有时候,在设置ftp用户的时候,不必要登录系统,只是具有ftp用户功能,这是可以设置vsftp虚拟用户。
具体配置Vsftp的虚拟用户可以参考 http://www.cyberciti.biz/tips/centos-redhat-vsftpd-ftp-with-virtual-users.html.
本文介绍的主要内容也是从上文中提取出来的.
vsftp也是支持linux的pam(可插拨认证模块),一个登录ftp服务的用户也可以不必要是系统用户,
这样的配置对系统来说也更安全,对当前的项目来说,也更易修改用户密码.
需要的软件
当前环境centos5.5
Berkeley DB (version 4) \db4-utils
当前的系统中已经默认有db4,需要安装db4-utils工具
pam_userdb.so
已经有,在/lib/security/pam_userdb.so和/lib64/security/pam_userdb.so当中
Berkeley DB是vsftp采用pam认证的数据库文件支持,
pam_userdb.so,可参考 http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-pam_userdb.html
是一个验证db4数据库中存储的用户名密码的pam认证库.
前期准备
安装db4-utils数据库工具:yum install db4-utils
配置vsftp的pam认证
vim /etc/pam.d/vsftpd.virtual
将下列内容添加到上面的配置文件中
----
#%PAM-1.0
auth required pam_userdb.so db=/var/www/.images/vsftpd-virtual-user
account required pam_userdb.so db=/var/www/.images/vsftpd-virtual-user
session required pam_loginuid.so
----
''/var/www/.images/vsftpd-virtual-user''这个路径文件,是db4的数据库文件所在的地方,在实际使用时可以修改到合适的地方,
关于这个文件的生成将会在后面介绍.
配置vsftp,使得Vsftp支持虚拟用户
anonymous_enable=NO
local_enable=YES
virtual_use_local_privs=YES#允许虚拟用户登录
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
conxferlog_std_format=YES
connect_from_port_20=YES
listen=YES
pam_service_name=vsftpd.virtual#设置了pam的认证服务,与上面的pam配置是相对应的
guest_enable=YES
hide_ids=YES
userlist_enable=YES
tcp_wrappers=YES
具体实施:
比如要在django框架支持下的更改ftp的用户密码,下面是一个简单测试方案,为只有一个用户名密码的准备。
由于使用到了os模块,需要添加该系统模块:import os
def change_pass_by_pam( username='admin', new=None):
#generate s file
#generate the db4 db file
#copy it to the correct location
username = username
userpass = new
fp=open(PASSNAME,'w')
fp.write(username+"\n"+userpass+"\n")
#将新的密码写入到临时的一个文件中,PASSNAME位置任意,只要有权限即可
fp.writelines("\n")
#在文件最后一行加上一个换行符,不知为啥,不加的话,产生的密码数据库文件总是验证不对
fp.close()
try:
os.remove(VIRTUALUSERDB)
except OSError:
pass
try:
os.system("db_load -T -t hash -f "+PASSNAME+" "+VIRTUALUSERDB)
#使用db4的工具,从写入新密码的文件中生成db4 的数据库文件,这里的VIRTUALUSERDB于/etc/pam.d/vsftpd.virtual的db位置一致
except:
return false
try:
os.remove(PASSNAME)
#最终删除了临时的密码文件
except:
pass
测试效果
在实际修改时,可以实际测试一下,在非ftp服务器上采用ftp连接
[root@localhost ~]# ftp 192.168.0.201
Connected to 192.168.0.201.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.0.201:root): admin
331 Please specify the password.
Password:
此处的密码可以输入刚刚修改的密码
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
登录成功说明,系统密码修改已经ok了.
还可以查看下ftp服务器的系统安全日志
tail -f /var/log/secure
Sep 2 17:38:32 NFS-Cloud-201 vsftpd: pam_userdb(vsftpd.virtual:auth): user `admin' denied access (incorrect password)
Sep 2 17:39:23 NFS-Cloud-201 vsftpd: pam_userdb(vsftpd.virtual:auth): user 'admin' granted access
可以清楚看到vsftp的pam认证过程.