Руководство администратора Linux по безопасности



         

ProFTPD - часть 2


Пример ниже разрешает доступ всем машинам 10.1.*.* и машине 1.2.3.4, всем остальным доступ запрещен.

<Limit LOGIN> Order Allow,Deny Allow from 10.1., 1.2.3.4 Deny from all </Limit>

Если Вы помещаете это внутри директив ?<VirtualHost>? или ?<Anonymous>? это применяется только к соответствующему виртуальному или анонимному сайту, при помещении в директиву ?<Global>? это будет применено ко всем секциям ?< VirtualHost>? и ?<Anonymous>?, а при помещении в настройки сервера (с ?ServerName? и связанными данными) это будет вести себя подобно TCP_WRAPPERS, любая машина не из диапазона 10.1.*.*, и не 1.2.3.4 получат отказ ри соединении с портом 21, в противоположность тому, что им просто было бы отказано в соединении, если бы эти ограничения были бы в секциях ?<Global>?, ?<VirtualHost>? или ?<Anonymous>?.

Если нужен анонимный доступ, просто допишите:

<Anonymous ~ftp> User ftp Group ftp RequireValidShell off UserAlias anonymous ftp MaxClients 10 DisplayLogin welcome.msg DisplayFirstChdir .message <Directory *> <Limit WRITE> DenyAll </Limit> </Directory> </Anonymous>

Это назначит ?ftp? домашний каталог, как и прочим пользователям, (при нормальной настройке ?~ftp? скорее всего он будет /home/ftp) в качестве корневого каталога для анонимных пользователей, ProFTPD выполнится как пользователь ?ftp? группы ?ftp?, когда пользователь заходит анонимно (в противоположность регистрации нормального пользователя), и число анонимных входов в систему будет ограничено 10. Также будет отображен файл /home/ftp/welcome, а при переходе в любой каталог, содержащий файл .message, его содержимое также будет отображаться. Директива ?< Directory *>? охватывает /home/ftp/* и не дает заисывать что-либо в данную иерархию. Если нужен каталог incoming (для входящих файлов) просто допишите после директивы ?<Directory *>?:

<Directory incoming> <Limit WRITE> AllowAll </Limit> <Limit READ> DenyAll </Limit> </Directory>

Это позволит записывать файлы в /home/ftp/incoming/, но не читать их. ProFTPD с его богатыми возможностями требует больше времени на настройку, чем WU-FTPD, но, видимо, того стоит. Загрузить ProFTPD с документацией на английском можно с

http://www.protftpd.net.

proftpd-ldap

proftpd-ldap позволяет Вам управление паролем, используя LDAP. Доступен на

http://horde.net/~jwm/software/proftpd-ldap.




Содержание  Назад  Вперед