proftpd配置笔记及权限设置

« 解析Linux特殊文件 apache优化列表 »

1、安装

在debian下，安装proftpd非常简单，使用

apt-get install proftpd

但需要注意的是，使用命令

apt-cache search proftpd*

会有如下的结果

proftpd-doc – Versatile, virtual-hosting FTP daemon (Documentation)
proftpd-ldap – Versatile, virtual-hosting FTP daemon (with LDAP support)
proftpd-mysql – Versatile, virtual-hosting FTP daemon (with SQL support)
proftpd-pgsql – Versatile, virtual-hosting FTP daemon (with SQL support)

说明debian下面的proftpd根据所支持的模块，deb包的名称也不一样。如安装mysql支持，直接安装proftpd-mysql。这点和redhat不同，不需要在安装过程中安装各种模块了

对于我，因为需要配置的是支持虚拟用户的proftpd，所以安装

apt-get install proftpd-mysql

这样proftpd就安装了。配置文件为/etc/proftpd.conf

所有的配置都要在这里面写。

下面是默认安装后的配置文件，不需要多解释了，很容易理解。类似apache的配置方法

#
# /etc/proftpd.conf — This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
#

ServerName   ”Debian”
ServerType   standalone
DeferWelcome   off

MultilineRFC2228  on
DefaultServer   on
ShowSymlinks   on

TimeoutNoTransfer  600
TimeoutStalled   600
TimeoutIdle   1200

DisplayLogin                    welcome.msg
DisplayFirstChdir               .message
ListOptions                ”-l”

DenyFilter   \*.*/

# Uncomment this if you are using NIS or LDAP to retrieve passwords:
#PersistentPasswd  off

# Uncomment this if you would use TLS module:
#TLSEngine    on

# Uncomment this if you would use quota module:
#Quotas    on

# Uncomment this if you would use ratio module:
#Ratios    on

# Port 21 is the standard FTP port.
Port    21

# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances   30

# Set the user and group that the server normally runs at.
User    nobody
Group    nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask    022 022
# Normally, we want files to be overwriteable.
AllowOverwrite   on

# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
#DelayEngine    off

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User    ftp
#   Group    nogroup
#   # We want clients to be able to login with “anonymous” as well as “ftp”
#   UserAlias   anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
#
#   RequireValidShell  off
#
#   # Limit the maximum number of anonymous logins
#   MaxClients   10
#
#   # We want ‘welcome.msg’ displayed at login, and ‘.message’ displayed
#   # in each newly chdired directory.
#   DisplayLogin   welcome.msg
#   DisplayFirstChdir  .message
#
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
#
#   # Uncomment this if you’re brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask    022 022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
#
# </Anonymous>

把原始的配置文件修改一下，然后进行我们自己的配置就可以了：0

proftpd在默认情况下不记录日志，这样就对于我们配置服务器不利，因为不能方便的知道错误信息。所以在最上面添加下面2行

SyslogLevel emerg
SystemLog /ftp/log/proftpd.log #这里是自己的服务器日志路径，修改成自己的：）

从上到下，修改

ServerName   ”Meteor’s Ftp”
ServerAdmin   sy.meteor@msn.com

MaxInstances   30 #这是最大连接数，如果机器够好，不妨修改的大点

下面的这个无需修改

User nobody
Group nogroup

User 和Group 指定proftpd 进程启动时的有效用户ID，处于安全考虑默认的身份是nobody，有一点要指出的是，一般Red Linux 9.0 中默认是没有nogroup 这个组的，把Group指定为nobody 即可。

Umask 022 022

#无需修改

DefaultRoot ~

限定用户只能在自己的目录中，肯定要写的了吧

AllowRetrieveRestart on
AllowStoreRestart on

#这2句是使proftpd支持断点续传

ServerIdent off

#安全起见，关闭服务器信息的显示。这里关闭掉之后，默认看不到welcome信息。但可以在下面的对用户的设置中进行指定欢迎信息。

–权限设置——————————————————————————————————-

proftpd默认用户可以使用系统非root组的用户登录，登陆后都在自己的/home目录中。

同时匿名用户不能登陆。而要对权限进行进一步的设置，需要在proftpd.conf里面进行定制。

在默认的conf中，有如下的例子

# <Anonymous ~ftp>
#   User    ftp
#   Group    nogroup
#   # We want clients to be able to login with “anonymous” as well as “ftp”
#   UserAlias   anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
#
#   RequireValidShell  off
#
#   # Limit the maximum number of anonymous logins
#   MaxClients   10
#
#   # We want ‘welcome.msg’ displayed at login, and ‘.message’ displayed
#   # in each newly chdired directory.
#   DisplayLogin   welcome.msg
#   DisplayFirstChdir  .message
#
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
#
#   # Uncomment this if you’re brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask    022 022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
#
# </Anonymous>

proftpd的配置文件的格式和apache很相似：

＃全局设置
设置项目1 参数1
设置项目2 参数2

＃某个目录的设置
<Directory “路径名”>
…
</Directory>

＃关于匿名用户的设置
<Anonymous “匿名登陆的目录”>
…
<Limit 限制动作>
..
</Limit>
</Anonymous>

其中最重要的就是limit之中的部分，涉及到了具体的权限控制

CMD：Change Working Directory 改变目录
MKD：MaKe Directory 建立目录的权限
RNFR： ReName FRom 更改目录名的权限
DELE：DELEte 删除文件的权限
RMD：ReMove Directory 删除目录的权限
RETR：RETRieve 从服务端下载到客户端的权限
STOR：STORe 从客户端上传到服务端的权限
READ：可读的权限，不包括列目录的权限，相当于RETR，STAT等
WRITE：写文件或者目录的权限，包括MKD和RMD
DIRS：是否允许列目录，相当于LIST，NLST等权限，还是比较实用的
ALL：所有权限
LOGIN：是否允许登陆的权限

针对这些设置，又有如下具体的配置：

AllowUser 针对某个用户允许的Limit
DenyUser 针对某个用户禁止的Limit
AllowGroup 针对某个用户组允许的Limit
DenyGroup 针对某个用户组禁止的Limit
AllowAll 针对所有用户组允许的Limit
DenyAll 针对所有用户禁止的Limit

同时，可以针对单独的用户来限制速度

TransferRate STOR|RETR 速度（Kbytes/s） user 使用者

而对于虚拟用户，无法登陆的。所以，必须修改<Anonymous ~ftp>为<Anonymous 你要指定的主目录>

下面是我的配置

<Anonymous /ftp/ftphome>
User    ftp                                                        #指定用户的组和名称
Group    nogroup
UserAlias   anonymous ftp                        #使得ftp和匿名用户都能登陆
DirFakeUser on ftp
DirFakeGroup on ftp
RequireValidShell  off
MaxClients   50                                           该用户的最大连接数
DisplayLogin   welcome.msg                  #显示欢迎信息，需要注意把msg文件放到登陆后的主目录
DisplayFirstChdir  .message
MaxClientsPerHost   3                             #限制每个主机最大连接数

<Directory *>                                              #这里是对目录进行设置，即不允许写
<Limit WRITE>
  DenyAll
</Limit>
</Directory>

<Directory incoming>                                #对上传目录的设置，我们有一个incoming文件夹需要允许别人上传
Umask    022 022
<Limit READ>                                           #不允许下载
  DenyAll
</Limit>
<Limit STOR MKD>                                    #允许上传和新建目录
  AllowAll
</Limit>
</Directory>

</Anonymous>

同时，我们还需要对ftp进行管理。所以在系统中建立一个用户，名称为ftpadmin,属于nogroup组，不允许登陆。同时赋予它对ftp所有的权限

<Anonymous /ftp/ftphome>
User    ftpadmin
Group    nogroup

<Directory *>
  <Limit ALL>
   AllowAll
  </Limit>
</Directory>
</Anonymous>

同时，需要注意的是，在proftpd中作了限制之后，对ftp的权限，还受到主机文件系统权限的限制。

所以，给ftp的目录赋予nogroup组读写的权限

您还可能感兴趣的内容

日志信息 »

该日志于2007-11-24 01:09由 x72 发表在Debian分类下，通告目前不可用，你可以至底部留下评论。

ubuntu,debian,redhat -linuxany.com