Организация защиты FTP
Файл ftpusers
Важно удостовериться, что вы настроили файл “/etc/ftpusers”. В нем определяются пользователи, которым не разрешено соединяться с вашим FTP сервером. В него должны быть включены, как минимум, следующие пользователи: root, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, nobody и ВСЕ другие определенные по умолчанию пользователи, доступные в вашем файле “/etc/passwd”.
Анонимный FTP
Для отключения анонимного FTP, удалите пользователя “ftp” из вашего файла паролей и проверьте, что пакет anonftp-version.i386.rpm не инсталлирован. Для удаления пользователя “ftp” выполните следующую команду:
[root@deep /]# userdel ftp
Для проверки, что RPM пакет анонимного FTP не инсталлирован у вас на системе выполните следующую команду:
[root@deep /]# rpm -q anonftp
package anonftp is not installed
Команда upload
По умолчанию, Wu-ftpd сервер разрешает upload всем пользователям. Параметр upload позволяет удаленным пользователям загружать и размещать файлы на FTP сервере. Для оптимальной безопасности, мы не хотим разрешать пользователям загружать файлы в подкаталоги “bin”, “etc”, “dev” и “lib” каталога “/home/ftp”. В нашем файле “/etc/ftpaccess” мы уже сменили корневой каталог (chroot) пользователей на “/home/ftp”, и поэтому они не имеют доступ к другим областям файловой системы.
Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующие строки, которые запретят upload в определенные области.
# Мы не хотим, чтобы пользователи могли закачивать файлы в эти области. upload /home/ftp/* / no upload /home/ftp/* /etc no upload /home/ftp/* /dev no upload /home/ftp/* /bin no (требуется только если вы не использовали опцию “-- enable-ls”)
upload /home/ftp/* /lib no (требуется только если вы не использовали опцию “-- enable-ls”)
Вышеприведенные строки запрещают upload в подкаталоги “/”, ”/etc”, ”/dev”, “/bin” и “/lib” chroot каталога “/home/ftp”.
Специальный файл “.notar”
Хотите ли вы разрешать таррить каталоги или нет, вы должны сделать так, чтобы нельзя было выполнить команду tar в областях, где запрещен upload.
Шаг 1
Чтобы сделать это, создайте специальный файл '.notar' в каждом каталоге и каталоге FTP.
[root@deep /]# touch /home/ftp/.notar
[root@deep /]# touch /home/ftp/etc/.notar
[root@deep /]# touch /home/ftp/dev/.notar
[root@deep /]# touch /home/ftp/bin/.notar (требуется только если вы не использовали опцию “--enable-ls”)
[root@deep /]# touch /home/ftp/lib/.notar (требуется только если вы не использовали опцию “--enable-ls”)
[root@deep /]# chmod 0 /home/ftp/.notar
[root@deep /]# chmod 0 /home/ftp/etc/.notar
[root@deep /]# chmod 0 /home/ftp/dev/.notar
[root@deep /]# chmod 0 /home/ftp/bin/.notar (требуется только если вы не использовали опцию “--enable-ls”)
[root@deep /]# chmod 0 /home/ftp/lib/.notar (требуется только если вы не использовали опцию “--enable-ls”)
Шаг 2
Файл нулевой длины “.notar” может привести в замешательство некоторые веб клиенты и FTP прокси, чтобы решить эту проблему, надо запретить пересылку этого файла.
Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующую строку, чтобы маркировать файл “.notar” как непересылаемый.
noretrieve .notar
Команда noretrieve.
Параметр noretrieve сервера Wu-ftpd позволяет вам запретить пересылку выбранных каталогов или файлов. Хорошей идеей будет предотвращение передачи некоторых подкаталогов (bin, etc, dev, and lib) из каталога “/home/ftp” при помощи команды “noretrieve” в файле “/etc/ftpaccess” file. Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующие строки для предотвращения передачи ряда каталогов.
# Мы предотвращаем перекачку при помощи noretrieve. noretrieve /home/ftp/etc noretrieve /home/ftp/dev noretrieve /home/ftp/bin (требуется только если вы не использовали опцию “-- enable-ls”)
noretrieve /home/ftp/lib (требуется только если вы не использовали опцию “-- enable-ls”)
