Ограничение ftp пользователей FTP-сервера ProFTPd пределами домашнего каталога

После того, как FTP-сервер ProFTPd успешно установлен, хорошо бы озадачиться вопросами безопасности. В этой статье рассмотрим то, как настроить ограничение для ftp пользователей, чтобы они имели доступ только в свой домашний каталог и не могли шастать по всему серверу. Это делается с помощью одной строки в файле конфигурации proftpd.conf вашего ftp-сервера ProFTPD.



Ограничение ftp-доступа только домашней папкой пользователя

Итак, в статье про установку ProFTPd я завершил мысль тем, что остановил FTP-сервер в целях безопасности. В конце этой статьи мы его запустим и проверим его работу.

Для того, чтобы ограничить ftp-доступ пользователя только пределами его домашнего каталога нужно раскомментировать одну единственную строку в конфиге proftpd.conf, так чтобы она вначале не содержала знака #:

DefaultRoot ~

У меня в конфиге это 36-я строчка.

С тем же результатом можно не трогать основной конфиг, а вписать её в самый конец. Но я не сторонник лишнего кода, и чтобы не путаться, просто расскомментировал эту 36-ю строку.

Оператор ~ (тильда) в Linux

Про оператор ~ (тильда) и про то, как он применяется в Unix можно прочитать в → этой статье.

Рестарт ftp-сервера

Для тех, у кого ftp-сервер был включен для того, чтобы изменения в конфигурационном файле вступили в силу, нужно его перезапустить командой:

root@server:~# service proftpd restart

Даже, если ProFTPd был остановлен, эта команда его запустит с новыми настройками.

В том можно убедиться, запустив команду:

root@server:~# service proftpd status

Проверка безопасности ftp-сервера на предмет анонимного пользователя

Убедимся в том, что на работающий ProFTPd никто не сможет зайти под логином анонимного пользователя. По умолчанию, такая возможность отключена, но лучше один раз проверить, чем оставить огромную дыру в безопасности сервера, открыв его всем подряд.

Итак, я работаю с ноутбука под Windows, поэтому буду стучаться с консоли Windows к себе на сервер по ftp:

C:\>ftp
ftp> open 212.109.199.37
Связь с 212.109.199.37.
220 ProFTPD 1.3.5b Server (Debian) [::ffff:212.109.199.37]
Пользователь (212.109.199.37:(none)): anonymous
331 Password required for anonymous
Пароль:
530 Login incorrect.
Сбой входа.
ftp> close
221 Goodbye.
ftp> quit

C:\>

Как видно из приведёного выше лога, сервер меня не пускает под логином anonymous. Попробовал войти как без пароля, так и с паролем anonymous. =)

В строке открытия ftp соединения ftp> open 212.109.199.37 само собой нужно вставлять IP того сервера, который требуется проверить.

На всякий случай, если IP сервера неизвестно, то узнать IP можно Яндекс.Вебмастером или запустив команду на сервере

root@server:~# ip a

и ещё массой других способов, но, думаю, этих двух будет достаточно.

Резюме

Таким образом, мы запретили (будущим) ftp-пользователям выходить за пределы своего домашнего каталога, запустили FTP-сервер ProFTPd и проверили его на отсутствие входа для незарегистрированных пользователей.

Заберите ссылку на статью к себе, чтобы потом легко её найти!
Раз уж досюда дочитали, то может может есть желание рассказать об этом месте своим друзьям, знакомым и просто мимо проходящим?
Не надо себя сдерживать! ;)

Старт! Горячий старт на просторы интернета
Старт! Горячий старт на просторы интернета
Старт! Меню