Linux下安装配置与管理proftpd(1)(2)
2.配置文件结构分析
#全局设置设置项目1 参数1设置项目2 参数2#某个目录的设置
常用全局设置
DefaultRoot ~ # 限制每个FTP用户在自己的目录下,不可查看上一级目录
AllowRetrieveRestart on #下载时,允许断点续传
AllowStoreRestart on #上传时,允许断点续传
ServerIdent off #屏蔽服务器版本信息
TransferRate STOR|RETR 速度(Kbytes/s) user 使用者 #设定用户传输速率
MaxHostsPerUser 1 #每个帐户最多允许来源ip为1个, 对防止ftp帐号还是比较有用的。
MaxClientsPerUser 1 #每个帐户在每个客户端最多可以同时登陆1次,可以防止多线程软件下载对服务器的破坏
MaxClientsPerHost 1 #同一个客户端只能最多1个帐号可以登陆
WtmpLog on #是否要把ftp记录在日志中,如果不想可以设置成off屏蔽掉log日志。
TimeoutIdle 600 #客户端idle时间设置,默认就是600秒
DisplayLogin welcome.msg #设置ftp登陆欢迎信息文件
RootLogin on #允许root用户登录,默认是不允许的,安全起见不推荐此选项。
欢迎词设置
关于欢迎文件的设置包含如下参数:
%T 目前的时间
%F 所在硬盘剩下的容量
%C 目前所在的目录
%R Client 端的主机名称
%L Server 端的主机名称
%U 使用者帐户名称
%M 最大允许连接人数
%N 目前的服务器连接人数
%E FTP服务器管理员的 email
%i 本次上传的文件数量
%o 本次下载的文件数量
%t 本次上传+下载的文件数量
知道这些参数,可以写出一个友好的欢迎语文件,例如:
欢迎您%U, 这是T-force的测试FTP服务器; 目前时间是:%T; 本服务器最多允许%M个用户连接数; 目前服务器上已有%N个用户连接数; 目前你所在的目录是%C; 目录所在的硬盘还剩下%F字节。
anonymous 配置块
在配置文件中anonymous配置块是非常重要的一部分,全局帐户的权限配置一般都由它来控制,下面分析一个比较常见的例子
# A basic anonymous configuration, no upload directories. If you do not# want anonymous users, simply delete this entire section. #指定匿名用户登录目录User ftp#指定本块设置的用户Group ftp#指定本块设置的用户属组# We want clients to be able to loginwith "anonymous" as well as "ftp"UserAlias anonymous ftp#设定用户的别名AnonRequirePassword on #登陆需要密码# Limit the maximum numberof anonymous loginsMaxClients 10# We want 'welcome.msg' displayed at login, and '.message' displayed# in each newly chdired directory. DisplayLogin welcome.msg DisplayFirstChdir .message# Limit WRITE everywhere in the anonymous chroot
anonymous配置块中的重点是通过Limit对指定目录进行比较详尽的权限管理,Limit的权限控制比较完整,通过不同的组合基本上可以做到各种复杂的权限控制,其控制项如下:
CMD:Change Working Directory 改变目录MKD:MaKe Directory 建立目录的权限RNFR: ReName FRom 更改目录名的权限DELE:DELEte 删除文件的权限RMD:ReMove Directory 删除目录的权限RETR:RETRieve 从服务端下载到客户端的权限STOR:STORe 从客户端上传到服务端的权限READ:可读的权限,不包括列目录的权限,相当于RETR,STAT等WRITE:写文件或者目录的权限,包括MKD和RMDDIRS:是否允许列目录,相当于LIST,NLST等权限,还是比较实用的
注:在测试是否可以下载时,不能用长度为0的空文件去测试,要用一个有内容的文件(文件大小不能为0k)。
针对上面这个Limit所应用的对象,又包括以下范围
AllowUser 针对某个用户允许的LimitDenyUser 针对某个用户禁止的LimitAllowGroup 针对某个用户组允许的LimitDenyGroup 针对某个用户组禁止的LimitAllowAll 针对所有用户组允许的LimitDenyAll 针对所有用户禁止的Limit
五.一种简单实用的配置管理方式:
proftpd和mysql组合可以完成比较庞大而且完备的权限控制,但是也同样增加了管理和维护的复杂性,在这里我介绍一种简单易行的配置方法,适用于100个用户以下的应用。这种方法的核心在于巧妙的运用了设置gid位,读者最好找资料了解一下相关的知识。这种方法的配置管理工作相当少,也相当的简单,同时还可以保持一个清晰的权限系统结构。
1.思路
首先需要明确的概念是proftpd的用户与linux系统的用户的关系:linux系统的用户即为proftpd的用户。proftpd的权限控制是基于Linux系统得权限控制之上的,即用户对于某个文件或目录,必须先有Linux系统的权限,在此基础上proftpd才能设置其特有的一些权限。其实一般来说Linux自有的权限系统就是一个比较完善的权限系统了,我们完全可以只利用这个权限系统,就足可以满足我们的要求了。
我们设置一个ftp管理员ftpadmin属于ftpadmin组,ftp的根目录/ftp是ftpadmin的个人根目录,这样ftpadmin可以完成日常的管理。通过设置/ftp的gid可以保证新上传的文件是属于ftpadmin用户,加上再设置umask值002保证上传文件的组读写权限,这样管理员就可以对其管理下的文件进行管理,而同时保证了不改变该文件的属主。
ftp的用户,我们只需新建一个Linux用户,而把他的用户目录制定在/ftp之下就可以。操作起来很简单。
2.建立ftp管理员:ftpadmin
[root@localhost root]groupadd ftpadmin #ftpadmin为新添加的组的名字[root@localhost root]useradd -d /ftp -g ftpadmin -s /sbin/nologin admin[root@localhost root]chmod 2775 /ftp
同时保证ftpadmin 是 /ftp的属主,ftpadmin 是/ftp的组属主。这样就保证了ftpadmin对要管理的/ftp目录有全部的权限。
-s /sbin/nologin 指定用户不能从shell登录,就是说只能从ftp方式登录,这样是出于安全的考虑。
修改/usr/local/etc/proftpd.conf
nobody ftpadminnogroup ftpadminUmask 002 #允许所有者,组用户对ftp进行管理。
掩码Umask改为 002 。即组成员和所有者都可对文件夹进行增删,改等操作。其他用户可读可执行,但不可写。这样,ftpadmin用户可以通过同组的身份对所有的文件进行读写,同时也不改变其内容的原有权限。也就说,不改变这个文件夹下的文件的所有者身份,但同时又可以管理这些文件。
chmod 2775 /ftp,通过设置了文件夹的gid,以后在这个文件夹下写的所有文件,不管其所有者是谁,文件的组必定是ftpadmin(因为/ftp的组属于ftpadmin),都合理的被纳于ftpadmin的管理之下。
3.添加用户:user1
useradd -d /ftp/user1 -g ftpadmin -s/sbin/nologin user1
这样user1就对/ftp/user1的目录有完整的权限,而作为管理员也可以通过组权限对目录进行管理。
每当需要添加用户的时候,只需方便的简单的添加一个Linux的用户就可以了。
4.对应的配置文件:proftpd.conf中的重要条目
Umask 002DefaultRoot
Umask 002 保证了新建的文件有组读写权限。
DefaultRoot ~ 保证 每个用户登录后被锁定在自己的目录里,看不到其他用户的目录。
通过正文的详细的介绍,想必大家都能清楚的知道proftpd在Linux下安装配置与管理的方法和内容,希望本文对大家有帮助!
- ProFtpd入门指南
- 启动 ProFTPD 超全)
- 安装 ProFTPD 超全)
- 配置 ProFTPD 超全)
- FTP服务器:Proftpd
- RedHat AS4.6 下安装 安装 Proftpd
- XdSe_cX Team PROFTPD 配置文档
评论暂时关闭