限制ftp哪些账号登录
还是要看你需要实现什么样的目的。
要想实现对某一目录,针对不同的ftp用户有不同的访问权限,建议安装专门的ftp server软件,如wu_ftpd。 如果使用AIX默认的ftp
server,我们可以通过使用ACL(Access Control List)--访问控制列表--来实现近似的效果。 ACL是一种在基本文件权限控制以外的扩展控制,它可以针对某个文件做更精细的控制,可单独指定某个用户或属组的访问权限,配置过程举例如下:
1、 针对我们的需求,首先把/tmp/ftp_folder 的权限改成750(或其他需要的权限),然后通过ACL给不同的用户增加许可读和写的权限。注意:如果在执行acledit后重新执行chmod,ACL
中的“extended permissions”将会被重新置成“disabled”;
2、指定ACL使用的编辑器:
# export EDITOR=/usr/bin/vi
3、# acledit /tmp/ftp_folder
其中 /tmp/ftp_folder 为所要控制的文件,此时,屏幕将显示
attributes:
base permissions
owner(root): rwx
group(system): r-x
others: ---
extended permissions
disabled --> enabled
为使用ACL控制,将其中的disabled改为enabled
4、在其后添加控制项,用关键字permit来控制具体权限,比如:
permit r-x u:ftp1 用户ftp1对其有“读”权限
permit -wx u:ftp2 用户ftp2对其有“写”权限
注意: ACL中每行只能有一个用户名。
5、测试
针对用户ftp1,上传操作被拒绝
ftp> put file1
200 PORT command successful.
553 file1: The file access permissions do not allow the specified action.
针对用户ftp2,列取文件操作没有输出
ftp> ls
200 PORT command successful.
550 No files found.
这里要注意是,用户ftp2不具有“读”权限只表明该用户无法读取文件列表,但如果他知道该目录下的文件名,一样可以用 get命令来下载文件(如果用户使用的是可视化的ftp工具基本不存在这个问题);这是因为在UNIX系统中,对目录来说,“读”(r)权限代表可以列出 该目录下的内容。即使没有“读”权限,只要有“访问”(x)权限,就可以从该目录下拷贝文件。 因此,我们只能说ACL可以近似实现限制“读”(下载)的需求。
2. 利用linux命令启动FTP,并限制匿名用户登陆
一般linux都有vsftpd吧,启动命令是service vsftpd start,你要限制匿名登录的话,修改它的配置文件/etc/vsftpd/vsftpd.conf,把anonymous_enable设成NO。
3. WIN2003下的FTP帐号及权限管理
现在我们开始使用Win2003系统自带的FTP服务架设一台安全的FTP服务器。
步骤1、为FTP服务器建立一个安全的专用FTP帐号:
点击"开始菜单→管理工具→计算机管理",这里弹出一个计算机管理窗口,我们在里面建立一个供FTP客户端登陆的帐号,双击左栏中的"本地用户和组"然后在右栏中点击鼠标右键,选择"新建"命令,就会弹出一个新用户建立窗口,现在我们建立一个用户,在这里我们建立一个用户名为 cnhack 的帐号,密码为chinanetpk ,并去除"用户下次登陆时须更改密码"的选项,勾选"用户不能更改密码"及"密码永不过期"选项。然后点击"创建"按钮,就创建了一个用户名为 cnhack 的用户。如下图(图15)所示:
15)
(图
为了服务器安装着想,我们还须进行如下安全设置,在默认的情况下,我们建立的用户帐号为 Users 组用户,虽然普通用户组对服务器安全影响不大,但我们还是把这个用户所属的 Users 组删除,把刚建立的 cnhack 用户添加到 Guests 用户组,步骤如下:
右击右栏中刚才建立的普通用户 cnhack ,出现一个菜单,选择属性,这时会弹出别一个窗口cnhack 属性窗口,选择"隶属于"标签,这时我们会看到cnhack 用户隶属于Users组,我们选择下栏中的Users组名称,并选择"删除"按钮,这里cnhack用户原来的隶属组被删除,我们再点击下栏中的"添加"按钮,这时弹出一个"选择组"窗口,选择"高级"按钮,再点击"立即查找"按钮,这时我们会看到一个"Guests"用户组名,双击"Guests"用户组名称后返回选择组窗口,点击"确定"按钮退出。这样我们就把刚建立的 cnhack 用户添加进了Guests 用户组,并把原 cnhack 隶属的用户组删除了。基本配置方法如下图(图16)所示:
16)
(图
为了服务器安装着想,我们还应在"cnhack属性"栏里选择远程控制标签,把"启用远程控制"的勾去掉。这里一个安全的FTP帐号建立成功。如下图(图17)所示:
17)
(图
本例中,我们在D盘建立一个文件夹,并重命名该文件夹文件名为 cnhack ,然后在该文件夹图标处点击右键,出现一菜单,选择"属性",这里弹出一个属性对话框,在" cnhack 属性"中选择"安全"标签,点击右下方的"高级"选项,并去除勾选"允许父项的继承权限传播到该对像和所有对像,包括那些在此明确定定义的项目(A)"。如下图(图18)所示:
18)
(图
然后点击确定按钮,返回cnhack属性的"安全"标签,在这里会看到还剩下一个超级管理员组 Administrators 成员可以管理cnhack 文件夹,我们再勾选允许超级管理员组成员允许完全控制该文件夹,这样就给了我们管理员组对cnhack文件夹的完全控制权,现在我们再给我们刚才建立的 cnhack 用户管理权限,我们点击"添加"按钮,根据提示把 cnhack 帐号添加成为 cnhack 文件夹的管理员,然后再勾选允许cnhack 帐号完全管理该文件夹,这样就给了 cnhack 帐号对该文件夹的完全管理权。如下图(图19所示):
19)
(图
现在D:\cnhack 文件夹只允许超级管理员组Administrators 成员和帐号为 cnhack 的来宾组成员进行管理与访问了,其它帐户的帐号将不能对 cnhack 文件夹有任何的访问权及修改权限。
步骤2、使用Internet 信息服务(IIS)管理器建立一个安全的FTP空间:
现在我们打开"开始菜单"→"程序"→"管理工具"→"Internet 信息服务(IIS)管理器",弹出一个IIS管理器窗口,在里面找到"FTP站点" →"默认 FTP 站点",并在"默认 FTP 站点"里点击鼠标右键,选择"属性"选择,出现一个"默认 FTP 站点属性"对话框,选择"主目录"标签,把原来默认的地址改为我们刚才建立的文件夹D:\cnhack 的路径,下面会有三个选项,分别是、"读取、写入、记录访问",你可以根据需要勾选,如果中介提供给别人下载的FTP空间,则不要勾选写入选项,如果需要提供给别人上传及更改FTP空间内容的,则需要勾选写入选项。本例中,我们是让朋友可以把数据上传到FTP空间的,所以我们勾选了"写入"选项,如下图(图20)所示:
20)
(图
下面我们再来配置使用指定的我们刚才建立的帐号cnhack 才能登陆现在这个FTP空间,我们现在点击"安全帐户"标签,再点击"浏览"按钮,根据提示选择我们刚才建立的cnhack用户名,然后点击确定,这样就指定了这个空间只有使用我们设置的 cnhack 用户帐号才能登陆,记住不要勾选下面的"只允许匿名连接"选项,因为这样将会带来安全问题,如下图(图21)所示:
21)
(图
现在我们再来指定该FTP站点的IP地址,我们只要点击"FTP站点"标签,然后在"IP地址(I)"的右栏输入框里输入我们本机的IP地址即可。还有可以在"TCP/IP端口(T)"的右输入框里修改当前FTP站点的TCP/IP端口号,默认情况下是使用21端口的。如下图(图22)所示:
22)
(图
这样一个安全的FTP站点就建立成功了。使用IIS6建立的FTP服务器可以使用IE及FTP客户端软件登陆FTP空间。而且功能强大。
4. 文件服务器(FTP)怎么给用户设置权限
1、对准开始键右击-选择第一个程序和功能-选择(左边小菜单)启用或关闭Windows功能。在InternetInformationServices可承载的Web核心和InternetInformationServices子菜单把FTP打钩。
5. 如何设置ftp用户的权限
在桌面上右击“我的电脑”,执行“管理”命令,在“计算机管理”窗口的左窗格中依次展开“系统工具”→“本地用户和组”目录,单击选中“用户”选项。在右侧窗格中单击右键,执行“新用户”命令。在打开的“新用户”对话框中填写用户名(如hanjiang),并设定密码。然后取消“用户下次登录时需更改密码”复选框,并勾选“用户不能更改密码”和“密码永不过期”复选框,单击“创建”按钮完成该用户的添加。重复这一过程添加其他用户,最后单击“关闭”按钮即可。 x0dx0a为方便对这些用户的管理,最好将他们放入一个专门的组中。例如我们可以创建一个“FTPUsers”组:在“计算机管理”窗口的目录树中单击选中“组”选项,然后在右侧窗格中单击右键,执行“新建组”命令,并将该组命名为“FTPUsers”。接着依次单击“添加”→“高级”→“立即查找”按钮,将刚才创建的用户全部添加进来,最后依次单击“创建”→“结束”按钮。 x0dx0a然而事情并没有完,因为上述创建的用户默认隶属于“Users”组,也就是说他们拥有对大部分资源的浏览权限。为了实现对特定资源的有效管理,需要将这些用户从“Users”组中删除。在“计算机管理”窗口的右侧窗格中双击“Users”选项,用鼠标拖选所有刚添加的用户并单击“删除”按钮即可。 x0dx0ax0dx0a设置独立权限 x0dx0a这里的权限设置需要分两部分来进行,即对FTP服务器主目录的权限设置和对各个用户文件夹的权限设置。假设FTP服务器的主目录路径为“G:/FTPServer”,我们先来取消“FTPUsers”组的用户对“FTPServer”文件夹的“写入 ”权限。右击“FTPServer”文件夹,执行“属性”命令。在打开的“FTPServer 属性”对话框中切换至“安全”选项卡下,然后依次单击“添加”→“高级”→“立即查找”按钮,单击选中“FTPUsers”组并依次单击“确定”按钮回到“FTPServer 属性”对话框。接着在“FTPUsers的权限”列表框中勾选“拒绝写入”复选框。为了使“拒绝写入”权限仅对“FTPServer”文件夹有效,还需要单击“高级”按钮,在“FTPServer的高级安全设置”对话框中双击“权限列表”中的“拒绝FTPUsers写入”选项,打开“FTPServer的权限设置”对话框。在“应用到”下拉列表中选中“只有该文件夹”选项,连续单击“确定”按钮完成设置(如图1)。 x0dx0a接着我们为每个用户创建独立的文件夹(以用户名命名),并针对每个文件夹赋予相应用户适当的权限。以文件夹“hanjiang”为例,在“hanjiang 属性”对话框的“安全”选项卡下将用户“hanjiang”添加进来,并赋予其读取和写入的权限。同理,对于其他文件夹,也只赋予相应用户读取和写入的权限。 x0dx0a小提示:需要受到权限保护的文件夹必须在NTFS分区中创建,FAT32分区内的资源无法设置权限。 x0dx0ax0dx0a至此,设置工作就全部结束了。在任意一台机器上以用户“hanjiang”的身份登录FTP服务器,你会发现该用户只能在“hanjiang”文件夹中任意读写,而无法看到主目录和其他用户目录的内容。
6. 如何禁用linux的root用户登录FTP
默认FTP就是禁止root用户登录的.如果你是用vsftpd服务来起的FTP,可以这样改
在命令行下进到/etc/vsftpd目录
cd /etc/vsftpd
修改里面的2个文件,ftpusers和user_list
vi ftpusers
点i,进入编辑模式,第二行会看到root,只要加上#在前面就允许root,把#去掉就禁止root登录了
然后按ESC退出编辑模式,输入:wq保存退出
user_list类似,大概在第七行,确保root前没有#字样