当我们设置好一个FTP服务器后,接下来的工作就是管理和设置这个服务器的权限。因为这项工作直接关系到FTP服务器上文件的安全性和FTP服务器的稳定性。因此,作为企业的网络管理员,
我们不能忽视这项工作的重要性。
在Linux下,管理FTP服务器的权限相对来说比在Windwos环境下更复杂。因为在Linux下,权限的管理和配置主要是通过命令行实现的。在Windows环境中,可以通过图形界面进行配置。
所以后者相对简单。但是,在灵活性方面,前者要优越得多。例如,WU-FTP是Linux操作系统上使用最广泛的FTP软件。它的权限管理比微软自己的FTP服务器灵活得多。
再加上Linux操作系统本身的安全性,WU-FTP服务器的安全性又上了一层楼。
笔者将收集WU-FTP软件,谈谈如何在Linux下管理FTP服务器的权限。
总结一句话,吴-FTP软件主要是通过组来管理自己的访问权限。具体来说,我们可以从以下几个方面来了解这个服务器权限管理的全貌。
一、如何定义一个群体?
大多数FTP服务器权限都在该文件中配置。
如果我们需要定义一个FTP组,我们需要在这个参数文件中添加以下语句:
Class QA real,guest,anonymous 192.168.1.*
这个说法的意思是现在就设置一个QA组。在这个组中,有三种类型的用户,即真实(真正定义的用户)、来宾(来宾帐户)和匿名(匿名访问帐户)。如果现在有这三类账户,
如果您从子网为192.168.1的地方访问此FTP服务器。*,属于QA组。如果被其他IP地址访问,即使其用户属于这三类账户,也不属于QA组,不具有对该组的访问权限。很明显,
这样你也可以根据IP地址和账号的组合来管理FTP服务器的访问权限。这比单独按账户管理更安全。
这种配置还有其他变体,合理搭配可以大大提高访问的安全性和灵活性。
第一种变体:IP地址可以用域名定义,常用于大型网络,比如集团企业的网络。如果现在有一个集团企业,下面有A、B、C三个子公司。为了方便公司员工之间的文件交换,
集团企业在互联网上建立了FTP服务器。但是现在集团网管希望各子公司平时只能访问FTP服务器下自己的公司文件夹。他们无法访问其他子公司的文件夹。此时,您可以设置三个组,分别对应各自的域名。
比如A类企业的网络域名real、guest和anonymous a公司。从公司A访问FTP服务器的帐户属于“企业A”组。然后为该组配置相关权限。
可以认识到,企业A的用户只能访问特定的文件。
变形的第二种方式:用“!”排除某些IP地址的符号。例如,有时,我们可能会将某些IP地址分配给外国用户。例如,当客户访问时,我们会为他们分配一个特定的IP地址。
这主要是为了防止这些用户随意访问我们公司的网络资源。为此,我们需要使用“!”符号不包括某些IP地址。我们只需要在上面例子中的IP地址前面加上这个感叹号,就表示排除了这个IP地址。
其次,为该组设置一些特定的权限。
设置好上面的组之后,我们下一步的工作就是为这些组设置具体的权限。下面笔者将讨论一些常用权限的设置。
1.某个组的用户只能查看或下载FTP服务器上的文件,不能上传文件。
这是集团权限控制中一些非常常见的功能。比如有时候企业可能要给客户看一些大的设计图。因为设计图纸比较大,无法通过邮件等方式传输。为此,有些企业会专门架设FTP服务器。
允许客户直接从该服务器下载设计图纸,以提高文件传输效率。但是,出于安全原因,客户只能下载文件,而不能将任何文件上传到此FTP服务器。为了实现这一目标,
我们需要使用文件限制参数来实现这一要求。该参数主要用于限制一个组中的任何用户可以上传的文件数量。如果我们把客户的账户分成一组,然后定义上传的文件数为0。在这种情况下,
客户只要登录FTP服务器,就可以访问FTP服务器,但是不能上传任何文件。
2.设置最大连接数。
为了FTP服务器的稳定性,我们一般需要限制访问者的数量。因为WU-FTP是按照组(类)来控制最大连接数的,所以这里配置的时候要注意两个问题。首先是合理配置每个类的最大连接数。
例如,在企业中,可以根据部门的类别来配置特定的组。所以,这个时候应该根据部门数量的不同,合理设置组内最大连接数。第二,根据FTP服务器的性能和硬件资源,合理配置FTP服务器的连接总数。
这个连接总数是每个组中连接数量的总和。如果太多人同时连接到服务器,很可能FTP服务器会因为资源耗尽而崩溃。因此,一般来说,当企业的FTP服务器不仅对企业的内部网络开放时,
就像企业外网开放的时候,你需要注意这个FTP服务器最大连接数的限制。为了实现这个目标,我们需要配置limit参数来确定一个类的最大连接数。同时,你也可以制作一个文本文件。
当达到最大访问者数量时,向访问者显示上述内容,如道歉。
3.拒绝访问文件信息的配置。
尽管当访问被拒绝时不向用户反映信息是可行的。但是如果这样配置,就不太人性化了。用户访问FTP服务器时,在没有权限的情况下,要让服务器向用户解释为什么没有访问成功。在这种情况下,
不仅对用户友好;当出现问题时,对我们排除故障也有帮助。
下面,笔者就来说说如何配置这个提示文件。提示文件包括常量和变量。常量是描述性的描述,比如“对不起,您无法访问”等等。但是,很明显,常量词不能反映访问拒绝的具体信息。
为了全面展示拒绝访问的原因,WU-FTP服务器提供了一些变量。通过这些变量,我们可以直观地反映出用户被拒绝访问的原因。
%N:此变量名表示当前连接到组(类)的用户数量。如果我们在设置FTP连接数时有这个设置,我们可以用这个变量来说明问题。如果可以将错误提示文件配置如下:“对不起,
目前,此类的访问点是%N,超过了最大连接数。请稍后再试。"。在这种情况下,该变量将显示当前实际连接的人数。
%E:管理员的电子邮件地址。在这个FTPACCESS参数文件中,您还可以配置网络管理员的电子邮件地址。当FTP服务器出现故障时,您可以向该电子邮件地址发送邮件。现在,如果我们想在这个错误消息中,
显示网络管理员的电子邮件地址,以便在访问失败时,用户可以向网络管理员发送电子邮件寻求帮助。为此,我们可以这样定义这个错误文件:“抱歉,暂时无法访问。如有任何问题,请发邮件至%E询问。”在这种情况下,在错误文件中,
该参数文件中定义的网络管理员电子邮件将显示在上面。
%T:本地当前时间。有时,我们会在欢迎界面上显示当前时间。比如现在几点了,你来访的原因以及其他友好的信息。此时,您可以使用%T参数来显示本地当前时间。此外,
在一些企业中,可能还需要限制FTP服务器的访问时间,比如只允许在早上8点到下午5点的工作时间访问。此时,有必要将此水平时间参数添加到误差时间中。以便提醒用户当前不可能访问FTP服务器,等等。
%C:当前的工作目录。有时候,往往还需要对用户进行工作目录的限制。如某些用户只能够访问特定的目录等等。此时,也有必要向用户显示他们当前的访问目录,以提示他们已经越界了。此时,就可以在出错文件中,
加入%C参数,让出错文件显示当前的目录。
总之,在这个出错信息配置文件中,我们要出于清晰明了的目的,向用户展示被拒绝访问的原因。如此的话,一方面我们网络管理员可以减少很多的工作量,不用老实被用户烦这烦那的。另一方面,
也会为我们解决故障提供线索。如此的话,只要用户报上出错的提示,则我们就可以知道问题发生的原因了,从而为解决故障赢得了时间。
