Безопасность и оптимизация Linux.Редакция для Red Hat




Организация защиты FTP


Файл ftpusers

Важно удостовериться, что вы настроили файл “/etc/ftpusers”. В нем определяются пользователи, которым не разрешено соединяться с вашим FTP сервером. В него должны быть включены, как минимум, следующие пользователи: root, bin, daemon, adm, lp, sync, shutdown, halt, mail, news, uucp, operator, games, nobody и ВСЕ другие определенные по умолчанию пользователи, доступные в вашем файле “/etc/passwd”.

Анонимный FTP

Для отключения анонимного FTP, удалите пользователя “ftp” из вашего файла паролей и проверьте, что пакет anonftp-version.i386.rpm не инсталлирован. Для удаления пользователя “ftp” выполните следующую команду:

[root@deep /]# userdel ftp

Для проверки, что RPM пакет анонимного FTP не инсталлирован у вас на системе выполните следующую команду:

[root@deep /]# rpm -q anonftp

package anonftp is not installed

Команда upload

По умолчанию, Wu-ftpd сервер разрешает upload всем пользователям. Параметр upload позволяет удаленным пользователям загружать и размещать файлы на FTP сервере. Для оптимальной безопасности, мы не хотим разрешать пользователям загружать файлы в подкаталоги “bin”, “etc”, “dev” и “lib” каталога “/home/ftp”. В нашем файле “/etc/ftpaccess” мы уже сменили корневой каталог (chroot) пользователей на “/home/ftp”, и поэтому они не имеют доступ к другим областям файловой системы.

Редактируйте файл ftpaccess (vi /etc/ftpaccess) и добавьте следующие строки, которые запретят upload в определенные области.

# Мы не хотим, чтобы пользователи могли закачивать файлы в эти области. upload /home/ftp/* / no upload /home/ftp/* /etc no upload /home/ftp/* /dev no upload /home/ftp/* /bin no (требуется только если вы не использовали опцию “-- enable-ls”)

upload /home/ftp/* /lib no (требуется только если вы не использовали опцию “-- enable-ls”)

Вышеприведенные строки запрещают upload в подкаталоги “/”, ”/etc”, ”/dev”, “/bin” и “/lib” chroot каталога “/home/ftp”.

Специальный файл “.notar”

Хотите ли вы разрешать таррить каталоги или нет, вы должны сделать так, чтобы нельзя было выполнить команду tar в областях, где запрещен upload.

Шаг 1




Содержание  Назад  Вперед