朱桂琴 中國(guó)石油化工股份有限公司江蘇南通石油分公司信息中心

Linux系統(tǒng)下實(shí)現(xiàn)高效安全的FTP服務(wù)器

朱桂琴 中國(guó)石油化工股份有限公司江蘇南通石油分公司信息中心

本文闡述了Linux操作系統(tǒng)下ProFTP服務(wù)器的建立、配置和安全管理機(jī)制，通過(guò)實(shí)例闡述了它如何安全實(shí)現(xiàn)石油公司內(nèi)部、公司與分公司之間的管理過(guò)程。

Linux；ProFTP；安全

1 引言

隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，它已經(jīng)成為企業(yè)辦公自動(dòng)化的重要手段。公司內(nèi)部、總公司與分公司，分公司與子公司之間的聯(lián)系非常緊密，給文件的傳輸帶來(lái)很大的便利，同時(shí)給用戶提供了重要數(shù)據(jù)的備份空間。那么如何提高企業(yè)內(nèi)部安全的信息傳輸，提高辦公效率成為研究的重點(diǎn)。

使用PROFTP軟件在Linux下構(gòu)建安全的FTP服務(wù)器，利用FTP服務(wù)拓展日常管理內(nèi)容，比如下發(fā)材料、軟件、通知；上報(bào)材料、常用軟件等，而且文件大小只受服務(wù)器空間限制，可以傳輸比較大的文件。利用FTP服務(wù)創(chuàng)建三類用戶:管理員、部門級(jí)用戶和普通用戶。管理員具有創(chuàng)建和管理所需要的各類文件；部門級(jí)用戶具有選取文件夾，對(duì)自己指定文件具有上傳或下載等功能，普通用戶僅局限于個(gè)人指定文件上傳和查詢功能。FTP服務(wù)系統(tǒng)除了能嚴(yán)格規(guī)定管理員和普通用戶的不同處理級(jí)別外，還要區(qū)分不同用戶的工作環(huán)境，以便管理員在執(zhí)行任務(wù)時(shí)彼此不會(huì)相互干擾。例如，部門級(jí)用戶僅對(duì)自己部門成員有自己專門的工作目錄區(qū)，在此區(qū)中部門用戶建立的文件和文件夾以該部門用戶為所有者，因此，這些文件或文件夾的控制權(quán)也全部歸此部門用戶所擁有，而別的用戶無(wú)權(quán)介入。

用戶利用FTP服務(wù)系統(tǒng)進(jìn)行文件上傳和下載時(shí)，系統(tǒng)應(yīng)保證多用戶的并行處理速度和安全。對(duì)用戶文件夾的處理還有一些特殊的規(guī)定，比如對(duì)已經(jīng)上傳的文件不允許被刪除和改名；為防止有些用戶任意下載其他用戶的文件，應(yīng)該規(guī)定一旦上傳就不能下載，但同時(shí)還要保證用戶可以看到已上傳到服務(wù)器的文件的文件名。

2 建立和配置FTP服務(wù)器

Linux操作系統(tǒng)中常見(jiàn)的性能優(yōu)良的的FTP服務(wù)軟件是Proftpd。該軟件的最大特點(diǎn)是它具有很強(qiáng)的安全性和可靠性，而且配置方法簡(jiǎn)單易學(xué)?？梢詫?duì)訪問(wèn)的各級(jí)目錄逐個(gè)地設(shè)置不同的訪問(wèn)權(quán)限，而且權(quán)限功能分類細(xì)致；對(duì)不同形式的客戶要求，容易建立準(zhǔn)確的訪問(wèn)權(quán)限標(biāo)準(zhǔn)。

2.1 安裝Proftpd服務(wù)

首先獲取P r o f t p d的安裝軟件。Proftpd的安裝軟件是共享軟件，在網(wǎng)絡(luò)的相關(guān)Linux網(wǎng)站中都可以找到其各種版本，并由下載而獲得。例如Proftpd的版本可以從www.proftpd.net中下載。在此，我們以Proftpd1.2.8版本為例，介紹它的安裝過(guò)程。

從網(wǎng)上下載的Proftpd安裝軟件的文件格式一般為Proftpd-1.2.8.tar.gz，假設(shè)此安裝軟件被存放在Linux服務(wù)器的/usr目錄下，下面開(kāi)始進(jìn)行解包安裝:#tar vfxz proftpd-1.2.8.tar.gz /*系統(tǒng)自動(dòng)創(chuàng)建/usr/proftpd-1.2.8目錄，并將文件解壓在此目錄下。#cd proftpd-1.2.8設(shè)定安裝到/www/proftpd目錄中。#./ configure --prefix=/www/proftpd /*檢測(cè)要安裝的文件，并對(duì)系統(tǒng)進(jìn)行配置。#make /*編譯文件。#make install /*安裝編譯成功的文件。

到目前為止，我們已經(jīng)完成了Proftpd的編譯和安裝。幾個(gè)文件的功能及路徑說(shuō)明:/www/proftpd/sbin/ proftpd 執(zhí)行程序

/www/proftpd/etc/proftpd.conf 設(shè)置文件

/www/proftpd/var/proftpd.pid proftpd.pid做為一個(gè)服務(wù)的ID號(hào)

并且在/www/proftpd/etc目錄下有了一個(gè)默認(rèn)的Proftpd配置文件proftpd.conf。系統(tǒng)還自動(dòng)建立一個(gè)FTP用戶帳號(hào)和FTP用戶組，同時(shí)創(chuàng)建與FTP服務(wù)相關(guān)的子目錄，在本文中設(shè)定由系統(tǒng)建立了一個(gè)名為/www/proftpd/ftp的子目錄，并將此作為請(qǐng)求FTP服務(wù)登錄的根目錄。

2.2 啟動(dòng)Proftpd服務(wù)

設(shè)定proftpd.conf文件，起動(dòng)服務(wù)，在默認(rèn)的"/www/proftpd/etc/proftpd.conf/"文件中有一行文字"ServerType standalone"，指定"/www/proftpd/sbin/ proftpd"以一個(gè)服務(wù)的方式來(lái)工作，可以放"/www/proftpd/sbin/proftpd"到 "/ etc/rc.d/rc.local"文件中，以便開(kāi)機(jī)起動(dòng)。放到inetd.conf中起動(dòng)，也可以改變"ServerType standalone"為"ServerType

inetd"，并修改"/etc/inetd.conf"中的ftp stream tcp nowait root /usr/ sbin/in.ftpd in.ftpd為ftp stream tcp nowait root /www/proftpd/sbin/ proftpd proftpd。注意做為服務(wù)器設(shè)定可以直接執(zhí)行/www/proftpd/sbin/ proftpd來(lái)起動(dòng)服務(wù)。如果放在inetd.conf文件中，就是修改完后 killall -HUP inetd

2.3 proftpd.con的一個(gè)簡(jiǎn)單設(shè)定及說(shuō)明

1）#服務(wù)器的名稱

ServerName "ProFTPD Default Installation"

2）#服務(wù)器的服務(wù)方法(系統(tǒng)服務(wù)/ inetd連接) ServerType standalone/ inetd

ServerType standalone

3）#默認(rèn)服務(wù)

DefaultServer on

4）#服務(wù)器使用的port號(hào)碼

Port 21

5）#proftpd在做為服務(wù)時(shí)的用戶名和組名

User nobody

Group ftp

6）#根目錄設(shè)定，可以用/home也可用~，可以使用戶不能向上到根目錄下

DefaultRoot ~

7）#目錄的權(quán)力

9）#注意最好加上以下這一行

設(shè)置完成，客戶端用匿名登陸成功。以上就是F T P匿名登陸的設(shè)置。

2.4 創(chuàng)建企業(yè)部門帳號(hào)及建立部門工作目錄

FTP服務(wù)可以為兩種對(duì)象進(jìn)行服務(wù)，一類是真是用戶，即是Linux系統(tǒng)下由帳號(hào)的用戶，另一類是匿名用戶。在本設(shè)置中，我們將部門級(jí)用戶定為真實(shí)用戶，建立兩個(gè)部門帳號(hào)財(cái)務(wù)科和辦公室，如cw、bgs，并將其加入到FTP組中。操作如下:

#useradd –g ftp cw

#useradd –g ftp bgs

在/www/proftpd/ftp子目錄下為每個(gè)部門建立自己的工作目錄，例如，用財(cái)務(wù)科的用戶名cw作為工作目錄名，并為該部門建立兩個(gè)目錄——存放財(cái)務(wù)報(bào)表數(shù)據(jù)的目錄data、上報(bào)材料的工作目錄work。下面以財(cái)務(wù)科cw為例，建立它的工作目錄。

#cd /www/proftpd /ftp

#mkdir –p cw/data cw/work

#chown cw: ftp cw/data cw/ work

執(zhí)行chown命令的目的是將data和work兩個(gè)文件夾的所有者改為財(cái)務(wù)資產(chǎn)科這個(gè)部門。配置文件完成后，在proftpd.conf文件中加入如下兩行:

UseReverseDNS off

IdentLookups off

提高客戶端的登錄速度非常明顯。

2.5 設(shè)置用戶組權(quán)限及添加用戶 如:

1）、為財(cái)務(wù)科部門用戶級(jí)cw的組擁有者增加讀寫權(quán):

chmod g+rw cw

2）、為cw目錄文件的擁有者去除x權(quán):

chmod u-x cw

3）、指定目錄文件cw的其他用戶權(quán)限為rw-:

chmod o=rw- cw

4）、為目錄文件cw的全體用戶增加x權(quán):

chmod a+x cw

5）、增加普通個(gè)人用戶

useradd –d /www/proftpd / ftp 用戶名

所有用戶設(shè)置完成后，如果財(cái)務(wù)科希望使用多個(gè)文件夾來(lái)存放不同的資料，并向下級(jí)用戶開(kāi)放，財(cái)務(wù)部門級(jí)用戶可以從Windows環(huán)境的客戶機(jī)上申請(qǐng)Linux的FTP服務(wù)，并以合法用戶身份登錄，自動(dòng)進(jìn)入自己的工作目錄，打開(kāi)data文件夾，在此創(chuàng)建自己所需的子文件夾，并存入相關(guān)的文件。還可以在自己的work目錄下建立多個(gè)下級(jí)部門（即按地級(jí)分類子部門）為子文件夾。例如，從WindowsXP環(huán)境的客戶機(jī)上申請(qǐng)Linux的FTP服務(wù)，以合法用戶身份登錄，自動(dòng)進(jìn)入自己的工作目錄后，打開(kāi)work文件夾，在此創(chuàng)建各子公司對(duì)應(yīng)的子文件夾，同時(shí)修改文件夾屬性，將其中的group權(quán)限的寫狀態(tài)激活即可。如果要臨時(shí)禁用某個(gè)子文件夾，則將此文件夾屬性的group權(quán)限的寫狀態(tài)取消。

3 FTP服務(wù)器的安全問(wèn)題

1）如果服務(wù)器提供匿名FTP服務(wù)，則服務(wù)器最好不要同時(shí)提供WWW服務(wù)的功能，否則，有可能會(huì)導(dǎo)致入侵者在匿名FTP空間下放一個(gè)文件，而用HTTP服務(wù)器執(zhí)行，從而留下很大的安全隱患。

2）注意下面幾個(gè)文件的配置，它們和安全性密切相關(guān):ftpusers， ftpgroups，ftphosts等

3）保護(hù)系統(tǒng)。建議對(duì)如下一些目錄作如下設(shè)定:

～ftp 這個(gè)目錄設(shè)為是超級(jí)用戶所有，其他任何人都不能寫。

～ftp/bin 這個(gè)目錄設(shè)為是超級(jí)用戶所有，其他任何人都不能寫。其中l(wèi)s程序設(shè)為111。

～ftp/etc 這個(gè)目錄設(shè)為是超級(jí)用戶所有，其他任何人都不能寫。其中passwd和group文件設(shè)為444且為超級(jí)用戶所有。

～ftp/pub 如果允許普通用戶上載文件，則最好在～ftp/pub下建立一個(gè)子目錄，并設(shè)權(quán)限為777或733。

4）檢測(cè)和記錄

用ftpwho查看當(dāng)前每個(gè)ftp用戶的進(jìn)程信息。

用ftpcount命令查看當(dāng)前每個(gè)組的用戶個(gè)數(shù)。

最后，詳細(xì)記載ftp登錄，備份以防不測(cè)。

5）文件傳輸中使用加密技術(shù)，提高安全性。

4 結(jié)束語(yǔ)

Proftpd服務(wù)系統(tǒng)的工作狀態(tài)很穩(wěn)定，但是要更細(xì)致和完善地建立好FTP服務(wù)，還需要更深入和全面地了解Proftpd的配置命令和相關(guān)參數(shù)。對(duì)上述建立的爭(zhēng)對(duì)有上下級(jí)關(guān)系的企業(yè)輔助系統(tǒng)的FTP服務(wù)，會(huì)隨著用戶的不同應(yīng)用要求，不斷地得到進(jìn)一步的補(bǔ)充和完善。例如，為保證安全，應(yīng)該對(duì)匿名用戶上傳的文件大小做一個(gè)限定（可以加入MaxStoreFileSize8000Kb user anonymous一行，限制上傳文件不可大于8 M B），以免有人惡意的上傳一個(gè)特大文件，企業(yè)內(nèi)部使用最好禁止匿名上傳。

[1] 羅曉東.在局域網(wǎng)中組建Web和FTP服務(wù)器[J].信息技術(shù)教育 .2004,(04)

[2] 邢莉娟.FTP服務(wù)器的安全問(wèn)題[J].內(nèi)蒙古統(tǒng)計(jì).2003,(03)

[3] 馬林山, 丁健.圖書館FTP服務(wù)器的配置與維護(hù)[J].合肥聯(lián)合大學(xué)學(xué)報(bào).2002,(04)

[4] 肖曉梅.Serv-U FTP在教學(xué)中的應(yīng)用研究[J].中國(guó)教育信息化.2008,(12)

[5] 羅海波.多媒體網(wǎng)絡(luò)中FTP服務(wù)器安全解決方法[J].柳州職業(yè)技術(shù)學(xué)院學(xué)報(bào).2005,(03)

[6] 戴紅.網(wǎng)絡(luò)型嵌入Linux系統(tǒng)的無(wú)差錯(cuò)多播傳輸研究[J].吉林工程技術(shù)師范學(xué)院學(xué)報(bào).2004,(09)

10.3969/j.issn.1001-8972.2010.11.047