Назад | Перейти на главную страницу

Ограничения каталога FTP через IIS6

Мы пытаемся настроить FTP на нашем отдельном выделенном Windows Server 2003 (Standard, 32bit, SP2) IIS6. Мы НЕ используем AD.

Это НЕ настроено для изоляции пользователя, так как мне нужна учетная запись «администратора», чтобы иметь доступ к любой части диска D: (который FTP настроен как корневой).

Я хочу иметь возможность ограничить одну учетную запись пользователя (созданную в локальном поле), чтобы иметь доступ только к определенной структуре подкаталога на диске. Я не хочу, чтобы этот пользователь мог читать / писать / переходить к любой другой части диска D :. При необходимости я могу принять списки каталогов, но не более того.

В IIS6 я создал виртуальный каталог, используя имя пользователя (как пользователь, упомянутый выше) в качестве псевдонима - вход в FTP с использованием учетных данных помещает их прямо в каталог, что правильно и то, что мне нужно. Но я не могу найти способ заблокировать им выход за пределы «их» структуры.

Я пробовал Запретить им разрешение в корне диска D :, но, конечно, Запретить отменяет любую попытку Разрешить им разрешение в «их» каталоге.

Я также попытался создать группу, так что, если мне понадобится, я могу добавить других пользователей в эту группу, и им также будет отказано в доступе ко всему, что не является их структурой каталогов.

Как вы, возможно, уже догадались, я не являюсь сетевым администратором по профессии, поэтому будьте осторожны!

Это можно сделать с помощью разрешений NTFS на диске. Для этого необходимо, чтобы диск был отформатирован в файловой системе NTFS, и вы установили соответствующие параметры безопасности для всех папок.

Однако вам следует серьезно пересмотреть этот дизайн, поскольку вход в FTP с корневым доступом к диску с учетной записью администратора является плохой практикой безопасности. Надеюсь, вы хотя бы установили сертификат SSL и используете ftps вместо незашифрованного ftp.

Благодаря Bad Dos он направил меня примерно в правильном направлении, и я придумал способ настройки разрешений, который работает для нас. По его словам, наша текущая настройка FTP не идеальна, и мы рассмотрим возможность ее изменения в ближайшем будущем.

Тем временем я сделал следующее:

  • Создал группу (названную «AllFtpUsers») и разместил в ней нового пользователя (упомянутого выше).
  • Удалены как группа «Пользователи», так и группа «Прошедшие проверку» из корня диска D :.
  • Добавлена ​​группа «AllFtpUsers» в корень диска D :, разрешено только «Список содержимого папки».
  • Для всех каталогов в корне диска D: группа «AllFtpUsers» была установлена ​​с запрещенным параметром «Список содержимого папки» (это означает, что они могут видеть, но не изменять файлы в корневом каталоге и не переходить ни в один из подкаталогов)
  • Установите разрешения для «подкаталога» (для которого в IIS установлен виртуальный каталог) на элемент управления «Изменить».

Это означает, что у нас по-прежнему есть полный контроль с нашим обычным входом в систему, но новый пользователь может только изменить свой подкаталог (несмотря на то, что он также может видеть все файлы в корне).

Причина удаления группы «Пользователи» и «Прошедшие проверку» из корня заключалась в том, что как только новый пользователь вошел в систему, ему были предоставлены все разрешения этих групп, что оставило нам доступ к файлам / каталогам в обычном режиме через группа «Администраторы».