linux FTP服務器訪問權(quán)限問題的解決方法

學習linux FTP服務器搭建時，你可能會遇到各種問題，這里將介紹linux FTP服務器訪問權(quán)限問題的解決方法，在這里拿出來和大家分享一下。

當我們搭建好一個FTP服務器后，接下去的工作就是要對這個服務器進行權(quán)限的管理與設置。因為這項工作直接關(guān)系到FTP服務器上文件的安全，關(guān)系到FTP服務器運行的穩(wěn)定。所以，作為企業(yè)的網(wǎng)絡管理員，不能夠忽視這項工作的重要性。

在Linux下，管理FTP服務器的權(quán)限比Windwos環(huán)境下，相對來說，要復雜一點。因為Linux下，主要通過命令行的方式來實現(xiàn)權(quán)限的管理與配置。而在Windows環(huán)境下，則可以通過圖形界面來配置，故后者相對簡單一點。不過，若從靈活性上來講，則前者要優(yōu)越的多。如WU-FTP，是 Linux操作系統(tǒng)上利用的最廣泛的FTP軟件。其在權(quán)限的管理上，就比微軟自帶的FTP服務器要靈活的多。再配上Linux操作系統(tǒng)本身的安全性，使得 WU-FTP服務器的安全更上一層樓。

下面集合WU-FTP軟件，談談在Linux下如何做好FTP服務器權(quán)限的管理。若用一句話來概括的話，Wu-FTP軟件主要通過組來管理其自身的訪問權(quán)限。具體的來講，可以從以下幾個方面了解這個服務器權(quán)限管理的全貌。

一、如何定義一個組？

定義FTP服務器的訪問組，也叫做類，是linux FTP服務器訪問權(quán)限管理的最基本的動作。后續(xù)的權(quán)限管理，都是根據(jù)這個組來定義的。/etc/ftpaccess 配置文件是用來配置WU-FTP訪問權(quán)限的主要參數(shù)文件。大部分的FTP服務器權(quán)限都是在這個文件中進行配置。

若我們需要定義一個FTP的組，就需要在這個參數(shù)文件中，加入如下的語句：

Class QA real，guest，anonymous 192.168.1.*

這條語句的意思是，現(xiàn)在定一個QA的組。在這個組中，包括三種類型的用戶，分別為REAL（真實定義的用戶）、GUEST（GUEST帳戶）、 ANONYMOUS（匿名訪問帳戶）。若現(xiàn)在有這三種類型的帳戶，從子網(wǎng)為192.168.1.*的地方訪問這個FTP服務器的話，則就屬于QA這個組。若是其他的IP地址訪問，即使其用戶屬于這三個類型的帳戶，其也不屬于QA這個組，不具有這個組的訪問權(quán)限。很明顯，通過這種方式，還可以實現(xiàn)根據(jù)IP地址與帳戶結(jié)合的方式來管理linux FTP服務器訪問權(quán)限。這比光憑帳戶來管理，相對來說，要安全一點。

這種配置方式還有另外的一些變形，對其進行合理的搭配，可以大大的提高訪問的安全性與靈活性。

第一種變形：IP地址可以以域名的方式來定義，這在大型網(wǎng)絡中，如集團型企業(yè)的網(wǎng)絡中用的比較普遍。如現(xiàn)在有一個集團企業(yè)，下面有A、B、C三個子公司。為了公司員工之間文件交流的方便，集團企業(yè)在網(wǎng)上建立了FTP服務器。但是，現(xiàn)在集團網(wǎng)絡管理員希望各個子公司平時只能夠訪問FTP服務器下自己的公司的文件夾。對于其他子公司的文件夾他們不能訪問。此時，就可以建立三個組，分別對應各自的域名。如：Class A企業(yè) real，guest，anonymous A公司的網(wǎng)絡域名。這條語句的意思就是從A公司訪問FTP服務器的帳戶都屬于組“A企業(yè)”。然后再為這個組配置相關(guān)的權(quán)限，就可以實現(xiàn)A企業(yè)的用戶只能夠訪問某個特定的文件。

第二種變形方式：利用“！”符號來排除某些特定的IP地址。如有時候，我們可能會把某些特定的IP地址分配給外來的用戶。如當客戶來訪的時候，我們就給其分配一個特定的IP地址。這主要是為了防止這些用戶隨意的訪問我們公司的網(wǎng)絡資源。為此，我們就需要利用“！”符號排除某些IP地址。我們只需要在上面例子的IP地址前面，加入這個感嘆號，即表示排除了這個IP地址。

二、針對組的一些具體權(quán)限的設置。

設置好上面的組之后，我們接下去的工作，就是針對這些組設置具體的權(quán)限。下面筆者就探討一下，一些常用權(quán)限的設置。

1、某個組的用戶只能夠查看或者下載FTP服務器上的文件，而不能上傳文件。

這是組權(quán)限控制中非常常用的一些功能。如有時候企業(yè)可能要給客戶看一些大的設計圖紙。由于設計圖紙比較大，通過郵件等方式根本無法傳輸。為此，有些企業(yè)就會專門建立FTP服務器，讓客戶能夠直接從這個服務器上下載設計圖紙，以提高文件傳輸?shù)男�率。不過，為了安全考慮，客戶只能夠下載文件，而不能夠向這個FTP服務器上傳任何的文件。為了實現(xiàn)這個目的，我們就需要利用file-limit參數(shù)來實現(xiàn)這個需求。這個參數(shù)主要用來限制某個組的任何一個用戶允許上傳文件的數(shù)量。若我們把客戶的帳戶歸類為一個組，然后把這個上傳文件的數(shù)量定義為0。如此的話，只要是客戶登陸FTP服務器的時候，他們可以訪問這個FTP服務器，但是卻無法上傳任何文件。