Az ftp szerver konfigurálása
Az FTP kiszolgáló konfigurálása
Az FTP, a második legnépszerűbb internetes protokoll HTTP után, fájlmegosztásra van tervezve. Ez csak a fájlok átvitelére szolgál, de jól működik. Sajnos az eredeti protokoll úgy van kialakítva, hogy a jelszavakat, és az összes többi küldik tiszta szöveget és könnyen elfogtak -, de a legtöbb szerver csupán névtelen hozzáférést, így ez nem jelent problémát.
Ez a dokumentum felvázolja azokat az ajánlásokat, amelyek segítenek az FTP-kiszolgáló megfelelő konfigurálásában, és minimalizálják a rendszerbe bejövő rosszindulatú felhasználók fenyegetését az ilyen típusú szolgáltatások révén.
Anonim FTP-kiszolgáló beállítása
Először létre kell hoznia a felhasználó ftp-költségkeretét. Ehhez hozzá kell tenni, hogy a felhasználói adatokat a rendszer jelszó fájl, ha nem teszi a csomagot az ftp-szerver telepítés során. Az ftp költségvetést nem szabad használni bárki bejelentkezéshez, ezért ne állítson be valódi jelszót; Felhasználói csoport is lehet olyan, amely nem rendelkezik semmilyen jogot a fájlrendszer - például a tényleges ftp (ha a csoport nem létezik, hozza létre), adja meg az aktuális könyvtárat érte, mint például a / var / ftp. / a parancssori tolmács helyett, adja meg a / bin / false értéket. Így az ftp felhasználó / etc / passwd fájljában a következő megjelenés jelenik meg:
Tehát, miután létrehozta a jövőbeli "hivatalos" FTP-kiszolgálót, figyelmet fordíthat a saját könyvtárára. Az ftp felhasználó otthoni könyvtára
Az ftp a könyvtár teljes elérési útja, amely az összes névtelen felhasználó "root" -ja lesz. Esetünkben ez a / var / ftp. Ennek a könyvtárnak a tulajdonosa a root felhasználó lesz. Igen, igen, nem ő, nem ftp. Ezt a saját (FTP szerver és a rendszer egésze) biztonsága érdekében kell elvégezni - különben egy nap megtanulhatod a kellemetlen híreket, hogy már nem a rendszered mestere.
A jövőbeli kiszolgáló normális működéséhez jó lenne létrehozni egy alkönyvtárak fát, amelyekben néhány szükséges fájlt helyeznek el. Ez így van
ftp / pub. A fenti könyvtáraknak meg kell határoznia a hozzáférési jogokat. mert
ftp / lib legyen a 711, és a
ftp / pub - 775. A tulajdonos minden könyvtárak lesz a gyökér - ez azért van, hogy biztosítsa, hogy a tartalom az első három könyvtár volt elérhető, hogy végre annak érdekében, hogy megakadályozzák a másolást futtatható fájl tartalmazza azokat annak érdekében, hogy tanulmányozza azokat a biztonsági réseket, - szemben a
ftp / pub. amelyeknek elérhetőeknek kell lenniük az FTP szerver minden felhasználójának, így szabadon (természetesen a megengedett határokon belül) szabadon használhatják azokat a fájlokat, amelyeket nyilvánosan elérhetővé kíván tenni.
A csoport, amelyhez
ftp / pub. jobb, ha a gyökérről egy speciálisra váltunk, amely magában foglalja azokat a felhasználókat is, akiknek joguk van megváltoztatni a könyvtár tartalmát - ezt nem rootként kell végrehajtani.
Amire szükség van ezekre a könyvtárakra, és mi kell benne. Mivel egy névtelen FTP-kiszolgálóval folytatott munkamenet egy elszigetelt chrooted környezetben, a könyvtárban történik
Az ftp a gyökérkönyvtár és a könyvtárak lesz
Az ftp / pub maszkolása a / bin alatt történik. / stb. / lib és / pub. Így a szolgáltatása le van vágva a rendszerkönyvtáraktól és más "veszélyes" programoktól, amelyeknek azonban szüksége van a munkára, és azokat a rendszer biztonságának megsértése nélkül kell biztosítani. Melyik programra és könyvtárra van szükség attól függ, hogy melyik FTP-kiszolgálót használja, mivel többségük sajátos sajátosságokkal rendelkezik. Egyesek például megkövetelik a jelenlétét
ftp / etc / passwd, hogy megkapja a tulajdonosok és fájlcsoportok nevét. Ezért a rendszerfájl / etc / passwd másolatát fel kell vennie. korábban eltávolította a felesleges rekordokat innen.
Annak érdekében, hogy a kiszolgáló felhasználói hozzáférhessenek a felhasználókhoz, hozzon létre egy könyvtárat
Tipp: Ha meg szeretné akadályozni a kiszolgálónk támadását ftp-vel, azáltal, hogy elárasztja a lemezt, hogy megakadályozza a teljes rendszert, hozzon létre egy könyvtárat
ftp / pub / bejövő egy külön szakaszon.
Az ALT Linux Master szállítmányának részét képező FTP-kiszolgálók jellemzői
A forgalmazási készletünk disztribúciós készlete a következő FTP-kiszolgálókat tartalmazza:
libra-ftpd (Libra FTP démon) - egy FTP-szerver anonim hozzáféréssel a rendelkezésre álló forrásokhoz, hasonlóan az előző fejezetben leírtakhoz;
A vsftpd (nagyon biztonságos FTP-démon) egy teljes funkcionalitású FTP-kiszolgáló.
Természetesen „Very Secure” nem jelent garanciát a saját nevében, de az azt jelzi, hogy a célja írni a kódot, hogy megteremtse a legbiztonságosabb állt, és gondosan végrehajtott program minimálisan érzékeny oldalán támadásokat.
Ha elég anonim FTP-kiszolgáló van, akkor szükséged lesz a libra-ftpd-re anonftp-vel kombinálva. Ez a csomag tartalmazza a címtárfát és a szerver anonim hozzáféréssel történő szervezéséhez szükséges fájlokat, amelyekhez nincs szükség további konfigurációra - hacsak nem szeretné, hogy a felhasználók írási hozzáférést biztosítsanak. A kiszolgáló minden adatátvitelét passzív üzemmódban végzi, ami rendkívül biztonságos, de nem mindig kényelmes. Egy jó megoldás lenne, ha a libra-ftpd-t helyi szervezetként használnánk a szervezetben. Használata nyilvános szerverként nem teljesen indokolt, mivel a biztonsági rendszere túlságosan paranoidnak bizonyult erre a feladatra.
Ha szüksége van egy megbízható, védett és ugyanakkor rendkívül gyors és méretezhető FTP-szerver, amely nem csak a névtelen hozzáférést a szerver erőforrások, hanem a helyi hozzáférés regisztrált felhasználó, akkor feltétlenül szükség van egy komolyabb eszközökkel, mint a vsftpd. Ilyen példa a ftp.redhat.com szerver pool. feldolgozás 15 000 kapcsolaton egyszerre.
Mi ad neki ilyen népszerűséget? Először is, természetesen a munka biztonsága. A kódex minden egyes sorát ismételten a biztonsági szakértők legszigorúbb ellenőrzései vetették alá. A vonzerejének másik oldala minden bizonnyal a beállítás egyszerűsége és rugalmassága. Az összes szükséges beállítást egy /etc/vsftpd.conf konfigurációs állomány szerkesztésével végezzük.
Biztonsági okokból a kiszolgáló alapértelmezés szerint úgy van beállítva, hogy csak névtelen hozzáférést biztosítson. Minden írásparancs tilos. A rendszergazdától csak a nnév_user irányelv használatával kell megadnia a felhasználónevet, amelyet a vsftpd használni fog a biztonságos kapcsolatok létrehozásához. Teljesen el kell különíteni és megfosztani a kiváltságokat felhasználóktól.
Általános ajánlások
Az xinetd használatával kapcsolatos további információkért lásd a xinetd és xinetd.conf man oldalakat.