Эта статья проведет вас через создание FTP сайта, пользователи которого смогут анонимно загружать на него файлы, но не смогут просматривать или загружать какие либо файлы, которые были загружены не ими. Статья также обсуждает использование таких сайтов в корпоративной среде.
FTP один из самых старых протоколов Интернет и все еще один из самых наиболее используемых. В былые дни, бизнесмены передавали информацию с помощью курьеров в кожаных мешках на спинах лошадей, заполненных документами. Сейчас большинство деловых документов является электронными и отправляется через Интернет. И в то время, как электронная почта – часто хороший способ сделать это, некоторые электронные документы являются неподходящими для отправки по электронной почте. Часто это документы, слишком большие, чтобы быть вложениями, или документы, которые должны быть доставлены анонимно, такие как исследования. В результате, многие бизнесмены все еще нуждаются в поддержке FTP серверов для закачки и скачивания больших файлов.
Один интересный сценарий, когда вы хотите чтобы покупатели, клиенты или деловые партнеры могли закачивать файлы на ваш сервер анонимно, но не могли видеть или скачивать файлы, закачанные другими. Такой сценарий часто называется «ящик для сброса», потому что он работает подобно тем физическим ящикам с щелями сверху, которые покупатели могут использовать для заполнения анкет и бросать их в них, когда они покидают ваш магазин. Довольно просто создать такой вариант, используя FTP сервис – компоненту Internet Information Services (IIS). Эта статья как раз об этом.
Мой сценарий использует IIS6 на автономном Windows Server 2003, как FTP сервер и автономный Windows XP в роли клиента для проверки. При испытании такой среды лучше использовать Virtual PC, потрясающая программа, я обсуждал ее в предыдущей статье на WindowsNetworking.com, и это то, что я буду использовать здесь в демонстрационных целях.
Итак, начнем установку FTP сервера. После установки IIS вместе с опциональной компонентой FTP сервис, я создал новую корневую FTP папку, назвав ее FTProot на диске Е:, втором NTFS диске на сервере. Причина для перемещения FTP содержимого из места расположения по умолчанию C:\Inetpub\Ftproot в E:\Ftproot была безопасность – данные должны обычно быть изолированными, не находиться на том же диске, где и операционная система. Эта мера также облегчает восстановление после сбоев, когда вам необходимо переустановить операционную систему, в этом случае ваши данные не будут перезаписаны в течение процесса восстановления, даже если вы должны переформатировать ваш загрузочный том.
В пределах папки E:\Ftproot я создаю следующую папку называю drop, ее я буду использовать как мой FTP ящик для сброса. Заданные по умолчанию разрешения для моей новой папки Ftproot в Windows Server 2003 показаны на рисунке 1.
Рисунок 1: Разрешения по умолчанию
Давайте изменим разрешения на папке Ftproot, чтобы сделать ее более подходящей для нашей цели. Нажмите кнопку Advanced, чтобы открыть диалоговое окно Advanced Security Settings. Очистите помеченный переключатель “Allow inheritable permissions from the parent to propagate to this object…” и когда новое диалоговое окно спросит вас, хотите ли вы копировать или удалять существующие унаследованные разрешения папки, выберите Copy. Результат — то, что существующие разрешения на папке Ftproot являются теми же самыми, как и на Рисунке 1, но они — теперь явные разрешения, а не унаследованные.
Теперь нажмите OK, чтобы закрыть диалоговое окно Advanced Security Settings и вернуться к свойствам для папки Ftproot. Удалите CREATOR OWNER, SYSTEM и Users. Только Administrators (Администраторы) имеют полный контроль и доступ.
Теперь нажмите Add и добавьте в управление доступом IIS анонимную учетную запись пользователя, которую по умолчанию называют IUSR_servername, где servername имя вашей Windows Server 2003 машины. Затем настройте управление доступом для IUSR_servername так, чтобы учетная запись имела разрешение только для List Folder Contents (Список содержимого папки), как показано на рисунке 2.
Рисунок 2: Настройка управления доступом для IUSR_servername
Что мы имеем на этом этапе, так это папка Ftproot, в которой разрешен Администраторам полный доступ, но анонимным пользователям только возможность просмотра списка содержимого папок. Эти разрешения по умолчанию также унаследованы подпапкой drop, и эти разрешения тоже нуждаются в небольшой модификации. Итак, откроем окно Properties для папки drop, нажмите Advanced, очистите переключатель “Allow inheritable permissions…” , нажмите Copy, и нажмите OK, так что мы можем вручную изменить разрешения на папке drop.
Нажмите кнопку Advanced снова, чтобы открыть Advanced Security Settings для папки drop, которая должна теперь выглядеть как на рисунке 3:
Рисунок 3: Advanced Security Settings для папки drop
Обратите внимание, что, хотя стандартные разрешения (управление доступом на странице Properties) для IUSR_servername были List Folder Contents (Список Содержимого Папки), здесь это показано как Read & Execute (Чтение и Выполнение). Далее нам нужно ужесточить разрешения для IUSR_servername. Выберите это назначение, как это показано на рисунке 3, и нажмите кнопку Edit, чтобы отобразить специальные NTFS разрешения для IUSR_servername. Когда диалоговое окно Permissions Entry появляется, удалите пометки около всего кроме List Folder/Read Data и Read Permissions, и измените Apply Onto всплывающее окно списка на Files Only, как показано на рисунке 4:
Figure 4: Изменение Apply Onto всплывающего окна списка на Files Changing
Нажмите OK , чтобы закрыть поле Permissions Entry и модифицировать специальные разрешения для IUSR_servername. Теперь нам нужно создать другое управление доступом для IUSR_servername, но в этот раз это должно быть применено к самой папке drop и не к файлам, содержащимся в этой папке, так как предварительно сделано управление доступом на рисунке 4. Чтобы создать это новое правило управления доступом, нажмите кнопку Add, укажите IUSR_servername как учетную запись, к которой вы хотите применить разрешения, и настройте разрешения как показано на рисунке 5:
Рисунок 5: Создание нового правила управления доступом
Нажмите OK несколько раз, чтобы закрыть диалоговые окна разрешений и все готово.
Чтобы проверить наш ящик сброса, мы для начала сделаем E:\Ftproot корневой папкой для FTP сайта по умолчанию в IIS. Откройте IIS менеджер, выберите раздел FTP Sites и в нем нажмите правой кнопкой мыши на Default FTP Site и выберите Properties. Выберите вкладку Home Directory (домашняя директория) в окне Properties и измените домашнюю папку для сайта с C:\Inetpub\Ftproot на E:\Ftproot как показано на рисунке 6. Не забудьте также пометить переключатель Write, чтобы включить закачку на FTP сайт.
Рисунок 6: Изменение домашней папки для сайта
Теперь давайте проверим эту установку. Используя Windows XP виртуальную машину, загруженную на Virtual PC, Я открываю папку My Pictures, в которой есть кое-какие файлы, которые я хочу закачать в FTP ящик сброса. Затем я открываю Internet Explorer и ввожу URL для моего ящика сброса, в форме ftp://servername/drop , как показано на рисунке 7:
Рисунок 7: Закачка файлов на FTP ящик сброса
Теперь я перетащил несколько картинок из папки My Pictures в папку drop на удаленном FTP сервере. Эти файлы должны быть переданы и отображены в окне Internet Explorer как находящиеся в папке drop на удаленной машине. Если вы сейчас обновите окно Internet Explorer нажатием F5, показанные файлы исчезнут. Другими словами, как только файлы закачаны, они не могут быть увиденными больше. Те, кто имеют доступ к папке drop, используя FTP клиент, тоже не увидят их. Чтобы в двойне проверить это, я могу подключиться к моей папке drop, используя клиента ftp.exe через командную строку Windows и попытаться просмотреть содержимое папки drop после закачки нескольких файлов в нее (смотрите Рисунок 8). Результат – отказ в доступе, когда я пытаюсь получить список содержимого папки drop.
Рисунок 8: Отказ в доступе при попытке просмотреть список содержимого папки drop
Однако, используя Windows Explorer на моем FTP сервере, я могу легко проверить, что файлы были действительно успешно переданы от XP клиентской машины.
Папки для сброса, такие, как я здесь описал, могут быть полезны для бизнесменов, которым нужно разрешить анонимным пользователям закачивать большие файлы в вашу сеть через FTP. Устанавливая соответствующие разрешения на папке для сброса на вашем FTP сервере, вы можете разрешить пользователям закачку файлов без возможности просмотра какой-либо информации о файлах закаченных другими пользователями.
www.windowsnetworking.com
Tags: ftp, quote, Windows XP