< HomePage
!!! Понеже знам, че много от вас попадат тук търсейки за съвет свързан с хард- и софтуер вижте Компютърни Хитринки за именно тези постове в блога !!!
<- Предишен запис (2006-09-15) | Дневника | Следващ запис (2006-09-17) ->

Архив

Събота, 16 Септември 2006

Днес пак беше що-годе безделнически ден. Основно занимание ми беше да се наспя яко. После всичките ми опити за спорт пропаднаха понеже дружките ми тук са или заети или ги няма и така се наложи да поблъскам малко в къщи. Сложих на сървъра ми малко видеота на етър и те веднага ми пръснаха цефката с 3ГБ трафик т.е. около 3-4часа бях практически без нет от високия ъплоад които ми правеха (ех остана малко и за Q3 де). Открих и оправих и жесток пропуск в сигурността на сървъра ми. Той се състои в следното. Когато се инсталира vsftpd по подразбиране той е настроен да работи само с анонимен акаунт. Естествено при мен нещата стоят точно обратно - аз не искам анонимен акаунт а да мога строго да определям кой къде може да бута. Затова го пренастроих да работи с локални акаунти. Това обаче води до две последствия. Първото е, че човек който знае акаунта за ftp-то може да се логне на ssh и да мизерства там и вторият проблем е че по подразбиране опцията за ограничаване на достъпа в vsftp до home-а на юзъра не е пусната тоест той може да си шава по цялата файлова система. Ето и как реших двата проблема. 

За да се определи строго кои потребители имат право да се логват 
на ssh е нужно да се редактират следните два файла: 


/etc/security/access.conf


В него се добавя реда: 


     -:ALL EXCEPT user1 user2:ALL EXCEPT LOCAL


така се разрешава отдалечен логин само за изброените потребители


/etc/pam.d/ssh


Махнете коментара на реда  account  required     pam_access.so както
е указано в коментара след него това ще направи ограниченията в 
файла access.conf който току що редактирахме активни


     # Uncomment and edit /etc/security/access.conf if you need to set complex
	# access limits that are hard to express in sshd_config.
	account  required     pam_access.so


После рестартирайте sshd за всеки случай, макар че промените мисля, 
че стават активни и без това веднага.


За да ограницчим потребтилите, които пък имат право да се логват на 
FTP сървъра трябва да намерите и установите следните опции в файла 


/etc/vsftpd.conf


     anonymous_enable=NO
	local_enable=YES
	userlist_enable=YES
	userlist_deny=NO
	userlist_file=/etc/vsftpd.userlist


Някой от тези редове може да отсъстват изобщо в файла по подразбиране
тогава просто ги добавете накрая.
Значението на всеки един от тях е ясно от името. Първият ред забранява
логване с anonymous, вторият указва логването да се проверява спрямо
потребителите на системата, третият и четвъртият ред заедно указват
че файла даден на реда userlist_file е списък с имена на потребители, които
имат право да се логват на сървъра. Така се забранява например root да
се логва в  сървъра. Самият формат на vsftpd.userlist е просто по едно 
потребителско име на ред.
Например:


/etc/vsftpd.filelist


     user9
	userA
	userFF
	etc...


Накрая рестартирайте и vsftpd и това е систевата е малко по-сигурна от преди.

[ Коментари: 1 / Добави коментар ]
Коментари

да, така е.

един съвет, смени си SSH демона с някой друг порт например 443 ако не ползваш https, голям рахат е :-)

Написа marvel (email) на 18-Sep-2006 13:07


Valid XHTML 1.0! Valid CSS!