基于Linux的FTP服務(wù)器權(quán)限管理
當(dāng)我們搭建好一個(gè)FTP服務(wù)器后,接下去的工作就是要對(duì)這個(gè)服務(wù)器進(jìn)行權(quán)限的管理與設(shè)置。因?yàn)檫@項(xiàng)工作直接關(guān)系到FTP服務(wù)器上文件的安全,關(guān)系到FTP服務(wù)器運(yùn)行的穩(wěn)定。所以,作為企業(yè)的網(wǎng)絡(luò)管理員,不能夠忽視這項(xiàng)工作的重要性。
在Linux下,管理FTP服務(wù)器的權(quán)限比Windwos環(huán)境下,相對(duì)來(lái)說(shuō),要復(fù)雜一點(diǎn)。因?yàn)長(zhǎng)inux下,主要通過(guò)命令行的方式來(lái)實(shí)現(xiàn)權(quán)限的管理與配置。而在Windows環(huán)境下,則可以通過(guò)圖形界面來(lái)配置,故后者相對(duì)簡(jiǎn)單一點(diǎn)。不過(guò),若從靈活性上來(lái)講,則前者要優(yōu)越的多。如WU-FTP,是Linux操作系統(tǒng)上利用的最廣泛的FTP軟件。其在權(quán)限的管理上,就比微軟自帶的FTP服務(wù)器要靈活的多。再配上Linux操作系統(tǒng)本身的安全性,使得WU-FTP服務(wù)器的安全更上一層樓。
下面筆者就集合WU-FTP軟件,談?wù)勗贚inux下如何做好FTP服務(wù)器權(quán)限的管理。
若用一句話來(lái)概括的話,Wu-FTP軟件主要通過(guò)組來(lái)管理其自身的訪問(wèn)權(quán)限。具體的來(lái)講,可以從以下幾個(gè)方面了解這個(gè)服務(wù)器權(quán)限管理的全貌。
一、如何定義一個(gè)組?
定義FTP服務(wù)器的訪問(wèn)組,也叫做類,是FTP服務(wù)器權(quán)限管理的最基本的動(dòng)作。后續(xù)的權(quán)限管理,都是根據(jù)這個(gè)組來(lái)定義的。/etc/ftpaccess 配置文件是用來(lái)配置WU-FTP訪問(wèn)權(quán)限的主要參數(shù)文件。大部分的FTP服務(wù)器權(quán)限都是在這個(gè)文件中進(jìn)行配置。
若我們需要定義一個(gè)FTP的組,就需要在這個(gè)參數(shù)文件中,加入如下的語(yǔ)句:
Class QA real,guest,anonymous 192.168.1.*
這條語(yǔ)句的意思是,現(xiàn)在定一個(gè)QA的組。在這個(gè)組中,包括三種類型的用戶,分別為REAL(真實(shí)定義的用戶)、GUEST(GUEST帳戶)、ANONYMOUS(匿名訪問(wèn)帳戶)。若現(xiàn)在有這三種類型的帳戶,從子網(wǎng)為192.168.1.*的地方訪問(wèn)這個(gè)FTP服務(wù)器的話,則就屬于QA這個(gè)組。若是其他的IP地址訪問(wèn),即使其用戶屬于這三個(gè)類型的帳戶,其也不屬于QA這個(gè)組,不具有這個(gè)組的訪問(wèn)權(quán)限。很明顯,通過(guò)這種方式,還可以實(shí)現(xiàn)根據(jù)IP地址與帳戶結(jié)合的方式來(lái)管理FTP服務(wù)器訪問(wèn)權(quán)限。這比光憑帳戶來(lái)管理,相對(duì)來(lái)說(shuō),要安全一點(diǎn)。
這種配置方式還有另外的一些變形,對(duì)其進(jìn)行合理的搭配,可以大大的提高訪問(wèn)的安全性與靈活性。
第一種變形:IP地址可以以域名的方式來(lái)定義,這在大型網(wǎng)絡(luò)中,如集團(tuán)型企業(yè)的網(wǎng)絡(luò)中用的比較普遍。如現(xiàn)在有一個(gè)集團(tuán)企業(yè),下面有A、B、C三個(gè)子公司。為了公司員工之間文件交流的方便,集團(tuán)企業(yè)在網(wǎng)上建立了FTP服務(wù)器。但是,現(xiàn)在集團(tuán)網(wǎng)絡(luò)管理員希望各個(gè)子公司平時(shí)只能夠訪問(wèn)FTP服務(wù)器下自己的公司的文件夾。對(duì)于其他子公司的文件夾他們不能訪問(wèn)。此時(shí),就可以建立三個(gè)組,分別對(duì)應(yīng)各自的域名。如:Class A企業(yè) real,guest,anonymous A公司的網(wǎng)絡(luò)域名。這條語(yǔ)句的意思就是從A公司訪問(wèn)FTP服務(wù)器的帳戶都屬于組“A企業(yè)”。然后再為這個(gè)組配置相關(guān)的權(quán)限,就可以實(shí)現(xiàn)A企業(yè)的用戶只能夠訪問(wèn)某個(gè)特定的文件。
第二種變形方式:利用“!”符號(hào)來(lái)排除某些特定的IP地址。如有時(shí)候,我們可能會(huì)把某些特定的IP地址分配給外來(lái)的用戶。如當(dāng)客戶來(lái)訪的時(shí)候,我們就給其分配一個(gè)特定的IP地址。這主要是為了防止這些用戶隨意的訪問(wèn)我們公司的網(wǎng)絡(luò)資源。為此,我們就需要利用“!”符號(hào)排除某些IP地址。我們只需要在上面例子的IP地址前面,加入這個(gè)感嘆號(hào),即表示排除了這個(gè)IP地址。
二、針對(duì)組的一些具體權(quán)限的設(shè)置。
設(shè)置好上面的組之后,我們接下去的工作,就是針對(duì)這些組設(shè)置具體的權(quán)限。下面筆者就探討一下,一些常用權(quán)限的設(shè)置。
1、某個(gè)組的用戶只能夠查看或者下載FTP服務(wù)器上的文件,而不能上傳文件。
這是組權(quán)限控制中非常常用的一些功能。如有時(shí)候企業(yè)可能要給客戶看一些大的設(shè)計(jì)圖紙。由于設(shè)計(jì)圖紙比較大,通過(guò)郵件等方式根本無(wú)法傳輸。為此,有些企業(yè)就會(huì)專門建立FTP服務(wù)器,讓客戶能夠直接從這個(gè)服務(wù)器上下載設(shè)計(jì)圖紙,以提高文件傳輸?shù)男省2贿^(guò),為了安全考慮,客戶只能夠下載文件,而不能夠向這個(gè)FTP服務(wù)器上傳任何的文件。為了實(shí)現(xiàn)這個(gè)目的,我們就需要利用file-limit參數(shù)來(lái)實(shí)現(xiàn)這個(gè)需求。這個(gè)參數(shù)主要用來(lái)限制某個(gè)組的任何一個(gè)用戶允許上傳文件的數(shù)量。若我們把客戶的帳戶歸類為一個(gè)組,然后把這個(gè)上傳文件的數(shù)量定義為0。如此的話,只要是客戶登陸FTP服務(wù)器的時(shí)候,他們可以訪問(wèn)這個(gè)FTP服務(wù)器,但是卻無(wú)法上傳任何文件。
2、設(shè)置最大連接數(shù)。
為了FTP服務(wù)器的穩(wěn)定性考慮,我們一般需要限制訪問(wèn)人數(shù)。由于WU-FTP是根據(jù)組(類)來(lái)控制最大連接數(shù)的,所以,這里配置的時(shí)候要注意兩個(gè)問(wèn)題。一是合理配置各個(gè)類的最大連接人數(shù)。如企業(yè)中可能是根據(jù)部門的類別來(lái)配置具體的組。所以,此時(shí),應(yīng)該跟部門的人數(shù)不同,來(lái)合理設(shè)置組的最大連接數(shù)。二就是要根據(jù)FTP服務(wù)器的性能與硬件資源,來(lái)合理配置FTP服務(wù)器的總的連接數(shù)。這個(gè)總的連接數(shù)就是各個(gè)組的連接數(shù)的總合。若同時(shí)連接在服務(wù)器上人太多的話,則很可能FTP服務(wù)器會(huì)因?yàn)橘Y源耗竭而當(dāng)機(jī)。所以,一般情況下,當(dāng)企業(yè)的FTP服務(wù)器不僅向企業(yè)內(nèi)部網(wǎng)絡(luò)開(kāi)放,也像企業(yè)外部網(wǎng)絡(luò)開(kāi)放的時(shí)候,則就需要注意,這個(gè)FTP服務(wù)器最大連接數(shù)的限制。為了達(dá)到這個(gè)目的,我們需要配置limit 參數(shù),來(lái)制定某個(gè)類的最大連接數(shù)。同時(shí),也可以制定一個(gè)文本文件,當(dāng)達(dá)到最大人數(shù)的時(shí)候,給訪問(wèn)者顯示上面內(nèi)容,如致歉方面的內(nèi)容。
3、訪問(wèn)拒絕文件信息的配置。
雖然當(dāng)訪問(wèn)被拒絕的時(shí)候,不給用戶反映信息,也是可行的。但是如此配置的話,就不怎么人性化。用戶訪問(wèn)FTP服務(wù)器的時(shí)候,當(dāng)沒(méi)有權(quán)限時(shí),應(yīng)該讓服務(wù)器向用戶說(shuō)明是由于什么原因沒(méi)有沒(méi)有訪問(wèn)成功。如此的話,不但對(duì)用戶比較友好;當(dāng)出現(xiàn)故障的時(shí)候,也利于我們排除故障。
下面,筆者就談?wù)勅绾闻渲眠@個(gè)提示文件。提示文件包括常量與變量?jī)蓧K內(nèi)容。常量就是一些描述性的說(shuō)明,如“對(duì)不起,你不能夠訪問(wèn)”等等。但是,很明顯,常量的話,不能夠反映拒絕訪問(wèn)的具體信息。為了能夠充分顯示被拒絕訪問(wèn)的原因,WU-FTP服務(wù)器提供了一些變量。通過(guò)這些變量,可以很直觀的反映出用戶被拒絕訪問(wèn)的原因。
%N:這個(gè)變量名表示某個(gè)組(類)當(dāng)前連接的用戶數(shù)目。如我們?cè)谠O(shè)置FTP連接數(shù)的時(shí)候,有這方面的設(shè)置,則就可以利用這個(gè)變量來(lái)說(shuō)明問(wèn)題。如可以如下方式配置出錯(cuò)提示文件:“對(duì)不起,現(xiàn)在這個(gè)類的訪問(wèn)認(rèn)為位%N ,超過(guò)了最大連接人數(shù),請(qǐng)稍候再試。”。如此的話,這個(gè)變量會(huì)把當(dāng)前的實(shí)際連接人數(shù)顯示出來(lái)。
%E:管理員的郵件地址。在這個(gè)FTPACCESS參數(shù)文件中,還可以配置網(wǎng)絡(luò)管理員的郵件地址。當(dāng)FTP服務(wù)器出現(xiàn)故障的時(shí)候,則可以向這個(gè)郵件地址發(fā)送郵件?,F(xiàn)在若我們希望能夠在這個(gè)出錯(cuò)信息中,顯示網(wǎng)絡(luò)管理員的郵箱地址,以方便當(dāng)訪問(wèn)出現(xiàn)故障時(shí),用戶向網(wǎng)絡(luò)管理員發(fā)送郵件尋求幫助。為此,我們可以如下定義這個(gè)出錯(cuò)文件:“對(duì)不起,暫時(shí)不能夠訪問(wèn),若有疑問(wèn),請(qǐng)發(fā)郵件%E詢問(wèn)”。如此的話,在出錯(cuò)文件中,就會(huì)把這個(gè)參數(shù)文件中定義的網(wǎng)絡(luò)管理員EMAIL顯示在上面。
%T:本地當(dāng)前時(shí)間。有時(shí)候,我們會(huì)在歡迎界面上顯示當(dāng)前的時(shí)間。如現(xiàn)在時(shí)間是多少多少,原因你訪問(wèn)等等友好信息。此時(shí),就可以利用%T參數(shù)顯示本地當(dāng)前時(shí)間。另外,在有些企業(yè)也可能要限制FTP服務(wù)器的訪問(wèn)時(shí)間,如只允許在早上八點(diǎn)到下午五點(diǎn)的上班時(shí)間訪問(wèn)。此時(shí),就需要在出錯(cuò)時(shí)間中加入這個(gè)本級(jí)時(shí)間參數(shù)。從而提示用戶,現(xiàn)在的時(shí)間是不能夠訪問(wèn)FTP服務(wù)器的等等。
%C:當(dāng)前的工作目錄。有時(shí)候,往往還需要對(duì)用戶進(jìn)行工作目錄的限制。如某些用戶只能夠訪問(wèn)特定的目錄等等。此時(shí),也有必要向用戶顯示他們當(dāng)前的訪問(wèn)目錄,以提示他們已經(jīng)越界了。此時(shí),就可以在出錯(cuò)文件中,加入%C參數(shù),讓出錯(cuò)文件顯示當(dāng)前的目錄。
總之,在這個(gè)出錯(cuò)信息配置文件中,我們要出于清晰明了的目的,向用戶展示被拒絕訪問(wèn)的原因。如此的話,一方面我們網(wǎng)絡(luò)管理員可以減少很多的工作量,不用老實(shí)被用戶煩這煩那的。另一方面,也會(huì)為我們解決故障提供線索。如此的話,只要用戶報(bào)上出錯(cuò)的提示,則我們就可以知道問(wèn)題發(fā)生的原因了,從而為解決故障贏得了時(shí)間。
關(guān)鍵詞:Linux,FTP服務(wù)器
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 1
- 1
- 1
- 1
- 1
- 1