AIX上的FTP设置(原创)
FTP服务
FTP是用于Internet上的控制文件双向传输的协议。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。
FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)查看远程计算机有哪些文件,然后把文件从远程计算机上拷贝到本地计算机,或把本地计算机的文件传送到远程计算机上去。
IBM AIX操作系统在安装完之后会默认安装ftp,查看/etc/inetd.conf文件,会有如下行
ftp stream tcp6 nowait root /usr/sbin/ftpd ftp
这表明系统会默认启动AIX自带的ftpd,使AIX提供标准的ftp服务。但是AIX提供的ftp服务具有一定的局限性,对用户的控制不够灵活,往往需要借助wu-ftp,vsftpd这类第三方ftp工具进行ftp管理。
默认ftp 属于inetd内的服务,/etc/initab ->rc.tcpip inetd 通过/etc/inetd.conf来配置是否运行
lssrc -ls inetd
startsrc -t ftp ? ? ? ?? ? ? #启动ftp
startsrc -s tcpip???????? #把所有tcpip子系统都起来,当然是inetd和inittab没有关闭FTP情况下
配置ftp
修改上传文件的默认属性
在AIX环境中,当用户从Windows上传文件到AIX服务器时所传文件的缺省读写属性为640(rw-r-----)。如想改变缺省读写属性为 644,首先用vi编辑器打开/etc/inetd.conf文件,在"ftp"定义行的末尾加上"-u 033",如
ftp stream tcp6 nowait root /usr/sbin/ftpd ftp -u 033
然后刷新inetd进程:
refresh -s inetd
这就改变了ftp文件的缺省属性。
使用ftp自动传输文件
作为客户端,使用ftp自动传输文件
1. 在用户根目录下创建文件.netrc
2. 设置.netrc的属性为600,owner 为ftp用户
3.定制.netrc的内容.如:
machine <host_name> login <ftp_user> password <ftp_user_password>
macdef init
get file1
put file2
....
quit
<space_line>
注:.netrc必须以一空行结束。
记录ftp的日志
日志的记录可以便于我们及时的发现ftp中的异常行为,对ftp能够进行较为全面的监控。
修改办法:
1. 修改/etc/syslog.conf文件,并加入一行:
daemon.info /var/ftp.log
将FTP日志记录在 /var/ftp.log中,该文件需在日志记录生效前生成。
2. 运行"refresh -s syslogd"命令刷新syslogd 后台程序。
3. 修改/etc/inetd.conf文件,修改下面的数据行:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l
4. 运行“refresh -s inetd”命令刷新inetd后台程序。
拒绝某些用户的ftp访问
系统中存在着很多用户,各个用户都有其相对应的职能,在这其中不乏有很多是权限级别较高的用户,对于这部分用户ftp的控制就显得尤为重要。
修改办法:
编辑 /etc/ftpusers ,添加需要拒绝的用户,每用户一行。例如:
#more /etc/ftpusers
lhq
ljb
当尝试 ftp 登录时,系统报错:
Name (localhost:root): lhq
530 User lhq access denied.
Login failed
限制FTP用户只可访问自己的目录
系统中每个用户的目录是相对较独立的,有时候需要系统中涉及到的一些敏感信息仅能被该文件属主所查阅,然而ftp默认的登录方式是允许用户查看所有的目录结构,因此也存在着一定的安全隐患,对FTP登录之后用户访问的控制也很有必要。
修改办法:
#vi /etc/ftpaccess.ctl
puseronly: update,staff??
注意,update为你需要限制目录的用户,staff是你需要限制目录的组)。
执行 refresh -s inetd;
$HOME标示该用户的主目录
# mkdir bin
# chown root bin
# cp /bin/ls $HOME/bin/ls
# chmod 111 $HOME/bin/ls
# chmod 555 $HOME/bin
# chgrp system $HOME/bin
拷贝必须的库文件:
# mkdir lib
# chmod 555 lib
# chgrp system $HOME/lib
# cp /lib/libc.a lib/libc.a
# cp /lib/libcurses.a lib/libcurses.a
# cp /lib/libcrypt.a lib/libcrypt.a
重启ftp服务:
#stopsrc -t ftp
#startsrc -t ftp
关于/etc/ftpaccess.ctl的详细配置可参见如下链接
http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm
限制FTP上传文件的权限
用户使用ftp向服务器传输文件后,经常会很沮丧的告诉管理员,我不小心把文件误操作了,能不能帮我们再上传一次,我们不能期望所有的用户都是专家,所以对ftp上传文件进行权限设置不失为一个理想的选择。
修改办法:
1. 将文件 /etc/inetd.conf中ftp一行改为:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -u xxx
其中-u是新的umask。666-xxx所得权限为设定的ftp上传文件默认权限。
2. refresh -s inetd
这种方法对所有使用ftp的用户有效。已经连接的用户需要重新连接使新设置生效。
?
参考至:http://unix-cd.com/vc/www/38/2010-12/17385.html
???????????????? http://www.aixchina.net/club/thread-16736-1-1.html
???????????????? http://swvip.iteye.com/blog/1000774
???????????????? http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm
???????????????? http://www.aixchina.net/home/space.php?uid=14302&do=blog&id=25561
???????????????? http://tiany.blog.51cto.com/513694/791845
???????????????? http://blog.csdn.net/qshpeng/article/details/8511303
???????????????? http://blog.chinaunix.net/uid-20326103-id-1966238.html
本文原创,转载请注明出处、作者
如有错误,欢迎指正
邮箱:czmcj@163.com