Lea Linux - Contributions [fr]

ProFTPD MySQL et quotas

2006-04-15T07:41:46Z

Zhortein : /* Démarrage de proftpd */

[[Category:Partager ses fichiers]]
= ProFTPD, MySQL et Quota =

<div class="leatitre">ProFTPD, MySQL et Quota</div><div class="leapar">par [mailto:howto@espace.fr.to Space2d] </div><div class="leadesc">Exemple d'utilisation du support MySQL pour ProFTPD avec gestion des quotas</div>

== Prérequis ==

Je vous conseille de lire d'abord le didactitiel de DuF : [[Reseau-partfic-proftpd|Introduction à proftpd]]

Il vous faut un système avec un serveur MySQL installé avec si possible un serveur web et PHPMyAdmin pour faciliter l'administration de la BD.

<div class="note">Remarque : ce document peut aussi convenir à la configuration du support PostGreSQL.</div>

== Introduction ==

Au début, j'utilisais le serveur ProFTPD avec la configuration d'origine (ou presque), donc sur la base de l'authentification unix. J'ai eu besoin de modifier regulièrement les comptes FTP. Ajouter et supprimer les utlisateurs (compte linux) devient vite lourd. Je me suis donc penché sur le support MySQL de ProFTPD et je vous propose mes explications.

Le fait d'utiliser l'authentification de ProFTPD par base de données vous permet, par exemple, de faire une page php de configuration ou d'administrer facilement vos comptes ftp via l'interface Web PHPMyAdmin.

== Installation ==

* Soit vous installez ProFTPD à partir de package. (Soyez sur que le package va installer le support MySQL)
* Soit à partir des sources.

=== Sous Debian (apt) ===

Il suffit de taper en tant que '''root''' :

<div class="code"><nowiki>#apt-get install proftpd-mysql</nowiki></div>

=== A partir des sources ===

Téléchargez les sources en allant sur le [http://www.proftpd.org site de proftpd] pour obtenir la version la plus récente.

Décompressez-les et lancez la compilation :

<div class="code">tar jxvf proftpd-''version''.tar.bz2<br /> cd proftpd-''version''<br /> ./configure\<br /> --with-modules=mod_sql:mod_sql_mysql:mod_quotatab:mod_quotatab_sql\<br /> --with-includes=/usr/include/mysql\<br /> --with-libraries=/usr/lib<br /> make</div>

Et en tant que '''root''' : <code>make install</code>

== Configuration ==

=== Linux ===

Créer un groupe ''ftpgroup'' avec un GID de 5500 :

<div class=code>groupadd -g 5500 ftpgroup</div>

====Explications :====
* '''groupadd''' : invoque la commande d'ajout de groupe.
* '''-g 5500''' : défini le GID (numéro identifiant) du groupe.
* '''ftpgroup''' : défini le nom du group.

Créer un utilisateur ''ftpuser'' avec un UID de 5500 :

<div class=code>useradd -u 5500 -s /bin/false -d /bin/null -c "proftpd user" -g ftpgroup ftpuser</div>

====Explications :====
* '''useradd''' : invoque la commande d'ajout d'utilisateur.
* '''-u 5500''' : défini l'UID (numéro identifiant) de l'utilisateur.
* '''-s /bin/false''' : défini le shell utilisé pour cet utilisateur, en l'occurence, aucun puisque la connection sur une console linux est désactivée pour cet utilisateur.
* '''-d /bin/null''' : défini le répertoire de l'utilisateur, également inexistant.
* '''-c "proftp user"''' : commentaire.
* '''-g ftpgroup''' : ajoute l'utilisateur ''ftpuser'' au group ''ftpgroup'' précédemment créé.
* '''ftpuser''' : défini le nom de l'utilisateur.

Le groupe et l'utilisateur ainsi créés serviront de lien entre les utilisateurs créés dans la base MySQL et le système d'authentification/droits du système.

=== La base de données ===

Entrez dans l'interface de la base de données :

* si vous n'avez jamais modifié les utilisateurs de la base : <code>mysql -u root</code>
* sinon (avec un utilisateur/pwd ayant le droit de modifier la base): <code>mysql -u ''utilisateur'' -p</code>

Il faut tout d'abord créer la base de données (ex : proftpd) et les tables qu'elle contient.

<div class="code"> CREATE DATABASE `proftpd`;<br /> USE proftpd;<br /><br /> -- <br /> -- Table structure for table `ftpgroup`<br /> -- <br /> CREATE TABLE `ftpgroup` (<br /><nowiki> `groupname` varchar(16) NOT NULL default '',</nowiki><br /> `gid` smallint(6) NOT NULL default '5500',<br /><nowiki> `members` varchar(16) NOT NULL default '',</nowiki><br /> KEY `groupname` (`groupname`)<br /> ) TYPE=MyISAM COMMENT='Table des groupes ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpquotalimits`<br /> -- <br /> CREATE TABLE `ftpquotalimits` (<br /> `name` varchar(30) default NULL,<br /> `quota_type` enum('user','group','class','all') NOT NULL default 'user',<br /> `par_session` enum('false','true') NOT NULL default 'false',<br /> `limit_type` enum('soft','hard') NOT NULL default 'soft',<br /> `bytes_up_limit` float NOT NULL default '0',<br /> `bytes_down_limit` float NOT NULL default '0',<br /> `bytes_transfer_limit` float NOT NULL default '0',<br /> `files_up_limit` int(10) unsigned NOT NULL default '0',<br /> `files_down_limit` int(10) unsigned NOT NULL default '0',<br /> `files_transfer_limit` int(10) unsigned NOT NULL default '0'<br /> ) TYPE=MyISAM COMMENT='Table des quotas ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpquotatotal`<br /> -- <br /> CREATE TABLE `ftpquotatotal` (<br /><nowiki> `name` varchar(30) NOT NULL default '',</nowiki><br /> `quota_type` enum('user','group','class','all') NOT NULL default 'user',<br /> `bytes_up_total` float NOT NULL default '0',<br /> `bytes_down_total` float NOT NULL default '0',<br /> `bytes_transfer_total` float NOT NULL default '0',<br /> `files_up_total` int(10) unsigned NOT NULL default '0',<br /> `files_down_total` int(10) unsigned NOT NULL default '0',<br /> `files_transfer_total` int(10) unsigned NOT NULL default '0'<br /> ) TYPE=MyISAM COMMENT='Table des compteurs des quotas ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpuser`<br /> -- <br /> CREATE TABLE `ftpuser` (<br /> `id` int(10) unsigned NOT NULL auto_increment,<br /><nowiki> `userid` varchar(32) NOT NULL default '',</nowiki><br /><nowiki> `passwd` varchar(32) NOT NULL default '',</nowiki><br /> `uid` smallint(6) NOT NULL default '5500',<br /> `gid` smallint(6) NOT NULL default '5500',<br /><nowiki> `homedir` varchar(255) NOT NULL default '',</nowiki><br /> `shell` varchar(16) NOT NULL default '/bin/false',<br /> `count` int(11) NOT NULL default '0',<br /> `accessed` datetime NOT NULL default '0000-00-00 00:00:00',<br /> `modified` datetime NOT NULL default '0000-00-00 00:00:00',<br /> `LoginAllowed` enum('true','false') NOT NULL default 'true',<br /> PRIMARY KEY (`id`)<br /> ) TYPE=MyISAM COMMENT='Table des utlisateurs ProFTPD'; </div>

Ensuite il faut créer un nouvel utilisateur (ex : proftpd) avec un mot de passe (ex : password) qui a seulement les droits de lire les données de la base proftpd:

<div class="code">GRANT USAGE ON proftpd.* TO '''proftpd'''@'localhost'<br /> IDENTIFIED BY ''''password'''' WITH GRANT OPTION;</div><div class="alert">Attention : Si votre serveur MySQL n'est pas sur la même machine que ProFTPD remplacez localhost par le nom de la machine (du serveur MySQL) ou par *</div>

=== Configuration de ProFTPD ===

Editez le fichier <code>/etc/proftpd.conf</code>
ou <code>/usr/local/etc/proftpd.conf</code>.

<div class="code"># Configuration de base<br /> # =====================<br /> ServerName "Mon serveur FTP"<br /> ServerType standalone<br /> ServerIdent on "Bienvenue sur mon ftp. Veuillez-vous identifiez"<br /> DeferWelcome on<br /> ServerAdmin "ftp_admin@mydomain.com"<br /><br /> MultilineRFC2228 on<br /> DefaultServer on<br /> ShowSymlinks on<br /> AllowOverwrite on<br /><br /> TimeoutNoTransfer 600<br /> TimeoutStalled 600<br /> TimeoutIdle 1200<br /><br /> ListOptions "-l"<br /> Defaultroot ~<br /><br /> DenyFilter \*.*/<br /><br /> Port 21<br /><br /> # A configurer selon sa connection<br /> # ================================<br /> MaxInstances 6<br /> MaxLoginAttempts 3<br /> MaxClientsPerUser 10<br /> MaxClientsPerHost 2<br /> MaxHostsPerUser 4<br /> MaxClients 6 "Limite a 6 utilisateurs"<br /><br /> # ProFTPD est exécuté avec des droits réduits<br /> # ============================================<br /> User nobody<br /> Group nogroup<br /><br /> Umask 022<br /> AllowStoreRestart on<br /> AllowRetrieveRestart on<br /><br /> # Mod MySQL<br /> # =========<br /> # Les mots de passe sont cryptés dans la base avec la fct ENCRYPT (MySQL)<br /> SQLAuthTypes Plaintext Crypt<br /> SQLAuthenticate users* groups*<br /><br /> # Modifiez cette ligne selon l'utilisateur et le mot de passe définit plus tôt<br /> SQLConnectInfo ''proftpd@localhost proftpd password''<br /><br /> # On donne à ProFTPD le nom des colonnes de la table usertable<br /> SQLUserInfo ftpuser userid passwd uid gid homedir shell<br /> SQLUserWhereClause "LoginAllowed = 'true'"<br /><br /> # On donne à ProFTPD le nom des colonnes de la table "grouptable"<br /> SQLGroupInfo ftpgroup groupname gid members<br /><br /> # Créer le repertoire home de l'utilisateur si il n'existe pas<br /> SQLHomedirOnDemand on<br /><br /> # Met à jour les compteurs à chaque connection d'un utilisateur<br /> SQLLog PASS updatecount<br /> SQLNamedQuery updatecount UPDATE "count=count+1, accessed=now() WHERE userid='%u'" ftpuser<br /><br /> #Met à jour les compteurs à chaque upload ou download d'un utilisateur<br /> SQLLog STOR,DELE modified<br /> SQLNamedQuery modified UPDATE "modified=now() WHERE userid='%u'" ftpuser<br /><br /> # Mod quota<br /> # =========<br /> QuotaEngine on<br /> QuotaDirectoryTally on<br /> QuotaDisplayUnits Mb<br /> QuotaShowQuotas on<br /><br /> # Définit les requêtes SQL pour que ProFTPd recupere les infos sur les quotas<br /><br /> SQLNamedQuery get-quota-limit SELECT "name, quota_type, par_session, limit_type, bytes_up_limit, bytes_down_limit, bytes_transfer_limit, files_up_limit, files_down_limit, files_transfer_limit FROM ftpquotalimits WHERE name = '%{0}' AND quota_type = '%{1}'"<br /><br /> SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_up_total, bytes_down_total, bytes_transfer_total, files_up_total, files_down_total, files_transfer_total FROM ftpquotatotal WHERE name = '%{0}' AND quota_type = '%{1}'"<br /><br /> SQLNamedQuery update-quota-tally UPDATE "bytes_up_total = bytes_up_total + %{0}, bytes_down_total = bytes_down_total + %{1}, bytes_transfer_total = bytes_transfer_total + %{2}, files_up_total = files_up_total + %{3}, files_down_total = files_down_total + %{4}, files_transfer_total = files_transfer_total + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" ftpquotatotal<br /><br /> SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" ftpquotatotal<br /><br /> QuotaLimitTable sql:/get-quota-limit<br /> QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally<br /><br /> RootLogin off<br /> RequireValidShell off<br /><br /> # Gestion des logs<br /> # ================<br /> # Enregistre les requêtes SQL dans /var/log/proftpd/mysql.log<br /> SQLLogFile /var/log/proftpd/mysql.log<br /> # Enregistre les authentifications<br /> LogFormat auth "%v [%P] %h %t \"%r\" %s"<br /> ExtendedLog /var/log/proftpd/auth.log AUTH auth<br /> # Enregistre les accès aux fichiers<br /> LogFormat write "%h %l %u %t \"%r\" %s %b"<br /> ExtendedLog /var/log/proftpd/access.log WRITE,READ write<br /><br /> # Recupère le nom à partir de l'ip de la machine de l'utilisateur ( resolution DNS )<br /> IdentLookups on<br /> </div>

Afin que les logs puissent être enregistrés et consultés, il faut créer au besoin le dossier /var/log/proftpd

=== Démarrage de proftpd ===

Il faut désormais créer le script qui va lancer proftpd. Copiez ces lignes dans /etc/init.d/proftpd (sur une Debian par exemple). Pour les systèmes autres que Debian, utilisez le fichier contenu dans le dossier contrib/dist/rpm/proftpd.init.d en le plaçant dans le dossier /etc/init.d sous le nom proftpd par la commande :

<div class="code">
cp ./contrib/dist/rpm/proftpd.init.d /etc/init.d/proftpd
</div>

<div class="code">
<nowiki>#</nowiki>!/bin/sh

<nowiki>#</nowiki> Start the proftpd FTP daemon.

PATH=/bin:/usr/bin:/sbin:/usr/sbin<br />
DAEMON=/usr/sbin/proftpd<br />
NAME=proftpd<br />

<nowiki>#</nowiki> Defaults<br />
RUN="no"<br />
OPTIONS=""<br />

PIDFILE=`grep -i 'pidfile' /etc/proftpd.conf | sed -e 's/pidfile[\t ]\+//i'`<br />
if [ "x$PIDFILE" = "x" ];<br />
then<br />
PIDFILE=/var/run/proftpd.pid<br />
fi<br />

<nowiki>#</nowiki> Read config (will override defaults)<br />
[ -r /etc/default/proftpd ] && . /etc/default/proftpd<br />

trap "" 1 <br />
trap "" 15 <br />

test -f $DAEMON || exit 0 <br />

<nowiki>#</nowiki> <br />
<nowiki>#</nowiki> Servertype could be inetd|standalone|none. <br />
<nowiki>#</nowiki> In all cases check against inetd and xinetd support. <br />
<nowiki>#</nowiki> <br />
if ! egrep -qi "^<nowiki>[[:space:]] </nowiki>*ServerType.*standalone" /etc/proftpd.conf <br />
then <br />
if [ $(dpkg-divert --list xinetd|wc -l) -eq 1 ]
then
if egrep -qi "server<nowiki>[[:space:]]</nowiki>*=<nowiki> [[:space:]]</nowiki>*/usr/sbin/proftpd" /etc/xinetd.conf -o \
egrep -qi "server<nowiki>[[:space:]]</nowiki>*=<nowiki>[[:space:]] </nowiki>*/usr/sbin/proftpd" /etc/xinetd.d/* 2>/dev/null
then
RUN="no"
INETD="yes"
else
if ! egrep -qi "^<nowiki>[[:space:]]</nowiki>*ServerType.*inetd" /etc/proftpd.conf
then
RUN="yes"
INETD="no"
else
RUN="no"
INETD="no"
fi
fi
else
if egrep -qi "^ftp.*/usr/sbin/proftpd" /etc/inetd.conf 2>/dev/null
then
RUN="no"
INETD="yes"
else
if ! egrep -qi "^<nowiki>[[:space:]]</nowiki>*ServerType.*inetd" /etc/proftpd.conf
then
RUN="yes"
INETD="no"
else
RUN="no"
INETD="no"
fi
fi
fi
fi

start()
{
if start-stop-daemon --start --quiet --pidfile "$PIDFILE" \
--exec $DAEMON -- $OPTIONS ; then
echo "$NAME."
else
echo "."
fi
}

signal()
{
if [ "$1" = "stop" ]; then
SIGNAL="TERM"
else
if [ "$1" = "reload" ]; then
SIGNAL="HUP"
else
echo "ERR: wrong parameter given to signal()"
fi
fi
if start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile "$PIDFILE"; then
echo "$NAME."
else
SIGNAL="KILL"
if start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile "$PIDFILE"; then
echo "$NAME."
else
echo "."
fi
fi
if [ "$SIGNAL" = "KILL" ]; then
rm -f "$PIDFILE"
fi
}

case "$1" in
start)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Starting ProFTPD ftp daemon: "
start
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd/xinetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;

force-start)
if [ "x$INETD" = "xyes" ] ; then
echo "Warning: ProFTPd is started from inetd/xinetd (trying to start anyway)."
fi
echo -n "Starting ProFTPD ftp daemon: "
start
;;

stop)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Stopping ProFTPD ftp daemon: "
signal stop
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd/xinetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;

force-stop)
if [ "x$INETD" = "xyes" ] ; then
echo "Warning: ProFTPd is started from inetd/xinetd (trying to kill anyway)."
fi
echo -n "Stopping ProFTPD ftp daemon: "
signal stop
;;

reload)
echo -n "Reloading $NAME configuration..."
signal reload
echo " done."
;;

force-reload|restart)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Restarting ProFTPD ftp daemon."
signal stop
echo -n "."
sleep 2
echo -n "."
start
echo " done."
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;
*)
echo "Usage: /etc/init.d/$NAME {start|force-start|stop|force-stop|reload|restart|force-reload}"
exit 1
;;
esac

exit 0
</div>

Maintenant vous pouvez redémarrer le serveur ProFTPd pour appliquer la configuration :

<div class="code">/etc/init.d/proftpd restart</div>

== Utilisation ==

Maintenant que la configuration est faite, nous allons voir comment gérer les utilisateurs à travers la base de données.

Je vous conseille d'utiliser PHPMyAdmin pour ceux qui ne connaissent pas le langage SQL.

=== Gestion des utilisateurs ===

==== Ajout d'un utilisateur ====

Création de l'utilisateur 'test' avec un mot de passe 'pwd'. Cet utilisateur a accès au repertoire '/home/ftp/test' avec les droits de l'utilisateur (UID) 5500, et de groupe (GID) 5500, sans shell ('/bin/false').

La valeur 'LoginAllowed' est mise à 'true' pour autoriser la connection de cet utilisateur, à 'false' pour l'interdire.

<div class="code"><nowiki>INSERT INTO `ftpuser` ( `id`, `userid`, `passwd`, `uid`, `gid`, `homedir`, `shell`, `count`, `accessed` , `modified`, `LoginAllowed` ) VALUES ('', 'test', ENCRYPT('pwd'), '5500', '5500', '/home/ftp/test', '/bin/false', '', '', '', 'true' ); </nowiki></div>

'count' représente le nombre d'authentifications effectuées par cet utilisateur,<br /> 'accessed' la date du dernier accès et<br /> 'modified' la date de la dernière écriture.

==== Suppression d'un utilisateur ====

Suppression de l'utilisateur 'test'

<div class="code">DELETE FROM `ftpuser` WHERE `userid`='test';<br /> DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des groupes ===

==== Affecter un utilisateur à un groupe ====

Affecte l'utilisateur 'test' au groupe 'group_test' avec les droits de groupe (GID) du groupe 5500

<div class="code">INSERT INTO `ftpgroup` ( `groupname` , `gid` , `members` ) VALUES ('group_test', '5500', 'test');</div>

==== Enlever un utilisateur d'un groupe ====

Enlève l'utilisateur 'test' du groupe 'group_test'

<div class="code">DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des quotas ===

La table 'ftpquotalimits' contient la description des quotas.<br /> La table 'ftpquotatotal' contient les statistiques d'utilisation correspondant aux règles des quotas défini dans la table 'ftpquotalimits'. Cette table permet à ProFTPd de gérer les quotas.

==== Ajouter une règles de quotas ====

Exécuter la requête suivante :

<div class="code">INSERT INTO `ftpquotalimits` ( `name`, `quota_type`, `par_session`, `limit_type`, `bytes_up_limit`, `bytes_down_limit`, `bytes_transfer_limit`, `files_up_limit`, `files_down_limit`, `files_transfer_limit` )<br /> VALUES ( 'NOM' , 'TYPE', 'SESSION', 'LIMIT_TYPE', 'B_UP', 'B_DOWN', 'B_TRANS', 'F_UP', 'F_DOWN', 'F_TRANS');</div>

où

* '''name''' : nom de l'utilisateur, du groupe ou de la règle selon la valeur de '''quota_type'''.
* '''quota_type''' : 'user' si le quota s'applique à un utilisateur, 'group' à un groupe, 'class' à une classe (ici inutile), 'all' à tous les utilisateurs.
* '''par_session''' : 'true' si les quotas doivent être remis à zéro à chaque nouvelle session, 'false' sinon. ('false' est conseillé).
* '''limit_type''' : 'soft' pour une mesure logicielle de la taille, 'hard' pour une mesure hardware.
* '''bytes_up_limit''' : taille (en Mbytes) autorisé à être uploadé sur le serveur.
* '''bytes_down_limit''' : taille (en Mbytes) autorisé à être downloadé à partir du serveur.
* '''bytes_transfer_limit''' : taille (en Mbytes) autorisé à transféré à sur et à partir du serveur (upload+download).
* '''files_up_limit''' : nombre de fichiers autorisé à être uploadé sur le serveur.
* '''files_down_limit''' : nombre de fichiers autorisé à être downloadé à partir du serveur.
* '''files_transfer_limit''' : nombre de fichiers autorisé à transféré sur et à partir du serveur (upload+download).

<div class="note">Pour définir un quota illimité à l'un des champs, mettez une valeur négative ou nulle.</div>

<div class="alert">Attention : Les quotas de type 'all', 'class' ou 'group' ne définissent pas un quota pour chaque utilisateur mais un quota partagé par tous les utlisateurs concernés par cette règle.</div>

==== Réinitialiser les quotas ====

Il suffit de supprimer l'entrée (ligne) correspondant à la règle devant être réinitialisé. Par exemple :

<div class="code">DELETE FROM `ftpquotatotal` WHERE `name`='test' AND `quota_type`='user';</div>

Si vous voulez réinitialiser tous les quotas, par exemple tous les mois, faîtes une tâche cron se connectant sur le serveur et exécutant la requête suivante :

<div class="code">TRUNCATE TABLE `ftpquotatotal`;</div>

Et voilà, c'est terminé... Vous n'avez plus qu'à tester ;-)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par space2d le 24/04/2005.</div>

= Copyright =
Copyright © 24/04/2005, space2d
{{CC-BY-SA}}

ProFTPD MySQL et quotas

2006-04-15T07:35:59Z

Zhortein : /* Configuration de ProFTPD */

[[Category:Partager ses fichiers]]
= ProFTPD, MySQL et Quota =

<div class="leatitre">ProFTPD, MySQL et Quota</div><div class="leapar">par [mailto:howto@espace.fr.to Space2d] </div><div class="leadesc">Exemple d'utilisation du support MySQL pour ProFTPD avec gestion des quotas</div>

== Prérequis ==

Je vous conseille de lire d'abord le didactitiel de DuF : [[Reseau-partfic-proftpd|Introduction à proftpd]]

Il vous faut un système avec un serveur MySQL installé avec si possible un serveur web et PHPMyAdmin pour faciliter l'administration de la BD.

<div class="note">Remarque : ce document peut aussi convenir à la configuration du support PostGreSQL.</div>

== Introduction ==

Au début, j'utilisais le serveur ProFTPD avec la configuration d'origine (ou presque), donc sur la base de l'authentification unix. J'ai eu besoin de modifier regulièrement les comptes FTP. Ajouter et supprimer les utlisateurs (compte linux) devient vite lourd. Je me suis donc penché sur le support MySQL de ProFTPD et je vous propose mes explications.

Le fait d'utiliser l'authentification de ProFTPD par base de données vous permet, par exemple, de faire une page php de configuration ou d'administrer facilement vos comptes ftp via l'interface Web PHPMyAdmin.

== Installation ==

* Soit vous installez ProFTPD à partir de package. (Soyez sur que le package va installer le support MySQL)
* Soit à partir des sources.

=== Sous Debian (apt) ===

Il suffit de taper en tant que '''root''' :

<div class="code"><nowiki>#apt-get install proftpd-mysql</nowiki></div>

=== A partir des sources ===

Téléchargez les sources en allant sur le [http://www.proftpd.org site de proftpd] pour obtenir la version la plus récente.

Décompressez-les et lancez la compilation :

<div class="code">tar jxvf proftpd-''version''.tar.bz2<br /> cd proftpd-''version''<br /> ./configure\<br /> --with-modules=mod_sql:mod_sql_mysql:mod_quotatab:mod_quotatab_sql\<br /> --with-includes=/usr/include/mysql\<br /> --with-libraries=/usr/lib<br /> make</div>

Et en tant que '''root''' : <code>make install</code>

== Configuration ==

=== Linux ===

Créer un groupe ''ftpgroup'' avec un GID de 5500 :

<div class=code>groupadd -g 5500 ftpgroup</div>

====Explications :====
* '''groupadd''' : invoque la commande d'ajout de groupe.
* '''-g 5500''' : défini le GID (numéro identifiant) du groupe.
* '''ftpgroup''' : défini le nom du group.

Créer un utilisateur ''ftpuser'' avec un UID de 5500 :

<div class=code>useradd -u 5500 -s /bin/false -d /bin/null -c "proftpd user" -g ftpgroup ftpuser</div>

====Explications :====
* '''useradd''' : invoque la commande d'ajout d'utilisateur.
* '''-u 5500''' : défini l'UID (numéro identifiant) de l'utilisateur.
* '''-s /bin/false''' : défini le shell utilisé pour cet utilisateur, en l'occurence, aucun puisque la connection sur une console linux est désactivée pour cet utilisateur.
* '''-d /bin/null''' : défini le répertoire de l'utilisateur, également inexistant.
* '''-c "proftp user"''' : commentaire.
* '''-g ftpgroup''' : ajoute l'utilisateur ''ftpuser'' au group ''ftpgroup'' précédemment créé.
* '''ftpuser''' : défini le nom de l'utilisateur.

Le groupe et l'utilisateur ainsi créés serviront de lien entre les utilisateurs créés dans la base MySQL et le système d'authentification/droits du système.

=== La base de données ===

Entrez dans l'interface de la base de données :

* si vous n'avez jamais modifié les utilisateurs de la base : <code>mysql -u root</code>
* sinon (avec un utilisateur/pwd ayant le droit de modifier la base): <code>mysql -u ''utilisateur'' -p</code>

Il faut tout d'abord créer la base de données (ex : proftpd) et les tables qu'elle contient.

<div class="code"> CREATE DATABASE `proftpd`;<br /> USE proftpd;<br /><br /> -- <br /> -- Table structure for table `ftpgroup`<br /> -- <br /> CREATE TABLE `ftpgroup` (<br /><nowiki> `groupname` varchar(16) NOT NULL default '',</nowiki><br /> `gid` smallint(6) NOT NULL default '5500',<br /><nowiki> `members` varchar(16) NOT NULL default '',</nowiki><br /> KEY `groupname` (`groupname`)<br /> ) TYPE=MyISAM COMMENT='Table des groupes ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpquotalimits`<br /> -- <br /> CREATE TABLE `ftpquotalimits` (<br /> `name` varchar(30) default NULL,<br /> `quota_type` enum('user','group','class','all') NOT NULL default 'user',<br /> `par_session` enum('false','true') NOT NULL default 'false',<br /> `limit_type` enum('soft','hard') NOT NULL default 'soft',<br /> `bytes_up_limit` float NOT NULL default '0',<br /> `bytes_down_limit` float NOT NULL default '0',<br /> `bytes_transfer_limit` float NOT NULL default '0',<br /> `files_up_limit` int(10) unsigned NOT NULL default '0',<br /> `files_down_limit` int(10) unsigned NOT NULL default '0',<br /> `files_transfer_limit` int(10) unsigned NOT NULL default '0'<br /> ) TYPE=MyISAM COMMENT='Table des quotas ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpquotatotal`<br /> -- <br /> CREATE TABLE `ftpquotatotal` (<br /><nowiki> `name` varchar(30) NOT NULL default '',</nowiki><br /> `quota_type` enum('user','group','class','all') NOT NULL default 'user',<br /> `bytes_up_total` float NOT NULL default '0',<br /> `bytes_down_total` float NOT NULL default '0',<br /> `bytes_transfer_total` float NOT NULL default '0',<br /> `files_up_total` int(10) unsigned NOT NULL default '0',<br /> `files_down_total` int(10) unsigned NOT NULL default '0',<br /> `files_transfer_total` int(10) unsigned NOT NULL default '0'<br /> ) TYPE=MyISAM COMMENT='Table des compteurs des quotas ProFTPD';<br /><br /> -- <br /> -- Table structure for table `ftpuser`<br /> -- <br /> CREATE TABLE `ftpuser` (<br /> `id` int(10) unsigned NOT NULL auto_increment,<br /><nowiki> `userid` varchar(32) NOT NULL default '',</nowiki><br /><nowiki> `passwd` varchar(32) NOT NULL default '',</nowiki><br /> `uid` smallint(6) NOT NULL default '5500',<br /> `gid` smallint(6) NOT NULL default '5500',<br /><nowiki> `homedir` varchar(255) NOT NULL default '',</nowiki><br /> `shell` varchar(16) NOT NULL default '/bin/false',<br /> `count` int(11) NOT NULL default '0',<br /> `accessed` datetime NOT NULL default '0000-00-00 00:00:00',<br /> `modified` datetime NOT NULL default '0000-00-00 00:00:00',<br /> `LoginAllowed` enum('true','false') NOT NULL default 'true',<br /> PRIMARY KEY (`id`)<br /> ) TYPE=MyISAM COMMENT='Table des utlisateurs ProFTPD'; </div>

Ensuite il faut créer un nouvel utilisateur (ex : proftpd) avec un mot de passe (ex : password) qui a seulement les droits de lire les données de la base proftpd:

<div class="code">GRANT USAGE ON proftpd.* TO '''proftpd'''@'localhost'<br /> IDENTIFIED BY ''''password'''' WITH GRANT OPTION;</div><div class="alert">Attention : Si votre serveur MySQL n'est pas sur la même machine que ProFTPD remplacez localhost par le nom de la machine (du serveur MySQL) ou par *</div>

=== Configuration de ProFTPD ===

Editez le fichier <code>/etc/proftpd.conf</code>
ou <code>/usr/local/etc/proftpd.conf</code>.

<div class="code"># Configuration de base<br /> # =====================<br /> ServerName "Mon serveur FTP"<br /> ServerType standalone<br /> ServerIdent on "Bienvenue sur mon ftp. Veuillez-vous identifiez"<br /> DeferWelcome on<br /> ServerAdmin "ftp_admin@mydomain.com"<br /><br /> MultilineRFC2228 on<br /> DefaultServer on<br /> ShowSymlinks on<br /> AllowOverwrite on<br /><br /> TimeoutNoTransfer 600<br /> TimeoutStalled 600<br /> TimeoutIdle 1200<br /><br /> ListOptions "-l"<br /> Defaultroot ~<br /><br /> DenyFilter \*.*/<br /><br /> Port 21<br /><br /> # A configurer selon sa connection<br /> # ================================<br /> MaxInstances 6<br /> MaxLoginAttempts 3<br /> MaxClientsPerUser 10<br /> MaxClientsPerHost 2<br /> MaxHostsPerUser 4<br /> MaxClients 6 "Limite a 6 utilisateurs"<br /><br /> # ProFTPD est exécuté avec des droits réduits<br /> # ============================================<br /> User nobody<br /> Group nogroup<br /><br /> Umask 022<br /> AllowStoreRestart on<br /> AllowRetrieveRestart on<br /><br /> # Mod MySQL<br /> # =========<br /> # Les mots de passe sont cryptés dans la base avec la fct ENCRYPT (MySQL)<br /> SQLAuthTypes Plaintext Crypt<br /> SQLAuthenticate users* groups*<br /><br /> # Modifiez cette ligne selon l'utilisateur et le mot de passe définit plus tôt<br /> SQLConnectInfo ''proftpd@localhost proftpd password''<br /><br /> # On donne à ProFTPD le nom des colonnes de la table usertable<br /> SQLUserInfo ftpuser userid passwd uid gid homedir shell<br /> SQLUserWhereClause "LoginAllowed = 'true'"<br /><br /> # On donne à ProFTPD le nom des colonnes de la table "grouptable"<br /> SQLGroupInfo ftpgroup groupname gid members<br /><br /> # Créer le repertoire home de l'utilisateur si il n'existe pas<br /> SQLHomedirOnDemand on<br /><br /> # Met à jour les compteurs à chaque connection d'un utilisateur<br /> SQLLog PASS updatecount<br /> SQLNamedQuery updatecount UPDATE "count=count+1, accessed=now() WHERE userid='%u'" ftpuser<br /><br /> #Met à jour les compteurs à chaque upload ou download d'un utilisateur<br /> SQLLog STOR,DELE modified<br /> SQLNamedQuery modified UPDATE "modified=now() WHERE userid='%u'" ftpuser<br /><br /> # Mod quota<br /> # =========<br /> QuotaEngine on<br /> QuotaDirectoryTally on<br /> QuotaDisplayUnits Mb<br /> QuotaShowQuotas on<br /><br /> # Définit les requêtes SQL pour que ProFTPd recupere les infos sur les quotas<br /><br /> SQLNamedQuery get-quota-limit SELECT "name, quota_type, par_session, limit_type, bytes_up_limit, bytes_down_limit, bytes_transfer_limit, files_up_limit, files_down_limit, files_transfer_limit FROM ftpquotalimits WHERE name = '%{0}' AND quota_type = '%{1}'"<br /><br /> SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_up_total, bytes_down_total, bytes_transfer_total, files_up_total, files_down_total, files_transfer_total FROM ftpquotatotal WHERE name = '%{0}' AND quota_type = '%{1}'"<br /><br /> SQLNamedQuery update-quota-tally UPDATE "bytes_up_total = bytes_up_total + %{0}, bytes_down_total = bytes_down_total + %{1}, bytes_transfer_total = bytes_transfer_total + %{2}, files_up_total = files_up_total + %{3}, files_down_total = files_down_total + %{4}, files_transfer_total = files_transfer_total + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" ftpquotatotal<br /><br /> SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" ftpquotatotal<br /><br /> QuotaLimitTable sql:/get-quota-limit<br /> QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally<br /><br /> RootLogin off<br /> RequireValidShell off<br /><br /> # Gestion des logs<br /> # ================<br /> # Enregistre les requêtes SQL dans /var/log/proftpd/mysql.log<br /> SQLLogFile /var/log/proftpd/mysql.log<br /> # Enregistre les authentifications<br /> LogFormat auth "%v [%P] %h %t \"%r\" %s"<br /> ExtendedLog /var/log/proftpd/auth.log AUTH auth<br /> # Enregistre les accès aux fichiers<br /> LogFormat write "%h %l %u %t \"%r\" %s %b"<br /> ExtendedLog /var/log/proftpd/access.log WRITE,READ write<br /><br /> # Recupère le nom à partir de l'ip de la machine de l'utilisateur ( resolution DNS )<br /> IdentLookups on<br /> </div>

Afin que les logs puissent être enregistrés et consultés, il faut créer au besoin le dossier /var/log/proftpd

=== Démarrage de proftpd ===

Il faut désormais créer le script qui va lancer proftpd. Copiez ces lignes dans /etc/init.d/proftpd (sur une Debian par exemple)

<div class="code">
<nowiki>#</nowiki>!/bin/sh

<nowiki>#</nowiki> Start the proftpd FTP daemon.

PATH=/bin:/usr/bin:/sbin:/usr/sbin<br />
DAEMON=/usr/sbin/proftpd<br />
NAME=proftpd<br />

<nowiki>#</nowiki> Defaults<br />
RUN="no"<br />
OPTIONS=""<br />

PIDFILE=`grep -i 'pidfile' /etc/proftpd.conf | sed -e 's/pidfile[\t ]\+//i'`<br />
if [ "x$PIDFILE" = "x" ];<br />
then<br />
PIDFILE=/var/run/proftpd.pid<br />
fi<br />

<nowiki>#</nowiki> Read config (will override defaults)<br />
[ -r /etc/default/proftpd ] && . /etc/default/proftpd<br />

trap "" 1 <br />
trap "" 15 <br />

test -f $DAEMON || exit 0 <br />

<nowiki>#</nowiki> <br />
<nowiki>#</nowiki> Servertype could be inetd|standalone|none. <br />
<nowiki>#</nowiki> In all cases check against inetd and xinetd support. <br />
<nowiki>#</nowiki> <br />
if ! egrep -qi "^<nowiki>[[:space:]] </nowiki>*ServerType.*standalone" /etc/proftpd.conf <br />
then <br />
if [ $(dpkg-divert --list xinetd|wc -l) -eq 1 ]
then
if egrep -qi "server<nowiki>[[:space:]]</nowiki>*=<nowiki> [[:space:]]</nowiki>*/usr/sbin/proftpd" /etc/xinetd.conf -o \
egrep -qi "server<nowiki>[[:space:]]</nowiki>*=<nowiki>[[:space:]] </nowiki>*/usr/sbin/proftpd" /etc/xinetd.d/* 2>/dev/null
then
RUN="no"
INETD="yes"
else
if ! egrep -qi "^<nowiki>[[:space:]]</nowiki>*ServerType.*inetd" /etc/proftpd.conf
then
RUN="yes"
INETD="no"
else
RUN="no"
INETD="no"
fi
fi
else
if egrep -qi "^ftp.*/usr/sbin/proftpd" /etc/inetd.conf 2>/dev/null
then
RUN="no"
INETD="yes"
else
if ! egrep -qi "^<nowiki>[[:space:]]</nowiki>*ServerType.*inetd" /etc/proftpd.conf
then
RUN="yes"
INETD="no"
else
RUN="no"
INETD="no"
fi
fi
fi
fi

start()
{
if start-stop-daemon --start --quiet --pidfile "$PIDFILE" \
--exec $DAEMON -- $OPTIONS ; then
echo "$NAME."
else
echo "."
fi
}

signal()
{
if [ "$1" = "stop" ]; then
SIGNAL="TERM"
else
if [ "$1" = "reload" ]; then
SIGNAL="HUP"
else
echo "ERR: wrong parameter given to signal()"
fi
fi
if start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile "$PIDFILE"; then
echo "$NAME."
else
SIGNAL="KILL"
if start-stop-daemon --stop --signal $SIGNAL --quiet --pidfile "$PIDFILE"; then
echo "$NAME."
else
echo "."
fi
fi
if [ "$SIGNAL" = "KILL" ]; then
rm -f "$PIDFILE"
fi
}

case "$1" in
start)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Starting ProFTPD ftp daemon: "
start
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd/xinetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;

force-start)
if [ "x$INETD" = "xyes" ] ; then
echo "Warning: ProFTPd is started from inetd/xinetd (trying to start anyway)."
fi
echo -n "Starting ProFTPD ftp daemon: "
start
;;

stop)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Stopping ProFTPD ftp daemon: "
signal stop
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd/xinetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;

force-stop)
if [ "x$INETD" = "xyes" ] ; then
echo "Warning: ProFTPd is started from inetd/xinetd (trying to kill anyway)."
fi
echo -n "Stopping ProFTPD ftp daemon: "
signal stop
;;

reload)
echo -n "Reloading $NAME configuration..."
signal reload
echo " done."
;;

force-reload|restart)
if [ "x$RUN" = "xyes" ] ; then
echo -n "Restarting ProFTPD ftp daemon."
signal stop
echo -n "."
sleep 2
echo -n "."
start
echo " done."
else
if [ "x$INETD" = "xyes" ] ; then
echo "ProFTPd is started from inetd."
else
echo "ProFTPd warning: cannot start neither in standalone nor in inetd/xinetd mode. Check your configuration."
fi
fi
;;
*)
echo "Usage: /etc/init.d/$NAME {start|force-start|stop|force-stop|reload|restart|force-reload}"
exit 1
;;
esac

exit 0
</div>

Maintenant vous pouvez redémarrer le serveur ProFTPd pour appliquer la configuration :

<div class="code">/etc/init.d/proftpd restart</div>

== Utilisation ==

Maintenant que la configuration est faite, nous allons voir comment gérer les utilisateurs à travers la base de données.

Je vous conseille d'utiliser PHPMyAdmin pour ceux qui ne connaissent pas le langage SQL.

=== Gestion des utilisateurs ===

==== Ajout d'un utilisateur ====

Création de l'utilisateur 'test' avec un mot de passe 'pwd'. Cet utilisateur a accès au repertoire '/home/ftp/test' avec les droits de l'utilisateur (UID) 5500, et de groupe (GID) 5500, sans shell ('/bin/false').

La valeur 'LoginAllowed' est mise à 'true' pour autoriser la connection de cet utilisateur, à 'false' pour l'interdire.

<div class="code"><nowiki>INSERT INTO `ftpuser` ( `id`, `userid`, `passwd`, `uid`, `gid`, `homedir`, `shell`, `count`, `accessed` , `modified`, `LoginAllowed` ) VALUES ('', 'test', ENCRYPT('pwd'), '5500', '5500', '/home/ftp/test', '/bin/false', '', '', '', 'true' ); </nowiki></div>

'count' représente le nombre d'authentifications effectuées par cet utilisateur,<br /> 'accessed' la date du dernier accès et<br /> 'modified' la date de la dernière écriture.

==== Suppression d'un utilisateur ====

Suppression de l'utilisateur 'test'

<div class="code">DELETE FROM `ftpuser` WHERE `userid`='test';<br /> DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des groupes ===

==== Affecter un utilisateur à un groupe ====

Affecte l'utilisateur 'test' au groupe 'group_test' avec les droits de groupe (GID) du groupe 5500

<div class="code">INSERT INTO `ftpgroup` ( `groupname` , `gid` , `members` ) VALUES ('group_test', '5500', 'test');</div>

==== Enlever un utilisateur d'un groupe ====

Enlève l'utilisateur 'test' du groupe 'group_test'

<div class="code">DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des quotas ===

La table 'ftpquotalimits' contient la description des quotas.<br /> La table 'ftpquotatotal' contient les statistiques d'utilisation correspondant aux règles des quotas défini dans la table 'ftpquotalimits'. Cette table permet à ProFTPd de gérer les quotas.

==== Ajouter une règles de quotas ====

Exécuter la requête suivante :

<div class="code">INSERT INTO `ftpquotalimits` ( `name`, `quota_type`, `par_session`, `limit_type`, `bytes_up_limit`, `bytes_down_limit`, `bytes_transfer_limit`, `files_up_limit`, `files_down_limit`, `files_transfer_limit` )<br /> VALUES ( 'NOM' , 'TYPE', 'SESSION', 'LIMIT_TYPE', 'B_UP', 'B_DOWN', 'B_TRANS', 'F_UP', 'F_DOWN', 'F_TRANS');</div>

où

* '''name''' : nom de l'utilisateur, du groupe ou de la règle selon la valeur de '''quota_type'''.
* '''quota_type''' : 'user' si le quota s'applique à un utilisateur, 'group' à un groupe, 'class' à une classe (ici inutile), 'all' à tous les utilisateurs.
* '''par_session''' : 'true' si les quotas doivent être remis à zéro à chaque nouvelle session, 'false' sinon. ('false' est conseillé).
* '''limit_type''' : 'soft' pour une mesure logicielle de la taille, 'hard' pour une mesure hardware.
* '''bytes_up_limit''' : taille (en Mbytes) autorisé à être uploadé sur le serveur.
* '''bytes_down_limit''' : taille (en Mbytes) autorisé à être downloadé à partir du serveur.
* '''bytes_transfer_limit''' : taille (en Mbytes) autorisé à transféré à sur et à partir du serveur (upload+download).
* '''files_up_limit''' : nombre de fichiers autorisé à être uploadé sur le serveur.
* '''files_down_limit''' : nombre de fichiers autorisé à être downloadé à partir du serveur.
* '''files_transfer_limit''' : nombre de fichiers autorisé à transféré sur et à partir du serveur (upload+download).

<div class="note">Pour définir un quota illimité à l'un des champs, mettez une valeur négative ou nulle.</div>

<div class="alert">Attention : Les quotas de type 'all', 'class' ou 'group' ne définissent pas un quota pour chaque utilisateur mais un quota partagé par tous les utlisateurs concernés par cette règle.</div>

==== Réinitialiser les quotas ====

Il suffit de supprimer l'entrée (ligne) correspondant à la règle devant être réinitialisé. Par exemple :

<div class="code">DELETE FROM `ftpquotatotal` WHERE `name`='test' AND `quota_type`='user';</div>

Si vous voulez réinitialiser tous les quotas, par exemple tous les mois, faîtes une tâche cron se connectant sur le serveur et exécutant la requête suivante :

<div class="code">TRUNCATE TABLE `ftpquotatotal`;</div>

Et voilà, c'est terminé... Vous n'avez plus qu'à tester ;-)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par space2d le 24/04/2005.</div>

= Copyright =
Copyright © 24/04/2005, space2d
{{CC-BY-SA}}