Linux: Полное руководство
Шрифт:
15.2.2. Настройка ProFTPD. Файл /etc/proftpd.conf
Сервер ProFTPD использует всего один файл конфигурации —
В листинге 15.7 представлен простейший файл конфигурации сервера ProFTPD.
Листинг 15.7. Пример файла конфигурации /etc/proftpd.conf
Директивы
Действия каждой пары директив распространяются только на блок, расположенный между ними. Директива <Directory> определяет свойства какого-нибудь каталога. В вышеприведенном листинге определяются свойства корневого каталога.
В таблице 15.5 представлены все директивы файла конфигурации сервера ProFTPD.
Директивы файла конфигурации сервера ProFTPD Таблица 15.5
| Директива | Описание |
|---|---|
| AccessGrantMsg сообщение | Ответное сообщение, которое будет отправлено пользователю в случав его регистрации или получения анонимного доступа. Символы %u будут заменены на имя пользователя которое он ввел при регистрации |
| Allow from all | host | network [,host | network[, …]] | Используется внутри блока Limit. Ограничивает доступ к серверу (а именно, разрешает доступ). По умолчанию allow from all |
| AllowAll | Разрешает доступ к блокам Directory, Anonymous, Limit |
| AllowForeignAddress on | off | Разрешает клиенту указывать при установке соединения адрес, который не соответствует ему. По умолчанию off. Может использоваться в блоках VirtualHost, Anonymous, <Global> |
| AllowGroup список_групп | Разрешает доступ определенным группам. Используется в блоке Limit |
| AltowUser список_пользователей | Разрешает доступ определенным пользователям. Используется в блоке Limit |
| AnonRequirePassword on | off | Требует пароль при анонимной регистрации. Пароль должен совпадать с паролем того пользователя, который запустил демон. По умолчанию данная опция выключена |
| <Anonymous directory> | Создает анонимную учетную запись, directory — корневой каталог анонимного сервера |
| AuthGroupFile путь | Позволяет указать путь к альтернативному файлу group. По умолчанию используется файл /etc/group |
| AuthUserFile путь | Указывает альтернативный файл passwd |
| Bind ip-адрес | Разрешает привязку дополнительного IP-адреса к основному или виртуальному хосту |
| DefaultRoot каталог | Задает корневой каталог по умолчанию |
| Deny from all | host | network | Запрещает доступ к серверу. Используется в блоке Limit |
| DenyAll | Запрещает анонимным пользователям доступ к объектам, указанным в блоке Limit |
| DenyUser список_пользователей | Запрещает доступ определенным пользователям |
| <Directory> путь | Используется в VirtualHost, Anonymous для того, чтобы определить особенные параметры доступа к каталогу и его подкаталогам |
| DisplayFirstChdir файл_сообщения | Указанный текстовый файл будет выводиться, когда пользователь впервые за время сеанса войдет в данный каталог. Используется в VirtualHost, Directory, Anonymous |
| DisplayLogin файл_сообщения | Этот файл будет отображен, когда пользователь зарегистрируется |
| <Global> | Используется для задания параметров, которые будут использоваться как основным, так и всеми виртуальными серверами |
| <Limit command> | Ограничение на выполнение данной FTP-команды, например, LOGIN, WRITE, READ, STOR |
| MaxClients number | none сообщение | Ограничение на количество клиентов. Приведенное сообщение будет отображено, если пользователю будет отказано в доступе. Блоки Anonymous, Global |
| MaxLoginAttempts | Максимальное количество попыток зарегистрироваться. По умолчанию 3. Блоки VirtualHost, Global |
| Order allow, deny | deny, allow | Порядок выполнения директив Allow и Deny в блоке Limit |
| PersistentPassword on | off | При значении on будут использованы системные файлы /etc/passwd и /etc/group, несмотря на то, что командой chroot корневой каталог был изменен |
| RequireValidShell on | off | Разрешает или запрещает регистрацию при использовании оболочек (shells), которые не указаны в файле /etc/shells |
| ServerAdmin email | Определяет email администратора сервера |
| ServerType | Определяет режим работы сервера standalone (по умолчанию) или inetd. В первом случае сервер будет запускаться автоматически из стартовых сценариев системы, во втором — его будет запускать сервер inetd при попытке соединения |
| TimeoutIdle секунды | Время в секундах, в течение которого пользователь имеет право не проявить активности. По умолчанию 60 (1 минута) |
| Umask маска | Определяет права доступа для созданного файла. Маска — число в восьмеричной системе, определяющее набор прав доступа (см. главу 2) |
| User имя пользователя | Имя пользователя, присвоенное демону ProFTP |
| UserAlias псевдоним пользователь | Создает указанный псевдоним для указанного пользователя |
| <Virtual Host address> | Создает виртуальный сервер |
15.2.3. Разграничение доступа к серверу ProFTP
Я считаю необходимым подробно рассмотреть блочную директиву Limit. Эта директива определяет вид и параметры доступа к тому или иному каталогу. Рассмотрим листинг 15.8.
Листинг 15.8. Пример использования директивы Limit
Директива Directory определяет свойства каталога
Кроме команд WRITE и READ, в директиве Limit можно задавать команды STOR и LOGIN (таблица 15.6).
Команды директивы Limit, ограничивающие права доступа Таблица 15.6
| Команда | Назначение |
|---|---|
| LOGIN | Ограничивает регистрацию |
| WRITE | Ограничивает запись |
| HEAD | Ограничивает чтение |
| STOR | Ограничивает прием файлов |
В блоке Limit можно задавать директивы Allow, AllowAll, AllowGroup, AllowUser, Deny, DenyAll, DenyUser. Например, в листинге 15.9 запрещается доступ всем пользователям, кроме den. Пользователь den может регистрироваться со всех компьютеров, кроме компьютера с IP-адресом 111.111.111.111. Также запрещена регистрация из сети 192.168.2.0
Листинг 15.9. Пример блока Limit
Для конфигурирования отдельного каталога может также использоваться файл
Анонимный FTP-сервер можно построить с помощью wu-ftpd, установив пакет anonftp. Этот пакет нельзя использовать вместе с сервером ProFTPD. Пакет anonftp поставляется в составе большинства дистрибутивов.
Сейчас рассмотрим, как организовать анонимный FTP-сервер с помощью сервера ProFTPD. Для организации анонимного доступа сервер ProFTPD имеет директиву Anonymous. При этом в блок Anonymous нужно поместить директивы, конфигурирующие анонимную службу. В самой же директиве Anonymous необходимо указать каталог, который будет использоваться в качестве корневого для анонимной службы. Сервер ProFTPD выполнит для этого каталога команду chroot, превращая этот каталог в корневой для удаленного пользователя. Перед тем, как сделать это, сервер ProFTPD прочитает все необходимые ему файлы конфигурации из реального каталога
При анонимной регистрации по умолчанию в качестве имени пользователя указывается anonymous, а вместо пароля — адрес электронной почты пользователя. Вы же можете изменить параметры анонимного доступа, добавив проверку пароля для анонимного пользователя с помощью директивы AnonRequirePassword. В следующем примере представлен типичный блок Anonymous, подходящий для большинства анонимных серверов (см. листинг 15.10).
Листинг 15.10. Типичный блок Anonymous