一. proftpd 簡介。
proftpd是一款開放源碼的ftp伺服器軟體,它是原來世界範圍使用最廣泛的wu-ftpd的改進版,它修正了wu-ftpd的許多缺陷,在許多方面進行了重大的改進,其中一個重要變化就是它學習了Apache 的配置方式,使proftpd的配置和管理更加簡單易懂。本文將介紹它在Red hat Linux 9中最基本的安裝和配置。
二.軟體的相關資源。
官方網站:http://www.proftpd.org/
源碼軟體包:proftpd是開源的軟體,可以去其官方網站下載。目前最新穩定版本為1.2.10。
協助文檔: 該軟體包中包含。
FAQ:該軟體包中包含。
設定檔範例:該軟體包中包含。
三.軟體的安裝。
1.安裝
由其官方網站中下載其源碼軟體包proftpd-1.2.10. tar.gz。接下來我將對安裝過程的一些重要步驟,給出其解釋:
[root@localhost root]
#tar xzvf proftpd-1.2.10. tar.gz
[root@localhost root]
#cd bind-9.3.1
[root@localhost bind-9.3.1]
#./configure
[root@localhost bind-9.3.1]
#make
[root@localhost bind-9.3.1]
#make install
tar xzvf bind-9.3.1.tar.gz 解壓縮軟體包。
./configure 針對機器作安裝的檢查和設定,大部分的工作是由機器自動完成的,但是使用者可以通過一些參數來完成一定的設定,其常用選項有:
./configure --help 察看參數設定協助。
--enable-ipv6 支援ipv6。
可以設定的參數很多,可以通過 -help察看需要的,一般情況下,預設設定就可以了。
預設情況下,安裝過程應該建立了:
proftpd的deamon為/usr/local/sbin/proftpd
proftpd的設定檔,/usr/local/etc/proftpd.conf。
2.啟動:
[root@localhost root]
# /usr/local/sbin/proftpd -c
/usr/local/etc/proftpd.conf
-c選項用來指定設定檔的位置,不指定的話預設位置是 /usr/local/etc/proftpd.conf 。
正常情況下proftpd應該啟動了,ps aux 應該可以查到proftpd的進程,或netstat -an 也可以看到21連接埠的服務已經起來了。(ftp預設連接埠)
如果要設定開機自啟動ftp server,只需在/etc/rc.d/rc.local中加入一行
/usr/local/sbin/proftpd
#!/bin/sh
#
# This script will be executed
*after* all the other init scripts.
# You can put your own
initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
/usr/local/sbin/proftpd
四.軟體的配置。
1.初始設定檔
預設設定檔的位置為:
/usr/local/etc/proftpd.conf (如果檔案不存在可以從壓縮包中把設定檔範例拷貝過來即可)下面逐項分析其中一些常選項:(#後面的部分是注釋)
# This is a basic ProFTPD
configuration file
(rename it to
# 'proftpd.conf' for actual use.
It establishes a single server
# and a single anonymous login.
It assumes that you have a user/group
# "nobody" and "ftp" for normal
operation and anon.
ServerName "
ServerType
standalone
DefaultServer
on
# Port 21 is the standard FTP port.
Port 21
ServerType 指定FTP Server 的啟動類型,一般使用standalone方式比較簡單,如果訪問量不大,為節省資源考慮用xinetd偵聽啟動,必須在這裡指定。Port 指定FTP的偵聽連接埠,一般使用21連接埠
# Umask 022 is a good standard
umask to prevent new dirs and files
# from being group and world writable.
Umask 022
# To prevent DoS attacks, set the
maximum number of child processes
# to 30. If you need to allow
more than 30 concurrent connections
# at once, simply increase this value.
Note that this ONLY works
# in standalone mode, in inetd mode
you should use an inetd server
# that allows you to limit maximum
number of processes per service
# (such as xinetd).
MaxInstances 30
Umask 指定FTP server 進程的Umask 值,022與Linux系統得預設值一致。
MaxInstances 指定 FTP server 的最大串連數。
# Set the user and group under
which the server will run.
User nobody
Group nogroup
# To cause every FTP user to be
"jailed" (chrooted) into their home
# directory, uncomment this line.
#DefaultRoot ~
DefaultRoot
User 和Group 指定proftpd 進程啟動時的有效使用者ID,處於安全考慮預設的身份是nobody,有一點要指出的是,一般Red Linux 9.0 中預設是沒有nogroup 這個組的,把Group指定為nobody 即可。
DefaultRoot 選項限制Linux 系統使用者通過FTP方式登入時將被限制在其home 目錄下。
# Set the maximum number of seconds
a data connection is allowed
# to "stall" before being aborted.
#TimeoutStalled 300
AllowRetrieveRestart on
AllowStoreRestart on
# Normally, we want files to be overwriteable.
AllowOverwrite on
TimeoutStalled 指定一個串連的逾時時間。
AllowRetriveRestart 和AllowStroeRestart 指定允許斷點續傳。
User ftp
Group ftp
# We want clients to be able to
login with "anonymous"
as well as "ftp"
UserAlias anonymous ftp
# Limit the maximum number of anonymous logins
MaxClients 10
# We want 'welcome.msg' displayed
at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayFirstChdir .message
# Limit WRITE everywhere
in the anonymous chroot
DenyAll
這一部分,將在後面詳細介紹。
2.設定檔結構分析
#全域設定
設定項目1 參數1
設定項目2 參數2
#某個目錄的設定
...
...
#關於匿名登陸的設定
...
...
...
...
常用全域設定
DefaultRoot ~ # 限制每個FTP使用者在自己的目錄下,不可查看上一級目錄
AllowRetrieveRestart on #下載時,允許斷點續傳
AllowStoreRestart on #上傳時,允許斷點續傳
ServerIdent off #屏蔽伺服器版本資訊
TransferRate STOR|RETR 速度(Kbytes/s) user 使用者 #設定使用者傳輸速率
MaxHostsPerUser 1 #每個帳戶最多允許來源ip為1個, 對防止ftp帳號還是比較有用的。
MaxClientsPerUser 1 #每個帳戶在每個用戶端最多可以同時登陸1次,可以防止多線程軟體下載對伺服器的破壞
MaxClientsPerHost 1 #同一個用戶端只能最多1個帳號可以登陸
WtmpLog on #是否要把ftp記錄在日誌中,如果不想可以設定成off屏蔽掉log日誌。
TimeoutIdle 600 #用戶端idle時間設定,預設就是600秒
DisplayLogin welcome.msg #設定ftp登陸歡迎資訊檔
RootLogin on #允許root使用者登入,預設是不允許的,安全起見不推薦此選項。
歡迎詞設定
關於歡迎檔案的設定包含如下參數:
%T 目前的時間
%F 所在硬碟剩下的容量
%C 目前所在的目錄
%R Client 端的主機名稱
%L Server 端的主機名稱
%U 使用者帳戶名稱
%M 最大允許串連人數
%N 目前的伺服器串連人數
%E FTP伺服器管理員的 email
%i 本次上傳的檔案數量
%o 本次下載的檔案數量
%t 本次上傳+下載的檔案數量
知道這些參數,可以寫出一個友好的歡迎語檔案,例如:
歡迎您%U, 這是T-force的測試FTP伺服器;
目前時間是:%T;
本伺服器最多允許%M個使用者串連數;
目前伺服器上已有%N個使用者串連數;
目前你所在的目錄是%C;
目錄所在的硬碟還剩下%F位元組。
anonymous 配置塊
在設定檔中anonymous配置塊是非常重要的一部分,全域帳戶的許可權配置一般都由它來控制,下面分析一個比較常見的例子
# A basic anonymous configuration,
no upload directories.
If you do not
# want anonymous users,
simply delete this entire
section.
#指定匿名使用者登入目錄
User ftp
#指定本塊設定的使用者
Group ftp
#指定本塊設定的使用者屬組
# We want clients to be able to login
with "anonymous" as well as "ftp"
UserAlias anonymous ftp
#設定使用者的別名
AnonRequirePassword on
#登陸要求輸入密碼
# Limit the maximum number
of anonymous logins
MaxClients 10
# We want 'welcome.msg' displayed
at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayFirstChdir .message
# Limit WRITE everywhere
in the anonymous chroot
DenyAll
AllowAll
anonymous配置塊中的重點是通過Limit對指定目錄進行比較詳盡的許可權管理,Limit的許可權控制比較完整,通過不同的組合基本上可以做到各種複雜的許可權控制,其控制項如下:
CMD:Change Working Directory 改變目錄
MKD:MaKe Directory 建立目錄的許可權
RNFR: ReName FRom 更改目錄名的許可權
DELE:DELEte 刪除檔案的許可權
RMD:ReMove Directory 刪除目錄的許可權
RETR:RETRieve 從服務端下載到用戶端的許可權
STOR:STORe 從用戶端上傳到服務端的許可權
READ:可讀的許可權,不包括列目錄的許可權,
相當於RETR,STAT等
WRITE:寫檔案或者目錄的許可權,包括MKD和RMD
DIRS:是否允許列目錄,相當於LIST,
NLST等許可權,還是比較實用的
註:在測試是否可以下載時,不能用長度為0的空檔案去測試,要用一個有內容的檔案(檔案大小不能為0k)。
針對上面這個Limit所應用的對象,又包括以下範圍
AllowUser 針對某個使用者允許的Limit
DenyUser 針對某個使用者禁止的Limit
AllowGroup 針對某個使用者組允許的Limit
DenyGroup 針對某個使用者組禁止的Limit
AllowAll 針對所有使用者組允許的Limit
DenyAll 針對所有使用者禁止的Limit
五.一種簡單實用的組態管理方式:
proftpd和mysql組合可以完成比較龐大而且完備的許可權控制,但是也同樣增加了管理和維護的複雜性,在這裡我介紹一種簡單易行的配置方法,適用於100個使用者以下的應用。這種方法的核心在於巧妙的運用了設定gid位,讀者最好找資料瞭解一下相關的知識。這種方法的組態管理工作相當少,也相當的簡單,同時還可以保持一個清晰的許可權系統結構。
1.思路
首先需要明確的概念是proftpd的使用者與linux系統的使用者的關係:linux系統的使用者即為proftpd的使用者。proftpd的許可權控制是基於Linux系統得許可權控制之上的,即使用者對於某個檔案或目錄,必須先有Linux系統的許可權,在此基礎上proftpd才能設定其特有的一些許可權。其實一般來說Linux自有的許可權系統就是一個比較完善的許可權系統了,我們完全可以只利用這個許可權系統,就足可以滿足我們的要求了。
我們設定一個ftp管理員ftpadmin屬於ftpadmin組,ftp的根目錄/ftp是ftpadmin的個人根目錄,這樣ftpadmin可以完成日常的管理。通過設定/ftp的gid可以保證新上傳的檔案是屬於ftpadmin使用者,加上再設定umask值002保證上傳檔案的組讀寫權限,這樣管理員就可以對其管理下的檔案進行管理,而同時保證了不改變該檔案的屬主。
ftp的使用者,我們只需建立一個Linux使用者,而把他的使用者目錄製定在/ftp之下就可以。操作起來很簡單。
2.建立ftp管理員:ftpadmin
[root@localhost root]groupadd ftpadmin #ftpadmin為新添加的組的名字
[root@localhost root]useradd -d
/ftp -g ftpadmin -s /sbin/nologin admin
[root@localhost root]chmod 2775 /ftp
同時保證ftpadmin 是 /ftp的屬主,ftpadmin 是/ftp的組屬主。這樣就保證了ftpadmin對要管理的/ftp目錄有全部的許可權。
-s /sbin/nologin 指定使用者不能從shell登入,就是說只能從ftp方式登入,這樣是出於安全的考慮。
修改/usr/local/etc/proftpd.conf
nobody ftpadmin
nogroup ftpadmin
Umask 002
#允許所有者,組使用者對ftp進行管理。
掩碼Umask改為 002 。即群組成員和所有者都可對檔案夾進行增刪,改等操作。其他使用者可讀可執行,但不可寫。這樣,ftpadmin使用者可以通過同組的身份對所有的檔案進行讀寫,同時也不改變其內容的原有許可權。也就說,不改變這個檔案夾下的檔案的所有者身份,但同時又可以管理這些檔案。
chmod 2775 /ftp,通過設定了檔案夾的gid,以後在這個檔案夾下寫的所有檔案,不管其所有者是誰,檔案的組必定是ftpadmin(因為/ftp的組屬於ftpadmin),都合理的被納於ftpadmin的管理之下。
3.添加使用者:user1
useradd -d /ftp/user1 -g ftpadmin -s
/sbin/nologin user1
這樣user1就對/ftp/user1的目錄有完整的許可權,而作為管理員也可以通過組許可權對目錄進行管理。
每當需要添加使用者的時候,只需方便的簡單的添加一個Linux的使用者就可以了。
4.對應的設定檔:proftpd.conf中的重要條目
Umask 002
DefaultRoot
Umask 002 保證了建立的檔案有組讀寫權限。
DefaultRoot ~ 保證 每個使用者登入後被鎖定在自己的目錄裡,看不到其他使用者的目錄。
參考資料:
[1]:http://www.proftpd.org/
[2]:http://ipv6.bupt.edu.cn/
作者:王洋