打不死的蟑螂
分类:
2005-11-30 08:55:51
WSUS FTP 配置向导
一、目的
为了便于交换文件, 提高信息传输效率.
二、要求实现功能
1)Anonymous 不允许登入。
2)最大联机人数不超过20,
3)联机后,20分钟后无动作自动注销。
3)用户登入密码错误3次后注销。
4)不允许FTP用户telnet。
5)用户只允许登入个人的群组目录。
6)用户对其専属群组可进行上传,下载,建立子目录。不允许删除。
7)建立message信息。
三、系统平台
1.OS版本:RED HAT LINUX 7.2
2.硬件配置:CPU 2.4G MEMORY:512M HD:40G(查询命令:dmesg)
3.FTP版本:wu-ftpd-
四、具体实现步骤
1..wu-ftp安装
1) 下载WU-FTP包,wu-ftpd-
2) 运行rpm -ivh wu-ftpd-
选择System services,找到wu-ftp选中,按确定。
3)退出后再重新启动服务。/etc/init.d/xinetd restart
2.具体实现
I.配置文文件(/etc/ftpaccess)
# This file controls the behavior of the wu-ftpd
# ftp server.
#
# If you're looking for a graphical frontend to
# editing it, try kwuftpd from the kdeadmin
# package.
# Don't allow system accounts to log in over ftp
deny-uid %-99 %65534-
deny-gid %-99 %65534-
allow-uid ftp
allow-gid ftp
#defaultserver private
restricted-uid *
# The ftpchroot group doesn't exist by default, this
# entry is just supplied as an example.
# To chroot a user, modify the line below or create
# the ftpchroot group and add the user to it.
#
# You will need to setup the required applications
# and libraries in the root directory (set using
# guest-root).
#
# Look at the anonftp package for the files you'll need.
guestgroup ftpchroot
# User classes...
class all real *
# Set this to your email address
email root@localhost
# Allow 3 mistyped passwords
loginfails 3
limit all 20 any /home/toomany.msg
# Notify the users of README files at login and when
# changing to a different directory
readme README* login
readme README* cwd=*
# Messages displayed to the user
message /home/ftpd/welcome.msg login
message .message cwd=*
# Allow on-the-fly compression and tarring
compress yes all
tar yes all
# Prevent anonymous users (and partially guest users)
# from executing dangerous commands
chmod no all
delete no all
overwrite no all
rename no all
# Turn on logging to /var/log/xferlog
log transfers real inbound,outbound
# If /etc/shutmsg exists, don't allow logins
# see ftpshut man page
#shutdown /home/ftpd/shut.msg
# Ask users to use their email address as anonymous
# password
passwd-check rfc822 warn
II.配置文件分析
1)deny ip地址/域名 说明文件
这个设置可以限制哪一些ip地址或域名的用户无法登入ftp服务器。
deny-uid %-99 %65534-
deny-gid %-99 %65534-
allow-uid ftp
allow-gid ftp
2) class 类名 real/guest/anonymous ip地址
这个指令的功能设定ftp服务器上用户的类别。并可对客户端的ip地址进行限制部分的ip或全部的ip地址访问。ftp服务器上的用户基本可分三类。
real 在该ftp服务器有合法账户的用户;guest有记录的匿名用户;anonymous权限最低的匿名用户。因为从公司安全考虑,不允许匿名登陆,故只需real。 class all real *
3) loginfails 次数
设定当用户登录到ftp服务器时,允许用户输错密码的次数
loginfails 3
4)limit 类别 人数 时间 文件名
这个指令的功能为设置指定的时间内指定的类别允许连接的指定人数上限。当到达上限的时候,显示指定文件的内容。
limit all 20 any /home/toomany.msg
5)readme readme 文件 指令
这个指令是 当用户登录和切换不同目录的时候,通报用户的readme文件
readme README* login
readme README* cwd=*
6) message 文件名称 指令
当用户执行所指定的指令时,系统将指定的文件内容显示出来。
message /home/ftpd/welcome.msg login
message .message cwd=*
7) compress yes/no 类别
设置哪一个类别的用户可以使用compress(压缩)功能。
compress yes all
8)tar yes/no 类别
设置哪一个类别的用户可以使用tar(归档)功能。
tar yes all
9) chmod yes/no real/anonymous/guest
设置是否允许指定的用户使用chmod命令更改文件的权限。默认是允许。
chmod no all
10) delete yes/no real/anonymous/guest
设置是否允许指定的用户使用delete命令删除文件的权限。默认是允许。
11) overwrite yes/no real/anonymous/guest
设置是否允许指定用户覆盖同名文件。默认是允许。
12) rename yes/no real/anonymous/guest
设置是否允许指定的用户使用rename命令来为文件改名。默认是允许。
13) log transfers real/anonymous/guest inbound/outbound
设置那些用户的上载(inbound)和下载(outbound)操作做日志。
log transfers real inbound,outbound
14) shutdown 文件名
ftp服务器关闭的时间可以设置在后面所指定的檔中,当设置时间一到,便关闭ftp服务器。要恢复的话只有将这个檔删除,而这个文件必须由指令/bin/ftpshut来生成。
15) passwd-check none/trival/rfc822 enforce/warn
设定对匿名用户anonymous的密码使用方式
none 表示不做密码验证,任何密码都可以登录;
trival 表示只要输入的密码中含有字符“@”就可以登录;
enforce 表示输入的密码不复和以上指定的格式就不让登录;
warn 表示密码不符合规定时只出现警告信息,仍然能够登录。
passwd-check rfc822 warn
由于没有设置匿名登录,此功能一般都不用。
16) restricted-uid *限制用户只能在其原目录下,不能反问其它的目录。。
3.功能实现
设置好ftpaccess 后,服务要重新启动。键入/etc/init.d/xinetd restart。
ftp架设好了,但是要实现用户只允许登入个人的群组目录的功能,需要进行如下设定:
) 1)建立ftp用户对应的目录。例如说公司内部的为user1,……n,外部的为company1…..n,再对应的建立群组user1,….n, company1…..n。
2)在对/etc/group进行修改。也就是说,user1要和company1进行数据的交换。处于安全的考虑,把公司的用户加入到company1的群组中,但不把company1的用户加到公司的群组中。
user1:x:509: user1 ;
company:x:510: user1 ,company1 ;
3)再对其目录进行权限的修改,改为只有本用户和群组才可以读写。
4)再添加用户adduser –g user1 –d /home/user1 users。
II:建立message信息。在/home目录下建立message信息。
III:不允许FTP用户telnet。其设置如下:
在/etc/passwd中寻找到ftp 用户。
user1:x:501:501::/home/user1:/bin/bash修改为:
user1:x:501:501::/home/user1:/bin/dev/null
这样没有shell就无法telnet 。