Социалистическая продразверстка

Vint (vint@townnet.ru)

Спецвыпуск Xakep, номер #042, стр. 042-094-2

Следующий конфигурационный файл: /etc/ftpusers, в нем прописаны пользователи, которым запрещено использовать FTP-сервер. Создаем этот файл (touch /etc/ftpusers) и пропишем в него системных пользователей, например этих:

Root bin daemon adm lp sync shutdown halt mail news uucp operator games nobody

Каждый из пользователей должен быть прописан с новой строки. Опять установим права:

# chmod 600 /etc/ftpusers

Можно также удалить анонимный доступ к фтп, для этого достаточно снести юзера:

# userdel ftp

Чтобы запретить закачку пользовательских файлов в потенциально опасные каталоги, мы малость поправим файл ftpaccess (/etc/ftpaccess), вписав в него следующие строки:

upload /home/ftp/* /dev no

upload /home/ftp/* /etc no

upload /home/ftp/* / no

Все. Теперь необходимо добавить пользователя для гостевого доступа и дать ему пароль, естественно, забрав у него возможность вызова удаленной консоли. Затем следует просто перезапустить сервис и пробовать зайти на фтп-сервер. Только не забудь поправить правила файрвола, разрешив 21 порт для локальной сети.

Файлопомойка aka Samba

Я советую пока взять 2 версию, а не 3. По одной причине – она стабильней, а в 3 заложено много идей “близкого будущего” ;). По безопасности же 2 ни в чем не уступает 3. Все, что нам надо – это привести ее главный конфиг примерно в такой вид:

/etc/samba/smb.conf:

[global]

workgroup = MSHome # Рабочая группа. Должна быть у всех пользователей одинаковая!

Netbios name = Server # NetBIOS имя сервера

hosts allow = 192.168.0. 127. # Разрешенные хосты. Здесь локальная сеть 192.168.0.* и локальный хост

load printers = no # На сервере не должно быть общедоступных принтеров. Ведь сервак локальной, а не корпоративной сети!

Guest account = nobody # Имя Linux пользователя с правами гостя.

invalid users = root # обязательная строка, повышающая защищенность сервера

max log size = 500 # Столько Кб для лог-файла

security = user # Каждый пользователь авторизируется сам по себе.

ecrypt passwords = yes # шифрованные пароли необходимы для работы Windows машин.

Wins support = yes # Samba выполняет функции Wins сервера.

character set = KOI8-R # Эти две строки позволяют правильно

client code page = 866 # использовать кириллицу на сервере

interfaces = eth0 # Локальный интерфейс. С него принимаем запросы на Samb’y

admin users = smb_admin # Администраторы.

#Все основные настройки закончены.

#Сейчас начинается блок, отвечающий за расшаренные ресурсы.

[File_From_All] # Имя ресурса

Comment = FileObmennik # Комментарии к имени, которое будут видеть пользователи ресурса

Path = /var/samba/Fileobmennik # Путь к папке с ресурсом

guest ok = yes # Гость может писать в этот каталог по сети.

Public = yes # ресурс будет доступен всем

writable = yes # Писать тоже можно

printable = no # Печатать нельзя. Это не принт-сервер!

create mask = 0666 # Права на закачиваемые файлы (rw-rw-rw-)

directory mask = 0777 # На каталоги, созданные юзерами (rwxrwxrwx)

После этого, в сети стал доступен каталог с именем “File_From_All”. И прочитать его содержимое может любой, даже неавторизованный пользователь, так же как и удалить его содержимое. Такая политика - самая приемлемая для “файловой помойки”. Именно для этого добавлена учетка гостя. А ограничения на разрешенные сети, введенные глобально, не позволяют инет-общественности загаживать сервак файлами. Но файлопомойка - это далеко не все. Еще необходимо создать шару, куда будет выложен софт и инфа от администратора, куда писать может, соответственно, только он. Чтобы организовать такой ресурс, необходимо добавить в главный конфиг вот эти строки: