Linux E X P R E S

Facebook

Základní konfigurace bezpečného FTP serveru

Vsftpd je FTP server pro unixové systémy distribuovaný pod licencí GNU GPL. Zkratka Vsfptd znamená Very Secure FTP Daemon a v současné době je to jeden z nejbezpečnějších a nejstabilnějších FTP serverů. Je používán v distribucích a na serverech Red Hat, SUSE, Debian, OpenBSD a dalších. Radek Vokál.


Konfigurační soubor a další pomocné soubory pro nastavení uživatelů se nacházejí v adresáři /etc/vsftpd. Konfigurační soubor vsftpd.conf umožňuje velmi široké nastavení serveru, všechna nastavení jsou popsána v manuálové stránce man vsftpd.conf. Uvedu zde jen některá základní nastavení obsažená v konfigurační souboru balíku (přednastavené hodnoty jsou označeny tučně).

anonymous_enable=YES/NO - Anonymní přihlášení. Uživatelská jména anonymous a ftp jsou definována jako anonymní.

anon_upload_enable=YES/NO - Zapnutím povolíte anonymním uživatelům za určitých podmínek provádět upload souborů. Aby tato volba fungovala, musí být zapnuta volba write_enable a anonymní ftp uživatel musí mít právo zápisu do požadovaného adresáře.

anon_mkdir_write_enable=YES/NO - Povolí vytváření adresářů anonymními uživateli. Opět aby tato volba fungovala, musí být zapnuta volba write_enable a anonymní ftp uživatel musí mít právo zápisu do nadřazeného adresáře.

local_enable=YES/NO - Povolí lokální přihlášení. Používá se běžný uživatelský účet uvedený v /etc/passwd.

write_enable=YES/NO - Povolení zápisu. U distribucí se zapnutým SELinuxem je potřeba povolit upload souborů. Popis nastavení SELinuxu pro FTP server lze najít v manuálové stránce.

local_umask= - Volba určuje implicitní formát masky pro přidělování přístupových práv, standardně 022.

anon_root= - Domovský adresář pro anonymní uživatele.

dirmessage_enable=YES/NO - Zapnutím mohou uživatelé obdržet zprávu při prvním vstupu do nového adresáře. Standardně se v adresáři hledá soubor .message, nastavení je možné změnit volbou message_file.

xferlog_enable=YES/NO - Aktivuje detailní záznam nahrávání a stahování souborů do log souboru. Standardně je použit soubor /var/log/vsftpd.log, toto umístění lze změnit konfigurací volby vsftpd_log_file.

xferlog_std_format=YES/NO - Pokud je volba aktivována, soubor s logováním přenosů bude zapsán v xferlog formátu, který používají některé statistiky pro přenos souborů. Vypnutí volby aktivuje přehlednější zápis.

connect_from_port_20=YES/NO - Tato povoluje port pro datovou komunikaci serveru (ftp-data). Z bezpečnostních důvodů některé klienty mohou klást důraz na tuto volbu.

chown_uploads=YES/NO - Aktivací se všem anonymně uploadnutým souborům přidělí vlastnická práva definovaná v nastavení chown_username.

idle_session_timeout= - Časový limit (ve vteřinách), který je maximální možnou prodlevou mezi jednotlivými FTP příkazy. Po uplynutí je uživatel odpojen.

data_connection_timeout= - Časový limit (ve vteřinách), po který se čeká před odpojením uživatele, pokud byl přerušen datový přenos.

nopriv_user= - Jméno uživatele, který pro práci se soubory nemá žádná práva.

async_abor_enable=YES/NO - Aktivací povolíte speciální FTP příkaz async ABOR. Tuto volbu vyžadují některé FTP klienty, je však nebezpečná a není doporučeno ji používat.

ascii_upload_enable=YES/NO - Zapnutí ASCII módu pro upload.

ascii_download_enable=YES/NO - Zapnutí ASCII módu pro download.

ftp_banner= - Zpráva, která se zobrazí uživateli po přihlášení k serveru. Lze nastavit i soubor hodnotou banner_file.

deny_email_enable=YES/NO - Aktivací lze vytvořit seznam anonymních hesel - e-mailů, kterým bude odmítnuto přihlášení. Standardně je soubor obsahující seznam umístěn v /etc/vsftpd/banned_emails, jeho umístění lze změnit nastavením banned_email_file.

chroot_list_enable=YES/NO - Aktivací lze vytvořit seznam lokálních uživatelů, kteří budou omezeni pouze na svůj domovský adresář. (Opačně tedy vytváří seznam uživatelů, kteří nejsou omezeni jen na domovský adresář, funguje volba chroot_local_user). Soubor obsahující seznam umístěn v /etc/vsftpd/chroot_list, jeho umístění lze změnit nastavením chroot_list_file.

ls_recurse_enable=YES/NO - Zapnutím umožníte použití ls -R. Pokud server obsahuje velké množství souborů, může operace zabrat část paměti a snížit výkonnost serveru.

pam_service_name=vsftpd - Řetězec pro identifikaci v PAM vrstvě.

userlist_enable=YES/NO - Jestliže je tato volba zapnuta, pak se zakázaného uživatele server neptá na heslo a jeho připojení okamžitě odmítne.

userlist_file= - Soubor se zakázanými uživateli (standardně /etc/vsftpd/ftpusers). Je vhodné zakázat uživatele root, nobody.

listen=YES/NO - Standardně běží vsftpd v samostatném režimu (standalone mode). Vsftpd je tedy spustitelný pouze přímo.

tcp_wrappers=YES/NO - Tato volba umožňuje nastavení kontroly příchozích spojení přes tcp_wrapper, tedy nastavení přístupů podle IP adres (podobného nastavení je možné dosáhnout i přes ověřovací vrstvu PAM).

anon_max_rate= - Nastavení omezení datového toku [b/s].

local_max_rate= - Nastavení omezení datového toku lokálním uživatelům [b/s].

Autor server je Chris Evans a další informace lze najít na domovské stránce projektu; lze tam najít i výkonnostní test FTP serveru, jeho doporučení od několika společností, které tento server aktivně používají a podrobnou online dokumentaci.

Diskuze (3) Nahoru