ProFTPD中權限的設置
ProFTPD權限的設置:本文主要講的是ProFTPD的訪問控制。主要通過 Allow、Deny、Order、Limit四個指令來實現。其中Allow和Deny就是允許或不允許用戶或主機進行操作,Order確定規則的運用順序,即是先運用Allow規則還是Deny規則。Limit就是限制用戶或主機能夠執行哪些操作,下面就進行詳細的說明:
1、Allow
Allow指令位于
- Order allow,deny
- Allow from 192.168.1.96,trusted-domain.com
- Deny from all
這個例子的意思就是只允許主機192.168.1.96、trusted-domain.com和10.1.1.網段的主機登錄。
2、Deny
Deny指令的意思和Allow指令相反,用法相似,這里就不詳細說明了。
3、Order
Order用來控制訪問控制指令的優先權,在上面的例子中,Order allow,deny就表示先運用Allow規則然后再運用Deny規則。
4、Limit
在ProFTPD的訪問控制中我們用的比較多的應該就是Limit了,Limit也是這四個指令中最復雜的。Limit指令是用來控制命令和行為的,它有三種參數類型:原始FTP命令、FTP命令組和ALL關鍵字。FTP命令組是多個原始FTP命令組合起來的,可以實現一定功能的命令集合。FTP命令組主要包括DIRS(列出目錄)、LOGIN(登錄)、READ(可讀)、WRITE(可寫)。這三種參數是有優先級的:原始FTP命令 > FTP命令組 > ALL關鍵字。 也就是說,如果Limit指令的參數中既有原始FTP命令也有FTP命令組,那么就只有原始FTP命令起作用而FTP命令組就會被忽視掉。
Limit指令一般用在
在
5、實例
下面就來舉幾個例子說明上述指令的用法:
(1)指定某個目錄只能由管理員刪除,其他用戶只能上傳下載
- AllowUser ftpadm
- DenyAll
(2)指定某臺主機對某個目錄的訪問權限
- DenyAll
- Order allow,deny
- Allow from 192.168.1.93
- Deny from all
- Order allow,deny
- Allow from 192.168.1.96
- Allow from 192.168.1.93
- Deny from all
這里實現了主機192.168.1.93對目錄/path/to/dir有讀寫權限,而主機192.168.1.96只有只讀權限。在這里需要說明的是,在
(3)只允許匿名用戶登錄
- DenyAll
- AllowAll
LOGIN命令用來限制登錄,該命令對于
enyUser foo
6、總結
***總結一下:
繼承性 :子目錄會繼承其父目錄的屬性。
優先級 :優先級由大到小的順序:
原始FTP命令(LIST DELE等) > 命令組(DIRS READ WRITE) > ALL關鍵字
訪問控制的應用順序 :不論出現順序如何,先應用拒絕(Deny),后應用允許(Allow)
系統權限 :Linux系統權限仍然起作用。如果設置了目錄test的
默認值 :在
【編輯推薦】
