FTP用户隔离及应用

FTP用户隔离及应用

作者：庄晓华

来源：《价值工程》2010年第32期

摘要： FTP是TCP/IP网络中计算机用于传输文件的协议，是Internet上出现最早，使用最为广泛的一种服务，基于客户机/服务器模式。本文详细介绍用IIS配置用户隔离的FTP服务器的两种方法，以及用户隔离的FTP服务器在计算机教学中的应用。

Abstract: FTP is a commonly used protocol for file transfer in TCP/IP network. FTP service is one of the earliest and most widely used services on the Internet, based on the client / server model. This paper describes the two methods used to configure FTP User Isolation. We can achieve data protection among users accessing FTP data by adopting FTP User Isolation. 关键词： FTP服务器；IIS；用户隔离；Active Directory；数据访问保护 Key words: FTP server；IIS；User Isolation；Active Directory；data protection 中图分类号：TP39 文献标识码：A文章编号：1006-4311（2010）32-0176-02 0引言

FTP（File Transfer Protocol）文件传输协议，用来在远程主机和本地主机之间传输文件。FTP服务是基于客户机/服务器模式的服务，通过该服务可在FTP服务器和FTP客户端之间建立TCP连接，实现FTP服务器和FTP客户端之间的文件传输，文件传输包括从FTP服务器下载文件和向FTP服务器上传文件。 1FTP服务器的数据安全

FTP服务主要应用于软件的高速下载，Web站点的维护和更新，在不同类型的计算机之间传送文件等。由于FTP服务器上的数据对远程用户开放，允许用户对服务器上的文件进行读、写、修改、传送等操作，维护服务器上的数据安全具有重要意义。在IIS6.0中FTP服务可通过以下方式维护服务器上的数据安全： 1.1 验证用户身份

1.1.1 匿名FTP身份验证默认状态下，FTP站点允许匿名访问，FTP服务器接受对该资源的所有请求，并且不提示用户输入用户名或密码。如果站点中存储有重要的或敏感的信息，只允许授权用户访问，应禁止匿名访问。

龙源期刊网 http://www.qikan.com.cn

1.1.2 基本FTP身份验证用户必须使用有效Windows用户名和密码进行登录，实现对该FTP站点的访问。

1.2 通过IP地址限制FTP连接通过对IP地址的限制，可以只允许或拒绝某些特定范围内的计算机访问该FTP站点，避免某些来自外界的恶意攻击，并将授权用户限制在一定范围。将IP地址限制和用户认证访问集合在一起，可进一步提高FTP站点访问的安全性。 1.3 磁盘限额当赋予FTP客户写入权限时，可用NTFS文件系统的磁盘配额功能限制用户对服务器硬盘的使用。为不同的用户组分别设置磁盘配额，当用户上传的文件超出容量时，系统将提示用户超出空间配额，上传操作不能完成。 2用户隔离的FTP站点

在典型的FTP服务中，信息的传播是单方向的，既大多数用户能浏览和下载服务器上的文件，只有少数维护人员拥有向服务器上传文件的权限。当服务器和客户机之间的信息交流是双向的，需要授予多数用户向FTP服务器上传文件的权限，并限制用户查看或修改其他用户的文件时，必须建立“用户隔离”的FTP站点。

FTP 用户隔离通过将用户限制在自己的目录中，来防止用户查看或覆盖其他用户的FTP内容。在用户隔离的FTP站点内，用户能创建、修改或删除自己的文件和文件夹，但无法浏览目录树的上一层。FTP用户隔离是站点属性，在站点创建时确定，无法为每个FTP站点启动或关闭该属性。在创建FTP站点时，IIS6.0支持以下三种模式：

2.1 不隔离用户该模式是FTP站点建立时的默认设置，登陆站点的用户可以访问FTP站点主目录或Public目录（在用户隔离模式下）的所有内容，FTP站点中的内容安全性较差。适合于提供共享内容下载功能的站点，和不需要在用户间进行数据访问保护的站点。

2.2 隔离用户为防止普通用户通过匿名账号访问FTP站点，并在用户间进行数据访问保护，应该建立隔离用户的FTP站点。该模式在用户访问与用户名匹配的用户主目录前，根据本地用户账户验证用户身份。所有用户的主目录都在单一FTP主目录下，每个用户均被限制在自己的主目录中，不允许用户浏览自己主目录外的内容。建立用户隔离的FTP站点的步骤如下：①为所有需要访问受保护的FTP站点的用户，在“计算机管理”控制台中的“本地用户和组”中建立本地用户账户。②在硬盘的NTFS分区中建立FTP站点的目录结构，包括FTP站点的主目录，以及各用户账号的用户主目录。假设要让use1、user2登陆用户隔离的FTP站点，应在FTP主目录（如testFTP）下为用户创建用户主目录F：\estFTP\\LocalUser\和F：\estFTP\\LocalUser\。其中“LocalUser”子文件夹名称不能随意设置，新建的用户主目录名称“user1”, “user2”必须与用户账户名称完全相同。用户隔离的FTP站点建成后，用户只能访问自己主目录，没有权利访问其他用户的主目录。如果希望保留用户隔离站点的匿名登录功能，可在“LocalUser”文件夹中创建一个“Public”子目录。用户通过匿名方式登录FTP站点，只能浏

龙源期刊网 http://www.qikan.com.cn

览到“Public”子目录中的内容。③建立用户隔离的FTP站点，站点主目录指向“testFTP”文件夹。

2.3 用Active Directory隔离用户在FTP服务器上用Active Directory隔离用户，FTP站点不需要主目录，但必须为每个用户创建一个专用的用户主目录。

首先安装活动目录，在Windows Server 2003域的Active Directory数据库的用户账户内有两个用来支持“用Active Directory隔离用户”的FTP站点属性，分别是FTProot和FTPdir。FTProot用来指定用户主目录的根目录，FTPdir用来指出用户主目录的相对路径。在命令提示符下，可利用iisftp程序为每个用户设置不同的FTProot和FTPdir属性，灵活地将用户主目录分布在多台服务器、多个卷和多个目录中。

该模式根据相应的Active Directory容器验证用户凭据。当用户对象在Active Directory容器内时，可以将FTPRoot和FTPDir属性提取出来，为用户主目录提供完整路径。用户只能浏览自己的用户主目录，无法向上查看目录树。建立“用Active Directory隔离用户”的FTP站点的步骤如下：

①在“Active Directory用户和计算机”域中，创建一个域用户账户test1。②用iisftp命令在Active Directory数据库中设置用户的主目录。当用户test1的FTP主目录为F:\\ftp\est1dir时，用iisftp来设置test1的FTPRoot和FTPDir属性的命令如图。

同理，当另一域用户test2的FTP主目录为D:\\remoteftp\est2dir时，用iisftp来设置test2的FTPRoot属性为“D:\\remoteftp”，FTPDir 属性为“test2dir”，因此在“用Active Directory隔离用户”的FTP站点，用户的主目录可放置在任意的网络路径上。

③FTP站点通过域用户账户读取用户属性。FTP站点必须能够读取位于Active Directory内的域用户账户的FTPRoot和FTPDir属性，才能够得知用户主目录的位置，这是通过对域用户账户进行控制委派实现的。具体步骤如下：

1）在“Active Directory用户和计算机”中，选择域用户账户test1所在的容器，右击，选择“控制委派”命令，弹出“控制委派向导”对话框，单击“下一步”。 2）弹出“用户和组”界面，单击“添加”，选择test1，单击“下一步”。

3）弹出“要委派的任务”界面，选中“读取所有用户信息”复选框，单击“下一步”。单击“完成”。

④创建“用Active Directory隔离用户”的FTP站点。

龙源期刊网 http://www.qikan.com.cn

3FTP用户隔离在教学中的应用

3.1 毕业设计在毕业设计过程中，学生大部分时间要在工作单位实习，师生之间需要就毕业设计的方向和毕业论文的修改进行频繁的交流。为学生建立用户隔离的FTP站点，有利于学生随时递交毕业设计的最新进展，便于教师及时审阅，给出修改意见。对软件专业的学生，教师可直接在FTP站点内修改学生毕业设计的方向，再由学生完成具体的设计内容。教师还可将毕业设计的要求，毕业论文的格式和各种通知发布在Public公共文件夹内，允许所有学生匿名访问。

3.2 作业提交每学期末，在学生提交课程设计作业时，为学生建立用户隔离的FTP站点，便于教师同时管理多个班级的作业提交，减少由电子邮件提交作业带来的分类整理工作，又能避免U盘提交带来的病毒传播。

总之，建立用户隔离的FTP站点，给每个用户建立需登录访问的用户主目录，解决了FTP服务中数据双向传递的问题，加强了对用户数据的隔离保护，使FTP服务器的架设具有更大的灵活性，必将在研发推广FTP服务器的应用上起到十分积极的作用。 参考文献：

[1]黄世权，FTP协议分析和安全研究.微计算机信息，2008（2-3）：93:94. [2]唐伟，在Windows下实现配置FTP服务器.计算机时代，2004（5）：41:43.

[3]张志和，实战基于IIS的FTP服务器架设.吉林省教育学院学报，2009（8）：104:105. [4]丛佩丽，网络操作系统管理与应用.北京：中国铁道出版社，2008：178:181. [5]程宪宝，FTP服务器安全的巧妙设置.清远职业技术学院学报，2009（06）：50:51.