Configurarea serverului ftp

Configurarea serverului FTP

FTP, al doilea protocol Internet cel mai popular după HTTP, este proiectat pentru partajarea de fișiere. Este destinat numai transferului de fișiere, dar o face bine. Din păcate, protocolul a fost inițial conceput astfel încât parolele, datele și orice altceva să fie transmise în text clar și pot fi ușor interceptate - cu toate acestea, majoritatea serverelor oferă acces numai anonim, deci nu este o problemă.

Acest document prezintă recomandările care vă vor ajuta să configurați corect serverul FTP și să minimalizați amenințarea utilizatorilor rău-intenționați care intră în sistem prin acest tip de serviciu.

Configurarea unui server FTP anonim

În primul rând, trebuie să creați un buget ftp al unui utilizator. Pentru a face acest lucru, adăugați date de utilizator în fișierul de parolă de sistem, dacă acest lucru nu se face de pachetul serverului ftp în timpul instalării. Bugetul ftp nu ar trebui să fie folosit de nimeni pentru a vă conecta, deci nu setați o parolă reală pentru acesta; Grupul de utilizatori poate fi și cel care nu are drepturi asupra sistemului de fișiere - de exemplu, ftp-ul însuși (dacă grupul nu există deja, apoi creați-l), specificați un director de lucru pentru acesta, de exemplu / var / ftp. / în loc de interpretul liniei de comandă, specificați / bin / false. Astfel, intrarea în fișierul / etc / passwd pentru utilizatorul ftp va avea următorul aspect:

Deci, după ce utilizatorul "oficial" al viitorului server FTP este creat, puteți acorda atenție directorului său de acasă. Directorul de domiciliu pentru utilizatorul ftp este

ftp este calea completă către director, care va fi "rădăcina" pentru toți utilizatorii anonimi. În cazul nostru, acesta este / var / ftp. Proprietarul acestui director va fi utilizatorul root. Da, da, a fost el, nu ftp. Acest lucru ar trebui făcut în scopul propriului dvs. (serverul FTP și sistemul în ansamblu) de securitate - altfel într-o zi puteți afla știrile neplăcute că nu mai sunteți maestrul în sistemul dvs.

Pentru funcționarea normală a viitorului server, ar fi bine să creați un arbore al subdirectoarelor în care vor fi plasate unele fișiere necesare. Asta este

ftp / pub. Toate directoarele de mai sus trebuie să delimiteze drepturile de acces. pentru

ftp / lib ar trebui să fie 711, și pentru

ftp / pub - 775. Proprietarul tuturor directoarelor va fi rădăcina - acest lucru se face pentru a se asigura că conținutul primelor trei directoare au fost disponibile numai pentru a efectua, în scopul de a preveni copierea fișierelor executabile conținute în ele, în scopul de a le studia pentru vulnerabilități -, spre deosebire de

ftp / pub. care ar trebui să fie accesibile tuturor utilizatorilor serverului FTP, astfel încât aceștia să poată utiliza în mod liber (bineînțeles, în limitele a ceea ce este permis) fișierele pe care doriți să le faceți public.

Grupul la care

ftp / pub. este mai bine să vă schimbați de la rădăcină la una specială, care include utilizatorii care au dreptul să schimbe conținutul acestui director - aceasta nu trebuie făcută ca root.

Pentru ce sunt necesare aceste directoare și ce ar trebui să fie în ele - întrebați. Deoarece sesiunea cu un server FTP anonim este efectuată într-un mediu izolat chrootat, directorul

ftp devine directorul rădăcină și directoarele

ftp / pub sunt mascate corespunzător sub / bin. / etc / lib și / pub. Astfel, serviciul dvs. este întrerupt de la bibliotecile de sistem și de la alte programe "periculoase", care, totuși, au nevoie de muncă și trebuie furnizate, fără a încălca securitatea sistemului. Ce programe și biblioteci sunt necesare depinde de serverul FTP pe care îl utilizați, deoarece majoritatea au propriile caracteristici specifice. Unii, de exemplu, necesită prezența

ftp / etc / passwd pentru a obține numele proprietarilor și grupurilor de fișiere. Prin urmare, va trebui să puneți o copie a fișierului de sistem / etc / passwd. eliminând anterior toate înregistrările inutile de acolo.

Pentru a permite utilizatorilor accesului dvs. la scriere să creeze un director

Sfat: pentru a preveni un atac asupra serverului prin ftp prin inundarea discului cu informații pentru blocarea întregului sistem, creați un director

ftp / pub / intrare într-o secțiune separată.

Caracteristicile serverelor FTP incluse în livrarea programului ALT Linux Master

Kitul de distribuție al kitului de distribuție include următoarele servere FTP:

libra-ftpd (daemon FTP pentru Libra) - pentru organizarea unui server FTP cu acces anonim la resursele furnizate, similar cu cel descris în capitolul precedent;

vsftpd (Foarte sigur FTP Daemon) este un server FTP complet featured.

Desigur, "Foarte sigur" în titlul său nu este o garanție, dar arată că atunci când scrii codul, scopul era să creezi programul cel mai sigur și mai bine executat, foarte puțin sensibil la atacurile din afară.

Dacă aveți suficient server anonim FTP, atunci veți avea nevoie de libra-ftpd în combinație cu anonftp. Acest pachet conține arborele de directoare și setul de fișiere necesare pentru organizarea serverului cu acces anonim, care nu necesită configurare suplimentară - cu excepția cazului în care doriți, de exemplu, să oferiți utilizatorilor accesul la scriere. Toate transferurile de date pe care acest server le efectuează într-un mod pasiv, care este extrem de sigur, dar nu întotdeauna convenabil. O soluție bună ar fi să utilizați libra-ftpd ca server local în organizație. Utilizarea sa ca server public nu este pe deplin justificată, deoarece sistemul său de securitate este configurat prea paranoic pentru această sarcină.

Dacă aveți nevoie de încredere, protejat și, în același timp, este extrem de rapid și scalabil FTP-server care oferă nu numai accesul anonim la resursele de server, dar, de asemenea, accesul utilizatorilor înregistrați la nivel local, atunci ai nevoie cu siguranta un mijloc mai grave, cum ar fi vsftpd. Un exemplu de astfel de utilizare este bazinul server ftp.redhat.com. prelucrarea pe 15000 conexiuni simultan.

Ce îi dă o astfel de popularitate? În primul rând, siguranța muncii. Fiecare linie a codului său a fost supusă în mod repetat controalelor cele mai stricte de către experții în securitate. Cealaltă parte a atractivității sale este cu siguranță simplitatea și flexibilitatea setării. Toate setările necesare sunt efectuate prin editarea unui singur fișier de configurare /etc/vsftpd.conf.

Din motive de securitate, serverul este configurat în mod prestabilit pentru a oferi doar acces anonim. Orice comenzi de scriere sunt interzise. Din administrator, trebuie doar să specificați numele de utilizator utilizând directiva nopriv_user pe care vsftpd o va utiliza pentru a stabili conexiuni sigure. Ar trebui să fie absolut izolat și lipsit de orice utilizator de privilegii.

Recomandări generale

Pentru mai multe informații despre utilizarea programului xinetd, consultați paginile manuale xinetd și xinetd.conf.

Articole similare

• Configurarea accesului anonim la serverul ubuntu cu vsftp

• Proftpd instalarea și configurarea accesului anonim

• Netsago it proiect de cercetare - articole - configurare pas cu pas a ssl pentru apache

Trimiteți-le prietenilor: