Безопасность и оптимизация Linux.Редакция для Red Hat

       

Организация защиты FTP


Файл ftpusers

Важно удостовериться, что вы настроили файл “/etc/ftpusers”. В нем определяются пользователи, которым не разрешено соединяться с вашим FTP сервером. В него должны быть включены, как минимум, следующие пользователи: root, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, nobody и ВСЕ другие определенные по умолчанию пользователи, доступные в вашем файле “/etc/passwd”.

Анонимный FTP

Для отключения анонимного FTP, удалите пользователя “ftp” из вашего файла паролей и проверьте, что пакет anonftp-version.i386.rpm не инсталлирован. Для удаления пользователя “ftp” выполните следующую команду:

[root@deep /]# userdel ftp

Для проверки, что RPM пакет анонимного FTP не инсталлирован у вас на системе выполните следующую команду:

[root@deep /]# rpm -q anonftp

package anonftp is not installed

Команда upload

По умолчанию, Wu-ftpd сервер разрешает upload всем пользователям. Параметр upload позволяет удаленным пользователям загружать и размещать файлы на FTP сервере. Для оптимальной безопасности, мы не хотим разрешать пользователям загружать файлы в подкаталоги “bin”, “etc”, “dev” и “lib” каталога “/home/ftp”. В нашем файле “/etc/ftpaccess” мы уже сменили корневой каталог (chroot) пользователей на “/home/ftp”, и поэтому они не имеют доступ к другим областям файловой системы.

Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующие строки, которые запретят upload в определенные области.

# Мы не хотим, чтобы пользователи могли закачивать файлы в эти области. upload /home/ftp/* / no upload /home/ftp/* /etc no upload /home/ftp/* /dev no upload /home/ftp/* /bin no (требуется только если вы не использовали опцию “-- enable-ls”)

upload /home/ftp/* /lib no (требуется только если вы не использовали опцию “-- enable-ls”)

Вышеприведенные строки запрещают upload в подкаталоги “/”, ”/etc”, ”/dev”, “/bin” и “/lib” chroot каталога “/home/ftp”.

Специальный файл “.notar”



Хотите ли вы разрешать таррить каталоги или нет, вы должны сделать так, чтобы нельзя было выполнить команду tar в областях, где запрещен upload.

Шаг 1


Чтобы сделать это, создайте специальный файл '.notar' в каждом каталоге и каталоге FTP.

[root@deep /]# touch /home/ftp/.notar

[root@deep /]# touch /home/ftp/etc/.notar

[root@deep /]# touch /home/ftp/dev/.notar

[root@deep /]# touch /home/ftp/bin/.notar (требуется только если вы не использовали опцию “--enable-ls”)

[root@deep /]# touch /home/ftp/lib/.notar (требуется только если вы не использовали опцию “--enable-ls”)

[root@deep /]# chmod 0 /home/ftp/.notar

[root@deep /]# chmod 0 /home/ftp/etc/.notar

[root@deep /]# chmod 0 /home/ftp/dev/.notar

[root@deep /]# chmod 0 /home/ftp/bin/.notar (требуется только если вы не использовали опцию “--enable-ls”)

[root@deep /]# chmod 0 /home/ftp/lib/.notar (требуется только если вы не использовали опцию “--enable-ls”)

Шаг 2

Файл нулевой длины “.notar” может привести в замешательство некоторые веб клиенты и FTP прокси, чтобы решить эту проблему, надо запретить пересылку этого файла.

Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующую строку, чтобы маркировать файл “.notar” как непересылаемый.

noretrieve .notar

Команда noretrieve.

Параметр noretrieve сервера Wu-ftpd позволяет вам запретить пересылку выбранных каталогов или файлов. Хорошей идеей будет предотвращение передачи некоторых подкаталогов (bin, etc, dev, and lib) из каталога “/home/ftp” при помощи команды “noretrieve” в файле “/etc/ftpaccess” file. Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующие строки для предотвращения передачи ряда каталогов.

# Мы предотвращаем перекачку при помощи noretrieve. noretrieve /home/ftp/etc noretrieve /home/ftp/dev noretrieve /home/ftp/bin (требуется только если вы не использовали опцию “-- enable-ls”)

noretrieve /home/ftp/lib (требуется только если вы не использовали опцию “-- enable-ls”)


Содержание раздела