Az ftp szerver engedélyeinek beállítása, mironov blogja

Mivel a szerver tartalma a kiszolgáló fájlrendszerén található, a hozzáférési jogokat a szabványos UNIX operációs rendszer jogosultságmechanizmusával szabályozzák. Az FTP-kiszolgáló szolgáltatás regisztrálása során a katalóguskönyvtár a kiszolgáló tulajdonosának főkönyvtárában kerül létrehozásra. A szerver tartalmának ebben a könyvtárban kell lennie. A kiszolgálóhoz való csatlakozáskor a könyvtár alatti fájlrendszernek csak egy része áll a felhasználók rendelkezésére; a felhasználók ezt a könyvtárat root ('/') néven látják, és nem férhetnek hozzá azon kívül található adatokhoz.

FONTOS: különös figyelmet fordíts arra, hogy semmilyen esetben sem szabad a felhasználóknak felesleges jogokat biztosítani. Például, ha bejelentkezési adatokat hoz létre nyilvános használatra (például névtelen), nem adhat ilyen felhasználói jogokat. Például az új fájlok feltöltéséhez a szerverre. A támadók így képesek lesznek feltölteni a kiszolgálóra felesleges fájlokat, amelyek elfoglalják a fizetett lemezterületet. Emellett a túlzott jogosultsággal rendelkező felhasználók képesek lesznek a kiszolgálón lévő fájlok törlésére és módosítására, ami nem mindig szükséges. Tartsa be az úgynevezett "minimális jogok elvét", amikor a felhasználó vagy a munkavállaló csak olyan hozzáférési szintet kap, amelyre valóban szüksége van.

Működés közben az ftp ügyfél küldhet egy szigorúan meghatározott ftp parancsot az ftp kiszolgálóhoz. Az alapvető ftp parancsok az alábbiak:

CWD (Change Working Directory) - az ügyfél által küldött aktuális könyvtár módosítása. A parancs végrehajtására vonatkozó jogok korlátozása kiterjed a CDUP parancsra is (egy szinttel feljebb történő átkapcsolás).

MKD (MaKe Directory) - az ügyfél küld egy könyvtár létrehozásához.

Az RNFR (ReName FRom), az RNTO (ReName TO) - az ügyfél elküldi a könyvtárat vagy fájlt.

DELE (DELEte) - az ügyfél által küldött fájl törlése.

RMD (ReMove Directory) - az ügyfél elküldi a könyvtárat.

RETR (RETRieve) - fájl átvitele a kiszolgálóról az ügyfélre FTP-n keresztül.

STOR (STORe) - Fájlátvitel ügyfélről szerverre FTP-n keresztül.

A leírás kényelméért az ftp parancsok a következő osztályokba vannak csoportosítva:

READ - A fájlok olvasásához kapcsolódó összes FTP parancs (kivéve a könyvtár tartalmának felsorolását), például RETR, STAT, stb.

WRITE - Minden fájl vagy könyvtár létrehozásához, írásához vagy törléséhez kapcsolódó FTP parancsok (beleértve az MKD és az RMD parancsokat is).

DIRS - Az összes FTP parancs, amely a könyvtár tartalmának felsorolásához kapcsolódik, például LIST és NLST.

MINDEN - Minden FTP parancs (tartalmazza mind a három OLDAL, WRITE és DIRS osztályokat).

Engedélyek beállítása

Az engedélyek telepítve vannak a könyvtárban, és alapértelmezés szerint az összes alkönyvtárba kerülnek, de újradefiniálhatók. Annak érdekében, hogy hozzáférési jogokat állítson be egy adott könyvtárhoz, létre kell hoznia egy fájlt a '.ftpaccess' névvel. A fájl tartalma meghatározza a könyvtár és az alkönyvtárak hozzáférési jogát. Fájlformátum:

[[Rendelés engedélyezése, megtagadása | megtagadása, engedélyezése]
[AllowUser felhasználók listája]
[DenyUser felhasználók listája]
[AllowGroup csoport-kifejezés]
[DenyGroup csoport-kifejezés]
[Hostok engedélyezése]
[A házigazdák megtagadása]
[AllowAll | DenyAll]
]

Látható, hogy a fájl "Limit" szakaszból áll, amelyek engedélyezési / megtagadják a hozzáférési parancsokat. Az AllowAll és DenyAll parancsok a "Limit" szakaszokon kívül is használhatók.

A "Limit" szekció a "" sorral kezdődik, és egy stringvel fejeződik be. A Ftp-parancs-lista az ftp parancsok és az ftp-parancsok listája, szétválasztva. A szakasz tartalma beléptető parancs. Meghatározzák a listában felsorolt ​​parancsok végrehajtásának képességét.

A "Rendelés" parancs vezérli a fennmaradó hozzáférés-vezérlési parancsok feldolgozásának sorrendjét. Az alapértelmezett beállítás: "allow, deni". Ez azt jelenti, hogy először ellenőrizni kell a hozzáférési engedélyek parancsát (ezek listája a "Engedélyezés" szóval kezdődik). Ha bármelyik parancs sikeresen működik, a folyamat megszűnik, és a felhasználó engedélyezi a szakasz első sorában felsorolt ​​ftp parancsok végrehajtását. Ellenkező esetben meg kell tiltani a hozzáférési parancsokat (a lista a "Megtagadás" szóval kezdődik). Ha bármely parancs sikeresen működik, az ftp parancsok végrehajtása tilos.

Ha a "tiltás, engedélyezés" sorrendet állítja be, a parancsok fordított sorrendben kerülnek feldolgozásra. A hozzáférést tiltó parancsokat először feldolgozzák, majd a hozzáférési engedély parancsokat.
AllowAll / DenyAll

Engedélyezze vagy tiltsa az ftp parancsok végrehajtását az összes állomás felhasználóinak.
AllowUser / DenyUser

FTP-parancsok végrehajtásának engedélyezése vagy letiltása bizonyos felhasználók számára. A parancs (felhasználók listája) argumentuma a felhasználónevek listája (vesszővel elválasztva).
AllowGroup / DenyGroup

Engedélyezheti vagy letilthatja a parancsok végrehajtását olyan felhasználók számára, akik a megadott csoportok tagja vagy nem. A csoportokat vesszővel elválasztják. A '!' A csoport neve előtt a felhasználó nem adja meg. Ezen irányelv ellenőrzése során a felsorolt ​​csoportok mindegyikének jelenlétét (vagy hiányzik, ha a "!" Jelet használják) ellenőrizni kell, és a feltétel csak akkor teljesül, ha teljesül az összes felsorolt ​​csoport esetében.

Vagyis, ha az űrlap irányelvét használja

akkor a megfelelő parancsok végrehajtása csak azoknak a felhasználóknak szól, akik egyidejűleg az 1. csoportban és a 2. csoportban vannak. Ha hozzáférést kíván biztosítani a csoportcsoport1 vagy a 2. csoporthoz tartozó összes felhasználóhoz, külön csoportot kell megírnia minden csoporthoz:

AllowGroup csoport1
AllowGroup csoport2

Az alapértelmezett könyvtár módosítása

A "virtuális FTP-kiszolgáló" szolgáltatásának működése kicsit módosítható. Néha szükség lehet, hogy ftp-felhasználói hozzáférés nem pub könyvtárban, és a www könyvtárban (tipikus példa - azt szeretné, hogy az ftp-hozzáférést biztosít a www-könyvtár webmesterek számára készült, amely a honlapon, de nem akarom, hogy hozzáférjen az összes többi szolgáltató könyvtárak a szerveren). Ezt a következő egyszerű lépésekkel lehet elvégezni.

1. Először törölni kell a könyvtárat a főkönyvtárból. Ehhez az unix-shell parancsot kell megadni:

2. De az FTP szerver még mindig működik a pub könyvtárral, így most meg kell adnia, hogy a pub könyvtár valójában www, azaz. hozzon létre egy úgynevezett szimbolikus linket. Olyan módon működik, hogy az ftp-nek a kocsmakönyvtárba való bejövő hívásait a kiszolgáló megértse, mint www-hívást (más szóval, a pub most szinonimája a www-nek). Ezt az uni parancssori ln paranccsal lehet elvégezni.

Például egy link pub -> www létrehozásához meg kell adnia a parancsot a főkönyvtárban:

Ha ilyen hivatkozást szeretne létrehozni egy külön könyvtárba (pl. Www / images), akkor a parancs ennek megfelelően lesz:

ln -s www / images pub

Most, amikor az FTP-n keresztül csatlakozik az ftp.domain kiszolgálóhoz, a felhasználók azonnal megyek a www könyvtárba (vagy a második esetben www / images). Ebben az esetben a felhasználók hozzáférési joga pontosan ugyanúgy van beállítva, mint a .ftpaccess fájl, csak a www könyvtárba (és a megfelelő alkönyvtárakba) kell helyezni.

Kapcsolódó cikkek