用MySQL配合pam_mysql搞定vsftpd虚拟用户登录那些事儿

（引用来源：基于Linux系统管理员常见任务和vsftpd、pam_mysql官方文档常见配置实践的整合）

今天咱们就来聊聊怎么用MySQL数据库来管理vsftpd的虚拟用户，告别繁琐的本地文件配置，简单说，就是让FTP用户的账号密码不写在vsftpd自己的文件里，而是存到MySQL数据库中，这样管理起来更灵活,特别是用户很多的时候。

第一步：准备工作，安装必要的软件包

你得确保你的Linux系统上已经安装了vsftpd、MySQL（或者MariaDB，两者差不多）以及一个叫pam_mysql的关键组件，pam_mysql是个桥梁，它能让系统的PAM（可插拔认证模块）去查询MySQL数据库来验证用户身份，你可以用yum或者apt-get这样的包管理器来安装它们，比如在CentOS上，可能需要安装vsftpd，mysql-server，pam_mysql等包，装完之后，记得启动MySQL服务和vsftpd服务,并设置成开机自启。

第二步：配置MySQL数据库

咱们要在MySQL里创建一个专门的数据库和表来存放虚拟用户的信息，用root用户登录MySQL命令行,然后执行类似下面的SQL语句：

CREATE DATABASE vsftpd; -- 创建一个叫vsftpd的数据库
USE vsftpd;
-- 创建一个用户表，至少包含用户名和密码字段
CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(50) NOT NULL UNIQUE,
    password VARCHAR(100) NOT NULL -- 注意密码存储方式，后面会讲
);
-- 为了方便PAM模块连接数据库，最好创建一个专用的MySQL用户，只授予必要的权限
GRANT SELECT ON vsftpd.users TO 'vsftpd_user'@'localhost' IDENTIFIED BY '你的密码';
FLUSH PRIVILEGES;

这里有个关键点，密码字段怎么存？vsftpd配合PAM认证时，默认期望的是明文密码，但直接把明文密码存在数据库里太不安全了，pam_mysql支持对存储在数据库中的密码进行加密处理，你可以在表里存储经过加密（如MD5、SHA256等）的密码，然后在PAM配置里告诉它你用的是什么加密方式，它会在认证时用同样的方式处理用户输入的密码然后比对，你可以用MySQL的PASSWORD()函数或者MD5()函数对密码进行加密后存入password字段，但更推荐使用更强的加密方式，比如SHA256,并在PAM配置中指明。

第三步：配置PAM使用MySQL认证

这是核心步骤，我们需要修改PAM的配置文件，告诉vsftpd当它需要认证用户时，去找pam_mysql模块,而pam_mysql模块会去连接我们刚创建的MySQL数据库。

PAM的配置文件通常位于/etc/pam.d/目录下，我们需要编辑（或者创建）一个给vsftpd使用的PAM配置文件，比如叫/etc/pam.d/vsftpd_virtual大致如下：

auth required pam_mysql.so user=vsftpd_user passwd=你的MySQL用户密码 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2
account required pam_mysql.so user=vsftpd_user passwd=你的MySQL用户密码 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=2

我来解释一下这几行：

• auth required：负责认证,检查密码是否正确。
• account required：负责账户管理，检查账户是否有效（比如是否过期等，我们这里简单配置，主要靠这个模块确认用户存在）。
• pam_mysql.so：这就是我们安装的PAM模块。
• user=, passwd=, host=, db=, table=, usercolumn=, passwdcolumn=：这些参数就是告诉pam_mysql怎么连接数据库以及去哪个表的哪个字段找用户名和密码。
• crypt=2：这个参数非常重要！它指定了密码的加密方式。crypt=2通常对应MySQL的PASSWORD()函数使用的加密（注意，这个函数是MySQL特有的，不是Unix crypt），如果你在数据库里存的是MD5散列值，可能要用crypt=3，如果你存的是明文，就用crypt=0，一定要根据你实际存储密码的方式设置正确，否则永远认证失败，具体支持哪些值，可以查一下pam_mysql的文档（比如man page）。

第四步：配置vsftpd使用PAM认证

现在要修改vsftpd的主配置文件/etc/vsftpd.conf,找到并修改或添加以下几行：

# 启用匿名访问（根据需求，可以禁用）
anonymous_enable=NO
# 允许本地用户登录？我们用的是虚拟用户，所以最好禁掉，更安全
local_enable=NO
# 启用虚拟用户
guest_enable=YES
# 将虚拟用户映射到哪个本地系统用户
guest_username=virtualftp
# 指定PAM配置文件的名称（注意，这里写的是/etc/pam.d/下面的文件名，不需要路径）
pam_service_name=vsftpd_virtual
# 设置虚拟用户的主目录权限（重要！）
# 让虚拟用户被限制在其主目录下（chroot）
chroot_local_user=YES
# 或者使用chroot_list文件来控制，这里我们简单起见，把所有虚拟用户都chroot
# 还需要加一行，确保chroot目录的权限正确，避免vsftpd的安全检查失败
allow_writeable_chroot=YES
# 其他一些可能需要的设置，比如启用上传、创建目录等
write_enable=YES
local_umask=022

注意guest_username=virtualftp这一行，我们需要在Linux系统上实际创建一个叫virtualftp的普通用户（不需要设置登录密码，因为它本身不用于直接登录），并指定一个目录作为它的家目录（比如/home/virtualftp），之后，所有通过数据库验证成功的虚拟用户，在登录后都会被映射成这个virtualftp系统用户，并且他们的根目录（chroot）就是这个virtualftp用户的家目录，你可以在/home/virtualftp下为不同的虚拟用户创建各自的子目录。

第五步：创建系统用户和目录，并设置权限

执行命令创建用户和目录：

sudo useradd -d /home/virtualftp -s /sbin/nologin virtualftp
sudo mkdir -p /home/virtualftp
sudo chown virtualftp:virtualftp /home/virtualftp

根据需要，你可以在/home/virtualftp下创建子目录，并设置virtualftp用户对这些目录的读写权限。

第六步：测试和排错

大功告成！重启vsftpd服务使配置生效：sudo systemctl restart vsftpd。

你可以用任何FTP客户端（比如FileZilla），使用你在MySQL的users表中添加的用户名和密码尝试连接了。

如果连接失败，别慌，这是常态,按顺序检查：

1. MySQL服务是否运行？数据库里的用户密码是否正确（注意加密方式）？
2. PAM配置文件/etc/pam.d/vsftpd_virtual的路径和参数是否正确？特别是数据库连接信息和crypt参数。
3. vsftpd配置文件/etc/vsftpd.conf的语法是否正确？PAM服务名是否指定对了？
4. 系统用户virtualftp及其家目录是否存在且权限正确？
5. 查看系统日志（如/var/log/messages或/var/log/syslog）和vsftpd的日志（/var/log/vsftpd.log），里面通常会有详细的错误信息,是排错的最佳帮手。

这个过程可能一开始会觉得有点绕，但一旦配置成功，以后要新增、删除FTP用户，只需要在MySQL数据库里操作就行了，非常方便,这就是用MySQL搞定vsftpd虚拟用户登录的核心流程。