聶得欣

摘 要： 在高校數(shù)字化平臺(tái)迅猛發(fā)展的同時(shí)，信息網(wǎng)絡(luò)安全問題也日益突出。本文從網(wǎng)絡(luò)安全的角度，選用 Linux 系統(tǒng)，結(jié)合 VSFTP 服務(wù)和用戶權(quán)限控制兩大功能，提出一種適合在高校數(shù)字化平臺(tái)下實(shí)現(xiàn)信息共享的方案， 可以安全進(jìn)行信息資源的上傳和下載， 從而實(shí)現(xiàn)信息共享。

關(guān)鍵詞：信息共享 數(shù)字化平臺(tái) 用戶權(quán)限控制 云存儲(chǔ)、Linux VSFTP

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）04-0004-01

一、引言

目前在高校教師對(duì)信息共享的需求相當(dāng)迫切，而高校數(shù)字化平臺(tái)提供的信息共享能力出現(xiàn)了不同程度的瓶頸。大多數(shù)平臺(tái)都使用 HTTP 和匿名 FTP 實(shí)現(xiàn)信息資源下載，無法對(duì)信息下載用戶進(jìn)行細(xì)粒度安全控制[1]，信息資源上傳功能由于安全原因幾乎沒有提供。針對(duì)上述問題， 本文在使用 Linux 系統(tǒng)平臺(tái)的基礎(chǔ)上， 結(jié)合 VSFTP 和用戶權(quán)限控制等技術(shù)， 配置 FTP文件服務(wù)器，完成信息資源的上傳和下載，實(shí)現(xiàn)了安全的信息共享。

二、VSFTP 配置原則

VSFTP 是 “very secure FTP”的縮寫， 安全性是它的一個(gè)最大的特點(diǎn)。 VSFTP是一個(gè)UNIX類操作系統(tǒng)上運(yùn)行的服務(wù)名字，它可以運(yùn)行在諸如 Linux、BSD、Solaris、HP-UNIX等系統(tǒng)上面，是一個(gè)完全免費(fèi)的、開發(fā)源代碼的 FTP 服務(wù)器軟件，支持很多其他的 FTP 服務(wù)器所不支持的特征，安裝 VSFTP 服務(wù)的服務(wù)器稱為VSFTP服務(wù)器，具有非常高的安全性、穩(wěn)定性、速率高等特點(diǎn)。結(jié)合高校數(shù)字化平臺(tái)實(shí)際，在配置VSFTP服務(wù)器時(shí)遵循以下原則。

1.本地用戶登錄 優(yōu)先 原則

目前大多數(shù) FTP 文件服務(wù)器采用的是匿名用戶登錄方式，該方式配置簡(jiǎn)單，只能實(shí)現(xiàn)一般的信息上傳和下載功能，而 VSFTPD 服務(wù)提供的本地用戶登錄方式可滿足高校數(shù)字化平臺(tái)下高校教師對(duì)信息共享的需求。VSFTPD 服務(wù)可提供本地用戶登錄，三種用戶登錄方式，分別是匿名用戶登錄、虛擬用戶登錄和本地用戶登錄。 前兩種都是針對(duì)一類或若干類用戶進(jìn)行安全控制的登錄方式， 可滿足普通安全要求的配置需求，但都有各自的功能局限性，比如：采用匿名用戶登錄方式，只能配置一種安全控制模式，采用虛擬用戶登錄方式，也只能配置若干種安全控制模式，并且虛擬用戶的安全認(rèn)證方式比較復(fù)雜， 而本地用戶登錄可滿足高級(jí)安全要求的配置需求， 可實(shí)現(xiàn)細(xì)粒度的針對(duì)單一用戶的可定制的安全控制，可以與 Linux 系統(tǒng)自身提供的安全特性完美結(jié)合，靈活配置任何用戶的信息資源權(quán)限。因此，在配置 VSFTP 服務(wù)器時(shí)，要優(yōu)先采用本地用戶登錄方式，匿名用戶登錄方式和虛擬用戶登錄方式為輔作為補(bǔ)充。

2.云存儲(chǔ)原則

在配置 VSFTP 服務(wù)器時(shí)要充分考慮到用戶可以使用的存儲(chǔ)空間的大小，要盡可能為用戶提供海量的存儲(chǔ)空間， 實(shí)現(xiàn)信息資源的云存儲(chǔ)， 保證信息共享。 云存儲(chǔ)是指通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)或分布式文件系統(tǒng)等功能， 將網(wǎng)絡(luò)中大量各種不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能的一個(gè)系統(tǒng)。在高校數(shù)字化平臺(tái)中云存儲(chǔ)可以通過建立 Linux 集群系統(tǒng)， 在 Linux 集群中配置磁盤陣列（RAID）實(shí)現(xiàn)。Linux 磁盤陣列有軟件 RAID 和硬件 RAID 兩種：軟件 RAID 的性能較低，因?yàn)槠涫褂弥鳈C(jī)的資源，需要加載 RAID 軟件以從軟件 RAID 卷中讀取數(shù)據(jù)。在軟件 RAID 中無需物理硬件，零成本投資。硬件 RAID 的性能較高， ，它不使用主機(jī)資源，有專用的 RAID 控制器來管理存儲(chǔ)空間， 存取速度快， 性能高。 高校數(shù)字化平臺(tái)的云存儲(chǔ)可以采用先軟件 RAID后硬件 RAID 的模式實(shí)現(xiàn)，保證云存儲(chǔ)的安全備份和災(zāi)難恢復(fù)，同時(shí)在磁盤陣列的基礎(chǔ)上運(yùn)用邏輯卷管理器（LVM）技術(shù)實(shí)現(xiàn)對(duì)文件資源的邏輯管理保證云存儲(chǔ)的動(dòng)態(tài)更新和彈性空間調(diào)整。

3.磁盤配額原則

根據(jù)高校數(shù)字化平臺(tái)的實(shí)際情況，用戶在 VSFTP 服務(wù)器上的存儲(chǔ)空間要考慮到存儲(chǔ)成本、存儲(chǔ)利用率等因素，要針對(duì)不同類型的用戶進(jìn)行磁盤配額。用戶使用的存儲(chǔ)空間不可能無限擴(kuò)大， 如果不限制每個(gè)用戶使用磁盤空間的大小， 如果某個(gè)用戶疏忽或惡意將磁盤占滿，將導(dǎo)致系統(tǒng)無法進(jìn)行寫操作甚至崩潰，直接影響網(wǎng)絡(luò)的安全運(yùn)行[2]。在高校數(shù)字化平臺(tái)下可使用 Linux 系統(tǒng)的磁盤配額功能為每個(gè)用戶限制存儲(chǔ)空間，Linux 磁盤配額的設(shè)置單位是分區(qū)，針對(duì)分區(qū)啟用配額限制功能后才可以對(duì)用戶設(shè)置。磁盤配額設(shè)置有兩種措施：硬限制和軟限制。硬限制是對(duì)空間使用的絕對(duì)限制，在任何情況下用戶都不允許超過此限制；軟限制允許用戶在一定時(shí)間范圍內(nèi)（默認(rèn)為一周）超過其限制的額度，在不超出硬限制的范圍內(nèi)可以繼續(xù)使用空間，系統(tǒng)會(huì)發(fā)出警告，但如果用戶達(dá)到時(shí)間期限仍未釋放空間到限制的額度下， 系統(tǒng)將不再允許該用戶使用更多的空間。 磁盤配額限制空間使用的方法也有兩種，即分別對(duì) inode 和 block 進(jìn)行限制。磁盤配額可以限定用戶在分區(qū)中使用的空間大?。╞locks） ，也可以限定用戶可以在分區(qū)中最多創(chuàng)建的文件數(shù)（inodes） 。

三、用戶權(quán)限設(shè)置

高校數(shù)字化平臺(tái)下信息共享的主要問題就是安全性問題，而安全性主要是通過用戶的訪問權(quán)限來控制。 目前高校用戶的訪問權(quán)限不是太小就是過大， 沒有細(xì)粒度的設(shè)置用戶對(duì)信息資源的訪問權(quán)限， 因此在對(duì)高校數(shù)字化平臺(tái)下的 VSFTP 服務(wù)器進(jìn)行配置時(shí)， 一定要與 Linux系統(tǒng)的用戶權(quán)限控制有機(jī)結(jié)合起來，對(duì)每一個(gè)用戶的信息資源訪問權(quán)限進(jìn)行個(gè)性化定制。

1.基本概念

Linux 系統(tǒng)中的每個(gè)文件和目錄都有訪問許可權(quán)限，用他來確定誰能通過何種方式對(duì)文件和目錄進(jìn)行訪問和操作。文件或目錄的訪問權(quán)限分為只讀，只寫和可執(zhí)行三種。只讀權(quán)限表示只允許讀其內(nèi)容，而禁止對(duì)其做所有的更改操作?？蓤?zhí)行權(quán)限表示允許將該文 件作為一個(gè)程序執(zhí)行。文件被創(chuàng)建時(shí)，文件所有者自動(dòng)擁有對(duì)該文件的讀、寫和可執(zhí)行權(quán)限，以便于對(duì)文件的閱讀和修改。用戶也可根據(jù)需要把訪問權(quán)限設(shè)置為需要的所有組合。有三種不同類型的用戶可對(duì)文件或目錄進(jìn)行訪問： 文件所有者， 同組用戶、 其他用戶。所有者一般是文件的創(chuàng)建者。 所有者能允許同組用戶有權(quán)訪問文件， 還能將文件的訪問權(quán)限賦予系統(tǒng)中的其他用戶。 在這種情況下， 系統(tǒng)中每一位用戶都能訪問該用戶擁有的文件或目錄。每一文件或目錄的訪問權(quán)限都有三組，每組用三位表示，分別為文件屬主的讀、寫和執(zhí)行權(quán)限；和屬主同組的用戶的讀、寫和執(zhí)行權(quán)限；系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。

2.權(quán)限設(shè)計(jì)方案

針對(duì)高校教師對(duì)信息資源訪問權(quán)限的需求，從用戶賬號(hào)設(shè)置、目錄結(jié)構(gòu)建立、用戶權(quán)限分配三方面著手，形成基于網(wǎng)絡(luò)安全的用戶權(quán)限設(shè)計(jì)方案，具體方案如下：

2.1賬號(hào)設(shè)置

VSFTP 服務(wù)器上的信息資源的目錄結(jié)構(gòu)的設(shè)置一定考慮到高校實(shí)際，根據(jù)使用單位和用戶的使用需求進(jìn)行細(xì)粒度設(shè)置。 按行政機(jī)構(gòu)對(duì)校屬各單位進(jìn)行單位分組， 每個(gè)單位都分配一個(gè)用戶組，各單位教師分屬各單位分組，每位教師都有一個(gè)本地用戶賬號(hào)。所有教師在本地用戶賬號(hào)登錄到 VSFTP 服務(wù)器時(shí)都不能登錄到 Linux 系統(tǒng)，只能使用 Linux 系統(tǒng)提供的VSFTP 服務(wù)。這一點(diǎn)可以通過在建立本地用戶賬號(hào)時(shí)使用-s /sbin/nologin 參數(shù)來實(shí)現(xiàn)。

2.2 目錄結(jié)構(gòu) 建立

VSFTP 服務(wù)器上的信息資源的目錄結(jié)構(gòu)的設(shè)置一定考慮到高校實(shí)際，根據(jù)使用單位和用戶的使用需求進(jìn)行細(xì)粒度設(shè)置。 可按校屬單位為各單位建立本單位使用的文件夾， 僅教師自己使用的文件夾和全校教師使用的文件夾。VSFTP 服務(wù)器共享信息資源目錄結(jié)構(gòu)圖如圖 1所示。

2.3 使用權(quán)限 分配

在訪問根文件夾下為校屬各單位設(shè)置文件夾，每個(gè)單位都擁有自已的文件夾，由各單位內(nèi)部教師共同使用， 每個(gè)教師可在自己?jiǎn)挝晃募A下上傳信息資源供本單位使用， 即只有本單位教師才能下載該文件夾下的資源， 同時(shí)每個(gè)教師也只能修改刪除自已上傳的信息資源，而不能修改刪除本單位其他教師上傳的信息資源。各單位的教師在自已單位的文件夾下也擁有自已的文件夾，教師可在自已的文件夾下上傳和下載信息資源，但僅限教師本人使用。設(shè)置一個(gè)面向全校的 SHARE 文件夾，每個(gè)單位在其下都擁有自已的文件夾，各單位教師可在各自單位文件夾下上傳信息資源，供全校所有教師下載使用。VSFTP 服務(wù)器共享信息資源目錄結(jié)構(gòu)如下圖所示： 每個(gè)教師在各自單位下都有一個(gè)自已的文件夾， 只有本人可以上傳和下載信息資源。

設(shè)置學(xué)校管理員和單位管理員，學(xué)校管理員對(duì)整個(gè)信息資源擁有所有權(quán)限，單位管理員對(duì) PUB 文件夾和 SHARE 文件夾下的本單位文件夾里的信息資源擁有所有權(quán)限。

四、結(jié)論

根據(jù)上述 Vsftp 配置原則和用戶權(quán)限設(shè)計(jì)方案，使用以下實(shí)驗(yàn)平臺(tái)進(jìn)行測(cè)試：Linux操作系統(tǒng)使用 Centos5.6，Vsftpd 使用 vsftpd-2.0.5-28.el5.i386.rpm。實(shí)驗(yàn)結(jié)果表明本文基于網(wǎng)絡(luò)安全的高校數(shù)字化平臺(tái)信息共享機(jī)制研究達(dá)到了預(yù)期目標(biāo)。

參考文獻(xiàn)

[1]梁建國， 張斌， 王欣偉. 基于 Vsftpd 的安全 FTP 服務(wù)器的構(gòu)建[J]. 計(jì)算機(jī)與網(wǎng)絡(luò)，2009，（16）：53-54

[2]歐軍，吳清秀，白曉波. 基于 Linux 的 Vsftpd 服務(wù)的構(gòu)建[J]. 信息與電腦（理論版），2010，（05）：101-102