限制ftp哪些賬號登錄
還是要看你需要實現什麼樣的目的。
要想實現對某一目錄,針對不同的ftp用戶有不同的訪問許可權,建議安裝專門的ftp server軟體,如wu_ftpd。 如果使用AIX默認的ftp
server,我們可以通過使用ACL(Access Control List)--訪問控制列表--來實現近似的效果。 ACL是一種在基本文件許可權控制以外的擴展控制,它可以針對某個文件做更精細的控制,可單獨指定某個用戶或屬組的訪問許可權,配置過程舉例如下:
1、 針對我們的需求,首先把/tmp/ftp_folder 的許可權改成750(或其他需要的許可權),然後通過ACL給不同的用戶增加許可讀和寫的許可權。注意:如果在執行acledit後重新執行chmod,ACL
中的「extended permissions」將會被重新置成「disabled」;
2、指定ACL使用的編輯器:
# export EDITOR=/usr/bin/vi
3、# acledit /tmp/ftp_folder
其中 /tmp/ftp_folder 為所要控制的文件,此時,屏幕將顯示
attributes:
base permissions
owner(root): rwx
group(system): r-x
others: ---
extended permissions
disabled --> enabled
為使用ACL控制,將其中的disabled改為enabled
4、在其後添加控制項,用關鍵字permit來控制具體許可權,比如:
permit r-x u:ftp1 用戶ftp1對其有「讀」許可權
permit -wx u:ftp2 用戶ftp2對其有「寫」許可權
注意: ACL中每行只能有一個用戶名。
5、測試
針對用戶ftp1,上傳操作被拒絕
ftp> put file1
200 PORT command successful.
553 file1: The file access permissions do not allow the specified action.
針對用戶ftp2,列取文件操作沒有輸出
ftp> ls
200 PORT command successful.
550 No files found.
這里要注意是,用戶ftp2不具有「讀」許可權只表明該用戶無法讀取文件列表,但如果他知道該目錄下的文件名,一樣可以用 get命令來下載文件(如果用戶使用的是可視化的ftp工具基本不存在這個問題);這是因為在UNIX系統中,對目錄來說,「讀」(r)許可權代表可以列出 該目錄下的內容。即使沒有「讀」許可權,只要有「訪問」(x)許可權,就可以從該目錄下拷貝文件。 因此,我們只能說ACL可以近似實現限制「讀」(下載)的需求。
2. 利用linux命令啟動FTP,並限制匿名用戶登陸
一般linux都有vsftpd吧,啟動命令是service vsftpd start,你要限制匿名登錄的話,修改它的配置文件/etc/vsftpd/vsftpd.conf,把anonymous_enable設成NO。
3. WIN2003下的FTP帳號及許可權管理
現在我們開始使用Win2003系統自帶的FTP服務架設一台安全的FTP伺服器。
步驟1、為FTP伺服器建立一個安全的專用FTP帳號:
點擊"開始菜單→管理工具→計算機管理",這里彈出一個計算機管理窗口,我們在裡面建立一個供FTP客戶端登陸的帳號,雙擊左欄中的"本地用戶和組"然後在右欄中點擊滑鼠右鍵,選擇"新建"命令,就會彈出一個新用戶建立窗口,現在我們建立一個用戶,在這里我們建立一個用戶名為 cnhack 的帳號,密碼為chinanetpk ,並去除"用戶下次登陸時須更改密碼"的選項,勾選"用戶不能更改密碼"及"密碼永不過期"選項。然後點擊"創建"按鈕,就創建了一個用戶名為 cnhack 的用戶。如下圖(圖15)所示:
15)
(圖
為了伺服器安裝著想,我們還須進行如下安全設置,在默認的情況下,我們建立的用戶帳號為 Users 組用戶,雖然普通用戶組對伺服器安全影響不大,但我們還是把這個用戶所屬的 Users 組刪除,把剛建立的 cnhack 用戶添加到 Guests 用戶組,步驟如下:
右擊右欄中剛才建立的普通用戶 cnhack ,出現一個菜單,選擇屬性,這時會彈出別一個窗口cnhack 屬性窗口,選擇"隸屬於"標簽,這時我們會看到cnhack 用戶隸屬於Users組,我們選擇下欄中的Users組名稱,並選擇"刪除"按鈕,這里cnhack用戶原來的隸屬組被刪除,我們再點擊下欄中的"添加"按鈕,這時彈出一個"選擇組"窗口,選擇"高級"按鈕,再點擊"立即查找"按鈕,這時我們會看到一個"Guests"用戶組名,雙擊"Guests"用戶組名稱後返回選擇組窗口,點擊"確定"按鈕退出。這樣我們就把剛建立的 cnhack 用戶添加進了Guests 用戶組,並把原 cnhack 隸屬的用戶組刪除了。基本配置方法如下圖(圖16)所示:
16)
(圖
為了伺服器安裝著想,我們還應在"cnhack屬性"欄里選擇遠程式控制制標簽,把"啟用遠程式控制制"的勾去掉。這里一個安全的FTP帳號建立成功。如下圖(圖17)所示:
17)
(圖
本例中,我們在D盤建立一個文件夾,並重命名該文件夾文件名為 cnhack ,然後在該文件夾圖標處點擊右鍵,出現一菜單,選擇"屬性",這里彈出一個屬性對話框,在" cnhack 屬性"中選擇"安全"標簽,點擊右下方的"高級"選項,並去除勾選"允許父項的繼承許可權傳播到該對像和所有對像,包括那些在此明確定定義的項目(A)"。如下圖(圖18)所示:
18)
(圖
然後點擊確定按鈕,返回cnhack屬性的"安全"標簽,在這里會看到還剩下一個超級管理員組 Administrators 成員可以管理cnhack 文件夾,我們再勾選允許超級管理員組成員允許完全控制該文件夾,這樣就給了我們管理員組對cnhack文件夾的完全控制權,現在我們再給我們剛才建立的 cnhack 用戶管理許可權,我們點擊"添加"按鈕,根據提示把 cnhack 帳號添加成為 cnhack 文件夾的管理員,然後再勾選允許cnhack 帳號完全管理該文件夾,這樣就給了 cnhack 帳號對該文件夾的完全管理權。如下圖(圖19所示):
19)
(圖
現在D:\cnhack 文件夾只允許超級管理員組Administrators 成員和帳號為 cnhack 的來賓組成員進行管理與訪問了,其它帳戶的帳號將不能對 cnhack 文件夾有任何的訪問權及修改許可權。
步驟2、使用Internet 信息服務(IIS)管理器建立一個安全的FTP空間:
現在我們打開"開始菜單"→"程序"→"管理工具"→"Internet 信息服務(IIS)管理器",彈出一個IIS管理器窗口,在裡面找到"FTP站點" →"默認 FTP 站點",並在"默認 FTP 站點"里點擊滑鼠右鍵,選擇"屬性"選擇,出現一個"默認 FTP 站點屬性"對話框,選擇"主目錄"標簽,把原來默認的地址改為我們剛才建立的文件夾D:\cnhack 的路徑,下面會有三個選項,分別是、"讀取、寫入、記錄訪問",你可以根據需要勾選,如果中介提供給別人下載的FTP空間,則不要勾選寫入選項,如果需要提供給別人上傳及更改FTP空間內容的,則需要勾選寫入選項。本例中,我們是讓朋友可以把數據上傳到FTP空間的,所以我們勾選了"寫入"選項,如下圖(圖20)所示:
20)
(圖
下面我們再來配置使用指定的我們剛才建立的帳號cnhack 才能登陸現在這個FTP空間,我們現在點擊"安全帳戶"標簽,再點擊"瀏覽"按鈕,根據提示選擇我們剛才建立的cnhack用戶名,然後點擊確定,這樣就指定了這個空間只有使用我們設置的 cnhack 用戶帳號才能登陸,記住不要勾選下面的"只允許匿名連接"選項,因為這樣將會帶來安全問題,如下圖(圖21)所示:
21)
(圖
現在我們再來指定該FTP站點的IP地址,我們只要點擊"FTP站點"標簽,然後在"IP地址(I)"的右欄輸入框里輸入我們本機的IP地址即可。還有可以在"TCP/IP埠(T)"的右輸入框里修改當前FTP站點的TCP/IP埠號,默認情況下是使用21埠的。如下圖(圖22)所示:
22)
(圖
這樣一個安全的FTP站點就建立成功了。使用IIS6建立的FTP伺服器可以使用IE及FTP客戶端軟體登陸FTP空間。而且功能強大。
4. 文件伺服器(FTP)怎麼給用戶設置許可權
1、對准開始鍵右擊-選擇第一個程序和功能-選擇(左邊小菜單)啟用或關閉Windows功能。在InternetInformationServices可承載的Web核心和InternetInformationServices子菜單把FTP打鉤。
5. 如何設置ftp用戶的許可權
在桌面上右擊「我的電腦」,執行「管理」命令,在「計算機管理」窗口的左窗格中依次展開「系統工具」→「本地用戶和組」目錄,單擊選中「用戶」選項。在右側窗格中單擊右鍵,執行「新用戶」命令。在打開的「新用戶」對話框中填寫用戶名(如hanjiang),並設定密碼。然後取消「用戶下次登錄時需更改密碼」復選框,並勾選「用戶不能更改密碼」和「密碼永不過期」復選框,單擊「創建」按鈕完成該用戶的添加。重復這一過程添加其他用戶,最後單擊「關閉」按鈕即可。 x0dx0a為方便對這些用戶的管理,最好將他們放入一個專門的組中。例如我們可以創建一個「FTPUsers」組:在「計算機管理」窗口的目錄樹中單擊選中「組」選項,然後在右側窗格中單擊右鍵,執行「新建組」命令,並將該組命名為「FTPUsers」。接著依次單擊「添加」→「高級」→「立即查找」按鈕,將剛才創建的用戶全部添加進來,最後依次單擊「創建」→「結束」按鈕。 x0dx0a然而事情並沒有完,因為上述創建的用戶默認隸屬於「Users」組,也就是說他們擁有對大部分資源的瀏覽許可權。為了實現對特定資源的有效管理,需要將這些用戶從「Users」組中刪除。在「計算機管理」窗口的右側窗格中雙擊「Users」選項,用滑鼠拖選所有剛添加的用戶並單擊「刪除」按鈕即可。 x0dx0ax0dx0a設置獨立許可權 x0dx0a這里的許可權設置需要分兩部分來進行,即對FTP伺服器主目錄的許可權設置和對各個用戶文件夾的許可權設置。假設FTP伺服器的主目錄路徑為「G:/FTPServer」,我們先來取消「FTPUsers」組的用戶對「FTPServer」文件夾的「寫入 」許可權。右擊「FTPServer」文件夾,執行「屬性」命令。在打開的「FTPServer 屬性」對話框中切換至「安全」選項卡下,然後依次單擊「添加」→「高級」→「立即查找」按鈕,單擊選中「FTPUsers」組並依次單擊「確定」按鈕回到「FTPServer 屬性」對話框。接著在「FTPUsers的許可權」列表框中勾選「拒絕寫入」復選框。為了使「拒絕寫入」許可權僅對「FTPServer」文件夾有效,還需要單擊「高級」按鈕,在「FTPServer的高級安全設置」對話框中雙擊「許可權列表」中的「拒絕FTPUsers寫入」選項,打開「FTPServer的許可權設置」對話框。在「應用到」下拉列表中選中「只有該文件夾」選項,連續單擊「確定」按鈕完成設置(如圖1)。 x0dx0a接著我們為每個用戶創建獨立的文件夾(以用戶名命名),並針對每個文件夾賦予相應用戶適當的許可權。以文件夾「hanjiang」為例,在「hanjiang 屬性」對話框的「安全」選項卡下將用戶「hanjiang」添加進來,並賦予其讀取和寫入的許可權。同理,對於其他文件夾,也只賦予相應用戶讀取和寫入的許可權。 x0dx0a小提示:需要受到許可權保護的文件夾必須在NTFS分區中創建,FAT32分區內的資源無法設置許可權。 x0dx0ax0dx0a至此,設置工作就全部結束了。在任意一台機器上以用戶「hanjiang」的身份登錄FTP伺服器,你會發現該用戶只能在「hanjiang」文件夾中任意讀寫,而無法看到主目錄和其他用戶目錄的內容。
6. 如何禁用linux的root用戶登錄FTP
默認FTP就是禁止root用戶登錄的.如果你是用vsftpd服務來起的FTP,可以這樣改
在命令行下進到/etc/vsftpd目錄
cd /etc/vsftpd
修改裡面的2個文件,ftpusers和user_list
vi ftpusers
點i,進入編輯模式,第二行會看到root,只要加上#在前面就允許root,把#去掉就禁止root登錄了
然後按ESC退出編輯模式,輸入:wq保存退出
user_list類似,大概在第七行,確保root前沒有#字樣