Ivanovo Linux Users Group -  
Форум Помощь Поиск Вход
Предыдущая Следующая Вверх Тема Софт / Программное обеспечение / Безопаспость в VSFTPD//.. (5250 хитов)
- Написал(а) DMSSAN Дата 17.12.04 08:14
Хочу у всех спросить:
1. какие основные действия мне нужно сделать, чтобы защитить мой ftp..? Я хочу его настроить, как под anonymous, так и под пользователей, которые имеют свой логин-пароль и свои папки..
2.  Что вообще делается, как на уровне конфига, так и выставлением различных прав на папки?
3. Как можно при незащищенной системе подняться выше по каталогам?
4. Что такое chroot и глобальный chroot?
Parent - Написал(а) LOE (Site/forum admin) Дата 18.12.04 08:16
Сначала надо прочитать документацию (разделы, посвященные защите)
Я не работал с vsftpd, но наверняка в доке есть советы.
Далее - аккуратно раздавать права на файлы-каталоги, к которым получает доступ пользователь.
И, конечно, пускать пользователей в chroot окружение. Т.е. так, что подключившись по ftp, пользователь получал корневым каталогом свой собственный каталог. Тогда он не сможет подняться выше по дереву.
При наличии возможности, пользователи должны быть не системными (прописанными в /etc/passwd, /etc/shadow), а виртуальными. Т.е. имя-пароль пользователей должны быть в другом файле.

PS. пользую proftpd - там всё это есть. А имена-пароли вообще храню в mysql табличке.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - Написал(а) DMSSAN Дата 20.12.04 08:25
Ну именно о защите своего vsftpd я почитал, но есть же и общие вещи.. Такие как защита по портам, chroot и т.д (именно об этом и спрашивал).
С каталогами все понятно, а вот насчет обычного и глобального chroot'а: как мне их осуществить у себя? Ничего об этом не знаю. Как это организовывается?

Я знаю, что глобальный - это когда весть ftp загоняется в chroot, а обычны это только для конкретных юзеров со своими папками и никуда выше по дереву.. Правильно ли я думаю? Как это сделать?

Разьве пароли хранятся в /etc/passwd, /etc/shadow? Чесно говоря, я не знаю где еще можно прописывать пользователей моего ftp..
Кстати у меня они там прописаны например вот так: username:x:1013:1013::/var/ftp/username:/bin/bash.. Но я совершенно не понимаю зачем нужны числа 1013? И потом :/bin/bash что дает пользователю.. Что вообще можно и нужно написать заместо этого? Я пробовал что-то другое (bin/true или dev/null), но при этом вообще нельзя подключится к ftp..Просто не понимаю, какое смысловое значение несут эти строчки.

Где обычно хранятся пароли и логины?
Parent Написал(а) LOE (Site/forum admin) Дата 20.12.04 09:28
Ндя. Ведь говорил же я тебе - почитай общую книжку по [любому] юниксу.

Глобальный chroot - хорошо.
Если ftp демон допускает, надо делать и по-юзерно chroot, чтоб даже каталоги других пользователей не были видны. Почитай наконец доку по включению chroot окружения!!!

Обычно(!) юзера хранятся в /etc/passwd, а пароли - в /etc/shadow
Цифирьки - это uid и gid
Чтобы прописать "что-то другое" в качестве шелла и разрешить коннект по ftp - надо добавлять это "что-то" в /etc/shells

Смысловое значение несет каждое поле в passwd и shadow ! И ты обязан знать значение каждого!

Поместив пользователя в /etc/passwd и даже если поменяешь ему шелл, ты имеешь потенциально большую дыру в защите системы (хотя бы некоторые возможности ssh'а)
Да, порты можно позакрывать, но потенциальная опасность - очень высока!
Поэтому и надо иметь "виртуальных" пользователей для доступа по ftp.

PS. пойми еще одну вешь:
здесь тебе дают бесплатные советы, но это не отменяет необходимости изучения документации.
если ты хочешь детальнейший подробный ответ со всеми конфигами, это уже консультация, которая [как правило] платная.
грамотному админу порой достаточно одного слова, чтобы он понял направление поисков.
если же ждать, когда полностью ответят - уйдут недели (что сейчас и происходит)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Предыдущая Следующая Вверх Тема Софт / Программное обеспечение / Безопаспость в VSFTPD//.. (5250 хитов)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.635s with 10 database queries.