После того, как FTP-сервер ProFTPd успешно установлен, хорошо бы озадачиться вопросами безопасности. В этой статье рассмотрим то, как настроить ограничение для ftp пользователей, чтобы они имели доступ только в свой домашний каталог и не могли шастать по всему серверу. Это делается с помощью одной строки в файле конфигурации proftpd.conf вашего ftp-сервера ProFTPD.
Ограничение ftp-доступа только домашней папкой пользователя
Итак, в статье про установку ProFTPd я завершил мысль тем, что остановил FTP-сервер в целях безопасности. В конце этой статьи мы его запустим и проверим его работу.
Для того, чтобы ограничить ftp-доступ пользователя только пределами его домашнего каталога нужно раскомментировать одну единственную строку в конфиге proftpd.conf, так чтобы она вначале не содержала знака #:
DefaultRoot ~У меня в конфиге это 36-я строчка.
С тем же результатом можно не трогать основной конфиг, а вписать её в самый конец. Но я не сторонник лишнего кода, и чтобы не путаться, просто расскомментировал эту 36-ю строку.
Оператор ~ (тильда) в Linux
Про оператор ~ (тильда) и про то, как он применяется в Unix можно прочитать в → этой статье.
Рестарт ftp-сервера
Для тех, у кого ftp-сервер был включен для того, чтобы изменения в конфигурационном файле вступили в силу, нужно его перезапустить командой:
root@server:~# service proftpd restartДаже, если ProFTPd был остановлен, эта команда его запустит с новыми настройками.
В том можно убедиться, запустив команду:
root@server:~# service proftpd statusПроверка безопасности ftp-сервера на предмет анонимного пользователя
Убедимся в том, что на работающий ProFTPd никто не сможет зайти под логином анонимного пользователя. По умолчанию, такая возможность отключена, но лучше один раз проверить, чем оставить огромную дыру в безопасности сервера, открыв его всем подряд.
Итак, я работаю с ноутбука под Windows, поэтому буду стучаться с консоли Windows к себе на сервер по ftp:
C:\>ftp
ftp> open 212.109.199.37
Связь с 212.109.199.37.
220 ProFTPD 1.3.5b Server (Debian) [::ffff:212.109.199.37]
Пользователь (212.109.199.37:(none)): anonymous
331 Password required for anonymous
Пароль:
530 Login incorrect.
Сбой входа.
ftp> close
221 Goodbye.
ftp> quit
C:\>Как видно из приведёного выше лога, сервер меня не пускает под логином anonymous. Попробовал войти как без пароля, так и с паролем anonymous. =)
В строке открытия ftp соединения ftp> open 212.109.199.37 само собой нужно вставлять IP того сервера, который требуется проверить.
На всякий случай, если IP сервера неизвестно, то узнать IP можно Яндекс.Вебмастером или запустив команду на сервере
root@server:~# ip aи ещё массой других способов, но, думаю, этих двух будет достаточно.
Резюме
Таким образом, мы запретили (будущим) ftp-пользователям выходить за пределы своего домашнего каталога, запустили FTP-сервер ProFTPd и проверили его на отсутствие входа для незарегистрированных пользователей.
Заберите ссылку на статью к себе, чтобы потом легко её найти!
Раз уж досюда дочитали, то может может есть желание рассказать об этом месте своим друзьям, знакомым и просто мимо проходящим?
Не надо себя сдерживать! ;)
