FTP服務器的部署和維護心得
2024-09-01 13:42:55
供稿:網友
部署與維護FTP服務器是網絡管理員的基本技能����。雖然如此�����,但是筆者每次為企業部署完FTP服務器應用之后,總會有所收獲�����。因為不同的企業需求不同����,他們會提出形式各樣的需求���。而筆者每次解決用戶的一個需求之后�����,總會有一種成就感。這不前不久筆者剛文成一個FTP服務器的搭建�����。不過這個案例有點特殊�,因為其FTP服務器采用的操作系統是Linux�。為此感悟就更多了����。
心得一:為用戶分配組
FTP服務器常用來放置一些工作文件��。為此網絡管理員在部署FTP服務器的時候����,必須要注意其權限的管理��。也就是說����,要做到用戶只能夠下載自己有權利查看的工作文件;只能夠往指定的目錄中上傳文件等等。而企業中員工很多��。如果為每個員工分開來設置權限����,那么工作兩會很大����。為此在FTP服務器管理中,最好也跟操作系統用戶一樣�����,以組為單位設置權限,然后再將用戶加入到組中自動繼承相關的權限�����。如此的話��,如果10個用戶其權限類似���,那么筆者只需要為他們建立一個組���,然后對這個組進行一次權限設置即可。所以�,通過組來管理用戶的話,可以簡化工作量����,并實現統一管理的需要��。
筆者這次采用的是vsftpd服務器����。這個服務器安裝完成后已經為網絡管理員建立好了三個組。一般來說���,只要用戶權限管理不特別嚴格的話����,那么只需要采用這個默認的組即可����。即使企業用戶對權限管理比較苛刻�,那么也可以借鑒這幾個組權限的設置,以此作為模板��,進行適當調整后即可使用��。在 vsftpd服務器中�,其默認的組分別為real組�����、guest組以及anonymous組�����。其中real組中這三個組中權限最高的組。在這個組中的用戶���,不僅可以訪問帳戶自己的主目錄����,而且還可以訪問其他用戶的目錄��。如現在有一個用戶amy����。只要在FTP服務器上建立這個帳戶后��,操作系統會自動在 /home目錄下為這個用戶建立一個主目錄�,即/home/amy。當用戶以這個帳戶登陸后����,服務器會將這個用戶的目錄當作其主目錄。但是這個用戶仍然可以訪問其他相關的目錄���,即可以切換到其他主目錄中����。其次guest組權限也不小����。這個組跟操作系統中的guest帳戶不同,其權限要比這個帳戶多的多�。如有些情況下,網絡管理員可能要求某些用戶只能夠訪問自己的主目錄��,而不能夠訪問別人的目錄��。確實,這是FTP服務器最基本的權限控制法則����。如果要實現這個控制的話,則只需要將用戶加入到這個guest組中即可��。因為默認情況下�����,這個組中的用戶只能夠訪問自己的主目錄����,而不得訪問主目錄以外的文件�。第三個組是anonymous組�����,即匿名組����。默認情況下,這個組的權限最小�。其只能夠在受限的目錄中下載文件�����,但是不能夠往FTP服務器上上傳文件��。不過一般情況下��,出于安全考慮����,都是禁用這個組的。即當用戶沒有賬號時����,無法從FTP服務器上下載任何文件。
心得二:為特定的應用設置組
在部署FTP服務器的過程中����,筆者發現有時候FTP服務器不一定是用戶使用���,系統管理員也可能需要使用這個FTP服務器。如數據庫管理員需要使用FTP服務器進行異地備份��。即數據庫管理員先將數據庫執行本地備份�。然后在備份成功后,再將備份文件利用FTP協議傳送到異地的服務器上���。當然這些操作都是通過腳本文件完成的����,同時結合操作系統的任務調度功能來實現��。
那么這對于網絡管理員部署FTP服務器有什么啟示呢?筆者接到這個需求后����,第一個反應就是要為其設置獨立的組。主要是因為這些備份文件往往是某個應用的精華所在��。如果有用戶將這些備份文件竊取了���,然后再還原到自己的數據庫中的話,那么企業的所有信息���,包括客戶��、價格信息等等就都泄露了�。另外這些備份文件也是日后應用服務器出現故障時挽回數據的最后保障���。如果這些備份文件被惡意破壞了�����,則以后就很難利用這些備份文件來最大程度的恢復數據��。為此筆者來了解了這家企業的需求之后���,就決定為這些用戶設置獨立的組��。由于這些用戶平時主要用來文件的備份,而不做他用��。為此筆者將這個組設置為只允許訪問自己的主目錄�,而不能夠訪問其他目錄(參考guest組的設置)。這有什么好處呢?如果企業現在有數據庫服務器�����、郵件服務器���、OA服務器等等,都需要通過FTP 服務器實現異地備份���。那么筆者就可以設置三個用戶,分別屬于這個組���。然后利用這三個帳戶分別將本地的備份文件上傳到FTP服務器中,以實現異地備份�����。由于這三個用戶各自只能夠訪問自己的目錄�,為此彼此之間就相當于是獨立的���。任何一個帳戶都不能夠看到其他一個帳戶上傳的文件,也不能夠往其他用戶的主目錄中上傳文件�����。這就給他們提供了一個相對獨立的工作環境����,能夠減少他們異地備份的干擾����。
為此,筆者認為不僅要根據組來管理FTP服務器用戶的權限�����,而且有時候還需要根據FTP服務器的用途�����,來設置獨立的組���。如在可能會在腳本程序中利用FTP協議���,此時為他們設置獨立的組,防止其他普通用戶組對他們進行干擾����,這是很有必要的。
心得三:為不同的用戶設置磁盤限額
在部署FTP服務器的時候��,還必須解決一個難題�����,即每個用戶最多可以往FTP服務器上上傳多少容量的文件��。通常情況下���,筆者建議要給用戶設置一個最大空間的限額。因為一臺FTP服務器不只一個用戶使用����。如果每個用戶都可以無限制的往FTP服務器上上傳文件,而又不及時清理的話,這臺FTP服務器的硬盤空間很快就會被占滿�����。所以說�,FTP服務器對于普通用戶來說,其只是一個文件的中轉站�,而不是文件到備份服務器。所以說�����,需要根據用戶的需要���,為其設置最大容量的限制。
在vsftpd服務器中,可以在組的級別上為用戶設置最大容量的限制���。如可以為每個部門設置一個組�����,然后指定這個組中的用戶最多可使用的空間��。如此的話�,加入到這個組中的用戶就會自動受到這個大小的限制。到空間受到限制后,就會強迫用戶及時清理FTP服務器中的內容���。一些不用的文件要及時的清理掉�,這不但可以節省空間���,而且也是出于安全的考慮����。另外��,也可以為部門設置最大可用的空間����。即為每個部門設置一個組��,然后給組設置最大空間限制。然后加入到這個組中的用戶共享這塊空間(不是平均分配,而是共享)�。這就給部門負責人更大的靈活性���,其可以根據需要來管理這個空間���。
心得四:限制某些帳戶使用FTP服務器
其實對于大部分網絡管理員來說�����,要管理員FTP服務器還是一門不小的學問�����。如在某些情況下�����,就需要限制一些特殊的帳戶使用FTP服務器。因為他們會危害FTP服務器的安全��。如在Linux操作系統上部署FTP服務器�����,就需要限制root帳戶使用FTP服務器����。因為這個root帳戶其具有操作系統最高的管理權限�。如果允許這個用戶訪問FTP服務器���,那么后果就是����,這個帳戶不會受到組權限的限制����。也就是說���,即使將這個root帳戶分配給guest 組��,這個帳戶仍然可以訪問主目錄以外的文件�。所以會破壞原有的安全體系�。為此�,無論在哪個操作系統上部署FTP服務器�����,網絡管理員都需要去了解操作系統帳戶中是否有類似的特權用戶�����。如果有的話�����,就需要禁止其訪問FTP服務器����。
可見�,FTP服務器雖然其部署比較簡單�����,發展到現在也已經比較成熟了�。但是企業用戶的需求是在不斷改變的。為此網絡管理員也需要應需而變��,及時調整FTP部署策略,以滿足用戶的需求����。
