在網(wǎng)絡(luò)中部署FTP服務(wù)器的四點(diǎn)經(jīng)驗(yàn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

部署與維護(hù)FTP服務(wù)器是網(wǎng)絡(luò)管理員的基本技能。雖然如此，但是筆者每次為企業(yè)部署完FTP服務(wù)器應(yīng)用之后，總會(huì)有所收獲。因?yàn)椴煌钠髽I(yè)需求不同，他們會(huì)提出形式各樣的需求。而筆者每次解決用戶的一個(gè)需求之后，總會(huì)有一種成就感。這不前不久筆者剛文成一個(gè)FTP服務(wù)器的搭建。不過(guò)這個(gè)案例有點(diǎn)特殊，因?yàn)槠銯TP服務(wù)器采用的操作系統(tǒng)是Linux。為此感悟就更多了?！　?/P>

經(jīng)驗(yàn)一：為用戶分配組

FTP服務(wù)器常用來(lái)放置一些工作文件。為此網(wǎng)絡(luò)管理員在部署FTP服務(wù)器的時(shí)候，必須要注意其權(quán)限的管理。也就是說(shuō)，要做到用戶只能夠下載自己有權(quán)利查看的工作文件;只能夠往指定的目錄中上傳文件等等。而企業(yè)中員工很多。如果為每個(gè)員工分開(kāi)來(lái)設(shè)置權(quán)限，那么工作兩會(huì)很大。為此在FTP服務(wù)器管理中，最好也跟操作系統(tǒng)用戶一樣，以組為單位設(shè)置權(quán)限，然后再將用戶加入到組中自動(dòng)繼承相關(guān)的權(quán)限。如此的話，如果10個(gè)用戶其權(quán)限類似，那么筆者只需要為他們建立一個(gè)組，然后對(duì)這個(gè)組進(jìn)行一次權(quán)限設(shè)置即可。所以，通過(guò)組來(lái)管理用戶的話，可以簡(jiǎn)化工作量，并實(shí)現(xiàn)統(tǒng)一管理的需要。

筆者這次采用的是vsftpd服務(wù)器。這個(gè)服務(wù)器安裝完成后已經(jīng)為網(wǎng)絡(luò)管理員建立好了三個(gè)組。一般來(lái)說(shuō)，只要用戶權(quán)限管理不特別嚴(yán)格的話，那么只需要采用這個(gè)默認(rèn)的組即可。即使企業(yè)用戶對(duì)權(quán)限管理比較苛刻，那么也可以借鑒這幾個(gè)組權(quán)限的設(shè)置，以此作為模板，進(jìn)行適當(dāng)調(diào)整后即可使用。在vsftpd服務(wù)器中，其默認(rèn)的組分別為real組、guest組以及anonymous組。其中real組中這三個(gè)組中權(quán)限最高的組。在這個(gè)組中的用戶，不僅可以訪問(wèn)帳戶自己的主目錄，而且還可以訪問(wèn)其他用戶的目錄。如現(xiàn)在有一個(gè)用戶amy。只要在FTP服務(wù)器上建立這個(gè)帳戶后，操作系統(tǒng)會(huì)自動(dòng)在/home目錄下為這個(gè)用戶建立一個(gè)主目錄，即/home/amy。當(dāng)用戶以這個(gè)帳戶登陸后，服務(wù)器會(huì)將這個(gè)用戶的目錄當(dāng)作其主目錄。但是這個(gè)用戶仍然可以訪問(wèn)其他相關(guān)的目錄，即可以切換到其他主目錄中。其次guest組權(quán)限也不小。這個(gè)組跟操作系統(tǒng)中的guest帳戶不同，其權(quán)限要比這個(gè)帳戶多的多。如有些情況下，網(wǎng)絡(luò)管理員可能要求某些用戶只能夠訪問(wèn)自己的主目錄，而不能夠訪問(wèn)別人的目錄。確實(shí)，這是FTP服務(wù)器最基本的權(quán)限控制法則。如果要實(shí)現(xiàn)這個(gè)控制的話，則只需要將用戶加入到這個(gè)guest組中即可。因?yàn)槟J(rèn)情況下，這個(gè)組中的用戶只能夠訪問(wèn)自己的主目錄，而不得訪問(wèn)主目錄以外的文件。第三個(gè)組是anonymous組，即匿名組。默認(rèn)情況下，這個(gè)組的權(quán)限最小。其只能夠在受限的目錄中下載文件，但是不能夠往FTP服務(wù)器上上傳文件。不過(guò)一般情況下，出于安全考慮，都是禁用這個(gè)組的。即當(dāng)用戶沒(méi)有賬號(hào)時(shí)，無(wú)法從FTP服務(wù)器上下載任何文件。

經(jīng)驗(yàn)二：為特定的應(yīng)用設(shè)置組

在部署FTP服務(wù)器的過(guò)程中，筆者發(fā)現(xiàn)有時(shí)候FTP服務(wù)器不一定是用戶使用，系統(tǒng)管理員也可能需要使用這個(gè)FTP服務(wù)器。如數(shù)據(jù)庫(kù)管理員需要使用FTP服務(wù)器進(jìn)行異地備份。即數(shù)據(jù)庫(kù)管理員先將數(shù)據(jù)庫(kù)執(zhí)行本地備份。然后在備份成功后，再將備份文件利用FTP協(xié)議傳送到異地的服務(wù)器上。當(dāng)然這些操作都是通過(guò)腳本文件完成的，同時(shí)結(jié)合操作系統(tǒng)的任務(wù)調(diào)度功能來(lái)實(shí)現(xiàn)。

那么這對(duì)于網(wǎng)絡(luò)管理員部署FTP服務(wù)器有什么啟示呢?筆者接到這個(gè)需求后，第一個(gè)反應(yīng)就是要為其設(shè)置獨(dú)立的組。主要是因?yàn)檫@些備份文件往往是某個(gè)應(yīng)用的精華所在。如果有用戶將這些備份文件竊取了，然后再還原到自己的數(shù)據(jù)庫(kù)中的話，那么企業(yè)的所有信息，包括客戶、價(jià)格信息等等就都泄露了。另外這些備份文件也是日后應(yīng)用服務(wù)器出現(xiàn)故障時(shí)挽回?cái)?shù)據(jù)的最后保障。如果這些備份文件被惡意破壞了，則以后就很難利用這些備份文件來(lái)最大程度的恢復(fù)數(shù)據(jù)。為此筆者來(lái)了解了這家企業(yè)的需求之后，就決定為這些用戶設(shè)置獨(dú)立的組。由于這些用戶平時(shí)主要用來(lái)文件的備份，而不做他用。為此筆者將這個(gè)組設(shè)置為只允許訪問(wèn)自己的主目錄，而不能夠訪問(wèn)其他目錄(參考guest組的設(shè)置)。這有什么好處呢?如果企業(yè)現(xiàn)在有數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器、OA服務(wù)器等等，都需要通過(guò)FTP服務(wù)器實(shí)現(xiàn)異地備份。那么筆者就可以設(shè)置三個(gè)用戶，分別屬于這個(gè)組。然后利用這三個(gè)帳戶分別將本地的備份文件上傳到FTP服務(wù)器中，以實(shí)現(xiàn)異地備份。由于這三個(gè)用戶各自只能夠訪問(wèn)自己的目錄，為此彼此之間就相當(dāng)于是獨(dú)立的。任何一個(gè)帳戶都不能夠看到其他一個(gè)帳戶上傳的文件，也不能夠往其他用戶的主目錄中上傳文件。這就給他們提供了一個(gè)相對(duì)獨(dú)立的工作環(huán)境，能夠減少他們異地備份的干擾。

為此，筆者認(rèn)為不僅要根據(jù)組來(lái)管理FTP服務(wù)器用戶的權(quán)限，而且有時(shí)候還需要根據(jù)FTP服務(wù)器的用途，來(lái)設(shè)置獨(dú)立的組。如在可能會(huì)在腳本程序中利用FTP協(xié)議，此時(shí)為他們?cè)O(shè)置獨(dú)立的組，防止其他普通用戶組對(duì)他們進(jìn)行干擾，這是很有必要的。

經(jīng)驗(yàn)三：為不同的用戶設(shè)置磁盤(pán)限額

在部署FTP服務(wù)器的時(shí)候，還必須解決一個(gè)難題，即每個(gè)用戶最多可以往FTP服務(wù)器上上傳多少容量的文件。通常情況下，筆者建議要給用戶設(shè)置一個(gè)最大空間的限額。因?yàn)橐慌_(tái)FTP服務(wù)器不只一個(gè)用戶使用。如果每個(gè)用戶都可以無(wú)限制的往FTP服務(wù)器上上傳文件，而又不及時(shí)清理的話，這臺(tái)FTP服務(wù)器的硬盤(pán)空間很快就會(huì)被占滿。所以說(shuō)，F(xiàn)TP服務(wù)器對(duì)于普通用戶來(lái)說(shuō)，其只是一個(gè)文件的中轉(zhuǎn)站，而不是文件到備份服務(wù)器。所以說(shuō)，需要根據(jù)用戶的需要，為其設(shè)置最大容量的限制。

在vsftpd服務(wù)器中，可以在組的級(jí)別上為用戶設(shè)置最大容量的限制。如可以為每個(gè)部門(mén)設(shè)置一個(gè)組，然后指定這個(gè)組中的用戶最多可使用的空間。如此的話，加入到這個(gè)組中的用戶就會(huì)自動(dòng)受到這個(gè)大小的限制。到空間受到限制后，就會(huì)強(qiáng)迫用戶及時(shí)清理FTP服務(wù)器中的內(nèi)容。一些不用的文件要及時(shí)的清理掉，這不但可以節(jié)省空間，而且也是出于安全的考慮。另外，也可以為部門(mén)設(shè)置最大可用的空間。即為每個(gè)部門(mén)設(shè)置一個(gè)組，然后給組設(shè)置最大空間限制。然后加入到這個(gè)組中的用戶共享這塊空間(不是平均分配，而是共享)。這就給部門(mén)負(fù)責(zé)人更大的靈活性，其可以根據(jù)需要來(lái)管理這個(gè)空間。

經(jīng)驗(yàn)四：限制某些帳戶使用FTP服務(wù)器

其實(shí)對(duì)于大部分網(wǎng)絡(luò)管理員來(lái)說(shuō)，要管理員FTP服務(wù)器還是一門(mén)不小的學(xué)問(wèn)。如在某些情況下，就需要限制一些特殊的帳戶使用FTP服務(wù)器。因?yàn)樗麄儠?huì)危害FTP服務(wù)器的安全。如在Linux操作系統(tǒng)上部署FTP服務(wù)器，就需要限制root帳戶使用FTP服務(wù)器。因?yàn)檫@個(gè)root帳戶其具有操作系統(tǒng)最高的管理權(quán)限。如果允許這個(gè)用戶訪問(wèn)FTP服務(wù)器，那么后果就是，這個(gè)帳戶不會(huì)受到組權(quán)限的限制。也就是說(shuō)，即使將這個(gè)root帳戶分配給guest 組，這個(gè)帳戶仍然可以訪問(wèn)主目錄以外的文件。所以會(huì)破壞原有的安全體系。為此，無(wú)論在哪個(gè)操作系統(tǒng)上部署FTP服務(wù)器，網(wǎng)絡(luò)管理員都需要去了解操作系統(tǒng)帳戶中是否有類似的特權(quán)用戶。如果有的話，就需要禁止其訪問(wèn)FTP服務(wù)器。

可見(jiàn)，F(xiàn)TP服務(wù)器雖然其部署比較簡(jiǎn)單，發(fā)展到現(xiàn)在也已經(jīng)比較成熟了。但是企業(yè)用戶的需求是在不斷改變的。為此網(wǎng)絡(luò)管理員也需要應(yīng)需而變，及時(shí)調(diào)整FTP部署策略，以滿足用戶的需求。(IT專家網(wǎng))