WSUS FTP 配置向导

一、目的

        为了便于交换文件， 提高信息传输效率.

二、要求实现功能

1）Anonymous 不允许登入。

2）最大联机人数不超过20，

3）联机后，20分钟后无动作自动注销。

3）用户登入密码错误3次后注销。

4）不允许FTP用户telnet。

5）用户只允许登入个人的群组目录。

6）用户对其専属群组可进行上传，下载，建立子目录。不允许删除。

7）建立message信息。

三、系统平台

1．OS版本：RED HAT LINUX 7.2

2．硬件配置：CPU 2.4G  MEMORY:512M  HD:40G（查询命令：dmesg）

3．FTP版本：wu-ftpd-2.6.1-18（查询方式为rpm -aq wu-ftpd）

四、具体实现步骤

1．.wu-ftp安装

1)      下载WU-FTP包,wu-ftpd-2.6.1-18.i386.rpm。

2)      运行rpm -ivh wu-ftpd-2.6.1-18.i386.rpm，键入setup命令。

选择System services,找到wu-ftp选中，按确定。

3）退出后再重新启动服务。/etc/init.d/xinetd restart

2．具体实现

I．配置文文件(/etc/ftpaccess)

# This file controls the behavior of the wu-ftpd

# ftp server.

#

# If you're looking for a graphical frontend to

# editing it, try kwuftpd from the kdeadmin

# package.

# Don't allow system accounts to log in over ftp

deny-uid %-99 %65534-

deny-gid %-99 %65534-

allow-uid ftp

allow-gid ftp

#defaultserver private

restricted-uid *

# The ftpchroot group doesn't exist by default, this

# entry is just supplied as an example.

# To chroot a user, modify the line below or create

# the ftpchroot group and add the user to it.

#

# You will need to setup the required applications

# and libraries in the root directory (set using

# guest-root).

#

# Look at the anonftp package for the files you'll need.

guestgroup ftpchroot

# User classes...

class   all   real  *

# Set this to your email address

email root@localhost

# Allow 3 mistyped passwords

loginfails 3

limit all 20 any /home/toomany.msg

# Notify the users of README files at login and when

# changing to a different directory

readme  README*    login

readme  README*    cwd=*

# Messages displayed to the user

message   /home/ftpd/welcome.msg            login

message .message                cwd=*

# Allow on-the-fly compression and tarring

compress        yes             all

tar                  yes             all

# Prevent anonymous users (and partially guest users)

# from executing dangerous commands

chmod                      no                    all

delete                       no                    all

overwrite                  no                    all

rename                     no                    all

# Turn on logging to /var/log/xferlog

log transfers real inbound,outbound

# If /etc/shutmsg exists, don't allow logins

# see ftpshut man page

#shutdown /home/ftpd/shut.msg

# Ask users to use their email address as anonymous

# password

passwd-check rfc822 warn

II．配置文件分析

1)deny     ip地址/域名      说明文件

   这个设置可以限制哪一些ip地址或域名的用户无法登入ftp服务器。

deny-uid %-99 %65534-

deny-gid %-99 %65534-

allow-uid ftp

allow-gid ftp

2)    class      类名        real/guest/anonymous     ip地址

这个指令的功能设定ftp服务器上用户的类别。并可对客户端的ip地址进行限制部分的ip或全部的ip地址访问。ftp服务器上的用户基本可分三类。

real 在该ftp服务器有合法账户的用户；guest有记录的匿名用户；anonymous权限最低的匿名用户。因为从公司安全考虑，不允许匿名登陆，故只需real。  class  all  real *

3)    loginfails     次数

设定当用户登录到ftp服务器时，允许用户输错密码的次数

loginfails 3

4）limit    类别                人数                     时间                       文件名

这个指令的功能为设置指定的时间内指定的类别允许连接的指定人数上限。当到达上限的时候，显示指定文件的内容。

limit all 20 any /home/toomany.msg

  5）readme     readme 文件                指令

     这个指令是 当用户登录和切换不同目录的时候，通报用户的readme文件

  readme  README*    login

readme  README*    cwd=*

6）      message       文件名称                   指令

    当用户执行所指定的指令时，系统将指定的文件内容显示出来。

message   /home/ftpd/welcome.msg            login

message .message                cwd=*

7）     compress         yes/no                 类别

设置哪一个类别的用户可以使用compress（压缩）功能。
compress        yes             all

8）tar                yes/no             类别

设置哪一个类别的用户可以使用tar（归档）功能。

tar             yes             all

9）     chmod          yes/no         real/anonymous/guest

设置是否允许指定的用户使用chmod命令更改文件的权限。默认是允许。

chmod                      no                    all

10）   delete           yes/no         real/anonymous/guest

设置是否允许指定的用户使用delete命令删除文件的权限。默认是允许。

11）    overwrite     yes/no         real/anonymous/guest

设置是否允许指定用户覆盖同名文件。默认是允许。

12）    rename        yes/no         real/anonymous/guest

设置是否允许指定的用户使用rename命令来为文件改名。默认是允许。

13)     log    transfers        real/anonymous/guest         inbound/outbound

设置那些用户的上载（inbound）和下载（outbound）操作做日志。

log   transfers real    inbound,outbound

14)    shutdown      文件名

   ftp服务器关闭的时间可以设置在后面所指定的檔中，当设置时间一到，便关闭ftp服务器。要恢复的话只有将这个檔删除，而这个文件必须由指令/bin/ftpshut来生成。

15）  passwd-check       none/trival/rfc822        enforce/warn

设定对匿名用户anonymous的密码使用方式

none     表示不做密码验证，任何密码都可以登录；

trival     表示只要输入的密码中含有字符“@”就可以登录；

enforce   表示输入的密码不复和以上指定的格式就不让登录；

warn       表示密码不符合规定时只出现警告信息，仍然能够登录。

passwd-check rfc822 warn

由于没有设置匿名登录，此功能一般都不用。

16) restricted-uid *限制用户只能在其原目录下，不能反问其它的目录。。

3．功能实现

I.: 用户只允许登入个人的群组目录。

 设置好ftpaccess 后，服务要重新启动。键入/etc/init.d/xinetd restart。

ftp架设好了，但是要实现用户只允许登入个人的群组目录的功能，需要进行如下设定：

）                                                                       1）建立ftp用户对应的目录。例如说公司内部的为user1,……n，外部的为company1…..n,再对应的建立群组user1,….n, company1…..n。

2）在对/etc/group进行修改。也就是说，user1要和company1进行数据的交换。处于安全的考虑，把公司的用户加入到company1的群组中，但不把company1的用户加到公司的群组中。

user1:x:509: user1 ；

company:x:510: user1 ,company1 ；

3）再对其目录进行权限的修改，改为只有本用户和群组才可以读写。

4）再添加用户adduser –g  user1 –d /home/user1 users。

II:建立message信息。在/home目录下建立message信息。

III：不允许FTP用户telnet。其设置如下：

在/etc/passwd中寻找到ftp 用户。

user1:x:501:501::/home/user1:/bin/bash修改为：

user1:x:501:501::/home/user1:/bin/dev/null

这样没有shell就无法telnet 。