|
Установка прав доступа
Права доступа устанавливаются на директорию и по умолчанию распространяются на все поддиректории, но могут быть переопределены. Для того, чтобы установить права доступа на некоторую директорию, необходимо создать в ней файл с именем '.ftpaccess'. Содержимое этого файла определяет права доступа к директории и поддиректориям. Формат файла:
[AllowAll|DenyAll]
[<Limit ftp-command-list>
[Order allow,deny|deny,allow]
[AllowUser users-list]
[DenyUser users-list]
[AllowGroup group-expression]
[DenyGroup group-expression]
[Allow hosts]
[Deny hosts]
[AllowAll|DenyAll]
]
[<Limit ftp-command-list2>
...
] |
Видно, что файл состоит из секций 'Limit', содержащих команды разрешения/запрещения доступа. Команды AllowAll и DenyAll могут использоваться также вне секций 'Limit'.
Секция 'Limit' начинается со строки '<Limit ftp-command-list>' и заканчивается строкой '</Limit>'. Ftp-command-list является списком ftp-команд и классов ftp-команд, разделенных пробелами. Содержимое секции -- команды управления доступом. Они определяют возможность выполнения команд, перечисленных в списке.
Order
Команда 'Order' управляет последовательностью обработки остальных команд управления доступом. По умолчанию действует правило 'allow,deny'. Это значит, что первыми проверяются команды разрешения доступа (список этих команд начинается со слова 'Allow'). Если какая-либо команда отработала успешно, процесс прерывается и пользователю разрешаеся выполнение ftp-команд, перечисленных в первой строке секции. Иначе обрабатываются команды запрещения доступа (их список начинается со слова 'Deny'). Если какая-либо команда отработала успешно, выполнение ftp-команд запрещается.
Если установить порядок 'deny,allow', обработка команд происходит в обратном порядке, т.е. сначала обрабатываются команды запрещения доступа, потом команды разрешения доступа.
AllowAll/DenyAll
Разрешение или запрещение выполнения ftp-команд всем пользователям со всех хостов.
AllowUser/DenyUser
Разрешение или запрещение выполнения ftp-команд для конкретных пользователей. Аргументом этой команды (users-list) является список имен пользователей (через запятую).
AllowGroup/DenyGroup
Разрешение или запрещение выполнения команд для пользователей, входящих или не входящих в указанные группы. Группы перечисляются через запятую. Знак '!' перед именем группы показывает, что пользователь не должен в нее входить. При проверке данной директивы проверяется наличие (или отсутствие, если использован знак '!') пользователя в каждой из перечисленных групп и условие считается выполненным, только если оно выполнено для всех перечисленных групп.
То есть, если Вы используете директиву вида
AllowGroup group1,group2
то доступ на выполнение соответствующих команд будет только у пользователей, которые одновременно входят в group1 и group2. Если Вы хотите дать доступ всем пользователям, которые входят в группу group1 или group2, то нужно писать отдельную директиву для каждой группы:
AllowGroup group1
AllowGroup group2
Allow/Deny
Разрешение или запрещение выполнения ftp-команд для всех пользователей, если соединение установлено с перечисленных хостов. Хосты перечисляются через запятую. В качестве имени хоста можно указывать доменное имя, ip-адрес или адрес сети с точкой в конце
|
Документация 
