若企業(yè)在微軟的操作系統(tǒng)上架立FTP服務(wù)器的話,是一件很輕松的事情。憑借微軟FTP服務(wù)器構(gòu)建向?qū)В梢允趾唵蔚臉?gòu)建起一個FTP服務(wù)器。不過,現(xiàn)在很少有網(wǎng)絡(luò)管理員會在微軟的服務(wù)器系統(tǒng)上構(gòu)建FTP服務(wù)器。因?yàn)槲④浀牟僮飨到y(tǒng)穩(wěn)定性不是很好,而且,網(wǎng)絡(luò)管理員還要為此進(jìn)行許多的安全性配置。為此,現(xiàn)在不少網(wǎng)絡(luò)管理員都喜歡在Linux或者Unit系統(tǒng)上配置FTP服務(wù)。因?yàn)橄鄬碚f,穩(wěn)定性、安全性上來說,后者都要比前者高得多。
筆者也喜歡在Linux操作系統(tǒng)上配置FTP服務(wù),雖然其配置起來相對來說比較麻煩一些。但是,在這個平臺上的FTP服務(wù)器穩(wěn)定性比較高,安全性也不用我們太多的設(shè)置。所以,我比較中意在Liunx服務(wù)器系統(tǒng)上配置FTP服務(wù)器。在這里,我就要談?wù)勗贚inux操作系統(tǒng)上配置FTP服務(wù)的一些問題與技巧。
問題一:如何查看是否啟動了FTP服務(wù)?
在微軟的操作系統(tǒng)中,可以在控制面板、服務(wù)處,查看FTP服務(wù)是否正常啟動。但是,在Linux中,則沒有這么簡單,其需要查看相關(guān)的配置文件。
通常情況下,在Linux中,F(xiàn)TP服務(wù)器是通過inetd啟動并且運(yùn)行的。若我們想知道Linux系統(tǒng)是否正常的開啟了FTP服務(wù)的話,我們需要查看/etc/ined.conf 文件。在這個文件中,我們可以看到操作系統(tǒng)在啟動的過程中,F(xiàn)TP服務(wù)啟動是否正常。
若我們在這個文件中,看到有如下的一條記錄,則說明FTP服務(wù)器啟動是正常的。
ftp stream tcp nowait root …….
若看到這條記錄的話,則說明FTP服務(wù)已經(jīng)正常啟動。若沒有這條信息的話,則說明FTP服務(wù)器不是默認(rèn)啟動的。為此,我們就需要在inetd啟動文件中加入這條記錄,讓inetd啟動的時候,自動啟動FTP服務(wù)器。
技巧:
有時候,inedd配置文件中,其內(nèi)容比較多。若我們一條條的查詢的話,可能并不是很快就可以找到這條記錄。為此,我們可以利用編輯器自帶的查詢命令,來查詢相關(guān)的內(nèi)容。在微軟操作系統(tǒng)中,一般采用F3鍵來打開查詢窗口。而在Linux的配置文件編輯窗口中,則是通過“/”字符來開啟查詢功能。其我們只需要輸入/ftp,就可以找到包含ftp 的相關(guān)記錄信息。不過這里要注意一個問題,即在Linux系統(tǒng)中,大小寫是敏感的。即我們?nèi)糨斎?FTP的話,可能就找不到我們所需要的內(nèi)容。我剛開始接觸Linux操作系統(tǒng)的時候,經(jīng)常會犯類似的錯誤。
問題二:如何讓FTP服務(wù)器記錄用戶的相關(guān)操作?
有時候,為了FTP服務(wù)器的安全,我們會讓FTP服務(wù)器記錄用戶的相關(guān)操作。如用戶在什么時候在什么地方登陸了FTP服務(wù)器,執(zhí)行了一些什么操作等等。如此的話,當(dāng)FTP服務(wù)器出現(xiàn)故障的時候,網(wǎng)絡(luò)管理員可以查看這些信息,以了解FTP服務(wù)器到底出現(xiàn)了什么問題等等。一般90%以上的FTP服務(wù)器故障,有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員,可以憑著這些日志信息迅速的解決問題。
1、可以設(shè)置用戶登錄時,其做了哪些操作會被記錄在一個特定的日志文件中。或者說,可以設(shè)定某個用戶類別在上載或者下載文件的時候所發(fā)生的相關(guān)信息記錄到某個日志文件中。要設(shè)置這些信息,網(wǎng)絡(luò)管理員一般需要在/etc/ftpaccess 這個配置文件中進(jìn)行設(shè)置。
如通過log transfer anonymous inbound ,outbound這個命令,就可以設(shè)置若用戶是匿名登陸的話,則其上載文件、下載文件等操作都會被記錄在相關(guān)的日志中。
2、重定向日志文件。有時會為了日志文件的安全,我們往往需要對他們進(jìn)行重定向。因?yàn)槿粲腥藧阂?font color="#16387c">攻擊FTP服務(wù)器的話,一般都會在服務(wù)器中留下痕跡。而為了隱藏自己的攻擊行為,他們在攻擊得成之后,會修改相關(guān)的日志文件。所以,我們有時候需要對日志文件進(jìn)行重定向,如此的話,非法攻擊者就很難在攻擊后,修改日志文件了。而我們網(wǎng)絡(luò)管理員在看到這個信息后,則就可以迅速的采取措施了。
#p#副標(biāo)題#e#
問題三:如何限制用戶對FTP服務(wù)器的訪問?
雖然我們可以憑借用戶名與密碼來控制用戶對FTP服務(wù)器的訪問。但是,有時候,出于安全的考慮,我們還會進(jìn)行一些更加嚴(yán)格的限制。如只允許某個子網(wǎng)的IP地址或者某些特定的IP地址可以訪問FTP服務(wù)器等等。為什么要做這些限制呢?這主要是因?yàn)椋赡苓@些FTP服務(wù)器有特殊的作用,而不是一般的文件服務(wù)器等等。
如對于一些文件服務(wù)器,我們需要對文件服務(wù)器上的數(shù)據(jù)進(jìn)行異地備份。以防止當(dāng)文件服務(wù)器出現(xiàn)當(dāng)機(jī)的時候,可以順利的利用異地備份的數(shù)據(jù)進(jìn)行恢復(fù)。為此,我們可以在文件服務(wù)器上,通過FTP服務(wù)向FTP服務(wù)器傳送數(shù)據(jù),以實(shí)現(xiàn)異地備份的需求。此時,我們就只允許文件服務(wù)器可以訪問這臺FTP服務(wù)器。為了備份數(shù)據(jù)的安全,我們就要進(jìn)行相關(guān)的設(shè)置,拒絕其他用戶訪問這臺FTP服務(wù)器。
如有時候FTP服務(wù)器還可以作為日志備份服務(wù)器。像Oracle數(shù)據(jù)庫服務(wù)器以及其他的一些應(yīng)用系統(tǒng)服務(wù)器日志,都可以通過FTP命令以及操作系統(tǒng)的任務(wù)調(diào)度系統(tǒng),自動的把日志文件上傳到FTP服務(wù)器中。為此,也要限制只有特定的主機(jī)才能夠以FTP的形式訪問這臺服務(wù)器。若不做類似的限制,則安全性會比較差。
要實(shí)現(xiàn)這個目的,我們需要修改/etc/ftphosts配置文件。這個文件主要就是用來設(shè)置一些主機(jī)不允許訪問這臺FTP服務(wù)器。網(wǎng)絡(luò)管理員可以利用allow 與deny連個參數(shù)來限制只有哪些主機(jī)可以訪問或者哪些主機(jī)不能連接FTP服務(wù)器。
另外,一般情況下,為了安全起見,我們往往需要設(shè)置不允許匿名訪問FTP服務(wù)器。至少匿名用戶的話,不能夠往FTP服務(wù)器上上傳文件。否則的話,F(xiàn)TP服務(wù)器的空間可能就很難滿足需求。不少用戶會把FTP服務(wù)器當(dāng)作電影、歌曲等的集散地等等。為此,我們就需要更改另外一個參數(shù)配置文件,即/etc/ftpusers文件來限制某些用戶不允許使用FTP服務(wù)器傳輸文件。
問題四:如何建立只允許FTP登陸的帳戶?
一般情況下,我們在Linux操作系統(tǒng)中建立用戶帳戶的話,其不僅可以通過FTP服務(wù)登陸到FTP服務(wù)器,而且其也可以直接利用這個用戶名登錄到FTP服務(wù)器所在的操作系統(tǒng)。這跟微軟服務(wù)器上部署的FTP服務(wù)器還是有一定的差異。很明顯,Linux操作系統(tǒng)如此設(shè)計(jì)的話,會影響到FTP服務(wù)器所在的操作系統(tǒng)的安全性。
所以,我們需要經(jīng)過相關(guān)的設(shè)置,讓這個FTP帳戶之能夠通過FTP服務(wù)的形式登錄到FTP服務(wù)器,而不能利用SSH協(xié)議遠(yuǎn)程登錄,或者不能直接作為操作系統(tǒng)的登錄用戶名。要實(shí)現(xiàn)這個目的,我們往往需要進(jìn)行如下的設(shè)置。
1、按常規(guī)程序新建立用戶名。我們先需要在Linux操作系統(tǒng)中,建立相關(guān)的用戶名。在建立用戶名的過程中,我們往往需要為FTP服務(wù)器建立一個獨(dú)立的組。然后把用戶名加入到這個組中。如此的話,我們就在后面就可以以組為單位限制其的訪問模式了。
2、我們需要編輯“/etc/shells”文件,在這個配置文件中加入一個空的shell。這個空的shell可以限制用戶對FTP服務(wù)器的訪問。如我們可以在這個配置文件中,加入如下一個空的shell,/dev/null。
技巧:一般來說,為了閱讀的方便,我們往往把自己添加的內(nèi)容放在配置文件的最后,并且,最好能夠添加相關(guān)的注釋。這主要是為了我們后續(xù)管理的方便。不然等時間長了之后,我們自己都不知道為什么要加入這個項(xiàng)目。
3、再次編輯/etc/passwd配置文件。這里主要實(shí)現(xiàn)目錄的重定向。也就是說,當(dāng)前面設(shè)置的那個FTP組的用戶,訪問FTP服務(wù)器的時候,其目錄會進(jìn)行重定向,會自動轉(zhuǎn)到那個目錄中。只要是通過“.”這個符號把FTP目錄跟/目錄連接起來。通過如此的限制,F(xiàn)TP組的用戶就只能夠訪問自己用戶下面的文件內(nèi)容,而不能夠訪問所有的文件系統(tǒng)。
通過以上描述,我們可以發(fā)現(xiàn)單從配置上來說,Linux環(huán)境上的FTP服務(wù)器配置要比微軟的復(fù)雜的多。很多功能的話,都需要通過手工修改配置文件來實(shí)現(xiàn)。而微軟自帶的FTP服務(wù)器的話,則可以通過傻瓜式的向?qū)韺?shí)現(xiàn)大部分的管理操作。但是,包括筆者在內(nèi)的很多網(wǎng)絡(luò)管理員還是喜歡采用Linux作為FTP服務(wù)器的載體。這主要是因?yàn)長inux操作系統(tǒng)要比微軟的操作系統(tǒng)要穩(wěn)定。所以,部署在這上面的服務(wù)器,相對來收,也是前者穩(wěn)定的多。而且,F(xiàn)TP服務(wù)器的話,跟其他應(yīng)用服務(wù)器一樣,往往穩(wěn)定性是壓倒一切的。也許,在不久的將來,當(dāng)微軟的操作系統(tǒng)比Linux更加穩(wěn)定的時候,可以改變這一現(xiàn)狀。
