【正文】 樣訪(fǎng)問(wèn) ftp服務(wù)器就受到限制。當(dāng)用戶(hù)登錄的時(shí)候， Unix 就可以改變根文件系統(tǒng)（ chroot）。不過(guò)我們還是介紹一下舊的方法，也就是把 “/bin/ls” 拷貝到“/home/ftp/bin” （ chroot 之后就是 “/bin” ）目錄下，然后把相關(guān)的運(yùn)行庫(kù)拷貝到 “/home/ftp/lib”目錄下。 第三步 把 “/bin/ls” 文件拷貝到 “/home/ftp/bin” 目錄下，并把 “l(fā)s” 的權(quán)限改為 0111（不運(yùn)行用戶(hù)改變這個(gè)文件）。 第五步 創(chuàng)建 “/home/ftp/dev/null” 文件： [rootdeep] mknod /home/ftp/dev/null c 1 3 [rootdeep] chmod 666 /home/ftp/dev/null 第六步 把 “group” 和 “passwd” 文件拷貝到 “/home/ftp/etc” 目錄下，然后再改變這兩個(gè)文件。這對(duì)于改變根文件系統(tǒng)的環(huán)境很重要，改變之后的 “passwd” 文件會(huì)是象下面這樣的： root:x:0:0:root:/:/dev/null ftpadmin:x:502:502::/ftpadmin/:/dev/null 編輯 “group” 文件（ vi /home/ftp/etc/group），把除了 “root” 和允許使用 ftp 的用戶(hù)之外的所有其它項(xiàng)刪掉。這樣就沒(méi)有必要手工重新生成這些文件，或者用拷貝粘貼的方法把它們粘貼到配置文件中去。下面將具體說(shuō)明。 配置 “/etc/ftpaccess” 文件 “/etc/ftpaccess” 文件是用來(lái)配置 “ftpd” 的。配置文件的每一行或者定義一個(gè)屬性或者設(shè)定一個(gè)屬性值。 創(chuàng)建 ftpaccess文件（ touch /etc/ftpaccess），在文件中加入： class openarch guest .* limit openarch 20 MoTuWeTh,Fr00001800 /home/ftp/. loginfails 3 readme README* login readme README* cwd=* message /home/ftp/. login message .message cwd=* press yes all tar yes all chmod yes guest delete yes guest overwrite yes guest rename yes guest log mands real,guest log transfers real,guest inbound,outbound guestgroup ftpadmin guestgroup webmaster We don‘t want users being able to upload into these areas. upload /home/ftp/* / no upload /home/ftp/* /etc no upload /home/ftp/* /dev no We‘ll prevent downloads with noretrieve. noretrieve /home/ftp/etc noretrieve /home/ftp/dev log security real,guest guestroot /home/ftp ftpadmin webmaster restricteduid ftpadmin webmaster restrictedgid ftpadmin webmaster greeting terse Keepalive yes noretrieve .notar 現(xiàn)在把文件的權(quán)限設(shè)成 600： [rootdeep] chmod 600 /etc/ftpaccess 下面解釋配置文件中的設(shè)置： class “class” 用來(lái)定義一個(gè)允許訪(fǎng)問(wèn) ftp服務(wù)器的用戶(hù)類(lèi)別。每一個(gè)“class” 行的格式如下： class ＜ classname＞ ＜ typelist＞ ＜ addrglob＞ ＜ classname＞是 class的名字，＜ typelist＞是允許加到類(lèi)別（ class）中的用戶(hù)類(lèi)型，＜ addrglob＞是這個(gè) class 允許的 IP 地址范圍。anonymous 用戶(hù)是用 anonymous 或 ftp 帳號(hào)訪(fǎng)問(wèn) ftp 服務(wù)器而且只需要訪(fǎng)問(wèn)公用文件的那些用戶(hù)。 real 用戶(hù)必須在 FTP 服務(wù)器上有帳號(hào)，而且需要經(jīng)過(guò)服務(wù)器的安全驗(yàn)證 ＜ addrglob＞可以用通配符，例如： “*” 表示所有的站點(diǎn)。 limit “l(fā)imit” 根據(jù) class和時(shí)間范圍來(lái)限制登錄 ftp服務(wù)器的用戶(hù)數(shù)。 ＜ times＞中的字符串用逗號(hào)隔開(kāi)，每一個(gè)字串表示一天。表示時(shí)間的小時(shí)和分鐘之間不要用冒號(hào)隔開(kāi)。 例如，限制 “openarch” 這個(gè)類(lèi)別，最多可以有 20 個(gè)用戶(hù)，訪(fǎng)問(wèn)時(shí)間是星期一道星期四全天，星期五從半夜到下午六點(diǎn)。 loginfails “l(fā)oginfails” 設(shè)置最多允許的登錄失敗的次數(shù)。例如，只允許失敗兩次可以這樣表示： loginfails 3 readme “readme” 設(shè)置在什么條件下，一旦當(dāng)前目錄中的文件發(fā)生了變化需要提醒 用戶(hù)。 ＜ when＞可以為下面兩種形式： LOGIN 或 CWD=＜ dir＞。如果為 CWD=＜ dir＞，當(dāng)用戶(hù)進(jìn)入＜ dir＞目錄的時(shí)候就會(huì)有提示信息。 message “message” 設(shè)置當(dāng)用戶(hù)登錄或轉(zhuǎn)到一個(gè)目錄的時(shí)候會(huì)收到什么消息。命令的格式為： message ＜ path＞ ＜ when＞ ＜ path＞表示需要顯示的文件的完整路徑名，＜ when＞和 “readme” 中的＜ when＞意思一樣。 例如： message /home/ftp/. LOGIN press、 tar、 chmod、 delete、 overwrite、 rename 如果這些都不設(shè)置，那么就使用默認(rèn)值，也就是對(duì)所有人都是 “yes” 。 例如： press yes all tar yes all chmod yes guest delete yes guest overwrite yes guest rename yes guest log mands 因?yàn)榘踩系脑蛐枰涗浻?戶(hù)使用的每一個(gè)命令。 例如：要記錄 real 和 guest用戶(hù)的每一個(gè)命令，可以這么表示： log mands real,guest 這些記錄都保存在 “/var/log/message” 文件中。 “l(fā)og transfers” 的格式是： log transfers ＜ typelist＞ ＜ directions＞ ＜ typelist＞是用逗號(hào)隔開(kāi)的字串，表示哪些用戶(hù)的命令需要記錄下來(lái)，字串的取值可以是：anonymous、 guest 或 real。 例如，用下面表示記錄所有 real 和 guest 用戶(hù)的 “inbound” 和 “outboun d” 方向的文件傳輸： log transfers real,guest inbound,outbound 這些記錄保存在 “/var/log/xferlog” 文件中。 例如： guestgroup ftpadmin guestgroup webmaster log security 用來(lái)設(shè)置記錄 real、 guest或 anonymous用戶(hù)違反安全規(guī)則的行為。 “real”表示真正在 ftp 服務(wù)器上有帳號(hào)的用戶(hù)， “anonymous” 表示匿名用戶(hù)， “guest” 表示 guest 用戶(hù)。格式為： guestroot ＜ rootdir＞ restric