基于Linux的FTP服务器权限管理[服务器安全]
本文“基于Linux的FTP服务器权限管理[服务器安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
当我们搭建好一个FTP服务器后,接下去的工作就是要对这个服务器举行权限的管理与设置.因为这项工作直接关系到FTP服务器上文件的安全,关系到FTP服务器运行的安定.所以,作为企业的网络管理员,不可以轻忽这项工作的重要性.
在Linux下,管理FTP服务器的权限比Windwos环境下,相对来说,要复杂一点.因为Linux下,主要通过号令行的方法来实现权限的管理与配置.而在Windows环境下,则可以通过图形界面来配置,故后者相对简单一点.不过,若从机动性上来说,则前者要优胜的多.如WU-FTP,是Linux操作系统上操纵的最遍及的FTP软件.其在权限的管理上,就比微软自带的FTP服务器要机动的多.再配上Linux操作系统本身的安全性,使得WU-FTP服务器的安全更上一层楼.
下面笔者就调集WU-FTP软件,谈谈在Linux下若何做好FTP服务器权限的管理.
若用一句话来概括的话,Wu-FTP软件主要通过组来管理其自身的拜候权限.具体的来说,可以从以下几个方面理解这个服务器权限管理的全貌.
1、若何定义一个组?
定义FTP服务器的拜候组,也叫做类,是FTP服务器权限管理的最基本的行动.后续的权限管理,都是按照这个组来定义的./etc/ftpaccess 配置文件是用来配置WU-FTP拜候权限的主要参数文件.大部份的FTP服务器权限都是在这个文件中举行配置.
若我们需求定义一个FTP的组,就需求在这个参数文件中,加入以下的语句:
Class QA real,guest,anonymous 192.168.1.*
这条语句的意思是,目前定一个QA的组.在这个组中,包含三种范例的用户,辨别为REAL(真实定义的用户)、GUEST(GUEST帐户)、ANONYMOUS(匿名拜候帐户).若目前有这三种范例的帐户,从子网为192.168.1.*的地方拜候这个FTP服务器的话,则就属于QA这个组.若是其他的IP地址拜候,即便其用户属于这三个范例的帐户,其也不属于QA这个组,不具有这个组的拜候权限.很明显,通过这种方法,还可以实现按照IP地址与帐户结合的方法来管理FTP服务器拜候权限.这比光凭帐户来管理,相对来说,要安全一点.
这种配置方法还有别的的一些变形,对其举行公道的搭配,可以大大的提高拜候的安全性与机动性.
第一种变形:IP地址可以以域名的方法来定义,这在大型网络中,如集体型企业的网络顶用的对比广泛.如目前有一个集体企业,下面有A、B、C三个子公司.为了公司员工之间文件交流的便利,集体企业在网上成立了FTP服务器.但是,目前集体网络管理员但愿各个子公司平常只可以拜候FTP服务器下自己的公司的文件夹.关于其他子公司的文件夹他们不能拜候.此时,便可以成立三个组,辨别对应各自的域名.如:Class A企业 real,guest,anonymous A公司的网络域名.这条语句的意思就是从A公司拜候FTP服务器的帐户都属于组“A企业”.然后再为这个组配置相关的权限,便可以实现A企业的用户只可以拜候某个特定的文件.
第二种变形方法:操纵“!”标记来解除某些特定的IP地址.若有时刻,我们大概会把某些特定的IP地址分配给外来的用户.如当客户来访的时刻,我们就给其分配一个特定的IP地址.这主如果为了避免这些用户随便的拜候我们公司的网络资源.为此,我们就需求操纵“!”标记解除某些IP地址.我们只需求在上面例子的IP地址前面,加入这个感慨号,即表示解除了这个IP地址.
2、针对组的一些具体权限的设置.
设置好上面的组之后,我们接下去的工作,就是针对这些组设置具体的权限.下面笔者就探究一下,一些常用权限的设置.
1、某个组的用户只可以查看大概下载FTP服务器上的文件,而不能上传文件.
这是组权限掌握中非常常用的一些功效.若有时刻企业大概要给客户看一些大的计划图纸.由于计划图纸对比大,通过邮件等方法根本无法传输.为此,有些企业就会专门成立FTP服务器,让客户可以直接从这个服务器上下载计划图纸,以提高文件传输的效率.不过,为了安全考虑,客户只可以下载文件,而不可以向这个FTP服务器上传任何的文件.为了实现这个目的,我们就需求操纵file-limit参数来实现这个需求.这个参数主要用来限制某个组的任何一个用户答应上传文件的数目.若我们把客户的帐户归类为一个组,然后把这个上传文件的数目定义为0.如此的话,只如果客户登陆FTP服务器的时刻,他们可以拜候这个FTP服务器,但是却无法上传任何文件.
2、设置最大衔接数.
为了FTP服务器的安定性考虑,我们普通需求限制拜候人数.由于WU-FTP是按照组(类)来掌握最大衔接数的,所以,这里配置的时刻要注意两个问题.一是公道配置各个类的最大衔接人数.如企业中大概是按照部门的类别来配置具体的组.所以,此时,应当跟部门的人数差别,来公道设置组的最大衔接数.二就是要按照FTP服务器的性能与硬件资源,来公道配置FTP服务器的总的衔接数.这个总的衔接数就是各个组的衔接数的总合.若同时衔接在服务器上人太多的话,则极大概FTP服务器会因为资源耗竭而当机.所以,普通情形下,当企业的FTP服务器不但向企业内部网络开放,也像企业外部网络开放的时刻,则就需求注意,这个FTP服务器最大衔接数的限制.为了到达这个目的,我们需求配置limit 参数,来拟定某个类的最大衔接数.同时,也可以拟定一个文本文件,当到达最大人数的时刻,给拜候者显示上面内容,如道歉方面的内容.
3、拜候回绝文件信息的配置.
固然当拜候被回绝的时刻,不给用户反映信息,也是可行的.但是如此配置的话,就不怎么人性化.用户拜候FTP服务器的时刻,当没有权限时,应当让服务器向用户阐明是由于什么缘由没有没有拜候成功.如此的话,不但对用户对比友好;当呈现弊端的时刻,也利于我们解除弊端.
下面,笔者就谈谈若何配置这个提醒文件.提醒文件包含常量与变量两块内容.常量就是一些描写性的阐明,如“对不起,你不可以拜候”等等.但是,很明显,常量的话,不可以反映回绝拜候的具体信息.为了可以充分显示被回绝拜候的缘由,WU-FTP服务器供应了一些变量.通过这些变量,可以很直观的反映出用户被回绝拜候的缘由.
%N:这个变量名表示某个组(类)当前衔接的用户数目.如我们在设置FTP衔接数的时刻,有这方面的设置,则便可以操纵这个变量来阐明问题.如可以以下方法配置出错提醒文件:“对不起,目前这个类的拜候认为位%N ,超越了最大衔接人数,请稍候再试.”.如此的话,这个变量会把当前的实际衔接人数显示出来.
%E:管理员的邮件地址.在这个FTPACCESS参数文件中,还可以配置网络管理员的邮件地址.当FTP服务器呈现弊端的时刻,则可以向这个邮件地址发送邮件.目前若我们但愿可以在这个出错信息中,显示网络管理员的邮箱地址,以便利当拜候呈现弊端时,用户向网络管理员发送邮件追求帮忙.为此,我们可以以下定义这个出错文件:“对不起,暂时不可以拜候,若有疑问,请发邮件%E询问”.如此的话,在出错文件中,就会把这个参数文件中定义的网络管理员EMAIL显示在上面.
%T:本地当前时间.有时刻,我们会在欢送界面上显示当前的时间.如目前时间是多少多少,缘由你拜候等等友好信息.此时,便可以操纵%T参数显示本地当前时间.别的,在有些企业也大概要限制FTP服务器的拜候时间,如只答应在早上八点到下午五点的上班时间拜候.此时,就需求在出错时间中加入这个本级时间参数.从而提醒用户,目前的时间是不可以拜候FTP服务器的等等.
%C:当前的工作目录.有时刻,常常还需求对用户举行工作目录的限制.如某些用户只可以拜候特定的目录等等.此时,也有必要向用户显示他们当前的拜候目录,以提醒他们已经越界了.此时,便可以在出错文件中,加入%C参数,让出错文件显示当前的目录.
总之,在这个出错信息配置文件中,我们要出于清楚明了的目的,向用户展示被回绝拜候的缘由.如此的话,一方面我们网络管理员可以削减很多的工作量,不用诚恳被用户烦这烦那的.另一方面,也会为我们办理弊端供应线索.如此的话,只要用户报上出错的提醒,则我们便可以知道问题发生的缘由了,从而为办理弊端博得了时间.