ProFTPD权限的设置:本文主要讲的是ProFTPD的访问控制。主要通过 Allow、Deny、Order、Limit四个指令来实现。其中Allow和Deny就是允许或不允许用户或主机进行操作,Order确定规则的运用顺序,即是先运用Allow规则还是Deny规则。Limit就是限制用户或主机能够执行哪些操作,下面就进行详细的说明:
1、Allow
Allow指令位于
- Order allow,deny
- Allow from 192.168.1.96,trusted-domain.com
- Deny from all
这个例子的意思就是只允许主机192.168.1.96、trusted-domain.com和10.1.1.网段的主机登录。
2、Deny
Deny指令的意思和Allow指令相反,用法相似,这里就不详细说明了。
3、Order
Order用来控制访问控制指令的优先权,在上面的例子中,Order allow,deny就表示先运用Allow规则然后再运用Deny规则。
4、Limit
在ProFTPD的访问控制中我们用的比较多的应该就是Limit了,Limit也是这四个指令中最复杂的。Limit指令是用来控制命令和行为的,它有三种参数类型:原始FTP命令、FTP命令组和ALL关键字。FTP命令组是多个原始FTP命令组合起来的,可以实现一定功能的命令集合。FTP命令组主要包括DIRS(列出目录)、LOGIN(登录)、READ(可读)、WRITE(可写)。这三种参数是有优先级的:原始FTP命令 > FTP命令组 > ALL关键字。 也就是说,如果Limit指令的参数中既有原始FTP命令也有FTP命令组,那么就只有原始FTP命令起作用而FTP命令组就会被忽视掉。
Limit指令一般用在
在
5、实例
下面就来举几个例子说明上述指令的用法:
(1)指定某个目录只能由管理员删除,其他用户只能上传下载
- AllowUser ftpadm
- DenyAll
(2)指定某台主机对某个目录的访问权限
- DenyAll
- Order allow,deny
- Allow from 192.168.1.93
- Deny from all
- Order allow,deny
- Allow from 192.168.1.96
- Allow from 192.168.1.93
- Deny from all
这里实现了主机192.168.1.93对目录/path/to/dir有读写权限,而主机192.168.1.96只有只读权限。在这里需要说明的是,在
(3)只允许匿名用户登录
- DenyAll
- AllowAll
LOGIN命令用来限制登录,该命令对于
enyUser foo
6、总结
***总结一下:
继承性 :子目录会继承其父目录的属性。
优先级 :优先级由大到小的顺序:
原始FTP命令(LIST DELE等) > 命令组(DIRS READ WRITE) > ALL关键字
访问控制的应用顺序 :不论出现顺序如何,先应用拒绝(Deny),后应用允许(Allow)
系统权限 :Linux系统权限仍然起作用。如果设置了目录test的
默认值 :在
【编辑推荐】
