Нашёл аглицкий мануал по pure-ftpd - пробежался по диагонали - оказалось интересно. Поддерживает юзеров в MySQL, персональные лимиты для каждого пользователя, которые тоже можно в БД хранить. Красота, короче. Решил попробовать. Ставим из портов, предварительно обновив их:
/usr/home/lissyara/>cd /usr/ports/
/usr/ports/>make search name='pure-ftpd'
Port: pure-ftpd-1.0.21_1
Path: /usr/ports/ftp/pure-ftpd
Info: A small, easy to set up, fast and very secure FTP server
Maint: j@pureftpd.org
B-deps:
R-deps: perl-5.8.8
WWW: http://www.pureftpd.org/
/usr/ports/>cd /usr/ports/ftp/pure-ftpd
/usr/ports/ftp/pure-ftpd/>make && make install && make clean
Вообще, подразумеваеся что MySQL уже стоит - без него я не пробовал, но в зависимостях его нет. Поэтому клиента лучше сразу поставить. Лезет синее окошко, где я выбрал такой набор опций:
Options for pure-ftpd 1.0.21_1
[ ] LDAP Support for users in LDAP directories
[X] MYSQL Support for users in MySQL database
[ ] PAM Support for PAM authentication
[ ] PGSQL Support for users in PostgreSQL database
[X] PRIVSEP Enable privilege separation
[X] PERUSERLIMITS Per-user concurrency limits
[X] THROTTLING Bandwidth throttling
[X] BANNER Show pure-ftpd welcome upon session start
[X] UPLOADSCRIPT Support uploadscript daemon
[X] UTF8 Support for charset conversion (expreimental)
[X] SENDFILE Support for the sendfile syscall
После чего выскочило ещё пару опций, не отражённых в этом самом окошке:
===> Vulnerability check disabled, database not found
===> Found saved configuration for pure-ftpd-1.0.21_1
You can use the following additional options:
WITH_CERTFILE=/path - Set different location of certificate file for TLS
WITH_LANG=lang - Enable compilation of language support, lang is one of
english, german, romanian, french, french-funny, polish, spanish,
dutch, italian, brazilian-portuguese, danish, slovak, korean,
norwegian, swedish, russian, traditional-chinese, simplified-chinese,
hungarian, catalan and czech.
Естессно, русский нам нужен :))) Потому жмякнул Ctrl+C, и внёс такие строки в /etc/make.conf
И редактируем конфиги: /usr/local/etc/pure-ftpd.conf
# Конфиг pure-ftpd
# 2006-06-13, lissyara
# Для запуска Pure-FTPd с этой конфигурацией, вместо параметров
# командной строки, запустите такую команду:
# /usr/local/sbin/pure-config.pl /usr/local/etc/pure-ftpd.conf
#
# Не забудте изучить документацию на сайте, для получения
# полного списка команд - http://www.pureftpd.org/documentation.shtml
# Chroot`ить всех пользователей в их хомяках
ChrootEveryone yes
# Если в предыдущей опции было выбрано "no", то члены следующей
# группы не будут chroot`ится. Всё остальные - будутe. Если Вы не хотите
# chroot`ить всех, то просто раскоментируйте ChrootEveryone и TrustedGID.
# TrustedGID 100
# Включить "фичи" совместимости, для кривых клиентов
BrokenClientsCompatibility no
# Максимальное число одновременных юзеров
MaxClientsNumber 50
# Работать в фоне (демоном)
Daemonize yes
# Максимальное число одновременных соединений с одного IP
MaxClientsPerIP 8
# Если вы хотите логировать все команды клиентов, то в этом
# пункте должно быть "yes". Если необходимо логгировать также
# ответы сервера, то просто продублируйте этот пункт.
VerboseLog no
# Показывать или нет файлы, начинающиеся с точки, даже когда клиент
# явно не говорит что это надо делать, опцией "-a".
DisplayDotFiles yes
# Не разрешать аутентифицированных юзеров - этот FTP
# только для анонимных клиентов.
AnonymousOnly no
# Запретить анонимоусов - FTP тока для регистрованных юзеров.
NoAnonymous no
# Средства syslog (auth, authpriv, daemon, ftp, security, user, local*)
# Дефолт - "ftp". "none" - отключает логирование.
SyslogFacility ftp
# Показывать какие-то куки? (Display fortune cookies)
# FortunesFile /usr/share/fortune/zippy
# Не резольвить имена хостов в логах. Логи становятся менее информативными,
# но и ресурсов требуется меньше. "yes" - имеет смысл ставить на очень
# загруженных серверах, или при неработающем DNS.
DontResolve yes
# Максимальное время простоя (по окончании рвётся коннект), в минутах
# (default = 15 minutes)
MaxIdleTime 15
# Файл конфигурации LDAP (смотрите README.LDAP)
# LDAPConfigFile /etc/pureftpd-ldap.conf
# Файл конфигурации MySQL (смотрите README.MySQL)
MySQLConfigFile /usr/local/etc/pureftpd-mysql.conf
# Файл конфигурации Postgres (смотрите README.PGSQL)
# PGSQLConfigFile /etc/pureftpd-pgsql.conf
# база данных юзеров PureDB (смотрите README.Virtual-Users)
# PureDB /etc/pureftpd.pdb
# путь к сокету pure-authd (смотрите README.Authentication-Modules)
# ExtAuth /var/run/ftpd.sock
# Если нужно подключить PAM аутентификацию раскомментируйте
# следующую линию
# PAMAuthentication yes
# Если нужна системная, Unix аутентификация (/etc/passwd),
# раскомментируйте следующую линию
# UnixAuthentication yes
# Пожалуйста, отметтьте, что LDAPConfigFile, MySQLConfigFile,
# PAMAuthentication и UnixAuthentication могут использоваться только
# один раз, но они могут использоваться вместе. Например, если вы
# используете MySQLConfigFile, затем UnixAuthentication, то идёт запрос
# к MySQL. Если в БД такой пользователь не найден, то пробуется
# системный пользователь в /etc/passwd и /etc/shadow. Если SQL
# аутентификация неудачна по причине неправильного пароля, то происходит
# остановка дальнейшего поиска пользователя. Методы аутентификации
# будут ипользоваться в порядке в которм они заданы
# Пределы рекурсии команды 'ls'. Первй аргумент - максимально число файлов,
# которое будет показано. Второе - максимальное число подкаталогов
LimitRecursion 20008
# Имеют ли право анонимоусы создвать новые директории?
AnonymousCanCreateDirs no
# Если система загружена более, чем указанное тут значение, то
# анонимоусы не могут что-либо скачивать
MaxLoad 4
# Диапазон портов для пассивного соединения. Если у вас файрволл рубает
# стандартный диапазон
# PassivePortRange 30000 50000
# Принудительный IP адрес в PASV/EPSV/SPSV ответах. - для NAT.
# Символические имена хостов такде приняты для шлюзов с динамическим IP
# ForcePassiveIP 192.168.0.1
# Соотношение upload/download для анонимоусов.
# AnonymousRatio 1 10
# Соотношение upload/download для всех юзеров.
# Эта директива не перекрывает предыдущую.
# UserRatio 1 10
# Запретить скачку файлов владельцем которых является "ftp", т.е.
# файлы были загружены но не одобрены местным (локальным) админом.
# (Название пункта интересное :)))
AntiWarez yes
# IP адрес/порт на которых слушаем (дефолт = все IP и порт 21).
#Bind 192.168.254.254,21
# Максимальная скорость для анонимоусов в KB/s
# AnonymousBandwidth 8
# Максимальная скорость для всех юзеров (включая анонимов) в KB/s
# Используйте AnonymousBandwidth или UserBandwidth, использовать оба,
# не имеет смысла.
# UserBandwidth 8
# Маска для создаваемых файлов. <umask для файлов>:<umask для директорий>.
# 177:077 - если вы параноик :)
# umask - это такое число, при вычитании которого из максимума (777) и
# получается нужная маска. т.е. для случая ниже маски будут, соответствено:
# 644 для файлов, и 755 для директорий
Umask 133:022
# Минимальный UID с которым юзер будет пущен.
# (В родном варианте тут было 100. Я поставил тыщщу)
MinUID 1000
# Разрешить передачу FXP для авторизованных юзеров.
# (Это передача файлов прям между серверами - т.е. если вам надо
# скопировать файл с одного сервака на другой, вы его вначале тащите
# к себе, затем кладёте куда надо. При включении этой опции сервера
# сами перекинут файл между собой. Но это палево - я серверов с
# включенной этой функцией ещё не видел :)))
AllowUserFXP no
# Разрешить передачу FXP для анонимоусов и не-анонимоусов
# (видимо, для всех вообще).
AllowAnonymousFXP no
# Пользователи не могут удалять и изменять файлы начинающиеся на точку('.')
# даже если они их владельцы. Если TrustedGID включена, эта группа имеет
# доступ к этим файлам.
ProhibitDotFilesWrite no
# Запретить чтение файлов начинающихся с точки (.history, .ssh...)
ProhibitDotFilesRead no
# Никогда не перезаписывать файлы. Когда имя, для закачиваемго файла уже
# существует, он будет автоматически переименован в file.1, file.2, file.3, ...
AutoRename no
# Запретить анонимным юзерам загружать новые файлы (no = аплоад разрешён)
AnonymousCantUpload no
# Только подключения к этому IP адресу могут быть не анонимными. Вы
# можете использовать эту директиву чтобы использовать несколько IP
# для анонимного FTP, и оставить приватный, зафаерволленый IP для
# удалённого администрирования. также вы можете разрешить нероутабельный
# локальный IP (типа 10.x.x.x) для аутентификации и оставить публичный
# (для анонимоусов) FTP-сервер на другом IP.
#TrustedIP 10.1.1.1
# Если вы хотите чтобы PID добавлялся в каждую линию лога,
# то раскомемнтируйте следующую линию.
#LogPID yes
# Создавать дополнительный лог-файл с логом в формате типа "apache":
# fw.c9x.org - jedi [13/Dec/1975:19:36:39] "GET /icap.tar.bz2" 200 21808
# Этот лог-файл может быть обработан программами для
# анализа логов апача.
# AltLog clf:/var/log/pureftpd.log
# Создавать дополнительный лог-файл в формате оптимизированном для
# статистических отчётов (х.з. как это. Надо будет посмотреть)
# AltLog stats:/var/log/pureftpd.log
# Создавать ещё один лог с переданными файлами в стандарте W3C
# (совместим с многими коммерческими анализаторами)
# AltLog w3c:/var/log/pureftpd.log
# Отключить команду CHMOD. Пользователи не смогут менять разрешения
# на файлы.
#NoChmod yes
# Позволить юзерам закачивать но не удалять файлы.
#KeepAllFiles yes
# Автоматически создавать домашнюю директорию пользователя,
# если она отсутствует
#CreateHomeDir yes
# Включить виртуальную квоту. Первое число - максимальное число файлов.
# Второе число - максимальный размер, в мегабайтах.
# Так 1000:10 ограничивает каждого пользователя 1000 файлов и 10-ю мегами.
#Quota 1000:10
# Если pure-ftpd скомпилен с поддержкой standalone режима, вы можете изменить
# местоположение pid-файла. Дефолтовое положение - /var/run/pure-ftpd.pid
#PIDFile /var/run/pure-ftpd.pid
# Если pure-ftpd скомпилен с поддержкой pure-uploadscript,
# то этот пункт позволяет писать информацию о новых загруженных
# файлах в /var/run/pure-ftpd.upload.pipe так что pure-uploadscript может
# прочесть их и обработать загруженный файл.
#CallUploadScript yes
# Эта опция полезна на серверах, гда позволен аплоад анонимоусам.
# Если /var/ftp находится в отдельном разделе /var, это позволяет
# сохранить свободное место и защитить файлы логов. Когда процент
# заполнения больше чем указанный тут, аплоад автоматом запрещается.
MaxDiskUsage 99
# Установите 'yes' в этой опции если хотите разрешить юзерам
# переименовывать файлы.
#NoRename yes
# Включить 'customer proof': какая-то ошибка, типа 'chmod 0 public_html',
# при совместной работе, чтоль... Короче это не баг а фича... :) И чтобы
# тупые клиенты не напрягали ваш саппорт надо поставить 'yes' в этом
# пункте. Если клиенты имеют немного знаний по Unix то эта фича
# бесполезна. Если у Вас хостинг - включите её.
# (перевод почти дословный - но про что речь я так и не понял...)
CustomerProof yes
# Число параллельных процессов. Работает тока если сервер был
# скомпилен с опцией '--with-peruserlimits' (тут чё-то про то, что
# в большинстве бинарных дистрибов так оно и есть).
# Формат:<максимум сессий на юзера>:<максимум сеансов анонимоусов>
# Например, 3:20 значит что аутентифичированный юзер может иметь три
# активных сеанса. А на всех анонимов - максимум 20 сеансов.
#PerUserLimits 3:20
# Когда загружен файл на сервер, и есть предыдущая версия (с тем же именем),
# то старый файл не будет ни удалён ни усечён. Загрузка будет произведена
# во временный файл и по окончании загрузки будет произведено атомарное
# переключение к новой версии файла. Например, при загрузке большого PHP
# сценария, апач будет работать со старой версией до полной загрузки
# и немедленно переключится на новый как тока он будет полностью передан
# Эта опция несовместима с виртуальными квотами.
#NoTruncate yes
# Эта опция может принимать три значения:
# 0 - отключить SSL/TLS шифрование (по-умолчанию).
# 1 - принимать и шифрованные и обычные подключения.
# 2 - отклонять подключения которые не используют SSL/TLS,
# включая анонимные соединения.
# Не раскомментируйте это вслепую. Проверьте, что:
# 1) Сервер скомпилен с поддержкой SSL/TLS (--with-tls),
# 2) Положен валидный сертификат,
# 3) Только совместимые клиенты залогинятся.
# TLS 1
# Слушается тока IPv4 адрес в режиме standalone (т.е. IPv6 отключен)
# По дефолту, IPv4 и IPv6 включены.
IPV4Only yes
# Слушается тока IPv6 адрес в режиме standalone (т.е. IPv4 отключен)
# По дефолту, IPv4 и IPv6 включены.
# IPV6Only yes
# Поддержка UTF-8 для имён файлов (RFC 2640)
# Определите кодировку для файловой системы сервера и, опционально,
# дефолтовую кодировку для клиентов, которые не юзают UTF-8.
# Работает тока если pure-ftpd скомпилен с '--with-rfc2640'
FileSystemCharset koi8-r
ClientCharset cp1251
/usr/local/etc/pureftpd-mysql.conf
# Конфиг MySQL для pureftpd
# Опционально: Имя или IP MySQL-сервера. Не задавать этот
# пункт, если используется локальный unix сокет.
#MYSQLServer 127.0.0.1
# Опционально: Порт на котором висит MySQL. Не задавать этот
# пункт, если используется локальный unix сокет.
#MYSQLPort 3306
# Опционально: Задаётся имя сокета mysql.sock если MySQL на этом же хосте.
MYSQLSocket /tmp/mysql.sock
# Обязательно: юзер, которым лезем в БД.
MYSQLUser pure-ftpd
# Обязательно: пароль пользователя, от которого лезем в MySQL.
MYSQLPassword pure-ftpd
# Обязательно: БД с которой работаем.
MYSQLDatabase pureftpd
# Обязательно: как сохранён пароль в БД
# Возможные значения: "cleartext", "crypt", "md5" и "password"
# ("password" = MySQL password() функции)
# Можно использовать "any" чтобы попробовать "crypt", "md5" и "password"
MYSQLCrypt cleartext
# В последующих директивах части строк заменены, до
# выполнения запроса:
#
# \L заменяется именем пользователя, что логинится.
# \I заменяется IP адресом сервера, на который лезет юзер
# \P заменяется номером порта с которым соединился юзер.
# \R заменяется IP адресом юзера.
# \D заменяется IP адресом юзера, в виде long decimal number
# (например, 192.168.254.1 == 3232300545).
#
# Можно настругать относительно сложные квери к БД, используя
# этот набор переменных. Если используется одна БД на несколько серверов,
# то "\I" позволяет определить, на тот ли сервер ломится юзер.
# Кверя на получение пароля из БД:
MYSQLGetPW SELECT `password` FROM `users` WHERE `user`="\L" AND `active`='1'
# Кверя на получение системного имени пользователя, или UID
MYSQLGetUID SELECT `uid` FROM `users` WHERE `user`="\L"
# Опционально: default UID - вместо квери на его извлечение MYSQLGetUID
#MYSQLDefaultUID 1000
# Запрос к БД на получение имени группы или gid
MYSQLGetGID SELECT `gid` FROM `users` WHERE `user`="\L"
# Опционально: default GID - вместо запроса MYSQLGetGID
#MYSQLDefaultGID 1000
# Запрос на получения хомяка
MYSQLGetDir SELECT `home` FROM `users` WHERE `user`="\L"
# Опционально: Запрос на максимальное число файлов у юзера
# (интересно - какой в этом глубокий смысл? Чтобы inode на
# сервере не первели чтоль? :))
#Должен быть скомпилен с `virtual quotas support`.
MySQLGetQTAFS SELECT `QuotaFiles` FROM `users` WHERE `user`="\L"
# Опционально: запрос на квоту (использование диска)
# Число, в мегабайтах.
# Pure-FTPd должен быть скомпилен с `virtual quotas support`.
MySQLGetQTASZ SELECT `QuotaSize` FROM `users` WHERE `user`="\L"
# Опционально: Отношения. Запросы на соотношение download/upload.
# Дол;ен быть скомпилен с этой функцией.
MySQLGetRatioUL SELECT `ULRatio` FROM `users` WHERE `user`="\L"
MySQLGetRatioDL SELECT `DLRatio` FROM `users` WHERE `user`="\L"
# Опционально: Ширина канала для юзера. Сервер должен быть
# скомпилен с такой опцией. Значение в KB/s .
MySQLGetBandwidthUL SELECT `ULBandwidth` FROM `users` WHERE `user`="\L"
MySQLGetBandwidthDL SELECT `DLBandwidth` FROM users WHERE `user`="\L"
# Выпускать юзера из хомяка (~). Никогда не делайте этого, если:
# 1) Вы точно знаете что делаете.
# 2) Совпадают реальные и виртуальные юзеры.
#MySQLForceTildeExpansion 1
# Если Вы обновили таблицы до транзакционных (Gemini,
# BerkeleyDB, Innobase...), можно включить транзакции SQL
# Оставьте закомменченым, если используются MyISAM базы данных,
# или старая версия MySQL (< 3.23.x).
#MySQLTransactions On
Затем создаём БД по прилагаемому дампу:
--
-- БД: `pureftpd`
--
-- --------------------------------------------------------
--
-- Структура таблицы `users`
--
CREATE TABLE `users` (
`user` varchar(16) binary NOT NULL,
`password` varchar(64) binary NOT NULL,
`uid` int(11) NOT NULL default '-1',
`gid` int(11) NOT NULL default '-1',
`home` varchar(128) binary NOT NULL default '/usr/home/anonymous',
`QuotaFiles` int(9) NOT NULL default '10000',
`QuotaSize` int(6) NOT NULL default '100',
`ULRatio` int(2) NOT NULL default '1',
`DLRatio` int(2) NOT NULL default '10',
`ULBandwidth` int(6) NOT NULL default '1024',
`DLBandwidth` int(6) NOT NULL default '1024',
`active` int(1) NOT NULL default '1',
PRIMARY KEY (`user`)
) TYPE=MyISAM;
--
-- Дамп данных таблицы `users`
--
INSERT INTO `users` VALUES ('lissyara', '123', 1001, 1001,
'/usr/home/lissyara', 10000, 100, 1, 10, 1024, 1024, 1);
INSERT INTO `users` VALUES ('anonymous', '123', 1002, 1002,
'/usr/home/anonymous', 10000, 100, 1, 10, 1024, 1024, 1);
/usr/home/lissyara/>ftp localhost
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.int.otradno.ru.
220---------- Добро пожаловать на Pure-FTPd [privsep] [TLS] ----------
220-Вы пользователь 1 из 50 разрешенных
220-Местное время 09:12. Серверный порт: 21.
220 Вы будете отсоединены после 15 минут бездеятельности.
Name (localhost:lissyara):
331 Чтобы войти как lissyara требуется пароль
Password:
230-Пропускная способность для вас ограничена
230-Пользователю lissyara разрешен групповой доступ к: wheel 1001230-Вы должны соблюдать соотношение 1:10 (UL/DL)
230-OK. Текущая корневая директория /
230-1 файлов используется (0%) - разрешено: 10000 файлов
2300 КБ используется (0%) - разрешено: 102400 КБ
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
Remote directory: /
ftp> quit
221-Всего хорошего. Вы закачали 0 и скачали 0 килобайт.
221 Отсоединение.
/usr/home/lissyara/>
И в /var/log/xferlog такие строки:
Jun 14 09:12:50 lissyara pure-ftpd: (?@127.0.0.1) [INFO] Новое соединение с 127.0.0.1 Jun 14 09:12:58 lissyara pure-ftpd: (?@127.0.0.1) [INFO] lissyara вошел Jun 14 09:13:09 lissyara pure-ftpd: (lissyara@127.0.0.1) [INFO] Отсоединение.
Ну и всё. Работает. Особенно мне понравилась возможность перекодировки - сейчас на моём ftp для локалки всё хранится в кодировке cp1251 - соответсвенно при просмотре из консоли - это тихий ужас, ибо локаль на фре koi8-r. Теперь можно будет всё хранить в нормальном формате (правда придётся настругать скрипт для переименовывания всего - 200 гигов с именами в cp1251 :)). Из минусов - нет возможности, как в proftpd на запись в MySQL логов - кто что передал-принял, какие были команды и с каким результатом... Очень удобная феня... Также при ошибках в конфиге не ругается на то, в какой строке ошибка - я оставил незакомменченым одно предложение из комментов, по-русски - не запускался, и в логах так ругался:
Jun 13 20:22:41 lissyara pure-ftpd: (?@?) [ERROR] Ошибка в конфигурации: Плохой файл конфигурации SQL: /usr/local/etc/pureftpd-mysql.conf Jun 13 20:25:45 lissyara pure-ftpd: (?@?) [ERROR] Ошибка в конфигурации: Плохой файл конфигурации SQL: /usr/local/etc/pureftpd-mysql.conf
Хорошо хоть конфиги не большие, и удалось быстро найти...