|
FTP服務(wù) FTP是用于Internet上的控制文件雙向傳輸?shù)膮f(xié)議��。同時(shí)����,它也是一個(gè)應(yīng)用程序(Application)。用戶可以通過它把自己的PC機(jī)與世界各地所有運(yùn)行FTP協(xié)議的服務(wù)器相連�����,訪問服務(wù)器上的大量程序和信息�。
FTP的主要作用,就是讓用戶連接上一個(gè)遠(yuǎn)程計(jì)算機(jī)(這些計(jì)算機(jī)上運(yùn)行著FTP服務(wù)器程序)查看遠(yuǎn)程計(jì)算機(jī)有哪些文件�,然后把文件從遠(yuǎn)程計(jì)算機(jī)上拷貝到本地計(jì)算機(jī),或把本地計(jì)算機(jī)的文件傳送到遠(yuǎn)程計(jì)算機(jī)上去��。
IBM AIX操作系統(tǒng)在安裝完之后會默認(rèn)安裝ftp,查看/etc/inetd.conf文件�����,會有如下行
ftp stream tcp6 nowait root /usr/sbin/ftpd ftp
這表明系統(tǒng)會默認(rèn)啟動AIX自帶的ftpd�,使AIX提供標(biāo)準(zhǔn)的ftp服務(wù)。但是AIX提供的ftp服務(wù)具有一定的局限性��,對用戶的控制不夠靈活����,往往需要借助wu-ftp,vsftpd這類第三方ftp工具進(jìn)行ftp管理。
默認(rèn)ftp 屬于inetd內(nèi)的服務(wù)��,/etc/initab ->rc.tcpip inetd 通過/etc/inetd.conf來配置是否運(yùn)行
lssrc -ls inetd
startsrc -t ftp #啟動ftp
startsrc -s tcpip #把所有tcpip子系統(tǒng)都起來���,當(dāng)然是inetd和inittab沒有關(guān)閉FTP情況下 配置ftp 修改上傳文件的默認(rèn)屬性 在AIX環(huán)境中����,當(dāng)用戶從Windows上傳文件到AIX服務(wù)器時(shí)所傳文件的缺省讀寫屬性為640(rw-r-----)�����。如想改變?nèi)笔∽x寫屬性為 644,首先用vi編輯器打開/etc/inetd.conf文件�����,在"ftp"定義行的末尾加上"-u 033"����,如 ftp stream tcp6 nowait root /usr/sbin/ftpd ftp -u 033
然后刷新inetd進(jìn)程:
refresh -s inetd
這就改變了ftp文件的缺省屬性。
使用ftp自動傳輸文件
作為客戶端�,使用ftp自動傳輸文件
1. 在用戶根目錄下創(chuàng)建文件.netrc
2. 設(shè)置.netrc的屬性為600,owner 為ftp用戶
3.定制.netrc的內(nèi)容.如:
machine <host_name> login <ftp_user> password <ftp_user_password>
macdef init
get file1
put file2
....
quit
<space_line>
注:.netrc必須以一空行結(jié)束����。
記錄ftp的日志
日志的記錄可以便于我們及時(shí)的發(fā)現(xiàn)ftp中的異常行為�,對ftp能夠進(jìn)行較為全面的監(jiān)控。
修改辦法:
1. 修改/etc/syslog.conf文件���,并加入一行:
daemon.info /var/ftp.log
將FTP日志記錄在 /var/ftp.log中�����,該文件需在日志記錄生效前生成�。
2. 運(yùn)行"refresh -s syslogd"命令刷新syslogd 后臺程序����。
3. 修改/etc/inetd.conf文件�,修改下面的數(shù)據(jù)行:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l
4. 運(yùn)行“refresh -s inetd”命令刷新inetd后臺程序�����。
拒絕某些用戶的ftp訪問
系統(tǒng)中存在著很多用戶�����,各個(gè)用戶都有其相對應(yīng)的職能���,在這其中不乏有很多是權(quán)限級別較高的用戶��,對于這部分用戶ftp的控制就顯得尤為重要�。
修改辦法:
編輯 /etc/ftpusers �����,添加需要拒絕的用戶���,每用戶一行��。例如:
#more /etc/ftpusers
lhq
ljb
當(dāng)嘗試 ftp 登錄時(shí)���,系統(tǒng)報(bào)錯(cuò):
Name (localhost:root): lhq
530 User lhq access denied.
Login failed
限制FTP用戶只可訪問自己的目錄
系統(tǒng)中每個(gè)用戶的目錄是相對較獨(dú)立的�����,有時(shí)候需要系統(tǒng)中涉及到的一些敏感信息僅能被該文件屬主所查閱���,然而ftp默認(rèn)的登錄方式是允許用戶查看所有的目錄結(jié)構(gòu),因此也存在著一定的安全隱患�,對FTP登錄之后用戶訪問的控制也很有必要。
修改辦法:
#vi /etc/ftpaccess.ctl
puseronly: update,staff
注意��,update為你需要限制目錄的用戶���,staff是你需要限制目錄的組)��。
執(zhí)行 refresh -s inetd;
$HOME標(biāo)示該用戶的主目錄
# mkdir bin
# chown root bin
# cp /bin/ls $HOME/bin/ls
# chmod 111 $HOME/bin/ls
# chmod 555 $HOME/bin
# chgrp system $HOME/bin
拷貝必須的庫文件:
# mkdir lib
# chmod 555 lib
# chgrp system $HOME/lib
# cp /lib/libc.a lib/libc.a
# cp /lib/libcurses.a lib/libcurses.a
# cp /lib/libcrypt.a lib/libcrypt.a
重啟ftp服務(wù):
#stopsrc -t ftp
#startsrc -t ftp 關(guān)于/etc/ftpaccess.ctl的詳細(xì)配置可參見如下鏈接 http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm
限制FTP上傳文件的權(quán)限
用戶使用ftp向服務(wù)器傳輸文件后���,經(jīng)常會很沮喪的告訴管理員����,我不小心把文件誤操作了,能不能幫我們再上傳一次�,我們不能期望所有的用戶都是專家���,所以對ftp上傳文件進(jìn)行權(quán)限設(shè)置不失為一個(gè)理想的選擇。
修改辦法:
1. 將文件 /etc/inetd.conf中ftp一行改為:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -u xxx
其中-u是新的umask����。666-xxx所得權(quán)限為設(shè)定的ftp上傳文件默認(rèn)權(quán)限。
2. refresh -s inetd
這種方法對所有使用ftp的用戶有效��。已經(jīng)連接的用戶需要重新連接使新設(shè)置生效���。 參考至:http:///vc/www/38/2010-12/17385.html http://www./club/thread-16736-1-1.html http://swvip./blog/1000774 http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm http://www./home/space.php?uid=14302&do=blog&id=25561 http://tiany.blog.51cto.com/513694/791845 http://blog.csdn.net/qshpeng/article/details/8511303 http://blog./uid-20326103-id-1966238.html
|
