FreeBSD FTP 的架設(2)

1-3-1 方法一：利用 /etc/ftpchroot

FreeBSD 的 ftpd 以 /etc/ftpchroot 來控制哪些人或群組要如何 chroot ，所以我們開啟／新增這個設定檔來編輯。

ee /etc/ftpchroot

在檔案裡面放入我們要管制的人或群組：

gsyan foo @staff

上面的設定使得 gsyan, foo 及屬於 staff 群組的人都只能在自己目錄活動。

說明：

小老鼠開頭的表示後面接的名稱為群組。

有方法可以只開放一個帳號不 chroot 其它全部 chroot 嗎？

最近 FreeBSD 內建的 ftpd 在 /etc/ftpchroot 又多了可設定的東東， 如果 man ftpchroot 可以看到說明，就表示可以使用下面的的設定來達到只開放部份帳號不鎖定在個人目錄的目的。

首先開啟 /etc/ftpchroot 來編輯：

ee /etc/ftpchroot

假設 admin 是管理員的帳號，讓 admin 可以在系統中到處游走，就裡面放入下面三行：

admin / ftp . @ www

儲存好就可以用 ftp 連線看看， 上面的設定有底下的效果：

• 第一行設定：admin 登入時會切換到 /
• 第二行設定：匿名登入時則保持原來的方式，只能在帳號指定的公用目錄活動。
• 第三行設定：其它使用者則只能在個人目錄中的 www 資料夾中活動。

第三行應用在 server 有 apache 提供使用者放網頁， 而 apache 設定 UserDir=www 時，以後只要告訴使用者： 『請將做好的網頁直接用自己的帳號 ftp 到主機即可』， 以前都要解釋半天，請他 ftp 後把網頁放到 www 資料夾， 不過，記得先將使用者的 www 目錄先建立好，不然可是會連登入都無法登入哦!!

在 FreeBSD 4.8R 以後的 /etc/ftpchroot 又新增了功能，詳細的設定可以 man ftpchroot (不過，之前的版本沒這鍋 man )。

1-3-2 方法二：利用 /etc/login.conf

這個方法是利用使用者資料庫 (系統密碼檔 /etc/master.passwd) 中 login class 的欄位，來設定使用者隸於的 class ，然後在 /etc/login.conf 中設定各 class 在 FTP chroot 的動作為何，在 /etc/ftpchroot 不方便設定時，適用於要處理很多人的狀況。

開啟 /etc/login.conf 來修改，執行：

ee /etc/login.conf

然後找到下面 default: 開頭的哪幾行，類似下面的內容：

default:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ ...................略

加下面這一行：

:ftp-chroot:\

變成：

default:\ :ftp-chroot:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ ...................略

然後執行下列這行指令，把 login.conf 轉成資料庫格式

cap_mkdb /etc/login.conf

這樣，所有的帳號都會做 chroot，活動的範圍就限定在自己的目錄中。

想全部管制，但又想開放系統管理用的帳號不做 chroot 呢？

前面的方法，我們設定的是 default 這個 login class 要做 FTP 的 chroot，也就是所有人共同的設定，想讓系統管理可以到處游走，就設定一個系管的 class ，並且將 ftp-chroot 的屬性去掉即可達到部份開放的目的。

開啟 /etc/login.conf 新增系管的 login class 叫 admin，並加入 ftp-chroot 為否的設定：

ee /etc/login.conf

新增下面幾行(注意藍色的部份)， 注意：除了前面 defaults: 下的 ftp-chroot 部份，我們在下面另外新增一個 login class 叫 admin：

default:\ :ftp-chroot:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ ...................略 admin:\ :ftp-chroot@:\ :tc=default: ...................略

然後執行下列這行指令，把 login.conf 轉成資料庫格式：

cap_mkdb /etc/login.conf

注意：上面在 admin 這個 class 中用的是：

:ftp-chroot@:\

ftp-chroot 多了個小老鼠哦！它代表這個值要相反的意思，也就不做 ftp-chroot。

再來，我們要告訴系統，誰屬於 admin 這個 login class ，直接修改帳號資料庫，執行

vipw

修改管理員 (不做 chroot) 的 login class 為 admin

例如：

假設系統管理員 gsyan 原來的帳號資料是：

gsyan:*:1000:1000::0:0:大雄:/home/gsyan:/bin/tcsh

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有