當我們搭建好一個FTP服務器後，接下去的（de）工作就（jiù）是要對這個服務（wù）器進行權限的管理與設置。因為這項工作直接關係到FTP服務器上文件的安全，關係到FTP服務器運行的穩定。所以，作為（wéi）企業的網（wǎng）絡管理（lǐ）員，不能夠忽視這項工作的重要性。

在（zài）Linux下，管理FTP服務器的（de）權限比Windwos環境下，相對來說，要（yào）複雜一點。因為Linux下，主要（yào）通過命（mìng）令行的方式（shì）來實現權限的管理與配置。而在Windows環境下，則可以通過圖形界麵來配（pèi）置，故後者相對簡單一點。不過，若從靈活性上（shàng）來（lái）講，則前者要優越的多。如WU-FTP，是Linux操作係統上利用的最廣泛的FTP軟件。其在（zài）權限的管理上，就比微軟自帶的FTP服務器要靈活的多。再配（pèi）上Linux操作係（xì）統本身的（de）安全性，使得WU-FTP服務器的安全更（gèng）上一層樓。

下麵筆者就集合WU-FTP軟（ruǎn）件，談談在Linux下如（rú）何做好FTP服務器權限（xiàn）的管理。

若用一句話來概括的話（huà），Wu-FTP軟件主要通過組來管理其自身的訪問權限。具體的來講，可以從以下（xià）幾個方麵了解這個服（fú）務器權限管理的全貌。

一、如何定義一個組?

定義FTP服務器的訪問組，也叫做類，是FTP服務（wù）器權限管理的最基本的動（dòng）作。後續的權限管理，都是根據這個組來定義的。/etc/ftpaccess 配置文件是用來（lái）配（pèi）置WU-FTP訪問權（quán）限（xiàn）的（de）主要參（cān）數文件。大部分的FTP服務器權限都是在這個文件中進行配置。

若我們需要定義一個FTP的組，就需要在（zài）這個參數文件（jiàn）中，加入如下的語句：

Class QA real,guest,anonymous 192.168.1.*

這條語句的意（yì）思是，現在定（dìng）一個QA的組。在這個組中，包括三（sān）種類型的用戶，分別為REAL(真實定（dìng）義的用戶)、GUEST(GUEST帳戶)、ANONYMOUS(匿名訪問（wèn）帳戶)。若現在有這（zhè）三種類型的帳戶，從子網為192.168.1.*的地方訪問這個FTP服（fú）務（wù）器的（de）話（huà），則就屬於QA這（zhè）個組。若是其（qí）他的IP地址訪問，即使其用戶（hù）屬於這三個類型的帳戶，其也不屬於QA這個組，不具有這個組的訪問權限。很明（míng）顯，通過這種方式，還可以（yǐ）實現根據IP地址與帳（zhàng）戶結合的方式來管理FTP服務器訪問權限。這比光憑（píng）帳戶來管理，相對來說，要安全一點。

這種配置方式還有（yǒu）另外的一些（xiē）變（biàn）形（xíng），對其進行合理的搭配（pèi），可以大大的（de）提高訪問的安全性與靈活性。

第一種變形：IP地址可以以域名的方式來定義（yì），這在大型網絡中，如（rú）集團型企業的網絡中用的（de）比較（jiào）普遍。如現在有一個集團企業，下麵有A、B、C三個子公司。為了公司員工之（zhī）間（jiān）文件交（jiāo）流的方便，集團企業在網（wǎng）上建立了FTP服務器。但是，現在集團網絡管理員希望各個子公司平（píng）時隻（zhī）能夠（gòu）訪問FTP服務器下自己的公司的文件夾。對於其他子公司的（de）文件夾（jiá）他們不能訪問。此時，就可以建立三個組，分別（bié）對應（yīng）各自的域名。如：Class A企業 real,guest,anonymous A公司的網絡域名。這條語句的意思就是從A公司（sī）訪問FTP服務器的帳戶都屬於組“A企業（yè）”。然後再為這個組配置相關的權限，就可以實現A企業的用戶隻能夠訪（fǎng）問某個特定的文（wén）件。

第（dì）二種變（biàn）形方式：利用“!”符號來排除某（mǒu）些特定的IP地址。如有時候，我們可能會把某些（xiē）特（tè）定的IP地址分配（pèi）給外來的用戶。如當客戶來訪的時候，我們就給其分配一（yī）個特定的IP地址。這（zhè）主要是為了防止這些用戶隨（suí）意的訪問我們公司的網絡資源。為此，我們（men）就需要利用“!”符號排除某些IP地址。我們隻需要在上麵例子的IP地址前麵，加入這個感歎號，即表示排除了這個IP地址。

二、針對組的一些具體權限的設置。

設置好上麵的組之後，我們接下去的工（gōng）作，就是針（zhēn）對這些組設置具體的權限。下麵筆者就探討一下，一（yī）些常用權限的設置。

1、某個組的用戶（hù）隻能夠查看或者（zhě）下載FTP服務器（qì）上的（de）文件，而不能上傳文件。

這是組權限控製中非常常用的一些功能（néng）。如有時候企業可能要給客戶（hù）看一些大的設計圖紙。由於設計圖（tú）紙（zhǐ）比較大，通過郵件等方式根本無法傳輸（shū）。為此，有些企業就會專門建立FTP服務器（qì），讓客戶能夠直接從這個服務器上下（xià）載設計圖紙，以提高（gāo）文件傳輸的（de）效率。不過，為了安全考慮，客戶隻能夠下載文件，而不能夠向這個FTP服（fú）務器上（shàng）傳任何的文件。為了實現（xiàn）這個目（mù）的，我（wǒ）們就需要利用file-limit參數來實現這個需求。這個參數主（zhǔ）要用來限製某個組的任何（hé）一個用戶允許上傳文件的數量。若我們把客戶的帳戶歸類為一個組，然後把這個上傳文件的數（shù）量（liàng）定義為0。如此的話，隻要是客戶登陸FTP服務器的時候，他們可以訪問這個FTP服務器，但是卻（què）無法上傳任何文件。

2、設置最大連接數。

為了FTP服（fú）務器的穩（wěn）定性考慮，我們一般需（xū）要限製訪問人數。由（yóu）於WU-FTP是根據組(類)來控製最大連接數的，所以，這裏配置的時候要（yào）注意兩個問題。一是（shì）合理配置各個類的最大連接人數。如企業中可能是根據部門的類別（bié）來配置具體的組。所以，此時，應該跟部門的人數不同，來合理設置組的最大連接數。二就是要根據FTP服務器的性能與硬件資源，來合理配置FTP服務器的總的連接（jiē）數。這個總的連接數就（jiù）是各個組的連接數的總合。若同時連（lián）接在服務器（qì）上人太多的話，則很可能FTP服務器會因為資源耗竭（jié）而當機（jī）。所（suǒ）以，一般情況下，當企業的FTP服務器不僅向企業內部網絡開放，也像企業（yè）外部網絡開放的時候（hòu），則就需要注意，這個（gè）FTP服務器最（zuì）大連接（jiē）數的限製。為了達到這個（gè）目的，我們需要配置limit 參數，來製定某個類的最大連接數。同時，也可以製定一個文本文（wén）件，當（dāng）達到最大人數的時候，給訪問者顯示上麵內容，如致歉方麵的內容。

3、訪問拒絕文件信息的配置。

雖然當（dāng）訪問被拒（jù）絕的時候，不給用戶（hù）反映信息，也是可行的。但是如此配置的話，就不（bú）怎麽人性化。用戶訪問FTP服務器的時候（hòu），當沒有權限時，應該讓服務（wù）器向用戶說明是由於（yú）什麽原因（yīn）沒有沒有訪問成功。如此的話，不但對用戶比較友好;當出現故障的時候，也利（lì）於我（wǒ）們排除故障。

下麵，筆者就談談如何配置這個提（tí）示文件。提示文件包括常量與變量兩塊內（nèi）容。常量（liàng）就是一些描述性的說明，如“對不起，你不能夠訪問”等等。但是，很明（míng）顯，常（cháng）量的話，不能夠反映拒絕訪（fǎng）問的具體信息。為了能（néng）夠充分顯示被拒（jù）絕訪問的原因，WU-FTP服務器提供了一些變量。通（tōng）過這些變量，可以很直觀（guān）的（de）反映出用戶被拒絕訪問的原因。

%N：這個變量名（míng）表示某個組(類)當（dāng）前連接的用戶數目。如（rú）我們在設（shè）置FTP連接數的（de）時候，有這方麵（miàn）的設置，則就可以利（lì）用這個變量來說明問題。如可以如（rú）下方式配置出（chū）錯提示文件：“對不起，現（xiàn）在這個類的訪問認為（wéi）位%N ,超（chāo）過了最大連接人數，請稍候再試。”。如此的話，這個變量會把當前的實際連接（jiē）人數顯示出（chū）來（lái）。

%E：管理員的郵件地址。在這個FTPACCESS參數文件中，還可以配置（zhì）網絡管理員的郵件地址。當FTP服務器出現故障的時候，則可以向這個（gè）郵件地址發送郵件。現在（zài）若我們（men）希望能夠在（zài）這個出錯信息中，顯示網絡管理員的郵箱地址（zhǐ），以（yǐ）方便當訪問出現故（gù）障時，用（yòng）戶向網絡管理員發送郵件尋求幫助。為（wéi）此，我們可以如下定義這（zhè）個出錯文件：“對不起（qǐ），暫時不能夠訪問，若有疑問，請（qǐng）發郵件%E詢問”。如此的話，在出錯（cuò）文件中，就會把（bǎ）這個參（cān）數文件中定義的網絡管理員EMAIL顯示在上麵（miàn）。

%T：本地（dì）當前時間。有時候，我們會在歡迎（yíng）界麵上顯示當前的時間。如現在時間是多少多少，原因你訪問等等友好信息。此時，就可以利用%T參數顯示本地當前時間。另外，在有些企業也可能要限製FTP服（fú）務器的訪問時間，如隻允許在早上八點到下午（wǔ）五點的（de）上班時間訪問。此時，就需要在出錯時間中加入這個本級（jí）時間參數。從而提示用戶，現在的（de）時間是不能夠訪問FTP服務器的等等。

%C：當前的工作目錄。有時（shí）候（hòu），往往還需要對用戶進行工（gōng）作目（mù）錄的限製。如某些用戶隻能夠訪問特（tè）定的目錄等等。此時，也有必要向用戶顯示他（tā）們（men）當前的訪問目錄，以提示他們已（yǐ）經越（yuè）界（jiè）了。此時，就可以在出錯文件（jiàn）中，加（jiā）入%C參數，讓出錯（cuò）文件顯示當前（qián）的目錄。

總之（zhī），在這個出（chū）錯（cuò）信息配置文件中（zhōng），我們要出於清晰明了的目（mù）的，向用戶展示被拒絕訪問的原（yuán）因。如此的話，一（yī）方（fāng）麵我（wǒ）們網絡管理員可以減少很多的工作（zuò）量，不用老實被（bèi）用戶煩這煩那的。另一方麵（miàn），也會為我們（men）解決故障（zhàng）提供線索。如此的話，隻要用戶報上出錯的提示，則我們就可以知道問題發生的原因了，從而為解決故障（zhàng）贏得了時間。