Социалистическая продразверстка Vint (vint@townnet.ru) Спецвыпуск Xakep, номер #042, стр. 042-094-2 Следующий конфигурационный файл: /etc/ftpusers, в нем прописаны пользователи, которым запрещено использовать FTP-сервер. Создаем этот файл (touch /etc/ftpusers) и пропишем в него системных пользователей, например этих: Root bin daemon adm lp sync shutdown halt mail news uucp operator games nobody Каждый из пользователей должен быть прописан с новой строки. Опять установим права: # chmod 600 /etc/ftpusers Можно также удалить анонимный доступ к фтп, для этого достаточно снести юзера: # userdel ftp Чтобы запретить закачку пользовательских файлов в потенциально опасные каталоги, мы малость поправим файл ftpaccess (/etc/ftpaccess), вписав в него следующие строки: upload /home/ftp/* /dev no upload /home/ftp/* /etc no upload /home/ftp/* / no Все. Теперь необходимо добавить пользователя для гостевого доступа и дать ему пароль, естественно, забрав у него возможность вызова удаленной консоли. Затем следует просто перезапустить сервис и пробовать зайти на фтп-сервер. Только не забудь поправить правила файрвола, разрешив 21 порт для локальной сети. Файлопомойка aka Samba Я советую пока взять 2 версию, а не 3. По одной причине – она стабильней, а в 3 заложено много идей “близкого будущего” ;). По безопасности же 2 ни в чем не уступает 3. Все, что нам надо – это привести ее главный конфиг примерно в такой вид: /etc/samba/smb.conf: [global] workgroup = MSHome # Рабочая группа. Должна быть у всех пользователей одинаковая! Netbios name = Server # NetBIOS имя сервера hosts allow = 192.168.0. 127. # Разрешенные хосты. Здесь локальная сеть 192.168.0.* и локальный хост load printers = no # На сервере не должно быть общедоступных принтеров. Ведь сервак локальной, а не корпоративной сети! Guest account = nobody # Имя Linux пользователя с правами гостя. invalid users = root # обязательная строка, повышающая защищенность сервера max log size = 500 # Столько Кб для лог-файла security = user # Каждый пользователь авторизируется сам по себе. ecrypt passwords = yes # шифрованные пароли необходимы для работы Windows машин. Wins support = yes # Samba выполняет функции Wins сервера. character set = KOI8-R # Эти две строки позволяют правильно client code page = 866 # использовать кириллицу на сервере interfaces = eth0 # Локальный интерфейс. С него принимаем запросы на Samb’y admin users = smb_admin # Администраторы. #Все основные настройки закончены. #Сейчас начинается блок, отвечающий за расшаренные ресурсы. [File_From_All] # Имя ресурса Comment = FileObmennik # Комментарии к имени, которое будут видеть пользователи ресурса Path = /var/samba/Fileobmennik # Путь к папке с ресурсом guest ok = yes # Гость может писать в этот каталог по сети. Public = yes # ресурс будет доступен всем writable = yes # Писать тоже можно printable = no # Печатать нельзя. Это не принт-сервер! create mask = 0666 # Права на закачиваемые файлы (rw-rw-rw-) directory mask = 0777 # На каталоги, созданные юзерами (rwxrwxrwx) После этого, в сети стал доступен каталог с именем “File_From_All”. И прочитать его содержимое может любой, даже неавторизованный пользователь, так же как и удалить его содержимое. Такая политика - самая приемлемая для “файловой помойки”. Именно для этого добавлена учетка гостя. А ограничения на разрешенные сети, введенные глобально, не позволяют инет-общественности загаживать сервак файлами. Но файлопомойка - это далеко не все. Еще необходимо создать шару, куда будет выложен софт и инфа от администратора, куда писать может, соответственно, только он. Чтобы организовать такой ресурс, необходимо добавить в главный конфиг вот эти строки: |