部署與維護FTP服務器是網絡管理員的基本技能。雖然如此,但是筆者每次爲企業部署完FTP服務器應用之後,總會有所收穫。因爲不同的企業需求不同,他們會提出形式各樣的需求。
而筆者每次解決用戶的一個需求之後,總會有一種成就感。這不前不久筆者剛文成一個FTP服務器的搭建。不過這個案例有點特殊,因爲其FTP服務器採用的操作系統是Linux。爲此感悟就更多了。
心得一:爲用戶分配組
FTP服務器常用來放置一些工作文件。爲此網絡管理員在部署FTP服務器的時候,必須要注意其權限的管理。也就是說,要做到用戶只能夠下載自己有權利查看的工作文件;只能夠往指定的目錄中上傳文件等等。而企業中員工很多。如果爲每個員工分開來設置權限,那麼工作兩會很大。爲此在FTP服務器管理中,最好也跟操作系統用戶一樣,以組爲單位設置權限,然後再將用戶加入到組中自動繼承相關的權限。如此的話,如果10個用戶其權限類似,那麼筆者只需要爲他們建立一個組,然後對這個組進行一次權限設置即可。所以,通過組來管理用戶的話,可以簡化工作量,並實現統一管理的需要。
筆者這次採用的是vsftpd服務器。這個服務器安裝完成後已經爲網絡管理員建立好了三個組。一般來說,只要用戶權限管理不特別嚴格的話,那麼只需要採用這個默認的組即可。即使企業用戶對權限管理比較苛刻,那麼也可以借鑑這幾個組權限的設置,以此作爲模板,進行適當調整後即可使用。在 vsftpd服務器中,其默認的組分別爲real組、guest組以及anonymous組。其中real組中這三個組中權限最高的組。在這個組中的用戶,不僅可以訪問帳戶自己的主目錄,而且還可以訪問其他用戶的目錄。如現在有一個用戶amy。只要在FTP服務器上建立這個帳戶後,操作系統會自動在 /home目錄下爲這個用戶建立一個主目錄,即/home/amy。當用戶以這個帳戶登陸後,服務器會將這個用戶的目錄當作其主目錄。但是這個用戶仍然可以訪問其他相關的目錄,即可以切換到其他主目錄中。其次guest組權限也不小。這個組跟操作系統中的guest帳戶不同,其權限要比這個帳戶多的多。如有些情況下,網絡管理員可能要求某些用戶只能夠訪問自己的主目錄,而不能夠訪問別人的目錄。確實,這是FTP服務器最基本的權限控制法則。如果要實現這個控制的話,則只需要將用戶加入到這個guest組中即可。因爲默認情況下,這個組中的用戶只能夠訪問自己的主目錄,而不得訪問主目錄以外的文件。第三個組是anonymous組,即匿名組。默認情況下,這個組的權限最小。其只能夠在受限的目錄中下載文件,但是不能夠往FTP服務器上上傳文件。不過一般情況下,出於安全考慮,都是禁用這個組的。即當用戶沒有賬號時,無法從FTP服務器上下載任何文件。
心得二:爲特定的應用設置組
在部署FTP服務器的過程中,筆者發現有時候FTP服務器不一定是用戶使用,系統管理員也可能需要使用這個FTP服務器。如數據庫管理員需要使用FTP服務器進行異地備份。即數據庫管理員先將數據庫執行本地備份。然後在備份成功後,再將備份文件利用FTP協議傳送到異地的服務器上。當然這些操作都是通過腳本文件完成的,同時結合操作系統的任務調度功能來實現。
那麼這對於網絡管理員部署FTP服務器有什麼啓示呢?筆者接到這個需求後,第一個反應就是要爲其設置獨立的組。主要是因爲這些備份文件往往是某個應用的精華所在。如果有用戶將這些備份文件竊取了,然後再還原到自己的數據庫中的話,那麼企業的所有信息,包括客戶、價格信息等等就都泄露了。另外這些備份文件也是日後應用服務器出現故障時挽回數據的最後保障。如果這些備份文件被惡意破壞了,則以後就很難利用這些備份文件來最大程度的恢復數據。爲此筆者來了解了這家企業的需求之後,就決定爲這些用戶設置獨立的組。由於這些用戶平時主要用來文件的備份,而不做他用。爲此筆者將這個組設置爲只允許訪問自己的主目錄,而不能夠訪問其他目錄(參考guest組的設置)。這有什麼好處呢?如果企業現在有數據庫服務器、郵件服務器、OA服務器等等,都需要通過FTP 服務器實現異地備份。那麼筆者就可以設置三個用戶,分別屬於這個組。然後利用這三個帳戶分別將本地的備份文件上傳到FTP服務器中,以實現異地備份。由於這三個用戶各自只能夠訪問自己的目錄,爲此彼此之間就相當於是獨立的。任何一個帳戶都不能夠看到其他一個帳戶上傳的文件,也不能夠往其他用戶的主目錄中上傳文件。這就給他們提供了一個相對獨立的工作環境,能夠減少他們異地備份的干擾。
爲此,筆者認爲不僅要根據組來管理FTP服務器用戶的權限,而且有時候還需要根據FTP服務器的用途,來設置獨立的組。如在可能會在腳本程序中利用FTP協議,此時爲他們設置獨立的組,防止其他普通用戶組對他們進行干擾,這是很有必要的。
心得三:爲不同的用戶設置磁盤限額
在部署FTP服務器的時候,還必須解決一個難題,即每個用戶最多可以往FTP服務器上上傳多少容量的文件。通常情況下,筆者建議要給用戶設置一個最大空間的限額。因爲一臺FTP服務器不只一個用戶使用。如果每個用戶都可以無限制的往FTP服務器上上傳文件,而又不及時清理的話,這臺FTP服務器的硬盤空間很快就會被佔滿。所以說,FTP服務器對於普通用戶來說,其只是一個文件的中轉站,而不是文件到備份服務器。所以說,需要根據用戶的需要,爲其設置最大容量的限制。
在vsftpd服務器中,可以在組的級別上爲用戶設置最大容量的限制。如可以爲每個部門設置一個組,然後指定這個組中的用戶最多可使用的空間。如此的話,加入到這個組中的用戶就會自動受到這個大小的限制。到空間受到限制後,就會強迫用戶及時清理FTP服務器中的內容。一些不用的文件要及時的清理掉,這不但可以節省空間,而且也是出於安全的考慮。另外,也可以爲部門設置最大可用的空間。即爲每個部門設置一個組,然後給組設置最大空間限制。然後加入到這個組中的用戶共享這塊空間(不是平均分配,而是共享)。這就給部門負責人更大的靈活性,其可以根據需要來管理這個空間。
心得四:限制某些帳戶使用FTP服務器
其實對於大部分網絡管理員來說,要管理員FTP服務器還是一門不小的學問。如在某些情況下,就需要限制一些特殊的帳戶使用FTP服務器。因爲他們會危害FTP服務器的安全。如在Linux操作系統上部署FTP服務器,就需要限制root帳戶使用FTP服務器。因爲這個root帳戶其具有操作系統最高的管理權限。如果允許這個用戶訪問FTP服務器,那麼後果就是,這個帳戶不會受到組權限的限制。也就是說,即使將這個root帳戶分配給guest 組,這個帳戶仍然可以訪問主目錄以外的文件。所以會破壞原有的安全體系。爲此,無論在哪個操作系統上部署FTP服務器,網絡管理員都需要去了解操作系統帳戶中是否有類似的特權用戶。如果有的話,就需要禁止其訪問FTP服務器。
可見,FTP服務器雖然其部署比較簡單,發展到現在也已經比較成熟了。但是企業用戶的需求是在不斷改變的。爲此網絡管理員也需要應需而變,及時調整FTP部署策略,以滿足用戶的需求