AIX上的FTP设置(原创)-阿里云开发者社区

开发者社区> ghost丶桃子> 正文

AIX上的FTP设置(原创)

简介:
+关注继续查看

FTP服务

FTP是用于Internet上的控制文件双向传输的协议。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。
FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)查看远程计算机有哪些文件,然后把文件从远程计算机上拷贝到本地计算机,或把本地计算机的文件传送到远程计算机上去。
IBM AIX操作系统在安装完之后会默认安装ftp,查看/etc/inetd.conf文件,会有如下行
ftp stream tcp6 nowait root /usr/sbin/ftpd ftp
这表明系统会默认启动AIX自带的ftpd,使AIX提供标准的ftp服务。但是AIX提供的ftp服务具有一定的局限性,对用户的控制不够灵活,往往需要借助wu-ftp,vsftpd这类第三方ftp工具进行ftp管理。
默认ftp 属于inetd内的服务,/etc/initab ->rc.tcpip inetd 通过/etc/inetd.conf来配置是否运行
lssrc -ls inetd
startsrc -t ftp              #启动ftp
startsrc -s tcpip         #把所有tcpip子系统都起来,当然是inetd和inittab没有关闭FTP情况下

配置ftp

修改上传文件的默认属性

在AIX环境中,当用户从Windows上传文件到AIX服务器时所传文件的缺省读写属性为640(rw-r-----)。如想改变缺省读写属性为 644,首先用vi编辑器打开/etc/inetd.conf文件,在"ftp"定义行的末尾加上"-u 033",如

ftp stream tcp6 nowait root /usr/sbin/ftpd ftp -u 033

然后刷新inetd进程:
refresh -s inetd
这就改变了ftp文件的缺省属性。
使用ftp自动传输文件
作为客户端,使用ftp自动传输文件
1. 在用户根目录下创建文件.netrc
2. 设置.netrc的属性为600,owner 为ftp用户
3.定制.netrc的内容.如:
machine <host_name> login <ftp_user> password <ftp_user_password>
macdef init
get file1
put file2
....
quit
<space_line>
注:.netrc必须以一空行结束。
记录ftp的日志
日志的记录可以便于我们及时的发现ftp中的异常行为,对ftp能够进行较为全面的监控。
修改办法:
1. 修改/etc/syslog.conf文件,并加入一行:
daemon.info /var/ftp.log
将FTP日志记录在 /var/ftp.log中,该文件需在日志记录生效前生成。
2. 运行"refresh -s syslogd"命令刷新syslogd 后台程序。
3. 修改/etc/inetd.conf文件,修改下面的数据行:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l
4. 运行“refresh -s inetd”命令刷新inetd后台程序。
拒绝某些用户的ftp访问
系统中存在着很多用户,各个用户都有其相对应的职能,在这其中不乏有很多是权限级别较高的用户,对于这部分用户ftp的控制就显得尤为重要。 
修改办法:
编辑 /etc/ftpusers ,添加需要拒绝的用户,每用户一行。例如:
#more /etc/ftpusers
lhq
ljb
当尝试 ftp 登录时,系统报错:
Name (localhost:root): lhq
530 User lhq access denied.
Login failed 
限制FTP用户只可访问自己的目录
系统中每个用户的目录是相对较独立的,有时候需要系统中涉及到的一些敏感信息仅能被该文件属主所查阅,然而ftp默认的登录方式是允许用户查看所有的目录结构,因此也存在着一定的安全隐患,对FTP登录之后用户访问的控制也很有必要。
修改办法:
#vi /etc/ftpaccess.ctl
puseronly: update,staff   
注意,update为你需要限制目录的用户,staff是你需要限制目录的组)。
执行 refresh -s inetd;
$HOME标示该用户的主目录
# mkdir bin
# chown root bin
# cp /bin/ls $HOME/bin/ls
# chmod 111 $HOME/bin/ls
# chmod 555 $HOME/bin
# chgrp system $HOME/bin
拷贝必须的库文件:
# mkdir lib
# chmod 555 lib
# chgrp system $HOME/lib
# cp /lib/libc.a lib/libc.a
# cp /lib/libcurses.a lib/libcurses.a
# cp /lib/libcrypt.a lib/libcrypt.a
重启ftp服务:
#stopsrc -t ftp
#startsrc -t ftp

关于/etc/ftpaccess.ctl的详细配置可参见如下链接

http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm
限制FTP上传文件的权限
用户使用ftp向服务器传输文件后,经常会很沮丧的告诉管理员,我不小心把文件误操作了,能不能帮我们再上传一次,我们不能期望所有的用户都是专家,所以对ftp上传文件进行权限设置不失为一个理想的选择。
修改办法:
1. 将文件 /etc/inetd.conf中ftp一行改为:
ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -u xxx
其中-u是新的umask。666-xxx所得权限为设定的ftp上传文件默认权限。
2. refresh -s inetd
这种方法对所有使用ftp的用户有效。已经连接的用户需要重新连接使新设置生效。

 

参考至:http://unix-cd.com/vc/www/38/2010-12/17385.html

                 http://www.aixchina.net/club/thread-16736-1-1.html

                 http://swvip.iteye.com/blog/1000774

                 http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.files%2Fdoc%2Faixfiles%2Fftpaccess.ctl.htm

                 http://www.aixchina.net/home/space.PHP?uid=14302&do=blog&id=25561

                 http://tiany.blog.51cto.com/513694/791845

                 http://blog.csdn.net/qshpeng/article/details/8511303

                 http://blog.chinaunix.net/uid-20326103-id-1966238.html
本文原创,转载请注明出处、作者

如有错误,欢迎指正
邮箱:czmcj@163.com


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Linux(RHEL4)中ftp的设置暨530错误的解决方法
         在windows上使用ftp命令登录Linux服务器时总是提示:530 Must perform authentication before identifying USER。明明在服务器已经建立了test用户,但是使用该用户登录时,却不能成功,但是从Linux的日志可以看到已经连接上服务器,但是并没有登录成功。
737 0
vsftp为不同用户设置不同的ftp的根目录
需求要求ftp登录后的根目录是/var/test/,但是又不能影响其他用户的登录路径,因为有些程序是直接在根目录进行操作的,而没有目录切换的过程。操作过程新建用户useradd test1useradd test2passwd test1passwd test2vsftpd配置# 用户登录路径,lo...
1433 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4485 0
SharePoint 2013 对象模型操作"网站设置"菜单
  在SharePoint的开发中,经常会有客户提到网站操作上的栏目过多,其实,我们除了可以通过Feature的方式添加,还可以通过服务器端对象模型的方式添加;下面,让我用简单的例子,给大家介绍一下;   1、操作SiteAction,添加“Add by Linyu”,隐藏“Site Settin...
805 0
vs2008设置include与lib的方法
tools-->options--->projects and solutions-->VC++ directoris 然后在show directoris for 中选择 下面是安装DirectX SDK时搜到的 1 首先要安装DirectX SDK 2 打开 VS2008 工具---》选项---...
599 0
1955
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载