分类: LINUX
2010-03-02 16:04:24
1) 账户设计
考虑到本地和异地上传下载的不同需求,目前将账户设计成两类:本公司用户和非本公司用户,将本公司用户归为一个组,将非本公司用户归为一个组,两个组里各建立相应的用户。本公司用户具有读取,上传,下载,删除的权限, 而非本公司用户仅具有读取,下载的权限,避免非本公司用户误删和恶意删除和上传其它数据。本公司用户和非本公司用户共同享用同一文件夹,保持读取的数据一致。
2) 带宽管理
本地用户在国内下载(外网),若不限速,占用带宽较大,非本地用户占用带宽适中或偏小。但若使用专门的下载软件,将带来很大的连接数,多的时候容易导致连接数溢出。
影响其它用户访问,若关闭对方使用FTP软件,在网络状况不稳定的时候,下载速度慢,效率低,出错和中断几率高。所以采取限制流量(每用户最大200KB/S)和连接数(每用户最大5个)的方法,允许用户使用下载软件进行下载。不会占用到过高的带宽,不会影响到公司网络,及邮件服务器的正常通讯。
3) 安全性
VSFTPD本身安全性较高,新建本地账户都设置成了NOLOGIN模式,当他人获取了密码,也不能获取系统控制权。仅能进行FTP服务。通过设置IPTABLES规则,阻止不必要的端口和DOS攻击,SYN攻击。将客户访问目录用CHROOT固定在指定目录里。
4) 透明性
访问方法完全和以往FTP一致,系统本身对客户不可见。保持对普通客户和电脑初级操作者简便易用
5) 在磁盘分区中,已将 /目录和/home目录独立开,所以即使数据目录溢出时,系统仍能启动。因目前HOME目录分为
建立用户的方法:
groupadd ftp-group1
mkdir /home/ftp1
useradd -G ftp-group1 -d /home/ftp1 -M test
useradd -G ftp-group1 -d /home/ftp1 -M test2
chown test.ftp-group1 /home/ftp1
chmod 750 /home/ftp1
VSFTPD配置文件:
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
max_per_ip=500
local_max_rate=400000
max_rate is 200k/s
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=NO
