ftp虚拟用户添加

爱谁谁a

　　有时候，在设置ftp用户的时候，不必要登录系统，只是具有ftp用户功能，这是可以设置vsftp虚拟用户。
具体配置Vsftp的虚拟用户可以参考 http://www.cyberciti.biz/tips/centos-redhat-vsftpd-ftp-with-virtual-users.html.
本文介绍的主要内容也是从上文中提取出来的.
vsftp也是支持linux的pam(可插拨认证模块),一个登录ftp服务的用户也可以不必要是系统用户,
这样的配置对系统来说也更安全,对当前的项目来说,也更易修改用户密码.
需要的软件
当前环境centos5.5
Berkeley DB (version 4) \db4-utils
当前的系统中已经默认有db4,需要安装db4-utils工具
pam_userdb.so
已经有,在/lib/security/pam_userdb.so和/lib64/security/pam_userdb.so当中
Berkeley DB是vsftp采用pam认证的数据库文件支持,
pam_userdb.so,可参考 http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-pam_userdb.html
是一个验证db4数据库中存储的用户名密码的pam认证库.
前期准备
安装db4-utils数据库工具:yum install db4-utils
配置vsftp的pam认证
vim /etc/pam.d/vsftpd.virtual
将下列内容添加到上面的配置文件中
----
#%PAM-1.0
auth       required     pam_userdb.so db=/var/www/.images/vsftpd-virtual-user
account    required     pam_userdb.so db=/var/www/.images/vsftpd-virtual-user
session    required     pam_loginuid.so
----
''/var/www/.images/vsftpd-virtual-user''这个路径文件,是db4的数据库文件所在的地方,在实际使用时可以修改到合适的地方,
关于这个文件的生成将会在后面介绍.
配置vsftp,使得Vsftp支持虚拟用户



anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES#允许虚拟用户登录
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
conxferlog_std_format=YES
connect_from_port_20=YES
listen=YES
pam_service_name=vsftpd.virtual#设置了pam的认证服务,与上面的pam配置是相对应的
guest_enable=YES
hide_ids=YES
userlist_enable=YES
tcp_wrappers=YES
　　具体实施:
比如要在django框架支持下的更改ftp的用户密码，下面是一个简单测试方案，为只有一个用户名密码的准备。
由于使用到了os模块,需要添加该系统模块:import os



def change_pass_by_pam( username='admin', new=None):
    #generate s file
    #generate the db4 db file
    #copy it to the correct location
    username = username
    userpass = new
    fp=open(PASSNAME,'w')
    fp.write(username+"\n"+userpass+"\n")
    #将新的密码写入到临时的一个文件中，PASSNAME位置任意，只要有权限即可
    fp.writelines("\n")
    #在文件最后一行加上一个换行符,不知为啥,不加的话,产生的密码数据库文件总是验证不对
    fp.close()
    try:
        os.remove(VIRTUALUSERDB)
    except OSError:                                                                                                         
        pass
    try:
        os.system("db_load -T -t hash -f "+PASSNAME+" "+VIRTUALUSERDB)
        #使用db4的工具,从写入新密码的文件中生成db4 的数据库文件，这里的VIRTUALUSERDB于/etc/pam.d/vsftpd.virtual的db位置一致
    except:
        return false
    try:
        os.remove(PASSNAME)
    #最终删除了临时的密码文件
    except:
        pass
　　测试效果
在实际修改时,可以实际测试一下,在非ftp服务器上采用ftp连接



[iyunv@localhost ~]# ftp 192.168.0.201
Connected to 192.168.0.201.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.201:root): admin
331 Please specify the password.
Password:
此处的密码可以输入刚刚修改的密码
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
　　登录成功说明,系统密码修改已经ok了.
还可以查看下ftp服务器的系统安全日志



tail -f /var/log/secure
Sep  2 17:38:32 NFS-Cloud-201 vsftpd: pam_userdb(vsftpd.virtual:auth): user `admin' denied access (incorrect password)
Sep  2 17:39:23 NFS-Cloud-201 vsftpd: pam_userdb(vsftpd.virtual:auth): user 'admin' granted access
　　可以清楚看到vsftp的pam认证过程.