[ Pobierz całość w formacie PDF ]
.PORADNIK LINUX DLA POCZ
TKUJ
CYCH Strona 259 z 292Twórca i właściciel: Agnieszka Widawska Białogard 200410.UwagiNa koniec chciałbym wyjaśnić, że odpowiednia konfiguracja limitów (jak zapewne większość uważnychCzytelników zauważyła) jest także pewną implementacją bezpieczeństwa w Postfiksie, jednak zewzględu na to iż jest to zagadnienie dość obszerne postanowiłem nie umieszczać go w rozdziale obezpieczeństwie tylko poświęcić mu osobny rozdział.Prawdopodobnie w najbliższym czasie do rozdziału o bezpieczeństwie dodam dział 'KonfiguracjaPostfiksa i SSL'.Mam nadzieję, że artykuł spełnił Twoje oczekiwania Drogi Czytelniku i okazał się pomocny.Na wszelkiekonstruktywne sugestie i uwagi oczekuję pod adresem sahal@linux.pl.5.29 Konfiguracja VirtualHostów w ProFTPdNie opisuję tutaj instalacji ProFTPD która została przedstawiona w artykule: Instalacja i konfiguracjaProFTPd.Skupię się raczej na samej konfiguracji VirtualHost'ów (dalej: VH).Czasami potrzebujemy np.dwóch kont anonymous, gdzie jedno ma prawa tylko download'u (np.dlasieci zewnętrznej), a drugie konto również upload'u (dla sieci wewnętrznej) lub różnych połaczeń dlatego samego konta w zależności od domeny.Możliwość takiej kofiguracji przedstawiam poniżej.Zakładamy ze naszymi IP są: 10.1 oraz 10.2.Zamiast IP oczywiście można użyć nazwdomenowych np: one.ftp.org oraz two.ftp.org lub łączyć IP i domeny w dyrektywach VH.Oto przykładowy plik konfiguracyjny proftpd.conf z VH:ServerName "FTP Server"ServerType standaloneDefaultServer onTransferLog /var/log/proftpd/xferlogAllowStoreRestart on //możliwość wznowienia upload'u po zerwaniu połączeniaAllowRetrieveRestart on //możliwość wznowienia download'u po zerwaniu połączeniaMaxInstances 20//w sekcji zawarte są te opcje, które odnoszą się bezwzględnie do każdego VirtualHost'a.W tej sekcjimożemy umieszczać wiele opcji np.Port czy Umask, po szczegółowe informacje odsyłam dodokumentacji ProFTPD Documentation.DefaultRoot ~ //użytkownik nie będzie miał możliwości przejścia do katalogu nadrzędnego//koniec sekcjiUser ftpGroup ftpPersistentPasswd off###Definicja VH1://podajemy w dyrektywie adres IP lub nazwę domenowąServerName "ONE FTP Server" //nazwa serwera dla VH1Port 21 //dla VH istnieje możliwość odmiennego definiowana portu i maski dla VH1 i VH2, dyrektywyte, także możemy umieścić w sekcji GlobalUmask 022// tutaj definiujemy, kto może się połączyć z naszym serwerem a kto nieOrder allow,denyAllow from.plAllow from 10.DenyAll##Definicje kont użytkowników:#user1://logowanie do katalogu domowego (np.: /home/user1)User user1 //bardzo ważne jest podanie dyrektyw User i Group, w przypadku braku tych dyrektyw,użytownika nie obowiązują reguły zawarte w sekcji jemu przypisanej (czyt.poniżej: UWAGA)PORADNIK LINUX DLA POCZ
TKUJ
CYCH Strona 260 z 292Twórca i właściciel: Agnieszka Widawska Białogard 2004Group user1RequireValidShell on //wymaga wpisu dla usera w /etc/shellsAnonRequirePassword on //wymaga podania hasła//dot.katalogu dmowegoDenyAll //brak mozliwości upload'u//katalog (w przypadku katalogu dmowego: /home/user1) /home/user1/uploadAllowAll //zezwolenie na upload//ważne jest, aby zachować odpowiednią kolejność definiowania reguł dla katalogów.Zaczynajmydefininować od katalogu nadrzędnego do najbardziej podrzędnego.W innym przypadku, może sięokazać fakt, że nadane prawa zdefiniowane w pliku konfiguracyjnym, nie są egzekwowane.Natomiastkatalog opisany poniżej (np.nadrzędny) ma prawa katalogu wcześniej zdefiniowanego (np.podrzędny)//koniec sekcji user1#user2:User user2Group user2RequireValidShell onAnonRequirePassword onAllowAll //zezwolenie na upload//katalog noenter w katalogu domowym, jest niewidoczny z poziomu logowania ftp, a także mazablokowy uploadDenyAll#user3 //user3 nie ma możliwośći połaczenia ftpUser test3Group test3//dyrektywa logowaniaDenyAll //logowania zabronione#user4//user4 loguje się bezpośrednio do katalogu public_html znajdującym się w katalogu domowymUser test4Group test4RequireValidShell onAnonRequirePassword onAllowAll //zezwolenie na zapis#konto anonimowe; tylko z możliwością downloadu://katalog logowaniaUser ftpGroup ftpUserAlias anonymous ftpAnonRequirePassword off //hasło niewymaganeRequireValidShell off //również niewymagany wpis w /etc/shellsPORADNIK LINUX DLA POCZ
TKUJ
CYCH Strona 261 z 292Twórca i właściciel: Agnieszka Widawska Białogard 2004AllowAllDenyAll //blokada wgrywania//koniec sekcji VH1###VH2:ServerName "FTP2 Server"Port 4000 //logowanie na VH2 odbywa się poprzez IP: 10.2:4000, czyli port 4000Umask 027DefaultRoot ~DenyAll //na to IP zalogować się można tylko na konto anonymous (inne nie są wymienione)//katalog: /home/ftp2User ftpGroup ftpUserAlias anonymous ftpAnonRequirePassword offRequireValidShell offAllowAllAllowAll //daje to możliwość uploaduUWAGA! Są pewne kruczki konfiguracyjne, które uważam, iż należy poruszyć.Jeżeli, w configu nie będzie zdefiniowanego konta (z dostępem lub bez) użytkownik zaloguje się z"prawami standardowymi", t.j.z opcjami zawartymi w naszym pliku proftpd.conf zawartymi jeszczeprzed definicją VirtualHost'ów.Według powyższego przykładu, będzie miał mozliwośc download'u iupload'u plików z/do swojego katalogu oraz zablokowany dostęp do katalogu nadrzędnego.Np.abyzablokować taką ewentualność, możemy dodać (przez def.VH):DenyAlltak jak to zostało przedstawione w konfiguracji VH2.Jednak polecam sprawdzenie i przetestowanienaszej konfiguracji, abyśmy nie mieli w przyszłości niemiłych niespodzianek.Jest to dość prosta podstawowa konfiguracja VH i niektórych opcji dla kont.Dlatego polecamzapoznanie się z dokumentacją projektu: proftpd.linux.co.uk, oferuje on wiele ciekawych i użytecznychopcji.5.30 Thomson Speedtouch 330Korzystając z promocji jaką jeszcze do końca roku 2003 miała TP S.A.postanowiłemwykupić usługę na czas próbny jednego miesiąca.Na początku zauważyłem że tpsa dba o swoichklientów i daje oprogramowanie dla systemu windows i linux.Skoro są stery pod linuksa bo to mnienajbardziej interesowało postanowiłem przystąpić to instalacji.Jakież było moje zdziwienie gdy zacząłsię proces instalacji [ Pobierz całość w formacie PDF ]