Конфигуриране на FTP-сървър
FTP, втората най-популярна интернет протокол, след като HTTP, е предназначена за споделяне на файлове. Тя е предназначена само за прехвърляне на файлове, но го прави добре. За съжаление, на оригиналния протокол е проектиран така, че пароли и всички останали са изпратени в ясен текст и могат лесно да бъдат прихванати - но повечето сървъри осигуряват само анонимен достъп, така че това не е проблем.
Този документ дава насоки за да ви помогне правилно да конфигурирате FTP-сървър, и свеждане до минимум на риска от проникване в грешната система чрез този вид услуга.
Създаване на анонимен FTP-сървър
За да започнете, трябва да създадете бюджет на потребителя FTP. Към това трябва да се добавят към данните на потребителя документация на системата за парола, ако тя не направи пакет FTP-сървър по време на инсталацията. FTP бюджет не трябва да се използва от всеки, за да влезете, за да настроите действителната паролата не трябва да бъде за него; Потребителят група също може да бъде всеки, който няма никакви права върху файловата система - например, действителната FTP (ако групата не съществува, създайте го), посочете работната директория за него, като например / Var / FTP. и вместо към интерпретатора командния влиза / хамбар / невярно. По този начин, влизането във файла / и т.н. / ако съществува за FTP потребител ще бъде подобно на следното:
Така че, след като "длъжностно лице" бъдещето на потребителя FTP-сървър, създаден, можете да обърнете внимание на домашната директория на потребителя. Ftp потребителска директория е
FTP - е пълния път до директорията, в която ще бъде "корен" на всички анонимни потребители. В нашия случай това е / Var / FTP. Собственикът на тази директория ще бъде потребителят корен. Да, това е той, не FTP. Това трябва да се направи, за да се собствения си (FTP-сървър и система) сигурност - в противен случай един ден да разберете лошата новина, че вече не е собственик на вашата система.
За правилното функциониране на бъдещето на сървъра би било хубаво да се създаде поддиректория дърво, което ще бъде домакин на някои от най-необходимите файлове в работата. това
FTP / банкетна зала. Всички директориите необходими, за да се диференцират правата за достъп, изброени по-горе. за
FTP / ИЪ трябва да е 711, а за
FTP / банкетна зала - 775. Собственикът на всички директории ще бъде в основата - това се прави, за да се гарантира, че съдържанието на първите три директории са достъпни само да се извърши, за да се предотврати копиране на изпълними файлове, съдържащи се в тях, за да ги учи за уязвимости - за разлика от
FTP / банкетна зала. който да бъде достъпен за всички потребители на FTP-сървър, така че те да могат свободно (разбира се, в рамките на което е разрешено), за да използвате файловете, които искате да направи публично достъпно.
Група, която е собственик
FTP / банкетна зала. по-добра смяна с корена на специални, която включва потребители, които имат право да променя съдържанието на тази директория - не си струва да правиш в името на корен.
Какви са тези директории и това, което трябва да бъде в тях - те попитам. От сесията с анонимен FTP-сървър работи в изолирана среда за изпълнение (chrooted среда), в каталога
FTP става главната директория и директории
FTP / банкетна зала маскиран съответно под / кофата за боклук. / И т.н. / Lib и / банкетна зала. По този начин, ако вашата услуга е отрязана от системните библиотеки и други "опасни" програми, които, обаче, той трябва да работи, и те са задължени да предоставят, без да се застрашава сигурността на системата. Какви програми и библиотеките, нужни - това зависи от това, FTP-сървър, който ще използвате, тъй като повечето от тях имат свои специфични характеристики. Някои от тях, например, изисква
FTP / и т.н. / ако съществува, за да получите имената на собствениците и групи от файлове. Така че ще трябва да се сложи копие на вашия системен файл / и т.н. / ако съществува. след изваждане от там всички ненужни записите.
С цел да се позволи на потребителите да получат достъп до вашия сървър за запис, създаване на директория
Съвет: За да се предотврати атака на вашия сървър чрез FTP с диск, пълен с информация, за да блокира работата на системата, създадена директория
FTP / кръчма / входящо на отделен дял.
Характеристики на FTP сървъри, предоставения ALT Linux Учителя
Доставката на дистрибуторската ни се състои от следните FTP-сървъри:
Везни-FTPD (Везни FTP демон) - за организиране на FTP-сървър с анонимен достъп до предоставените ресурси, като например тази, описана в предишната глава;
vsftpd (Secure FTP Много Деймън) - пълнофункционален FTP-сървър.
Разбира се, "Много Secure" не е гаранция, в името му, обаче, показва, че целта на писане на код, за да създадете най-сигурни се изправи и внимателно изпълнява програма, минимално чувствителни към страничните атаките.
Ако имате само анонимно FTP-сървър, ще ви хареса Везни-FTPD във връзка с anonftp. Този пакет съдържа дървото на директориите и набор от файлове, необходими за сървъра с анонимна организация на достъпа, който не се нуждае от допълнителна настройка - освен ако не искате да се, например, за да предоставят на потребителите с права за запис. Всички данни, които сървърът изпълнява в пасивен режим, който е изключително сигурен, но не винаги е удобно. Добро решение е да се използва Везни-FTPD като локален сървър в организацията. Използването му като публичен сървър не е напълно оправдано, тъй като системата за сигурност е твърде параноично за тази задача.
Ако имате нужда от надежден и защитен, и в същото време е изключително бърз и мащабируема FTP-сървър, който осигурява не само анонимен достъп до сървъра си ресурси, но също така достъпът локално регистрирани потребители, а след това със сигурност се нуждаят от по-сериозни средства като vsftpd. Пример за такава употреба може да служи като сървър басейн ftp.redhat.com. При обработката на 15,000 връзки едновременно.
Какво дава толкова популярен? На първо място, разбира се, за безопасност. Всеки ред код е бил многократно подложен на най-строгите проверки от експерти в областта на сигурността. Другата страна на неговата привлекателност със сигурност е простотата и гъвкавостта на персонализиране. Всички необходими настройки се правят чрез редактиране на един конфигурационен файл /etc/vsftpd.conf.
От съображения за сигурност на сървъра, което е конфигуриран да се осигури само анонимен достъп. Забранен никакви команди за запис. Администраторът трябва само да посочите чрез директиви nopriv_user потребителско име, което vsftpd ще бъдат използвани за сигурни връзки. Тя трябва да бъде напълно изолиран и лишен от привилегии на потребителя.
Общи препоръки
За повече информация относно използването на Xinetd Xinetd виж стр потребителя и xinetd.conf.
Свързани статии