我們有二種方式啟動 ftpd，一種是使用 standalone daemon，另一種是使用 inetd。inetd 是 UNIX 系統(tǒng)中一個強大的「超級服務(wù)器」，我們可以使用它來管理許多系統(tǒng)服務(wù)，例如 telnet、ssh、ftp 等。大部份的系統(tǒng)服務(wù)都是使用 inetd 來啟動，使用它的好處在于可以統(tǒng)一管理各種服務(wù)，并經(jīng)由它來設(shè)定服務(wù)規(guī)則，例如是否要阻擋某些 IP 來源等。不過，使用 inetd 的方式缺點是每次有聯(lián)機要求時，inetd 的 daemon 必須依聯(lián)機的種類去執(zhí)行相對映的指令，所以速度比較慢。

另一種啟動 FTP 的方式是使用 standalone daemon，也就是直接執(zhí)行 FTP daemon，當它接收到新的聯(lián)機時，就 fork() 出來處理，這種方式聯(lián)機建立的速度較快，比較適合專門的 FTP 服務(wù)器。

使用 inetd

我們先來介紹如何使用 inetd 的方式啟動 FTP 服務(wù)器。首先，請編輯 /etc/inetd.conf，將 ftp 設(shè)定開頭的 # 移除：

ftp     stream  tcp     nowait  root    /usr/libexec/ftpd       ftpd -l
ftp     stream  tcp6    nowait  root    /usr/libexec/ftpd       ftpd -l

接下來，我們必須使用下列指令重跑 inetd：

#
		kill -1 `cat /var/run/inetd.pid`

現(xiàn)在您就可以開始使用 FreeBSD 的 FTP 服務(wù)了。

使用獨立 Daemon

如果您要以獨立的 daemon 方式啟動 FTP，請先確定在 inetd.conf 中沒有啟動 FTP 服務(wù)。接下來，請在新增一個檔案 /usr/local/etc/rc.d/ftpd.sh 內(nèi)容如下：

#!/bin/sh

ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l"

case $1 in
start)
	echo "Starting FTPD"
	$ftpd_program $ftpd_flags
;;
stop)
	echo "Stopping FTPD"
	killall ftpd
;;
restart)
	$0 stop
	sleep 1
	$0 start
;;
esac

編輯完后，我們必須將該檔案變成可執(zhí)行：

#
		chmod 755 /usr/local/etc/rc.d/ftpd.sh

接下來，您就可以使用下列指令啟動 FTPD 了：

#
		/usr/local/etc/rc.d/ftpd.sh tart

如果您要停止 FTPD 服務(wù)，則使用下列指令：

#
		/usr/local/etc/rc.d/ftpd.sh stop

15.2.2 編輯歡迎訊息

當我們聯(lián)機到一個 FTP 站臺時，我們可以看到二個歡迎訊息，一個是登入前的訊息，另一個是登入后的訊息。以下列訊息為例：

#
		ftp localhost
Trying ::1...
Connected to localhost.alexwang.com.
220- Welcome to My FTP Server.
220-
220- This is a welcome message
220-
220- Nice to see you.
220 vmware.alexwang.com FTP server (Version 6.00LS) ready.
Name (localhost:alex):
331 Password required for alex.
Password:
230- This is the message of the day.
230-
230- It will be shown after user login.
230 User alex logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

開頭為 220- 的就是登入前的訊息，我們稱它為歡迎訊息。以 230- 為開頭的是登入后的訊息，我們稱它為本日訊息 (Message of the day)。這二種訊息我們都可以自行設(shè)定。

如果您要設(shè)定的是登入前的訊息，請新增一個檔案 /etc/ftpwelcome，并將您的訊息寫入該文件中。以下為上述范例中的訊息內(nèi)容：

Welcome to My FTP Server.

This is a welcome message

Nice to see you.

您不需要寫 220- 等數(shù)據(jù)，F(xiàn)TP 服務(wù)器會自動幫您加上這種代碼。而登入后的訊息是存放在 /etc/ftpmotd，您可以編輯該檔以進行設(shè)定。

15.2.3 FTP 服務(wù)器管理

在啟動 FTP 服務(wù)器時，我們可以加入一些參數(shù)以調(diào)整服務(wù)器的行為。例如，修改預設(shè)的連接端口、記錄使用者上傳、下載的檔案等等。有些參數(shù)必須要在使用獨立的 daemon 方式啟動時才有用，而有的參數(shù)在 inetd 模式下也可以使用。

下表為我們常用的參數(shù)：

!ftpd
*.*                    /var/log/ftpd.log

另外，還有很多用來控制使用者權(quán)限的參數(shù)，我們會在下一小節(jié)中說明。您也可以使用 man ftpd 以查看更多關(guān)于 ftpd 的參數(shù)。

如果您要修改 ftpd 啟動的參數(shù)，在 inetd 模式下，您可以修改 /etc/inetd.conf，并在 ftp 設(shè)定的最后面加入?yún)?shù)，如下列粗體字所示：

ftp  stream  tcp     nowait  root   /usr/libexec/ftpd    ftpd -l -l -d
ftp  stream  tcp6    nowait  root   /usr/libexec/ftpd    ftpd -l -l -d

上面的范例中，我們多加入了參數(shù) -l -d，以記錄更多 ftpd 的訊息。

如果您是以獨立的 Daemon 方式啟動 ftpd，則請修改 /usr/local/etc/rc.d/ftpd.sh：

#!/bin/sh

ftpd_program="/usr/libexec/ftpd"
ftpd_flags="-D -l -l -d"
...

我們只要修改 ftpd_flags 的部份，加入您所要的參數(shù)即可。

15.3 FTP 權(quán)限控制

預設(shè)的 FTP 啟動后，使用者可以上傳、下載任何他們有權(quán)存取的檔案。在登入后，使用者可以進到任何系統(tǒng)中的目錄 (如果目錄權(quán)限允許的話)。本小節(jié)將告訴您一些 FTP 讀寫權(quán)限的控制，讓您可以更進一步控制服務(wù)器的系統(tǒng)安全。

15.3.1 限制賬號與聯(lián)機來源

我們可以設(shè)定限制某些賬號不可以使用 FTP 登入。使用者在登入 FTP 服務(wù)器時，有幾個規(guī)則會拒絕該賬號登入：

• 如果 /var/run/nologin 存在，則所有賬號都不可以登入。這個檔案可以用來暫時停止 FTP 服務(wù)。
• 使用者一定要有密碼才能登入，沒有密碼的使用者無法登入。
• 使用者名稱不可以出現(xiàn)在 /etc/ftpusers 中。
• 使用者群組不可以出現(xiàn)在 /etc/ftpusers 中。
• 使用者所使用的 shell 必須要時合法的 shell。合法的 shell 會被定義在 /etc/shells 中。
• 除了匿名模式外，使用者名稱不可以是 ftp 或 anonymous。關(guān)于匿名模式，我們會在下一小節(jié)中說明。

/etc/ftpusers 定義了不可以使用 FTP 服務(wù)的使用者及群組。我們來看一下該檔案的內(nèi)容：

# $FreeBSD: src/etc/ftpusers,v 1.13 2004/06/30 16:47:08 maxim Exp $
#
# list of users disallowed any ftp access.
# read by ftpd(8).
root
toor
daemon
operator
bin
tty
kmem
games
news
@guest
...

我們可以看到該檔案中已經(jīng)有一些使用者不可以登入 FTP。這些使用者都是系統(tǒng)預設(shè)的賬號，我們也可以經(jīng)由修改它來加入其它使用者。

在 /etc/ftpusers 中，如果開頭是 "@" 表示群組名稱。例如上述檔案內(nèi)容中的 @guest 表示群組 guest 不可以登入系統(tǒng)。

除了控制使用者賬號外，在「inetd」模式下，我們還可以控制聯(lián)機來源。所有 FreeBSD 中由 inetd 所啟動的服務(wù)都可以經(jīng)由修改 /etc/hosts.allow 以使用 TCP Wrappd 來限制聯(lián)機來源。下列為預設(shè)的 /etc/hosts.allow 內(nèi)容：

# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : .nice.guy.example.com : allow
ftpd : .evil.cracker.example.com : deny
ftpd : ALL : allow

如果我們要限制某幾個 IP 或網(wǎng)域不能使用 FTP，可以使用下列范例：

# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 210.122.13.5 : deny
ftpd : .evil.cracker : deny
ftpd : ALL : allow

我們在上述范例中拒絕 IP 210.122.13.5 及 evil.cracker 網(wǎng)域的主機使用 FTP，并在最后一行設(shè)定其它來源都許可。

如果您要設(shè)定只有某些來源可以使用 FTP，而拒絕大多數(shù)的主機，則可以設(shè)定：

# Provide a small amount of protection for ftpd
ftpd : localhost : allow
ftpd : 192.168.0. : allow
ftpd : my.friend.com : allow
ftpd : ALL : deny

我們設(shè)定了只有本機 (localhost)、192.168.0.x、及 my.friend.com 才可以使用 FTP，其它聯(lián)機都拒絕。

15.3.2 限制上傳下載權(quán)限

在使用者登入后，只要目錄、檔案權(quán)限許可，它們可以自由的上傳、下載檔案。如果您希望加以限制讀寫的權(quán)限，可以在啟動 FTP 時加上下列幾個參數(shù)：

上述的參數(shù)必須在啟動 FTP 服務(wù)器時指定，請參考15.2.3 一節(jié)，針對 inetd 及獨立的 Daemon 有不同的設(shè)定方法。

15.3.3 chroot

一般使用者登入后，預設(shè)會進入自己的家目錄中。使用者可以改變工作路徑到系統(tǒng)的任何目錄中。如果您希望使用者登入后只能在自己的家目錄中活動，而不能進入其它系統(tǒng)目錄中，可以使用 chroot 的功能。

所謂的 chroot 就是將某一個目錄變成使用者看到的根目錄。例如，我們讓使用者 alex 登入后，將 /home/alex 變成根目錄。則 alex 在使用指令「cd /」時，還是會停留在 /home/alex。如果他使用指令「pwd」查看目前所在路徑，則會顯示 /。如此一來，我們就可以確保使用者不會到處亂跑，進入一些不該進入的地方。這個功能對于提升 FTP 的安全性有莫大的助益。

設(shè)定 chroot 的方法很簡單，只要修改 /etc/ftpchroot 即可。chroot 的設(shè)定是以使用者、群組的基礎(chǔ)，以下是幾個設(shè)定范例：

alex
@guest
john /var/ftp
@other /var/ftp

上述范例中的第一行是設(shè)定使用者 alex 登入后，以自己的家目錄為根目錄。第二行的 @guest 表示只要是群組為 guest 的使用者，都以自己的家目錄為根目錄。而第三、四行分別表示使用者 john 及群組 other 都以 /var/ftp 為根目錄。

只要我們善用 chroot 的功能，就可以加強保護系統(tǒng)其它目錄，讓沒有權(quán)利的使用者不可以進入系統(tǒng)目錄中。建議您在開放 FTP 服務(wù)時，將所有使用者都加入 /etc/ftpchroot 中。

15.3.4 匿名的 FTP

我們平常在登入 FreeBSD 的 FTP 站臺時，可以使用 anonymous 或是 ftp 這二個使用者登入，而且在登入時，任何密碼都可以通過。這種可以使用 anonymous 登入的 FTP 就叫作匿名 FTP。anonymous 及 ftp 這二個賬號是預設(shè)的匿名賬號，當使用者以匿名登入時，服務(wù)器會將匿名賬號對映到系統(tǒng)內(nèi)的真實使用者 ftp。所以，如果您要提供匿名的 FTP 服務(wù)，請使用下列指令新增使用者賬號 ftp：

#
		pw adduser ftp
#
		mkdir /home/ftp
#
		chown ftp:ftp /home/ftp

我們建立了使用者 ftp 及其家目錄 /home/ftp。使用 pw 指令所建立的使用者在 /etc/master.passwd 中的密碼字段預設(shè)為 *，表示不可以登入。這個使用者除了匿名 FTP 外，將不可以使用 telnet、SSH、或是其它服務(wù)。

在新增了使用者 ftp 之后，我們就已經(jīng)支持匿名 FTP 的功能了。現(xiàn)在您可以使用 anonymous 或 ftp 賬號登入，而且不需任何密碼。由于開放了匿名 FTP 后，任何人都可以登入系統(tǒng)，所以匿名賬號登入后一定會使用 chroot，以將匿名使用者限制在家目錄中。

除了強制使用 chroot 外，我們還可以在啟動 FTP 時加上一些參數(shù)，以針對匿名使用者進行更多的限制。下表為啟動 FTP 服務(wù)時可以使用的參數(shù)：

匿名使用者權(quán)限除上表中的幾個參數(shù)外，一樣可以使用 -r、-o 等用來控制一般使用者權(quán)限的參數(shù)來控制匿名使用者。

匿名的 FTP 服務(wù)器可以說是危險的開始，如果您沒有對匿名的使用者進行權(quán)限控制，在開于匿名 FTP 后，將會產(chǎn)生許多安全性的問題。最常見的就是您的 FTP 服務(wù)器會被做為檔案交流的跳板或是病毒的集散地。例如，當您的匿名 FTP 站臺允許使用者上傳、下載檔案時，一定會有人將自己的檔案上傳到您的服務(wù)器中，并告訴其它人可以到您的服務(wù)器中下載檔案。此時，您的服務(wù)器莫名其妙就會變成別人的服務(wù)器，任何人都可以用您的服務(wù)器、網(wǎng)絡(luò)頻寬來分享檔案。所以，在匿名模式下，最好還是在啟動 FTP 時加上參數(shù) -r 以取消上傳的功能吧。

15.4 SmbFTPD

SmbFTPD 是筆者從 FreeBSD 5.4 的 FTP daemon 修改而成的軟件。FreeBSD 內(nèi)建的 FTP 服務(wù)器比較簡單，它不支持流量控制、不支持 SSL 加密、對中文檔名的支持也比較差。例如，您無法使用「許」、「功」等中文字。SMbFTPD 除了擁有原本 FreeBSD ftpd 所有功能外，還有更多使用者權(quán)限控制、支持特殊中文字、整合設(shè)定文件路徑及更多功能。另外，它也支持 SSL/TLS 加密的功能，該功能是由 BSDftpd-ssl 移植而來。

SmbFTPD 和一般 FTP daemon 最大的不同在于它使用類似 Samba 的數(shù)據(jù)夾權(quán)限設(shè)定，您可以設(shè)定讓 FTP 使用者登入后所看到的目錄跟使用 Windows 登入 Samba 時一模一樣。也就是說 FTP 登入的使用者對于數(shù)據(jù)夾的存取權(quán)限和使用 Windows 登入 Samba 一模一樣。

而您也可以將 SmbFTPD 做為一般 FTP daemon 使用，或同時支持 Samba 模式。FreeBSD 的 FTP daemon 本來效能就很好，修改過的 SmbFTPD 效能也十分優(yōu)越，而且程序文件本身體積很小。

• 效能優(yōu)越。
• 檔案很小 (約 70KB)，占用內(nèi)存空間小。
• 支援 SSL/TLS 加密。
• 可以更改 port。
• 針對使用者、群組做流量控制。
• 針對使用者、群組設(shè)定 chroot 的路徑。
• 類似 Samba 的數(shù)據(jù)夾權(quán)限，可以針對目錄設(shè)定使用者的讀寫權(quán)限。
• 限制 FTP 指令的使用，如上傳、下載等。
• 匿名使用者登入。
• 諸多匿名使用者的權(quán)限控制。
• 同時支持 Samba 權(quán)限控制模式及一般 FTP 模式。
• 可以拒絕某些使用者 "ls" 出某一個 share 下的檔案。
• 可以拒絕某些使用者下載檔案或是修改已存在的檔案。
• 可以讓某個數(shù)據(jù)夾處于只能上傳的模式。

15.4.1 安裝 SmbFTPD

您可以到 http://www.twbsd.org/cht/smbftpd/index.php 下載最新版的 SmbFTPD，下載 SmbFTPD 后，解壓縮后進行該目錄。接著您就可以執(zhí)行下列指令進行編譯：

# ./configure
# make

configure 指令會偵測您的系統(tǒng)，并依您的環(huán)境以決定編譯時所要加入的功能。例如，是否支持 IPv6、SSL/TLS、TCP Wrapper、或是 PAM 等。

編譯完成后，如果您支持 SSL/TLS，您必須有 SSL 憑證。如果您有安裝 Apache+SSL，您也可以和 Apache 共享它的憑證。如果您要產(chǎn)生憑證，您必須再執(zhí)行下列指令以產(chǎn)生憑證。

# make cert

執(zhí)行上述指令后，我們會先產(chǎn)生一個根憑證，再產(chǎn)生 FTP 所使用的憑證，接著再用我們產(chǎn)生的根憑證為 FTP 用的憑證簽章。全部都完成后，我們就可以使用下列指令來安裝：

# make install

和 FreeBSD 內(nèi)建的 FTP 服務(wù)器一樣，SmbFTPD 可以使用 inetd 或是獨立的 Daemon 方式啟動。如果您要使用 inetd 的方式啟動 SmbFTPD，請修改 /etc/inetd.conf 并加入下列內(nèi)容：

ftp     stream  tcp     nowait  root    /usr/local/sbin/smbftpd smbftpd 

接下來請執(zhí)行下列指令重跑 inetd：

# kill -1 `cat /var/run/inetd.pid`

如果您要以獨立的 Daemon 方式啟動 SmbFTPD，請先在 /etc/rc.conf 加入下列這一行，以在開機時啟動 SmbFTPD：

smbftpd_enable="Yes"

接下來就可以使用下列指令看看是否能啟動 SmbFTPD：

# /usr/local/etc/rc.d/smbftpd.sh start

如果您要停止 SmbFTPD：

# /usr/local/etc/rc.d/smbftpd.sh stop

SmbFTPD 是由 FreeBSD 的 FTP Deamon 改寫而成，所以有些設(shè)定和 FreeBSD 的 FTPD 相同。例如登入前及登入后的訊息可以經(jīng)由設(shè)定 /etc/ftpwelcome 及 /etc/ftpmotd 這二個檔來達成。另外，您也可以設(shè)定 /etc/hosts.allow  以限制聯(lián)機來源。不同的是，不管是以獨立的 Daemon 或是 inetd 方式啟動 SmbFTPD，都可以使用 hosts.allow 的功能。

另外，SmbFTPD 將所有設(shè)定項目放在 /usr/local/etc/smbftpd/smbftpd.conf 中，您可以經(jīng)由修改它來客制化您的服務(wù)器。經(jīng)由修改 smbftpd.conf，您可以設(shè)定使用不同的連接埠、更改服務(wù)器名稱、設(shè)定最大聯(lián)機數(shù)目、目錄權(quán)限、流量控制、SSL 設(shè)定等等。

下列幾個小節(jié)中，我們將介紹一些比較特別的設(shè)定，關(guān)于更多選項及其詳細的設(shè)定請參考 smbftpd.conf 一章中的說明。

15.4.2 限制登入賬號

我們可以設(shè)定限制某些賬號不可以使用 FTP 登入。使用者在登入 FTP 服務(wù)器時，除了賬號密碼要符合外，還有幾個規(guī)則會拒絕該賬號登入：

• 如果 /var/run/nologin 存在，則所有賬號都不可以登入。這個檔案可以用來暫時停止 FTP 服務(wù)。
• 如果 smbftpd.conf 中 EmptyPasswdLogin 沒有設(shè)為 Yes，則使用者一定要有密碼才能登入，沒有密碼的使用者無法登入。
• 使用者名稱及群組不可以出現(xiàn)在 smbftpd.conf 中的 NoLoginList 中。
• 如果 smbftpd.conf 中 RequireValidShell 設(shè)為 Yes，則使用者所使用的 shell 必須要時合法的 shell。合法的 shell 會被定義在 /etc/shells 中。

我們可以看到在 smbftpd.conf 中有三個選項控制了使用者可以登入與否：EmptyPasswdLogin、NoLoginList、RequrieValidShell。 其中，NoLoginList 這個項目可以讓我們設(shè)定不允許登入的使用者清單。

我們在安裝了 SmbFTPD 后，即限制了某些系統(tǒng)使用者登入。我們來看一下該選項的內(nèi)容：

NoLoginList root,toor,daemon,operator,lp,bin,tty,shutdown,kmem,...

這個項目中，每個使用者或群組都是使用逗號分開。如果一個項目的開頭是 "@" 表示群組名稱。例如 @guest 表示群組 guest 不可以登入系統(tǒng)。

15.4.3 限制上下傳頻寬

SmbFTPD 支持針對不同的使用者設(shè)定不同的上下傳頻寬限制。smbftpd.conf 中的 MaxDownloadRate 及 MaxUploadRate 控制了使用者上下傳的頻寬。

這二個選項可以重復設(shè)定多次，以支持多個使用者及群組。MaxDownloadRate 及 MaxUploadRate 的格式如下：

MaxDownloadRate @group|user rate

其格式就是在選項后面加上群組或使用者名稱，最后再加上頻寬的限制，頻寬是以 KB/s 為單位。如果是群組名稱，其開頭必須加上 "@"。我們來看看下列的設(shè)定范例：

MaxDownloadRate @group100 100
MaxDownloadRate ftp 20
MaxDownloadRate @friends 1000

我們可以看到目前有三個控制下傳頻寬的項目。第一個項目表示群組為 group100 的使用者，其下載頻寬為 100 KB/s。第二個項目表示使用者 ftp 的下載頻寬為 20 KB/s。如果您支持匿名的 FTP，匿名 FTP 使用者對于系統(tǒng)而言實質(zhì)賬號是 ftp，您只要針對 ftp 使用者做設(shè)定即可套用在匿名使用者 anonymous 及 ftp 上。

15.4.4 匿名的 FTP

我們平常在登入 FreeBSD 的 FTP 站臺時，可以使用 anonymous 或是 ftp 這二個使用者登入，而且在登入時，任何密碼都可以通過。這種可以使用 anonymous 登入的 FTP 就叫作匿名 FTP。anonymous 及 ftp 這二個賬號是預設(shè)的匿名賬號，當使用者以匿名登入時，服務(wù)器會將匿名賬號對映到系統(tǒng)內(nèi)的真實使用者 ftp。所以，如果您要提供匿名的 FTP 服務(wù)，必須先增加一個真實的使用者賬號 ftp。

在新增了使用者 ftp 之后，我們還必須設(shè)定一下 smbftpd.conf 中關(guān)于匿名登入的項目。在 smbftpd 中，關(guān)于匿名 FTP 的項目有：AnonymousLogin、AnonymousOnly。

AnonymousLogin 控制了是否要啟用匿名使用者登入的功能。如果 AnonymousLogin 設(shè)為 Yes，表示可以使用匿名使用者登入。另外，AnonymousOnly 控制了在允許匿名使用者登入后，是否還要允許一般使用者登入。如果 AnonymousOnly 設(shè)為 Yes，則只有匿名使用者才可以登入，一般使用者都不可以登入哦。

請注意，雖然匿名使用者登入的賬號有二個：anonymous 及 ftp。但我們不管是在設(shè)定流量、目錄權(quán)限時，都只要設(shè)定真實使用者 "ftp" 賬號即可。

15.5 SmbFTPD 的目錄權(quán)限控制

15.5.1 何謂 SMB Mode

SmbFTPD 和一般的 FTP 服務(wù)器最大的不同在于它的目錄權(quán)限管理方式。SmbFTPD 有二種目錄權(quán)限管理方式：一般模式及 SMB 模式。一般模式下，SmbFTPD 的行為就和一般的 FTP 服務(wù)器一樣，使用者登入后可以看到所有的系統(tǒng)目錄。

SMB 模式比較特別，它會依照您的設(shè)定產(chǎn)生一個虛擬的根目錄，在根目錄中，只會顯示該使用者可以使用的資料夾。如果您使用過 Samba，SmbFTPD 的 SMB 模式就和 Samba 的共享數(shù)據(jù)夾設(shè)定類似。例如，您可以設(shè)定一個數(shù)據(jù)夾名為「音樂」，它的真實目錄是在 /home/mp3，并可以設(shè)定哪些使用者可以存取此數(shù)據(jù)夾、只讀或可擦寫、是否可以下載檔案等等。

以下列數(shù)據(jù)夾設(shè)定文件為例：

[音樂]
path = /home/mp3
rw = alex
ro = @guest, john
disable_download = ftp

[upload]
path = /var/ftp
rw = ftp,alex
disable_ls = ftp
disable_download = ftp

上述的范例中，我們有二個共享數(shù)據(jù)夾：「音樂」及「upload」。其中，path 為該數(shù)據(jù)夾位于系統(tǒng)中的真實目錄。rw 為具有讀寫權(quán)限的使用者 清單，而 ro 為只讀的使用者清單。在上述的設(shè)定下，使用者 alex 登入后，如果他在根目錄中下「ls」指令，他將看到下列內(nèi)容：

ftp> ls /
200 PORT command successful.
150 Opening ASCII mode data connection for 'file list'.
dr-x------ 1 root users 512  Feb  3 21:40 音樂
dr-x------ 1 root users 2048 Aug 28 03:18 upload
226 Transfer complete.
ftp>

我們可以看到使用者 alex 登入后，他所看到的根目錄只有二個數(shù)據(jù)夾：「音樂」及「upload」。他的活動范圍也將只限于這二個數(shù)據(jù)夾，而無法進入系統(tǒng)中的其它目錄。也就是說，如果 alex 輸入指令「cd /upload」則會進入「upload」這個數(shù)據(jù)夾中 (在系統(tǒng)中的真正路徑是 /var/ftp)。

SMB 模式的好處在于您可以將不同目錄集中設(shè)定成位于虛擬的根目錄中，并針對這些目錄設(shè)定不同使用者的權(quán)限。使用者權(quán)限可以是只讀、可擦寫、禁止下載檔案、禁止看到目錄中的檔案內(nèi)容，您甚至可以設(shè)定其一個資料夾為隱藏，「ls」時看不到該目錄，但卻可以「cd」進入目錄中。

SMB 模式是一個比較有彈性的目錄權(quán)限管理方式，您可以經(jīng)由設(shè)定 SMB 模式達到多種不同的目錄權(quán)限控制。

我們還可以讓某些使用者使用一般模式，某些使用者使用 SMB 模式。這些設(shè)定十分容易，我們將在下一小節(jié)中做說明。

15.5.2 如何設(shè)定 SMB Mode

在 smbftpd.conf 中有三個選項和 SMB 模式的目錄權(quán)限管理有關(guān)：DefaultMode、ExceptionList、ShareConfPath。

DefaultMode 設(shè)定了預設(shè)的目錄權(quán)限管理模式為何，而 ExecptionList 為例外的清單。如果 DefaultMode 為 Normal，而 ExceptionList 中有使用者 alex，則除了 alex 會使用 SMB 模式外，其它使用者都會使用一般模式。反之，如果 DefaultMode 為 SMB，則 ExceptionList 中的使用者或群組將使用一般模式，其它的使用者會使用 SMB 模式的目錄權(quán)限管理方式。

ShareConfPath 設(shè)定了共享數(shù)據(jù)夾設(shè)定文件的位置，預設(shè)為 /usr/local/etc/smbftpd/smbftpd_share.conf。每一個以中括號括起來的區(qū)段都是一個數(shù)據(jù)夾的設(shè)定，下列即為數(shù)據(jù)夾設(shè)定的范例：

[音樂]
path = /home/mp3
rw = alex
ro = @guest, john
disable_download = ftp

每一個資料夾的區(qū)段都有下列這幾個關(guān)鍵詞可用：

• path：設(shè)定數(shù)據(jù)夾的實際路徑。
• rw：設(shè)定具有讀寫權(quán)限的使用者及群組。
• ro：設(shè)定只能進行只讀的使用者及群組。
• disable_download：設(shè)定禁止使用下載功能的使用者及群組。
• disable_ls：設(shè)定在數(shù)據(jù)夾中 ls 看不到數(shù)據(jù)夾內(nèi)容的使用者及群組。
• disable_modify：設(shè)定不可以修改此資料夾中已經(jīng)在的檔案之使用者及群組。在此項目中的使用者或群組無法更名、刪除、修改已存在的檔案或目錄，只能上傳及建立新目錄。但前提是使用者必須具有 rw 的權(quán)限。
• browseable：設(shè)定此數(shù)據(jù)夾在列出根目錄的所有數(shù)據(jù)夾時是否要顯示。這個項目只能設(shè)定 Yes 或 No，如果設(shè)定為 No，則使用者 「ls /」時將看不到此數(shù)據(jù)夾，但可以使用「cd」指令進入該數(shù)據(jù)夾內(nèi)。

除了 path 及 browseable 外，每一個項目可以加上使用者及群組的設(shè)定。如果是群組名稱，其開頭必須加上 "@" 符號。例如，上述范例中，@guest 表示 guest 群組。

您必須要特別注意的是，當您設(shè)定了使用者對于數(shù)據(jù)夾的權(quán)限是只讀或可擦寫后，該使用者或群組在系統(tǒng)中的 UNIX 權(quán)限也必須要符合設(shè)定才會有作用。例如，如果一個數(shù)據(jù)夾對使用者 alex 設(shè)定為可擦寫，您必須確定 alex 對于數(shù)據(jù)夾在系統(tǒng)中的權(quán)限是可擦寫，如果不是，您必須使用 chmod 的指令改變該目錄的屬性。

另外，我們有一個特別的數(shù)據(jù)夾名稱「homes」，如果有 homes 這個數(shù)據(jù)夾的設(shè)定，則使用者登入后會看到一個數(shù)據(jù)夾名為「home」，該數(shù)據(jù)夾即為使用者的家目錄。家目錄預設(shè)是該使用者具有讀寫的權(quán)限，所以您無法設(shè)定 rw、ro 這二個參數(shù)。而且，您也無法設(shè)定 path，使用者家目錄的所在路徑是由系統(tǒng)密碼文件中的設(shè)定而決定。您只能設(shè)定 browseable、disable_ls、disable_modify、及 disable_download。

如果您的 SmbFTPD 支持匿名使用者，匿名使用者 anonymous 及 ftp 會被對映到真實的使用者 ftp，您只要針對 ftp 使用者做設(shè)定即會套用在匿名使用者上。

在修改了 smbftpd_share.conf 后，您必須重新啟動 SmbFTPD 后設(shè)定才會生效。

15.5.3 設(shè)定范例

我們列舉幾個設(shè)定的范例讓您參考。

范例一：

我們設(shè)定一個數(shù)據(jù)夾名為「public」，其真實路徑是 /home/public。只有 wheel 群組的使用者具有讀寫權(quán)限，而匿名使用者及 guest 群組只具有只讀的權(quán)限。

[public]
path = /home/public
rw = @wheel
ro = @guest, ftp

范例二：

我們設(shè)定一個數(shù)據(jù)夾名為「private」，其真實路徑是 /home/movie。只有使用者 alex 具有讀寫的權(quán)限，而 friend 群組只能只讀，另外，guest 群組的使用者無法下載該數(shù)據(jù)夾中的任何檔案。

[public]
path = /home/movie
rw = alex
ro = @guest, @friend
disable_download = @guest

范例三：

我們設(shè)定一個數(shù)據(jù)夾名為「upload」，其真實路徑是 /var/ftp/pub。只有使用者 alex 具有完整的讀寫權(quán)限，匿名使用者無法下載檔案、看不到目錄中的檔案、無法修改目錄中的檔案、只能上傳檔案。

[upload]
path = /var/ftp/pub
rw = alex,ftp
disable_download = ftp
disable_modify = ftp
disable_ls = ftp

15.5.4 chroot

我們除了可以使用 SMB 模式以創(chuàng)造出虛擬的根目錄外，SmbFTPD 還支持 chroot 的功能。

所謂的 chroot 就是將某一個目錄變成使用者看到的根目錄。例如，我們讓使用者 alex 登入后，將 /home/alex 變成根目錄。則 alex 在使用指令「cd /」時，還是會停留在 /home/alex。如果他使用指令「pwd」查看目前所在路徑，則會顯示 /。如此一來，我們就可以確保使用者不會到處亂跑，進入一些不該進入的地方。這個功能對于提升 FTP 的安全性有莫大的助益。

當一個使用者同時屬于 SMB 模式及 chroot 時，我們會使用 chroot 而非 SMB 模式。

設(shè)定 chroot 的方法很簡單，只要修改 smbftpd.conf，將使用者加入 ChrootSet 即可。ChrootSet 選項的設(shè)定是以使用者、群組的基礎(chǔ)，我們可以同時設(shè)定多個 ChrootSet。以下是幾個設(shè)定范例：

ChrootSet ftp /var/spool/ftp
ChrootSet @ftpgroup ~
ChrootSet @webusers ~/public_html

上述范例中的第一行是設(shè)定所有匿名的使用者都以 /var/spool/ftp 為根目錄。第二行表示只要是群組為 ftpgroup 的使用者都以自己的家目錄為根目錄。而第三行表示只要是群組為 webusers 的使用者都以自己家目錄下的 public_html 為根目錄。

在 ChrootSet 的選項中，群組名稱開頭都會有 "@" 符號。而目錄名稱 "~" 表示是使用者的家目錄。

另外，如果只有一個 "@" 符號，表示所有使用者。下列范例即表示所有的使用者都以自己的家目錄為根目錄：

ChrootSet @ ~

只要我們善用 chroot 的功能，就可以加強保護系統(tǒng)其它目錄，讓沒有權(quán)利的使用者不可以進入系統(tǒng)目錄中。

15.6 SSL/TLS 聯(lián)機加密

15.6.1 設(shè)定啟用 SSL/TLS

當我們使用網(wǎng)絡(luò)服務(wù)時，經(jīng)由網(wǎng)絡(luò)傳送的數(shù)據(jù)都有可能被他人攔截竊聽。簡單的說，當您從網(wǎng)頁上輸入賬號密碼時，如果有人在您所使用的計算機和服務(wù)器之間攔截，就可以輕易的從網(wǎng)絡(luò)封包中竊聽到您所輸入的數(shù)據(jù)。

SSL 的加密方式是由服務(wù)器端提供了一組加解密用的金鑰，在服務(wù)器端所使用的是私密金鑰 (Private key)，而客戶端所使用的是公開金鑰 (Public key)。在聯(lián)機建立后，HTTP 服務(wù)器會將公開金鑰傳給客戶端使用。公開金鑰加密過的資料只能由私密金鑰解密，在客戶端要送出數(shù)據(jù)之前，會先使用公開金鑰進行加密的動作，而服務(wù)器收到數(shù)據(jù)后，會使用私密金鑰進行解密。

如果您的系統(tǒng)有安裝 OpenSSL，則 SmbFTPD 安裝后即支持 SSL 的功能。在下列 configure 的訊息中，「Check SSL support」為「YES」表示有支持 SSL。

#
		./configure
opie..................  [YES]
libutil.h.............  [YES]
O_EXLOCK..............  [YES]
FD_COPY...............  [YES]
TCP Wrapper...........  [YES]
Have printflike.......  [YES]
pw_expire.............  [YES]
bsd glob..............  [YES]
MD5File...............  [YES]
user_from_uid.........  [YES]
Shadow passowd........  [NO]
Linux sendfile........  [NO]
FreeBSD sendfile......  [YES]
Use PAM...............  [YES]
Check setproctitle....  [YES]
Check fgetln..........  [YES]
Check sin_len.........  [YES]
Check IPv6 support....  [YES]
Check SSL support.....  [YES]

Finished configure.

在執(zhí)行完 configure 及 make 之后，即完成編譯。在安裝前，我們會執(zhí)行「make cert」以產(chǎn)生 SSL 憑證。最后「make install」會將 SSL 憑證安裝在 /usr/local/etc/smbftpd/ 目錄中。

在啟動 SmbFTPD 之前，您必須先設(shè)定 smbftpd.conf 以啟用 SSL 功能。smbftpd.conf 中所有 SSL 相關(guān)的選項說明請參考下一章的說明，我們這里只說明幾個常用的項目。

首先是「SecurityPolicy」，這個項目用來控制是否要啟用 SSL 的功能。「secure」 為只允許使用 SSL 聯(lián)機，「nosecure」 為不使用 SSL 聯(lián)機，「both」 為二種聯(lián)機都支持，預設(shè)為 「both」。

「NormalUserMustSecure」用來控制是否要強制一般使用者使用 SSL 聯(lián)機。因為 SSL 主要是用來保護密碼、個人數(shù)據(jù)，如果您強制將「NormalUserMustSecure」設(shè)為 Yes，則一般使用者一定要使用 SSL 才能登入。

「AnonymDisableSecure」用以控制匿名使用者是否要使用 SSL。當 AnonymDisableSecure 設(shè)為「Yes」時，系統(tǒng)將不允許匿名的使用者使用加密的聯(lián)機。既然 SSL/TLS 的目的是避免使用者數(shù)據(jù)在網(wǎng)絡(luò)上流傳，而匿名使用者是任何人都可以使用，保護匿名使用者的數(shù)據(jù)似乎比較不需要。所以您可以將這個選項設(shè)為「No」，以避免匿名使用者也使用加密聯(lián)機登入，徒然耗費 CPU 的資源。

15.6.2 安裝支持 SSL/TLS 的客戶端軟件

在支持 SSL/TLS 的客戶端軟件方面，如果您使用 Windows，建議您使用 Filezilla (http://filezilla.sourceforge.net/)。Filezilla 支持 SSL 及 TLS，而且 FTP client 的功能相當完整。它是一套免費、持續(xù)更新中的軟件。

如果您使用 FreeBSD，可以使用下列指令安裝 ftp-tls：

#
		cd /usr/ports/ftp/ftp-tls
#
		make install

接下來您就可以使用下列指令連到您的 FTP Server 了：

#
		/usr/bin/ftp-tls 192.168.0.1

15.7 smbftpd.conf

15.7.1 系統(tǒng)區(qū)段

ServerName 定義服務(wù)器名稱

這個選項可以用來定義您的服務(wù)器名稱，當使用者登入后將看到：

Connected to localhost.com.
220 Server Name FTP server (SmbFTPD Ver 0.9) ready.
Name (localhost:alex):

如果您沒有設(shè)定 ServerName，則 SmbFTPD 將顯示系統(tǒng)的 Hostname。

ServerName "Server Name"

ListenOnAddress 設(shè)定要提供服務(wù)的 IP

當使用 -D 模式 (standalone) 啟動 FTP 時，您可以指定只接受連到這個地址的聯(lián)機。例如，假設(shè)您有二張網(wǎng)絡(luò)卡，一個 IP 是 172.16.1.1，另一個是 61.62.63.64，您可以設(shè)定 ListenOnAddress 172.16.1.1 以表示只接受連到這個 IP 的聯(lián)機。

如果您要接受所有聯(lián)機，則請移除這個選項。

ListenOnAddress 192.168.0.1

Port 設(shè)定連接埠

當使用 -D 模式 (standalone) 啟動 FTP 時，您可以指定 SmbFTPD 所要使用的 Port。一般的 FTP port 為 21，您也可以使用 ftp 這個字符串表示，系統(tǒng)會自動去 /etc/service 中查到相對的 port。

Port 21

Umask 設(shè)定新建檔案的權(quán)限

當使用者建立檔案或目錄時，所要使用的 umask。例如，您想要讓使用者新增檔案時的權(quán)限為 644，則設(shè) umask 為 022。詳細關(guān)于 umask 的設(shè)定請 man 2 umask。這個選項的值必須為 8 進位的數(shù)字，如 022、027 等。

Umask 022

PidFile 設(shè)定存放 Process ID 的檔案

這是您要存放 smbftpd pid 檔的地方，當使用 daemon 模式時，我們會將 smbftpd 的 process id 寫到這個檔案中。

PidFile /var/run/smbftpd.pid

DebugMode 啟用除錯模式

是否要用 syslog 記錄更多除錯用的訊息。這個選項的值可以是 Yes 或 No，默認值為 No。

DebugMode No

LogCommand 記錄使用者執(zhí)行過的指令

是否要使用 syslog 的 LOG_FTP 記錄使用者執(zhí)行過的 FTP 指令。如果您將這個指令設(shè)為 Yes， 則使用者所執(zhí)行的 retrieve(get)、store(put)、append、delete、mkdir、rmdir、rename 等都會被記錄下來，并用記錄該指令的文件名參數(shù)。在 FreeBSD 中，syslogd 會將這些記錄在 /var/log/xferlog 中。 這個選項的值可以是 Yes 或 No，默認值為 No。

LogCommand No

DoWtmpLog 記錄登入記錄

是否要將 ftp 聯(lián)機記錄在 /var/log/wtmp 中。這個選項的值可以是 Yes 或 No，默認值為 No。

DoWtmpLog No

DisableEPSV 停用指令 EPSV

是否要停用 EPSV 這個指令。如果您的服務(wù)器位于一些舊的防火墻后面，而一直無法聯(lián)機，您可以設(shè)著停用 EPSV。這個選項的值可以是 Yes 或 No，默認值為 No。

DisableEPSV No

ShowSymlink 是否要顯示符號連結(jié)文件

當 ShowSymlink 為 No ，我們在使用者 ls 時不會列出 symbolic link 的檔案或目錄。這個選項的值可以是 Yes 或 No，默認值為 No。

ShowSymlink No

RestrictedPorts 禁止使用小于 1024 的埠號

當這個選項設(shè)為 No 時，smbftpd 將不檢查限制使用者使用的連結(jié)埠。我們預設(shè)限制使用者在使用 PORT 命令時，只能使用 unprivileged ports (> 1024)，不過這樣將違反 FTP protocol。

這個選項的值可以是 Yes 或 No，默認值為 No。

RestrictedPorts Yes

RestrictedDataPorts 限制數(shù)據(jù)聯(lián)機所使用的端口號

這個指令設(shè)成 NO 時，smbftpd 將只使用 port 定義范圍在 IP_PORTRANGE_DEFAULT 的 port，而非 IP_PORTRANGE_HIGH 的 port。這個選項對于某些特殊的防火墻設(shè)定蠻有用的。請 man 4 ip 以得到更多信息。

這個選項的值可以是 Yes 或 No，默認值為 No。

RestrictedDataPorts Yes

15.7.2 使用者登入控制

MaxConnection 設(shè)定最多聯(lián)機數(shù)目

這個選項可以讓您控制最多同時聯(lián)機的數(shù)量。如果 MaxConnection 大于 0，則在聯(lián)機數(shù)目到達您所設(shè)定的值時，使用者就無法再登入。如果值為 0，則表示不做任何限制。

MaxConnection 30

RequireValidShell 登入的使用者是否要有合法 Sheel

當 RequireValidShell 為 Yes 時，使用者必須有合法的 shell 才可以登入。合法的 shell 是以 getusershell(3) 這個函數(shù)取得，大多數(shù)的操作系統(tǒng)中，合法的 shell 都被定義在 /etc/shells 中。這個選項的值可以是 Yes 或 No，默認值為 No。

RequireValidShell No

EmptyPasswdLogin 是否允許空白密碼

是否允許空密碼的使用者登入。

這個選項的值可以是 Yes 或 No，默認值為 No。

EmptyPasswdLogin No

NoLoginList 設(shè)定禁止登入的使用者清單

設(shè)定您不想讓其登入的使用者，在 NoLoginList 中的使用者或群組不可以登入。

最新評論