Linux中FTP服务的管理.ppt

第11章 Linux中FTP服务的管理 本章重点： FTP安全性设置 FTP服务的定制 磁盘配额设置 对于一个Web站点来说FTP服务是必不可少的，通常站点文件的日常维护和更新全都依靠FTP的支持。从Red Hat Linux 9开始FTP服务由vsftp（Very Secure FTP-Daemon）提供，早期的Red Hat 系统使用wu_ftp提供ftp服务，由于存在许多漏洞安全问题层出不穷，因而现在改为使用vsftp。 vsftp的主配置文件为/etc/vsftpd/vsftpd.conf，在该配置文件中定义了FTP服务器的一些基本操作，另外还有两个配置文件/etc/vsftpd.ftpusers和/etc/vsftpd.user_list来辅助vsftp完成各种操作，实际使用过程中可能还需要增加一些文件来共同配置。 11.1 vsftp的用户设置 系统添加的用户在默认状态下除root用户组外都可以直接访问vsftp服务器，也就是说vxftp中的用户就是系统中的用户。因此要为vsftp设置用户直接在系统中添加普通用户，这样普通用户就可以访问到用户自己的目录。 但是这里会有一个问题，系统添加的用户具有使用远程登录服务器的权限，可以在服务器上执行一些操作，这就对系统安全构成了威胁。此外这些用户在登录到服务器上时还可能会访问到其他用户的资料，这样可能会造成用户信息被窃。为了保护系统和个人用户的信息安全就需要做一些设置禁止某些用户访问自己主目录之外的目录。除此之外有时还需要使用匿名用户来和其他用户交换一些文件。 11.1.1 禁止FTP用户使用终端登录至服务器 对于普通用户来说，在用户被添加后可以通过终端操作服务器的问题只需要在添加用户时将用户shell设置为nologin即可禁止用户登录。假设有一个虚拟主机为的主机需要建立登录用户，首先应该建立该用户的主目录，如在/var/www目录下为用户建立目录，然后添加用户名为的用户，指定该用户的主目录为/var/www/，并禁止该用户通过终端登录服务器。下面是操作步骤： （1）创建用户目录 # mkdir /var/www/ （2）添加用户 # adduser –d /var/www/ –s /sbin/nologin mydomain_com adduser命令用使用 –d 参数指定新添加的用户主目录，-s 参数指定该用户登录后使用的shell，在这里选择/sbin/nologin来禁止该用户使用终端形式登录。 如果是要把已经添加了的用户设置为禁止登录，那么就需要修改系统的passwd文件。如将用户mydomain_com设置为禁止登录。打开/etc/passwd在文件中找到： mydomain_com:x:504:504::/home/mydomain_com:/bin/bash 将最后的部分更改为： mydomain_com:x:504:504::/home/mydomain_com:/sbin/nologin 这样用户就可以使用ftp访问文件，而且又可以防止用户通过远程登录直接访问服务器。 （3）修改用户目录的所有者和所属的组 # chown -R mydomain_com:mydomain_com /var/www/ chown改变/var/www/目录的所有者和所属的组，用-R参数使该目录下所有文件和子目录全部递归的被设置为同一属性。 （4）为用户设置密码 # passwd mydomain_com Changing password for user mydomain_com. New password: Retype new password: passwd: all authentication tokens updated successfully. passwd命令指定该用户的密码。这里要注意Unix类系统输入密码时通常是没有回显字符的，这是系统安全的一项保障之一，可以有效保证密码包括长度在内都不被他人窥窃。 11.1.2 锁定FTP用户于主目录 如图11-1所示，用户使用FTP登录后可以轻易的访问到系统下的其他文件，在这里该用户轻易就将系统帐户配置配置文件passwd下载，这些文件虽然可以通过设置文件属性来避免，但是如果用户访问到其它用户的文件，就有可能会造成其它用户敏感信息的泄漏。 （2）将指定用户设置为锁定于用户主目录 设置指定用户的属性就需要建立用户的配置文件。 打开/etc/vsftpd/vsftpd.conf找到下面的信息： #chroot_list_enable=