linux限制用戶ftp訪問權(quán)限

1、linux限制用戶ftp訪問權(quán)限2009-12-09 11:09客戶端需要進(jìn)行update時(shí)，需要ftp訪問服務(wù)器的相應(yīng)目錄，為了限制用 戶在ftp后還能訪問其他路徑，需要進(jìn)行相關(guān)限制。此文將進(jìn)行簡單介紹，共 享，不足處請指出。1、環(huán)境：redhat linux企業(yè)版4。ftp為vsftp。被限制用戶名為aaa。被限 制路徑為/bbb。2、建用戶：在root用戶下，相繼進(jìn)行如下操作adduser aaa/增加用戶 aaa，useradd=adduser；userdel aaa/刪除用戶 aaa；passwd aaa為aaa設(shè)置密碼，先后輸入兩遍，在輸入密碼時(shí)屏幕沒有顯示，沒關(guān)系，只要沒輸錯(cuò)就行

2、；用戶建完后，會在/home下生成/home/aaa的主目錄。如果不想要默認(rèn)的 路徑，可以在建用戶時(shí)用命令指定：adduser -d /bbb aaa3、更改設(shè)置（可參閱： HYPERLINK /administer/25524.html /administer/25524.html）：更改用戶不能telnet，只能ftp：usermod -s /sbin/nologin aaa/用戶只能 ftp，不能 telnetusermod -s /sbin/bash aaa /用戶恢復(fù)正常更改用戶主目錄：usermod -d /bbb aaa把用戶的主目錄定為/bbb4、限制用戶只能訪問/bbb，不能

3、訪問其他路徑修改/etc/vsftpd/vsftpd.conf 如下：chroot_list_enable=YES限制訪問自身目錄# （default follows）chroot_list_file=/etc/vsftpd/vsftpd.chroot_list/需要在相應(yīng)路徑下編輯vsftpd.chroot_list文件，將受限制的用戶列在其中5、如果需要允許用戶修改密碼，但是又沒有telnet登錄系統(tǒng)的權(quán)限，可以usermod -s /usr/bin/passwd aaa用戶 telnet 后將直接進(jìn)入改密界面6、為用戶做磁盤限額（以下引自 HYPERLINK /docs/linux/RH

4、9/rhl-cg-zh_CN-9/ch-disk-quotas.h /docs/linux/RH9/rhl-cg-zh CN-9/ch-disk-quotas.h tml，未做驗(yàn)證）實(shí)現(xiàn)磁盤配額除了監(jiān)視系統(tǒng)上使用的磁盤空間（請參閱第26.3.1節(jié)），你還可以通過 實(shí)現(xiàn)磁盤配額來限制磁盤空間，因此當(dāng)用戶使用了過多的磁盤空間或分區(qū)將要 充滿時(shí)，系統(tǒng)管理員就會接到警告。磁盤配額可以為個(gè)體用戶配置也可以為用戶組配置。這種靈活性既能夠給 每個(gè)用戶分配一個(gè)較小的配額來處理“個(gè)人”文件（如電子郵件和報(bào)告），又 允許了他們正從事的項(xiàng)目能夠擁有較大的配額（假定項(xiàng)目有自己的組群）。除此以外，配額不僅能夠被設(shè)置成對

5、所用磁盤塊數(shù)量的控制，還能夠被設(shè) 置成對內(nèi)節(jié)點(diǎn)數(shù)量的控制。由于內(nèi)節(jié)點(diǎn)包含文件相關(guān)的信息，對內(nèi)節(jié)點(diǎn)的控制 能夠控制可被創(chuàng)建的文件數(shù)量。要實(shí)現(xiàn)磁盤配額，quota RPM必須在系統(tǒng)上被安裝。關(guān)于安裝RPM軟件包的 詳情，請參閱第V部分。配置磁盤配額要實(shí)現(xiàn)磁盤配額，請使用以下步驟：修改/etc/fstab來啟用每個(gè)文件系統(tǒng)的配額重新掛載文件系統(tǒng)創(chuàng)建配額文件，重新生成磁盤用量表分配配額以上步驟在下面各節(jié)中被詳細(xì)討論。啟用配額以根用戶身份使用你喜歡的編輯器來給需要配額的文件系統(tǒng)添加usrquota 和（或）grpquota 選項(xiàng)：LABEL=/ext3defaults1 1LABEL=/boot/boo

6、text3defaults1 2none/dev/ptsdevptsgid=5,mode=6200 0LABEL=/home/homeext3defaults,usrquota,grpquota 1 2 none/procprocdefaults0 0none/dev/shmtmpfsdefaults0 0/dev/hda2swapswapdefaults0 0 /dev/cdrom/mnt/cdromudf,iso9660noauto,owner,kudzu, /dev/fd0ro 0 0/mnt/floppyautonoauto,owner,kudzu 0 0在上面的例子中，/home文件

7、系統(tǒng)上啟用了用戶和組群配額。重新掛載文件系統(tǒng)添加了 userquota和grpquota選項(xiàng)后，重新掛載每個(gè)相應(yīng)fstab條目 被修改的文件系統(tǒng)。如果某文件系統(tǒng)沒有被任何進(jìn)程使用，使用umount命令 后再緊跟著mount命令來重新掛載這個(gè)文件系統(tǒng)。如果某文件系統(tǒng)正在被使 用，要重新掛載該文件系統(tǒng)的最簡捷方法是重新引導(dǎo)系統(tǒng)。創(chuàng)建配額文件重新掛載了每個(gè)啟用了配額的文件系統(tǒng)后，系統(tǒng)現(xiàn)在就能夠使用磁盤配額 了。不過，文件系統(tǒng)本身尚且不能支持配額。下一步是運(yùn)行quotacheck命令。quotacheck命令檢查啟用了配額的文件系統(tǒng)，并為每個(gè)文件系統(tǒng)建立一 個(gè)當(dāng)前磁盤用來的表。該表會被用來更新操作系統(tǒng)

8、的磁盤用量文件。此外，文 件系統(tǒng)的磁盤配額文件也被更新。要在文件系統(tǒng)上創(chuàng)建配額文件(aquota.user和aquota.group)，使用 quotacheck命令的-c選項(xiàng)。例如，如果用戶和組群配額都為/home分區(qū)啟 用了，在/home目錄下創(chuàng)建這些文件： quotacheck -acug /home-a選項(xiàng)意味著在/etc/mtab中所有掛載了的非NFS文件系統(tǒng)都會被檢查來 決定是否啟用了配額。-c選項(xiàng)指定每個(gè)啟用了配額的文件系統(tǒng)都應(yīng)該創(chuàng)建配額文件，-u選項(xiàng)指定檢查用戶配額，-g選項(xiàng)指定檢查組群配額。如果-u或-g選項(xiàng)被指定，只有用戶配額文件被創(chuàng)建。如果只指定了 -g選 項(xiàng)，只有組群配

9、額文件會被創(chuàng)建。文件被創(chuàng)建后，運(yùn)行以下命令來生成每個(gè)啟用了配額的文件系統(tǒng)的當(dāng)前磁盤用 量表：quotacheck -avug所用選項(xiàng)如下：a 一檢查所有啟用了配額的在本地掛載的文件系統(tǒng)v 一在檢查配額過程中顯示詳細(xì)的狀態(tài)信息u 一檢查用戶磁盤配額信息g 檢查組群磁盤配額信息quotacheck運(yùn)行完畢后，和啟用配額(用戶和/或組群)相應(yīng)的配額文件中就 會寫入用于每個(gè)啟用了配額的文件系統(tǒng)(如/home)的數(shù)據(jù)。為每用戶分配配額最后一步是使用edquota命令分配磁盤配額。要為用戶配置配額，以根用戶身份在shell提示下執(zhí)行以下命令：edquota username為每個(gè)你想實(shí)現(xiàn)配額的用戶執(zhí)行該步

10、驟。例如，如果在/etc/fstab中為 /home分區(qū)(/dev/hda3)啟用了配額，執(zhí)行了 edquota testuser命令后，系 統(tǒng)默認(rèn)的編輯器中就會有如下顯示：Disk quotas for user testuser (uid 501):Filesystemblockssofthardinodessofthard/dev/hda3440436003741800注記edquota使用EDITOR環(huán)境變量所定義的文本編輯器。要改變這個(gè)編輯器， 把EDITOR環(huán)境變量設(shè)置為到你選中的編輯器的完整路徑。第一列是啟用了配額的文件系統(tǒng)的名稱。第二列顯示了用戶當(dāng)前使用的塊 數(shù)。隨后的兩列用來

11、設(shè)置用戶在該文件系統(tǒng)上的軟硬塊限度。inodes列顯示了 用戶當(dāng)前使用的內(nèi)節(jié)點(diǎn)數(shù)量。最后兩列用來設(shè)置用戶在該文件系統(tǒng)上的軟硬內(nèi) 節(jié)點(diǎn)限度。硬限是用戶或組群可以使用的磁盤空間的絕對最大值。達(dá)到了該限度后， 磁盤空間就不能再被用戶或組群使用了。軟限定義可被使用的最大磁盤空間量。和硬限不同的是，軟限可以在一段 時(shí)期內(nèi)被超過。這段時(shí)期被稱為過渡期(graceperiod)。過渡期可以用秒鐘、 分鐘、小時(shí)、天數(shù)、周數(shù)、或月數(shù)表示。如果以上值中的任何一個(gè)被設(shè)置為0，那個(gè)限度就不會被設(shè)置。在文本編 輯器中，改變想要的限度。如：，Diskquotas for usertestuser (uid501):Fil

12、esystemblockssofthardinodessofthard/dev/hda34404365000005500003741800要校驗(yàn)用戶的配額是否被設(shè)置，使用以下命令：quota testuser為每組群分配配額配額還可以根據(jù)組群來分配。例如，要為devel組群設(shè)置組群配額，使用以下 命令(在設(shè)置組群配額前，該組群必須存在)：edquota -g devel以上命令在文本編輯器中顯示現(xiàn)存的組群配額:Diskquotas for groupdevel (gid505):Filesystemblockssofthardinodessofthard/dev/hda3440400003741800修改限度，保存文件，然后配置配額。要校驗(yàn)組群配額是否被設(shè)置，使用以下命令: quota -g devel為每文件系統(tǒng)分配配額 要根據(jù)每個(gè)啟用了組群的文件系統(tǒng)來分配配額，使用以下命令： edquota -t和另一個(gè)edquota命令相似，這個(gè)命令也會在文本編輯器中打開當(dāng)前的文件系 統(tǒng)配額：Gr