使用 AIX (6.1) FTPD,用户需要登录,并且只能访问系统中的 2 个目录(读/写),例如:
/foo/sth1
和
/foo2/sth2
由于用户主目录不应该到达任何内容。这两个目录也被其他人使用。
我们应该怎么做?我们不能使用普通的 ACL 来做到这一点,因为在这种情况下,恕我直言,我们需要从不在上述两个路径中的所有文件中删除“其他”权限。
我听说我们可以这样做扩展ACL 的。但如何呢?
答案1
我知道这可能不是您正在寻找的答案,但 ACL(访问控制列表)是一个非常细粒度的权限,分配给每个文件,而不是用户或目录。据我所知,AIX 上没有扩展 ACL 这样的东西。有基本文件权限,如所有者:rwx、组:rwx 和其他:rwx,这是常见的 UNIX 知识。然后是属性,即 setuid、setgid 和 savetext,这些属性鲜为人知,但对于经验丰富的 UNIX 管理员来说,它们应该非常明显。最后是扩展属性,通常称为 ACL,逐一分配给每个文件。这些是(直接复制自 IBM 的定义):
permit: Grants the user or group the specified access to the file
deny: Restricts the user or group from using the specified access to the file
specify: Precisely defines the file access for the user or group
有关如何设置或删除这些值的确切用法,您需要查看 AIX 系统上 acledit 的手册页。
说了这么多之后,考虑到 ftp 监狱的特殊情况,我不认为这是您所需要的。如果您计划使用匿名类型的 ftp 并且不希望传入方访问您为此用户设置的主目录之上,您需要查看 IBM 网站上的文档,逐步指导您如何操作启用匿名 ftp。文档可在以下位置找到: http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp?topic=/com.ibm.aix.security/doc/security/HT_security_anonymous_ftp.htm
如果匿名 ftp 不是您关心的问题,但您想为使用预设用户名和密码登录的用户创建一个被监禁的 ftp 环境,那么您应该考虑像 proftpd 这样的东西,其安装和使用详细信息可以在:
http://www.nixblog.org/post/2008/08/12/Installation-et-configuration-de-Proftpd-sous-AIX-52
它是法语的,但我相信如果您绝对愿意,您可以使用谷歌翻译将其变成英语。 proftpd 是一个可安装在运行 AIX 的 IBM P 系列服务器上的 rpm 软件包。文档说的是 AIX v5.2,但 5.3 及更高版本应该没有太大变化。
我希望这能为您提供一个起点。但是,好奇的人可能会想知道,在安全是一个关键概念的当今时代,为什么人们可能想要使用像 ftp 这样的不安全协议,而不是使用像 scp 这样的协议。考虑一下。