當我們Linux下搭建好一個FTP服務器後,接下去的工作就是要對這個服務器進行權限的管理與設置。因為這項工作直接關系到FTP服務器上文件的安全,關系到FTP服務器運行的穩定。所以,作為企業的網絡管理員,不能夠忽視這項工作的重要性。
在Linux下,管理FTP服務器的權限比Windwos環境下,相對來說,要復雜一點。因為Linux下,主要通過命令行的方式來實現權限的管理與配置。而在Windows環境下,則可以通過圖形界面來配置,故後者相對簡單一點。不過,若從靈活性上來講,則前者要優越的多。如WU-FTP,是 Linux操作系統上利用的最廣泛的FTP軟件。其在權限的管理上,就比微軟自帶的FTP服務器要靈活的多。再配上Linux操作系統本身的安全性,使得 WU-FTP服務器的安全更上一層樓。
下面筆者就集合WU-FTP軟件,談談在Linux下如何做好FTP服務器權限的管理。
若用一句話來概括的話,Wu-FTP軟件主要通過組來管理其自身的訪問權限。具體的來講,可以從以下幾個方面了解這個服務器權限管理的全貌。
一、如何定義一個組?
定義FTP服務器的訪問組,也叫做類,是FTP服務器權限管理的最基本的動作。後續的權限管理,都是根據這個組來定的。/etc/ftpaccess 配置文件是用來配置WU-FTP訪問權限的主要參數文件。大部分的FTP服務器權限都是在這個文件中進行配置。
若我們需要定義一個FTP的組,就需要在這個參數文件中,加入如下的語句:
ClassQA real,guest,anonymous 192.168.1.*
這條語句的意思是,現在定一個QA的組。在這個組中,包括三種類型的用戶,分別為REAL(真實定義的用戶)、GUEST(GUEST帳戶)、 ANONYMOUS(匿名訪問帳戶)。若現在有這三種類型的帳戶,從子網為192.168.1.*的地方訪問這個FTP服務器的話,則就屬於QA這個組。若是其他的IP地址訪問,即使其用戶屬於這三個類型的帳戶,其也不屬於QA這個組,不具有這個組的訪問權限。很明顯,通過這種方式,還可以實現根據IP地址與帳戶結合的方式來管理FTP服務器訪問權限。這比光憑帳戶來管理,相對來說,要安全一點。
這種配置方式還有另外的一些變形,對其進行合理的搭配,可以大大的提高訪問的安全性與靈活性。
第一種變形:IP地址可以以域名的方式來定義,這在大型網絡中,如集團型企業的網絡中用的比較普遍。如現在有一個集團企業,下面有A、B、C三個子公司。為了公司員工之間文件交流的方便,集團企業在網上建立了FTP服務器。但是,現在集團網絡管理員希望各個子公司平時只能夠訪問FTP服務器下自己的公司的文件夾。對於其他子公司的文件夾他們不能訪問。此時,就可以建立三個組,分別對應各自的域名。如:Class A企業 real,guest,anonymous A公司的網絡域名。這條語句的意思就是從A公司訪問FTP服務器的帳戶都屬於組“A企業”。然後再為這個組配置相關的權限,就可以實現A企業的用戶只能夠訪問某個特定的文件。
第二種變形方式:利用“!”符號來排除某些特定的IP地址。如有時候,我們可能會把某些特定的IP地址分配給外來的用戶。如當客戶來訪的時候,我們就給其分配一個特定的IP地址。這主要是為了防止這些用戶隨意的訪問我們公司的網絡資源。為此,我們就需要利用“!”符號排除某些IP地址。我們只需要在上面例子的IP地址前面,加入這個感歎號,即表示排除了這個IP地址。