Флёнов Михаил Евгеньевич
Шрифт:
□
defumask mask
— маска прав доступа, используемая при создании новых файлов. О команде umask для ОС Linux (задает текущее значение маски) мы говорили в разд. 4.1; □
limit-time тип минуты
— ограничение времени сессии. Например, вы хотите, чтобы определенные пользователи не засиживались на вашем FTP-сервере. Используя эту директиву, в качестве типа можно указать звездочку (*) для всех пользователей, real
, anonymous
или guest
. Последний параметр — это количество минут сессии. По прошествии указанного времени соединение будет разорвано; □
file-limit направление число класс
— ограничение на число передаваемых файлов. В качестве направления можно указать in
(входящие), out
(исходящие) и total
(всего). Чтобы запретить работу более чем с 10 файлами, воспользуйтесь командой file-limit total 10
; □
byte-limit направление число класс
— ограничение на число передаваемых байт. Работа директивы схожа с file-limit
; □
anonymous-root каталог
— задание в явном виде корневой директории для анонимных пользователей, т.к. у них не может быть собственного каталога в отличие от реального пользователя, для которого при подключении к системе корнем является его домашняя директория; □
guest-root каталог
— аналогична предыдущей команде. Директива необходима, если вы хотите, чтобы все гости могли работать с одной и той же директорией. Если у каждого гостя должен быть свой каталог, то лучше для каждого из них явно создавать учетную запись (см. разд. 10.6). □
passwd-check тип сообщение
— определяет проверку правильности пароля для анонимных пользователей. В данном случае имеется в виду контроль E-mail-адреса, который они используют. В качестве типа может указываться одно из трех значений: none
(нет проверки), trivial
(простая проверка на содержания в адресе символа "@)" или rfc882
(полная проверка, на соответствие стандарту rfc 822). Параметру сообщение
можно присваивать значение warn
(выводить предупреждение, но продолжать работу) или enforce
(отказать в доступе); □
deny-email адрес
— отказ в доступе, если в качестве пароля используется указанный адрес. В большинстве FTP-клиентов в настройках прописан для анонимного доступа какой-либо почтовый ящик, например, my@mail.com. Мало кто меняет этот адрес. Так как он соответствует всем правилам, то сервер не определит, что это обманка. Но можно прописать его в этом параметре, и тогда пользователю придется поменять в настройках FTP-клиента адрес на другой, иначе он не сможет подключиться. Но даже это не будет гарантировать, что анонимный пользователь указал именно свой E-mail в качестве пароля; □
deny-uid идентификаторы
— запрещает доступ к FTP пользователям с указанными идентификаторами. Те же самые функции выполняет файл ftpusers, который мы рассмотрим в разд. 10.5. Удобство этой команды в том, что можно задать диапазоны. Например, deny-uid %-500
. Данная директива запретит доступ всем пользователям, у которых идентификатор менее 500; □
deny-gid идентификаторы
— запрещает доступ к FTP пользователям группы, с указанными идентификаторами. Те же самые функции выполняет файл ftpusers; □
restricted_uid идентификаторы
— разрешает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога; □
restricted_gid идентификаторы
— дает право группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога; □
unrestricted_uid идентификаторы
— запрещает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога; □
unrestricted_gid идентификаторы
— запрещает группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога; □
dns refuse_no_reverse файл override
— выдать сообщение, если клиент не имеет обратного адреса. При отсутствии параметра override
соединение будет завершено; □
dns refuse_mismatch файл override
— выдать сообщение, если прямой и обратный адреса не совпадают. Если не указать параметр override
, то соединение будет завершено. По умолчанию я всегда включаю эту опцию, а отключаю, только если у действительных пользователей возникают проблемы при работе с сервером. Это необходимо для того, чтобы взломщик не мог подделать IP-адрес для входа в систему и обхода соответствующей проверки. 10.3.2. Контроль загрузки файлов
Загрузка файлов — самая опасная возможность для сервера. Каждый пользователь должен иметь право обращаться только к своей директории. А что делать, чтобы анонимные пользователи тоже могли работать с файлами? В этом случае нужно по возможности запретить загрузку в уязвимые с точки зрения безопасности директории, куда злоумышленник может поместить скрипты и выполнить их.
upload параметры
— команда позволяет настроить права на загрузку файлов в определенные каталоги. Для запрета загрузки в каталог /etc нужно написать следующую строку: