vsftpd中启用www-data的登录
目的
允许www-data登录vsftpd,但不允许www-data登录shell手段
利用vsftpd中的虚拟用户,并严格限制权限调研分析
关于vsftpd的配置依旧是各种一搜一大把,但是大多都是说HOW, 从来很少有说WHY的。这里我按照我的想法说一说。看到很多人使用libpam-mysql来认证,而不使用pam文件,我觉得是有问题的。
这样做的唯一好处是增减用户可能相对更加方便,但安全性,呵呵~
且不说pam-mysql是一个非常古老的包,2006年释出0.7RC1后一直没有更新。
然而把mysql数据库密码明文写在配置文件里合适吗?真的合适吗?真的真的合适吗?
甚至还有教程教人把root密码写过去,这简直就是坑害程序员专业版之焚书坑儒!!
再来看看另一条道路,使用pam_userdb,需额外安装db-util包,
而且每次修改要重新db_dump出用户文件并用db_load重新生成.bdb
为什么导出与生成都不要输密码啊?因为db-util压根没有加密。
人家的参数是-t btree | hash | recno | queue,嗷嗷嗷!!
现在我们假设pam认证的配置里必须拥有密码,因为依赖第三方认证系统需要额外的授权,
而我们不希望将这一授权的密码再度保存在配置文件里。
我能想到的解决方案只有一个:就是使用非对称密钥认证。(和SSL证书不要搞混了哦)
FTP用户需要通过私钥来验证自己,而服务器端即使是配置文件里也只保留公钥,我觉得这是最好的形式。
然而,我擦,这种方式FTPS协议居然不支持,FTPS的客户端根本没有提交私钥的项。
这样看来,所保存密码(假设必须保存)的适用范围就是越窄越好,
最好就是只有vsftpd使用,和其他一切无关。这样看来pam_userdb使用hash并没有什么不对。
我的方案
我考虑了很久,认为一个白名单是必须的,然而使用pam_userdb的确有些过于麻烦。 由于只是想开启www-data的登录,并非新增其它用户。我使用两项pam配置搞定 1.用户与密码必须位于/etc/passwd中 2.如果用户是www-data,忽略shell的验证实践
# Standard behaviour for ftpd(8).
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
# Note: vsftpd handles anonymous logins on its own. Do not enable pam_ftp.so.
auth required pam_localuser.so
auth sufficient pam_listfile.so item=user sense=allow file=/etc/ftpusers_allow onerr=succeed
# Standard pam includes
@include common-account
@include common-session
@include common-auth
auth required pam_shells.so