筆者每次解決用戶的一個需求之后，總會有一種成就感。這不前不久筆者剛文成一個FTP服務器的搭建。不過這個案例有點特殊，因為其FTP服務器采用的操作系統(tǒng)是Linux。為此感悟就更多了。

　　心得一：為用戶分配組

　　FTP服務器常用來放置一些工作文件。為此網絡管理員在部署FTP服務器的時候，必須要注意其權限的管理。也就是說，要做到用戶只能夠下載自己有權利查看的工作文件;只能夠往指定的目錄中上傳文件等等。而企業(yè)中員工很多。如果為每個員工分開來設置權限，那么工作兩會很大。為此在FTP服務器管理中，最好也跟操作系統(tǒng)用戶一樣，以組為單位設置權限，然后再將用戶加入到組中自動繼承相關的權限。如此的話，如果10個用戶其權限類似，那么筆者只需要為他們建立一個組，然后對這個組進行一次權限設置即可。所以，通過組來管理用戶的話，可以簡化工作量，并實現(xiàn)統(tǒng)一管理的需要。

　　筆者這次采用的是vsftpd服務器。這個服務器安裝完成后已經為網絡管理員建立好了三個組。一般來說，只要用戶權限管理不特別嚴格的話，那么只需要采用這個默認的組即可。即使企業(yè)用戶對權限管理比較苛刻，那么也可以借鑒這幾個組權限的設置，以此作為模板，進行適當調整后即可使用。在 vsftpd服務器中，其默認的組分別為real組、guest組以及anonymous組。其中real組中這三個組中權限最高的組。在這個組中的用戶，不僅可以訪問帳戶自己的主目錄，而且還可以訪問其他用戶的目錄。如現(xiàn)在有一個用戶amy。只要在FTP服務器上建立這個帳戶后，操作系統(tǒng)會自動在 /home目錄下為這個用戶建立一個主目錄，即/home/amy。當用戶以這個帳戶登陸后，服務器會將這個用戶的目錄當作其主目錄。但是這個用戶仍然可以訪問其他相關的目錄，即可以切換到其他主目錄中。其次guest組權限也不小。這個組跟操作系統(tǒng)中的guest帳戶不同，其權限要比這個帳戶多的多。如有些情況下，網絡管理員可能要求某些用戶只能夠訪問自己的主目錄，而不能夠訪問別人的目錄。確實，這是FTP服務器最基本的權限控制法則。如果要實現(xiàn)這個控制的話，則只需要將用戶加入到這個guest組中即可。因為默認情況下，這個組中的用戶只能夠訪問自己的主目錄，而不得訪問主目錄以外的文件。第三個組是anonymous組，即匿名組。默認情況下，這個組的權限最小。其只能夠在受限的目錄中下載文件，但是不能夠往FTP服務器上上傳文件。不過一般情況下，出于安全考慮，都是禁用這個組的。即當用戶沒有賬號時，無法從FTP服務器上下載任何文件。

　　心得二：為特定的應用設置組

　　在部署FTP服務器的過程中，筆者發(fā)現(xiàn)有時候FTP服務器不一定是用戶使用，系統(tǒng)管理員也可能需要使用這個FTP服務器。如數(shù)據庫管理員需要使用FTP服務器進行異地備份。即數(shù)據庫管理員先將數(shù)據庫執(zhí)行本地備份。然后在備份成功后，再將備份文件利用FTP協(xié)議傳送到異地的服務器上。當然這些操作都是通過腳本文件完成的，同時結合操作系統(tǒng)的任務調度功能來實現(xiàn)。

　　那么這對于網絡管理員部署FTP服務器有什么啟示呢?筆者接到這個需求后，第一個反應就是要為其設置獨立的組。主要是因為這些備份文件往往是某個應用的精華所在。如果有用戶將這些備份文件竊取了，然后再還原到自己的數(shù)據庫中的話，那么企業(yè)的所有信息，包括客戶、價格信息等等就都泄露了。另外這些備份文件也是日后應用服務器出現(xiàn)故障時挽回數(shù)據的最后保障。如果這些備份文件被惡意破壞了，則以后就很難利用這些備份文件來最大程度的恢復數(shù)據。為此筆者來了解了這家企業(yè)的需求之后，就決定為這些用戶設置獨立的組。由于這些用戶平時主要用來文件的備份，而不做他用。為此筆者將這個組設置為只允許訪問自己的主目錄，而不能夠訪問其他目錄(參考guest組的設置)。這有什么好處呢?如果企業(yè)現(xiàn)在有數(shù)據庫服務器、郵件服務器、OA服務器等等，都需要通過FTP 服務器實現(xiàn)異地備份。那么筆者就可以設置三個用戶，分別屬于這個組。然后利用這三個帳戶分別將本地的備份文件上傳到FTP服務器中，以實現(xiàn)異地備份。由于這三個用戶各自只能夠訪問自己的目錄，為此彼此之間就相當于是獨立的。任何一個帳戶都不能夠看到其他一個帳戶上傳的文件，也不能夠往其他用戶的主目錄中上傳文件。這就給他們提供了一個相對獨立的工作環(huán)境，能夠減少他們異地備份的干擾。

　　為此，筆者認為不僅要根據組來管理FTP服務器用戶的權限，而且有時候還需要根據FTP服務器的用途，來設置獨立的組。如在可能會在腳本程序中利用FTP協(xié)議，此時為他們設置獨立的組，防止其他普通用戶組對他們進行干擾，這是很有必要的。

　　心得三：為不同的用戶設置磁盤限額

　　在部署FTP服務器的時候，還必須解決一個難題，即每個用戶最多可以往FTP服務器上上傳多少容量的文件。通常情況下，筆者建議要給用戶設置一個最大空間的限額。因為一臺FTP服務器不只一個用戶使用。如果每個用戶都可以無限制的往FTP服務器上上傳文件，而又不及時清理的話，這臺FTP服務器的硬盤空間很快就會被占滿。所以說，F(xiàn)TP服務器對于普通用戶來說，其只是一個文件的中轉站，而不是文件到備份服務器。所以說，需要根據用戶的需要，為其設置最大容量的限制。

　　在vsftpd服務器中，可以在組的級別上為用戶設置最大容量的限制。如可以為每個部門設置一個組，然后指定這個組中的用戶最多可使用的空間。如此的話，加入到這個組中的用戶就會自動受到這個大小的限制。到空間受到限制后，就會強迫用戶及時清理FTP服務器中的內容。一些不用的文件要及時的清理掉，這不但可以節(jié)省空間，而且也是出于安全的考慮。另外，也可以為部門設置最大可用的空間。即為每個部門設置一個組，然后給組設置最大空間限制。然后加入到這個組中的用戶共享這塊空間(不是平均分配，而是共享)。這就給部門負責人更大的靈活性，其可以根據需要來管理這個空間。

　　心得四：限制某些帳戶使用FTP服務器

　　其實對于大部分網絡管理員來說，要管理員FTP服務器還是一門不小的學問。如在某些情況下，就需要限制一些特殊的帳戶使用FTP服務器。因為他們會危害FTP服務器的安全。如在Linux操作系統(tǒng)上部署FTP服務器，就需要限制root帳戶使用FTP服務器。因為這個root帳戶其具有操作系統(tǒng)最高的管理權限。如果允許這個用戶訪問FTP服務器，那么后果就是，這個帳戶不會受到組權限的限制。也就是說，即使將這個root帳戶分配給guest 組，這個帳戶仍然可以訪問主目錄以外的文件。所以會破壞原有的安全體系。為此，無論在哪個操作系統(tǒng)上部署FTP服務器，網絡管理員都需要去了解操作系統(tǒng)帳戶中是否有類似的特權用戶。如果有的話，就需要禁止其訪問FTP服務器。

　　可見，F(xiàn)TP服務器雖然其部署比較簡單，發(fā)展到現(xiàn)在也已經比較成熟了。但是企業(yè)用戶的需求是在不斷改變的。為此網絡管理員也需要應需而變，及時調整FTP部署策略，以滿足用戶的需求。

標簽： ftp服務器 linux 安全 訪問ftp服務器 服務器 服務器安裝 服務器管理 腳本 企業(yè) 權限 權限管理 數(shù)據庫 網絡 應用服務器 用戶

版權申明：本站文章部分自網絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。