папке /usr/local/etc/vsftpd_user_conf/
Хронятся расширенные конфиги для пользователей.например
mail# cat /usr/local/etc/vsftpd_user_conf/testuser2
dirlist_enable=YES
download_enable=YES
local_root=/home/test2/testuser
write_enable=YES

Dmitry, 2012-09-27 в 23:43:48

500 OOPS: vsftpd: refusing to run with writable root inside chroot()

Dmitry, 2012-09-27 в 23:56:01

Проблема решается по-этапно.
1. Удаляется vsftpd и ставится vsftpd-ext
2. В /etc/rc.conf дописывается строка:
vsftpd_flags="/usr/local/etc/vsftpd.conf"
3. И добавляется опция "allow_writable_root=YES"
4. Обязательно обновить мир, либо иметь его не очень старым.

проблема: http://www.freebsd.org/security/advisories/FreeBSD-SA-11:07.chroot.asc

Dmitry, 2012-09-27 в 23:58:55

В остальном, ОГРОМЕННЕЙШЕЕ Спасибо автору. За три дня - это единственная статья, по которой я смог поднять ftp сервер, с вирт юзерами. Уже было готов ставить иксы wine и ставить туда geneftp)))
Ну, блин! ну не осилил я ни мускул, ни систему так глубоко, что бы без статей самому все сделать.


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 12 чел.
За последние 30 мин было: 47 человек
За сегодня было
7517 показов,
853 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0401 секунд
Из них PHP: 29%; SQL: 71%; Число SQL-запросов: 77 шт.
Исходный размер: 178252; Сжатая: 27989