Les tutos de Pisto

Outils pour utilisateurs

Outils du site

Vous êtes ici : start » linux » installation » vsftpd_avec_users_mariadb
Piste : vsftpd_avec_users_mariadb
linux:installation:vsftpd_avec_users_mariadb

Ceci est une ancienne révision du document !

Table des matières

Note > Voici l’emplacement des fichiers de configuration :

  • vsftpd/vsftpd.conf = /etc/vsftpd.conf
  • vsftpd/vsftpd_user_conf = /etc/vsftpd/user_conf/PSEUDO_USER
  • vsftpd/pam_vsftpd = /etc/pam.d/vsftpd

On installe vsftpd et on le stoppe le temps de le configurer 

agi vsftpd
/etc/init.d/vsftpd stop

On prépare la BDD à accueillir les users et les logs

Sur MySQL ou MariaDB, on cree un utilisateur BDDUSER avec une bdd qui lui est associee (via phpmyadmin par exemple)Ensuite on crée deux nouvelles tables dans cette bdd 

  1. -- # Creation d''une table ftpcomptes avec 3 champs (id, pseudo, mdp)
  2. CREATE TABLE IF NOT EXISTS `ftpcomptes` ( `id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY , `pseudo` VARCHAR( 250 ) NOT NULL , `mdp` VARCHAR( 250 ) NOT NULL , UNIQUE (`pseudo`) );
  3. -- # Creation d''une table ftplogging avec 7 champs (id, pseudo, pid, host, rhost, time, msg)
  4. CREATE TABLE IF NOT EXISTS `ftplogging` ( `id` INT NOT NULL AUTO_INCREMENT PRIMARY KEY , `pseudo` VARCHAR( 250 ) NOT NULL , `pid` VARCHAR( 250 ) NOT NULL , `host` VARCHAR( 250 ) NOT NULL , `rhost` VARCHAR( 250 ) NOT NULL , `time` VARCHAR( 250 ) NOT NULL , `msg` VARCHAR( 250 ) NOT NULL, INDEX (`pseudo`) );
  5. -- # Creation d''un premier utilisateur virtuel sur MySQL. Son pseudo est "exemple" avec comme mot de passe "mypass" (crypt=1 donc ENCRYPT)
  6. INSERT INTO ftpcomptes (pseudo, mdp) VALUES('exemple', ENCRYPT('mypass'));

Configurer Pam pour utiliser des users en BDD

On l’installe, et surtout on n’oublie pas le module libpam-mysql : 

agi libpam libpam-mysql

Il faut maintenant configurer pam, qui va permettre a vsftpd d’aller chercher les utilisateurs dans la base mysql plutôt que dans les utilisateurs systeme, stockés dans /etc/passwd et /etc/shadow.On sauvegarde l’ancien fichier (au cas où, mais pas dans le même répertoire, sinon il serait lu aussi) et on en crée un tout neuf : 

mkdir -p /var/backups/config
cp /etc/pam.d/vsftpd /var/backups/config/vsftpd.bak
nano /etc/pam.d/vsftpd

Et on remplace l’integralite du contenu par les lignes 2 suivantes,Où BDDUSER est l’utilisateur crée sur MySQLBDDPASS son mot de passeBDDNAME le nom de la base de donnees qui lui est associée 

auth required pam_mysql.so verbose=1 user=BDDUSER passwd=BDDPASS host=localhost db=BDDNAME table=ftpcomptes usercolumn=pseudo passwdcolumn=mdp crypt=1 sqllog=true logtable=ftplogging logmsgcolumn=msg logusercolumn=pseudo logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=time
account required pam_mysql.so verbose=1 user=BDDUSER passwd=BDDPASS host=localhost db=BDDNAME table=ftpcomptes usercolumn=pseudo passwdcolumn=mdp crypt=1 sqllog=true logtable=ftplogging logmsgcolumn=msg logusercolumn=pseudo logpidcolumn=pid loghostcolumn=host logrhostcolumn=rhost logtimecolumn=time
 
### INFOS
# verbose : Mode verbeux, necessaire pour logger les acces ( 0=desactive, 1 = active )
# user : Utilisateur employe par VsftpD pour se conncter a MySQL
# password : Mot de passe de l'utilsateur employe par VsftpD pour se connecter a MySQL
# host : Hote hebergeant le serveur MySQL (localhost ou adresse IP)
# db : nom de la base de donnees a utiliser
# table : nom de la table contenant les utilisateurs
# usercolumn : nom de la colonne contenant les noms des utilisateurs
# passwdcolumn : nom de la colone contenant les mot de passe des utilisateurs
# crypt : type de cryptage utilise pour les mots de passe ( 0 = clair , 1 = fonction ENCRYPT(), 2 = fonction PASSWORD(), 3 = fonction MD5(), 4 = fonction SHA1() )
# sqllog : activation du logging d'acces en base SQL ( 0 = desactive, 1 = active )
# logtable : nom de la table de log des acces utilisateurs
# logmsgcolumn : nom de la colonne ou seront stockes les messages de pam_mysql
# logusercolumn : nom de la colonne ou seront stockes les nom des utilisateurs
# logpidcolumn : nom de la colonne ou seront stockes les numeros de process (pid)
# loghostcolumn : nom de la colonne ou seront stockes les adresses ou se connectent les utilisateurs (en general le serveur lui même)
# logrhostcolumn : nom de la colonne ou seront stockes les adresses distantes des utilisateurs
# logtimecolumn : nom de la colonne ou seront stockes les heures de connexion

NOTE : La fonction crypt de la librairie pam_mysql accepte differents arguments (0, 1, 2, 3, 4) , cependant je n’en ai trouve que deux qui fonctionnent avec mysqlEn effet, sous mysql la fonction MD5() et la fonction SHA1() existent, mais elles ne renvoient pas les mêmes valeurs que le crypt fourni par pam_mysql.

Autrement dit, les valeurs ne correspondent pas et l’authentification échoue systématiquement. Personnellement, j’ai choisi crypt=1 (donc ENCRYPT sous MySQL)

Ajouter un utilisateur

On crée un premier utilisateur virtuel sur MySQLINSERT INTO comptes (pseudo, mdp) VALUES(‘exemple’, ENCRYPT(‘mypass’));

Le répertoire de l’utilisateur ‘PSEUDO_USER ‘ est /var/ftp/ftpzone/PSEUDO_USER , mais vsftpd ne peut pas le créer. Il faut donc le faire et le donner à l’utilisateur vsftpd. 

mkdir -p /var/ftp/ftpzone/PSEUDO_USER 
useradd --home /var/ftp/ftpzone --shell /bin/false vsftpd

On donne les droits d’écriture dans un sous répertoire upload et on attribue l’ensemble à vsftpd, et au groupe www-data (si on souhaite donner l’accès à apache) : 

chmod 555 /var/ftp/ftpzone/PSEUDO_USER /
chmod 775 /var/ftp/ftpzone/PSEUDO_USER/upload/
chown -R vsftpd:www-data  /var/ftp/ftpzone/

On cree le repertoire qui stockera les droits des users virtuels 

mkdir /etc/vsftpd/user_conf

On cree un repertoire par utilisateur virtuel en specifiant ces droits : 

nano /etc/vsftpd/user_conf/PSEUDO_USER
user_config.txt
  1. ## l'utilisateur est enferme dans un dossier determine
  2. local_root=/var/ftp/ftpzone/PSEUDO_USER 
  3.  
  4. ## droit de lecture(download)
  5. anon_world_readable_only=NO
  6.  
  7. ## droit d'ecriture(upload)
  8. write_enable=YES
  9. anon_upload_enable=YES
  10.  
  11. ## creer des dossiers
  12. anon_mkdir_write_enable=YES
  13.  
  14. ## droit de renommer, supprimer...
  15. anon_other_write_enable=YES
  16.  
  17. ## pour gerer le chmod de l'utilisateur
  18. ## activer l'option
  19. virtual_use_local_privs=YES
  20. ## definir l'option local_umask
  21. local_umask=022

Petit plus : publication sur apache

Si on veut que PSEUDO_USER qui est chroot dans /var/ftp/ftpzone/PSEUDO_USER puisse publier le contenu de son ftp (sur /var/www/html/PSEUDO_USER) ou encore accéder à d’autres répertoires, il suffit de lancer les commandes suivantes : 

mkdir /var/www/html/PSEUDO_USER
chown -R vsftpd:www-data /var/www/html/PSEUDO_USER/
mount --bind /var/www/html/PSEUDO_USER/ /var/ftp/ftpzone/PSEUDO_USER/

Pour l’avoir au boot éditer /etc/fstab et ajouter : 

/var/www/html/PSEUDO_USER/ /var/ftp/ftpzone/PSEUDO_USER/    none  bind,defaults,auto     0    0

Ne pas oublier de metttre l’user vsftpd dans le groupe www-data pour que chaque upload d’un utilisateur soit directement visible par apache 

sudo usermod -g www-data vsftpd

Ensuite on édite la configuration de vsftpd dans /etc/vsftpd.conf 

mkdir -p /var/backups/config
cp /etc/vsftpd.conf /var/backups/config/vsftpd.conf.bak
nano /etc/vsftpd.conf

On remplace TON_PORT et TON_PORT_MAX par les ports de son choix (qu’on pense à ouvrir sur le routeur)

vsftpd.conf
  1. # ftp server
  2. #####################
  3. listen=YES
  4. # port par défaut du FTP
  5. listen_port=TON_PORT
  6. # nom du service d'authentification
  7. pam_service_name=vsftpd
  8. # pour le mode passif (firewall)
  9. pasv_min_port=TON_PORT
  10. pasv_max_port=TON_PORT_MAX
  11. #
  12. #
  13. # anonymous user
  14. #####################
  15. anonymous_enable=NO
  16. anon_upload_enable=NO
  17. anon_mkdir_write_enable=NO
  18. anon_other_write_enable=NO
  19. #
  20. #
  21. # general user
  22. #####################
  23. local_enable=YES
  24. local_umask= 022
  25. write_enable=YES
  26. chroot_local_user=YES
  27. # pour user admin (déconseillé)
  28. # chroot_list_enable=YES
  29. #
  30. #
  31. # virtual user
  32. #####################
  33. guest_enable=YES
  34. guest_username=vsftpd
  35. nopriv_user=vsftpd
  36. virtual_use_local_privs=YES
  37. user_sub_token=$USER
  38. local_root=/var/ftp/ftpzone/$USER
  39. hide_ids=YES
  40.  
  41. # Necessaire pour le monitoring
  42. setproctitle_enable=YES
linux/installation/vsftpd_avec_users_mariadb.1662220056.txt.gz · Dernière modification : 2022/09/03 15:47 de tutospisto

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : Public Domain
Public Domain Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki Nom de domaine