Proftpd中針對(duì)實(shí)體用戶的設(shè)定
Proftpd針對(duì)實(shí)體用戶的設(shè)定
假設(shè)我們需要這樣的設(shè)定項(xiàng)目:
•使用主機(jī)本地端時(shí)間,而不要使用 GMT 時(shí)間;
•主機(jī)最多允許 50 條連線,且最多允許 100 個(gè)使用者上線,當(dāng)超過(guò) 100 個(gè)使用者還有其他 FTP 要求時(shí),就顯示:『很抱歉,上線人數(shù)額滿了!』;
•同一個(gè) IP (或主機(jī)) 來(lái)源最多僅能具有 5 個(gè) FTP 服務(wù);
•允許續(xù)傳的動(dòng)作;
•被動(dòng)式資料流(passive mode)的埠口為 65400 到 65420 這21個(gè)埠口!
•主機(jī)不允許 Root 登入;
•想建立一個(gè)名為 badbird 的群組,在該群組內(nèi)的所有使用者都無(wú)法離開(kāi)自己的家目錄(chroot);
•在 badbird 這個(gè)群組當(dāng)中的 nogoodbird 這個(gè)使用者,該使用者能夠使用 ftp 但是無(wú)法使用 ssh 連到主機(jī);
•在這個(gè)公開(kāi)的目錄 /home/ftp/pub 中,所有人均不可寫(xiě)入,只有讀取的權(quán)限;
- [root@test root]# vi /usr/local/proftpd/etc/proftpd.conf
# 底下是 FTP 主機(jī)的環(huán)境設(shè)定:
ServerName "這個(gè)是測(cè)試用的 Proftp 主機(jī)"
- ServerType inetd
- DefaultServer on
- Port 21
- User nobody
- Group nobody
TimesGMT off # 所謂的 GMT 時(shí)間就是格林威治時(shí)間,
# 詳細(xì)的時(shí)區(qū)觀念請(qǐng)參考后續(xù)的NTP伺服器
# 因?yàn)橐褂帽镜貢r(shí)間,所以設(shè)為 off !
MaxInstances 50 # 最多僅有 50 條 prftpd 的 PID
MaxClients 100 "很抱歉上線人數(shù)額滿了" # 最多允許 100 個(gè)使用者在線上
MaxClientsPerHost 5 # 同一個(gè)主機(jī)最多可以同時(shí) 5 個(gè) FTP 連線
AllowStoreRestart on # 允許使用者上傳續(xù)傳!預(yù)設(shè)是 off
PassivePorts 65400 65420
# 后面接的是埠口,最小到最大的埠口共 21 個(gè)!
# 其他與實(shí)體用戶較相關(guān)的設(shè)定值!
Umask 022
RootLogin off # 不許 root 登入!預(yù)設(shè)就是 off
- RequireValidShell off
# 這個(gè)設(shè)定可以讓使用者不需要具有『能夠執(zhí)行的 shell 』!例如讓
# nogoodbird 這個(gè)具有 /bin/false 的使用者,依然可以使用 ftp 喔!
# 注意啊!那個(gè) ~ 代表家目錄的意思喔!特別特別留意!
# 后面接的是『群組』
# 這里特別容易搞混亂,請(qǐng)?jiān)偬貏e的留意一下阿!
# 這個(gè)群組的 User 就可以離開(kāi)自己的家目錄了!(沒(méi)有被 chroot )
- AllowOverwrite on
- Denyall
# 上面的設(shè)定中,在根目錄內(nèi)的所有目錄均具有可讀寫(xiě)的權(quán)力,但是在
# /home/ftp/pub 這個(gè)目錄中,不論 Linux 屬性為何,使用者均無(wú)法寫(xiě)入!
# 但是可以瀏覽以及下載喔!在我們這個(gè)設(shè)定當(dāng)中, badbird 這個(gè)群組無(wú)法離開(kāi)
# 自己的家目錄,至于其他可以離開(kāi)自己家目錄的使用者,來(lái)到這個(gè)
# /home/ftp/pub 當(dāng)中,也不具有寫(xiě)入的權(quán)限喔!
- [root@test root]# useradd -g badbird -m -s /bin/false nogoodbird
# 建立這個(gè) nogoodbird 由于不具有 shell 所以不能 SSH 但可以 ftp 喔!
- [root@test root]# /etc/rc.d/init.d/xinetd restart
事實(shí)上,對(duì)于實(shí)體用戶實(shí)在不需要限制的太多!要不然就不要開(kāi)放,要不然就直接改成 sftp 說(shuō)!此外,在上面這個(gè)設(shè)定當(dāng)中,我們暫時(shí)拿掉了 anonymous 的登入,所以使用 anonymous 將無(wú)法登入喔!
【編輯推薦】
