ProFTPD 支持MySQL数据库添加虚拟用户认证及Quotas(磁盘限额)
proftpd.conf配置指令手册(en):http://www.proftpd.org/docs/directives/linked/configuration.html
ProFTPD官方网站(en): http://www.proftpd.org/
proftpd.conf配置指令手册(zh):
http://www.itlearner.com/article/3549/relate
安装环境:
操作系统centos-5.2
mysql 5.0.67 源代码安装在/usr/local/mysql目录
1、proftpd-1.3.2源代码编译安装
./configure –prefix=/usr/local/proftpd
–with-modules=mod_sql:mod_sql_mysql #支持mysql数据库
–with-modules=mod_quotatab:mod_quotatab_sql #支持磁盘配额
–with-modules=mod_tls #支持SSL/TLS安全传输
–with-includes=/usr/local/mysql/include
–with-libraries=/usr/local/mysql/lib
make
make install
cp sample-configurations/mod_sql.conf /usr/local/proftpd/etc/proftpd.conf
2、proftpd.conf文件配置基本格式:
#全局设置
设置项目1 参数1
设置项目2 参数2
……
……
#某个目录的设置
<Directory “路径名”>
……
……
</Directory>
#关于匿名用户的设置
<Anonymous “匿名登录的目录”>
……
……
<Limit 限制动作>
……
……
</Limit>
</Anonymous>
3、proftpd.conf配置文件中的一些基本配置:
ServerName 服务器名称
ServerType 服务器工作类型(standalone/inted)
DefaultServer 是否启用虚拟FTP (on/off)
Port 运行端口
Umask 默认文件权限(022)
User 运行proftpd服务器的用户
Group 运行proftpd服务器的用户组
AllowOverwrite 是否允许客户端覆盖文件(安全上一般设置为off)
RequireValidShell 用户shell不在/etc/shells文件中,默认不允许登陆(on/off)
MaxInstances 20 最多有20个proftpd的PID
MaxClients 10 最多允许10个用户在线
MaxClientsPerHost 1 一个IP只允许一个帐号连接
MaxClientsPerUser 2 每个帐号在每个客户端最多同时登陆2次,可防止多线程下载软件
DisplayLogin welcome.msg ftp登陆欢迎信息文件
<Directory /*> 登入时想进入的目录位置(/* 为通配符)
<Anonymous ~ftp> 匿名用户设置
<Global> 所有虚拟ftp的共同设置项
3.1 虚拟FTP设置
<VirtualHost 192.168.0.1>
ServerName “……”
……
……
</VitualHost>
3.2 开启ftp上传/下载的续传功能
AllowStoreRestart on #上传
AllowRetrieveRestart on #下载
3.3 限速设置
格式为: TransferRate STOR|RETR 速度(kbytes/s) user 使用者
STOR 为上传速度
RETR 为下载速度
后面不跟user的时候,针对全部用户进行限速
3.4 让proftpd支持FXP传输
AllowForeignAddress on
PassivePorts 40000 40999
3.5 加快连接速度,关闭DNS反解
UseReverseDNS off
IdentLookups off
3.6 只允许部分网段访问FTP
<Limit LOGIN>
Order allow,deny
Allow from 10.10.
Deny from all
</Limit>
4、<Limit>参数说明
4.1 限制的动作
CWD: Change Working Directory 改变目录
MKD: Make Directory 创建目录
RNFR: ReName FRom 更改目录名
DELE: DELEte 删除文件
RMD: ReMove Directory 删除目录
RETR: RETRieve 下载
STOR: STORe 上传
READ: 可读文件的权限,但不包括列目录
WRITE: 写文件或目录的权限,包括MKD和RMD
DIRS: 列目录的权限
LOGIN: 登陆的权限
ALL: 所有权限
4.2 <Limit>所应用的对象
AllowUser/DenyUser AllowGroup/DenyGroup AllowALL/DenyAll ……
5、部分安全策略配置
5.1 隐藏proftpd服务器的版本信息
ServerIdent off
5.2 伪装Proftpd服务器
伪装成windows下的ftp服务器Serv-U
ServerIdent on “Serv-U FTP Server v6.4 for Winsock ready ……”
5.3 使用非root权限运行proftpd服务:
User nobody
Group nobody
禁止root登陆:
RootLogin off
对ftp用户使用chroot限制:
DefaultRoot ~
控制ftp命令缓冲区大小:
CommandBufferSize 512
修改proftpd服务器使用的端口:
Port 2121
5.4 监控Proftpd服务器运行情况
5.4.1 记录ftp连接数
watch -n 360 /usr/local/proftpd/bin/ftpcount
每隔360秒显示一次连接用户数量的信息
5.4.2 查找谁与FTP服务器连接
/usr/local/proftpd/bin/ftpwho
5.5 服务器配置文件的修改(proftpd.conf)
5.5.1 通过IP地址限制FTP访问
#只允许10.10.0.0/16网段用户访问
<Limit LOGIN>
Order allow,deny
Allow from 10.10.
Deny from all
</Limit>
5.5.2 使用pam作为proftpd授权用户的鉴别方法
AuthPAM on
AuthPAMConfig ftp
修改/etc/pam.d/ftp相应文件
5.5.3 限制FTP命令特权
*禁止一些用户创建和删除目录的特权
<Directory /*>
<Limit MKD RMD>
Order deny,allow
DenyGroup badusers
AllowAll
</Limit>
</Directory>
*建立只能上载的FTP服务器
<Directory /*>
<Limit RETE>
DenyAll
</Limit>
</Directory>
*限制对单个目录的访问
<Directory /*>
<Limit CWD>
DenyAll
</Limit>
</Directory>
*限制目录浏览特权
<Directory /my/mp3s>
<Limit DIRS>
DenyGroup newfriends
</Limit>
</Directory>
5.5.4 使不同用户之间相互隔离
一些用户通常访问ISP的FTP服务器时,会看到一些不应当的系统信息,因此隐藏这些信息是必要的,下面是一个配置:
DefaultRoot “/www”
<Directory /www>
HideNoAccess on
<Limit ALL>
IgnoreHidden on
</Limit>
</Directory>
HideNoAccess指令将用户隐藏/www 目录下的所有条目,IgnoreHidden指令指示ProFTPD 服务器忽略用户所有指令。
6、加密FTP服务器与客户端的连接
需要在编译安装的时候配置支持相应模块
./configure –with-modules=mod_tls
6.1 制作凭证
# mkdir /etc/ssl/certs
# mkdir /etc/ssl/private
# chmod og-rwx /etc/ssl/private
# mkdir /etc/ssl/crl
# mkdir /etc/ssl/newcerts
修改 /etc/ssl/openssl.cnf
把 dir = ./demoCA 改成 dir = /etc/ssl
6.2 制作最高层认证中心 (Root CA)
Private Key ( Public Key )
# openssl genrsa -des3 -out /etc/ssl/private/myrootca.key 2048
# chmod og-rwx /etc/ssl/private/myrootca.key
填写凭证申请书 (然后按照问题回答即可)
#openssl req -new -key /etc/ssl/private/myrootca.key -out /tmp/myrootca.req
签发凭证
# openssl x509 -req -days 7305 -sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_ca -signkey /etc/ssl/private/myrootca.key
-in /tmp/myrootca.req -out /etc/ssl/certs/myrootca.crt
# rm -f /tmp/myrootca.req
6.3 用最高层认证中心签发凭证
制作服务器用的凭证
# openssl genrsa -out /etc/ssl/private/myhost.key 2048
# chmod og-rwx /etc/ssl/private/myhost.key
填写凭证申请书
# openssl req -new -key /etc/ssl/private/myhost.key -out /tmp/myhost.req
# openssl x509 -req -days 3650 -sha1 -extfile /etc/ssl/openssl.cnf -extensions v3_req -CA /etc/ssl/certs/myrootca.crt
-CAkey /etc/ssl/private/myrootca.key -CAserial /etc/ssl/myrootca.srl
-CAcreateserial -in /tmp/myhost.req -out /etc/ssl/certs/myhost.crt
# rm -f /tmp/myhost.req
6.4 接下来设定proftpd.conf,主要是在最后加上以下有关TLS的设
< IfModule mod_tls.c >
TLSEngine on
TLSLog /var/log/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRequired On
TLSRSACertificateFile /etc/ssl/certs/myhost.crt
TLSRSACertificateKeyFile /etc/ssl/private/myhost.key
TLSCACertificateFile /etc/ssl/certs/myrootca.crt
TLSVerifyClient On
< /IfModule >
7、有关MySQL+Quota的设置
需要在编译安装的时候配置支持相应模块
./configure –with-modules=mod_sql:mod_sql_mysql
–with-modules=mod_quotatab:mod_quotatab_sql
–with-includes=/usr/local/mysql/include
–with-libraries=/usr/local/mysql/lib
7.1 数据库的导入
mysql mysql -uroot -ppassword
create database ftpdb
grant select, update on ftpdb.* to proftpd@localhost identified by ‘password’
use ftpdb
CREATE TABLE `ftpgroup` (
`groupname` varchar(16) NOT NULL default ”,
`gid` smallint(6) NOT NULL default ‘5500′,
`members` varchar(16) NOT NULL default ”,
KEY `groupname` (`groupname`)
) TYPE=MyISAM COMMENT=’ProFTP group table’;
INSERT INTO `ftpgroup` VALUES (’ftpgroup’, 5500, ‘ftpuser’);
CREATE TABLE `ftpquotalimits` (
`name` varchar(30) default NULL,
`quota_type` enum(’user’,’group’,’class’,’all’) NOT NULL default ‘user’,
`per_session` enum(’false’,’true’) NOT NULL default ‘false’,
`limit_type` enum(’soft’,’hard’) NOT NULL default ’soft’,
`bytes_in_avail` float NOT NULL default ‘0′,
`bytes_out_avail` float NOT NULL default ‘0′,
`bytes_xfer_avail` float NOT NULL default ‘0′,
`files_in_avail` int(10) unsigned NOT NULL default ‘0′,
`files_out_avail` int(10) unsigned NOT NULL default ‘0′,
`files_xfer_avail` int(10) unsigned NOT NULL default ‘0′
) TYPE=MyISAM;
CREATE TABLE `ftpquotatallies` (
`name` varchar(30) NOT NULL default ”,
`quota_type` enum(’user’,’group’,’class’,’all’) NOT NULL default ‘user’,
`bytes_in_used` float NOT NULL default ‘0′,
`bytes_out_used` float NOT NULL default ‘0′,
`bytes_xfer_used` float NOT NULL default ‘0′,
`files_in_used` int(10) unsigned NOT NULL default ‘0′,
`files_out_used` int(10) unsigned NOT NULL default ‘0′,
`files_xfer_used` int(10) unsigned NOT NULL default ‘0′
) TYPE=MyISAM;
CREATE TABLE `ftpuser` (
`id` int(10) unsigned NOT NULL auto_increment,
`userid` varchar(32) NOT NULL default ”,
`passwd` varchar(32) NOT NULL default ”,
`uid` smallint(6) NOT NULL default ‘5500′,
`gid` smallint(6) NOT NULL default ‘5500′,
`homedir` varchar(255) NOT NULL default ”,
`shell` varchar(16) NOT NULL default ‘/sbin/nologin’,
`count` int(11) NOT NULL default ‘0′,
`accessed` datetime NOT NULL default ‘0000-00-00 00:00:00′,
`modified` datetime NOT NULL default ‘0000-00-00 00:00:00′,
PRIMARY KEY (`id`)
) TYPE=MyISAM COMMENT=’ProFTP user table’ ;
7.2 在proftpd.conf文件中加入sql相关配置:
SQLAuthTypes Backend Plaintext
#Backend表示用户认证方式为MySQL数据库的认证方式
#Plaintext表示明文认证方式,排在最前面的为最先使用的方式
SQLAuthenticate users* groups*
# databasename@host database_user user_password
SQLConnectInfo ftpdb@localhost proftpd password
SQLUserInfo ftpuser userid passwd uid gid homedir shell
SQLGroupInfo ftpgroup groupname gid members
SQLHomedirOnDemand on
#如果用户主目录不存在,则系统会根据此用户在用户数据表中的homedir字段的值新建一个目录
# Update count every time user logs in
SQLLog PASS updatecount
SQLNamedQuery updatecount UPDATE “count=count+1,accessed=now() WHERE userid=’%u’” ftpuser
# Update modified everytime user uploads or deletes a file
SQLLog STOR,DELE modified
SQLNamedQuery modified UPDATE “modified=now() WHERE userid=’%u’” ftpuser
7.3 加入Quota磁盘配额相关设置
QuotaEngine on
QuotaDirectoryTally on
QuotaDisplayUnits Mb
QuotaShowQuotas on
QuotaLog “/var/log/quota”
SQLNamedQuery get-quota-limit SELECT “name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM ftpquotalimits WHERE name = ‘%{0}’ AND quota_type = ‘%{1}’”
SQLNamedQuery get-quota-tally SELECT “name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM ftpquotatallies WHERE name = ‘%{0}’ AND quota_type = ‘%{1}’”
SQLNamedQuery update-quota-tally UPDATE “bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used+ %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} WHERE name = ‘%{6}’ AND quota_type = ‘%{7}’” ftpquotatallies
SQLNamedQuery insert-quota-tally INSERT “%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}” ftpquotatallies
QuotaLimitTable sql:/get-quota-limit
QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally
7.4 ftpquotalimits表设置说明
name: – 用户帐号
quota type: – user, group, class, all (we use user)
per_session: – true or false (we use true)
limit_type: – 硬限制 or 软限制 (我们一般用硬限制)
bytes_in_avail: – 允许上传的字节数
bytes_out_avail: – 允许下载的字节数
bytes_xfer_avail: – 允许传输的字节数(包括上传/下载)
files_in_avail: – 允许上传的文件数
files_out_avail: – 允许下载的文件数
files_xfer_avail: – 允许传输的文件数(包括上传/下载)
8、其他
8.1 使用命令ftpshut
基本格式:
ftpshut [ -l min ] [ -d min ] time [ warning-message … ]
参数说明:
-l min: 在ftp关闭服务之前的几分钟内,尝试建立新的ftp连接均不被接受
-d min: 在ftp关闭服务之前的几分钟内,已经建立的ftp连接将被中止
time: 在多少时间后,服务器将关闭ftp服务,格式有两种
+number 经过number分钟后关闭
MMHH 在今天MM:HH服务器将关闭
8.2 welcome.msg 欢迎文件可用参数
%T 目前的时间
%F 所在硬盘剩下的容量
%C 目前所在的目录
%R Client 端的主机名称
%L Server 端的主机名称
%U 使用者帐户名称
%M 最大允许连接人数
%N 目前的服务器连接人数
%E FTP服务器管理员的 email
%i 本次上传的文件数量
%o 本次下载的文件数量
%t 本次上传+下载的文件数量
应用举例:
欢迎您%U, 这是Frank的测试FTP服务器;
目前时间是:%T;
本服务器最多允许%M个用户连接数;
目前服务器上已有%N个用户连接数;
目前你所在的目录是%C;
目录所在的硬盘还剩下%F字节。