Михаил Флёнов - Linux глазами хакера

□ guest-root каталог— аналогична предыдущей команде. Директива необходима, если вы хотите, чтобы все гости могли работать с одной и той же директорией. Если у каждого гостя должен быть свой каталог, то лучше для каждого из них явно создавать учетную запись ( см. разд. 10.6 ).

□ passwd-check тип сообщение— определяет проверку правильности пароля для анонимных пользователей. В данном случае имеется в виду контроль E-mail-адреса, который они используют. В качестве типа может указываться одно из трех значений: none(нет проверки), trivial(простая проверка на содержания в адресе символа "@)" или rfc882(полная проверка, на соответствие стандарту rfc 822). Параметру сообщениеможно присваивать значение warn(выводить предупреждение, но продолжать работу) или enforce(отказать в доступе);

□ deny-email адрес— отказ в доступе, если в качестве пароля используется указанный адрес. В большинстве FTP-клиентов в настройках прописан для анонимного доступа какой-либо почтовый ящик, например, my@mail.com. Мало кто меняет этот адрес. Так как он соответствует всем правилам, то сервер не определит, что это обманка. Но можно прописать его в этом параметре, и тогда пользователю придется поменять в настройках FTP-клиента адрес на другой, иначе он не сможет подключиться. Но даже это не будет гарантировать, что анонимный пользователь указал именно свой E-mail в качестве пароля;

□ deny-uid идентификаторы— запрещает доступ к FTP пользователям с указанными идентификаторами. Те же самые функции выполняет файл ftpusers, который мы рассмотрим в разд. 10.5 . Удобство этой команды в том, что можно задать диапазоны. Например, deny-uid %-500. Данная директива запретит доступ всем пользователям, у которых идентификатор менее 500;

□ deny-gid идентификаторы— запрещает доступ к FTP пользователям группы, с указанными идентификаторами. Те же самые функции выполняет файл ftpusers;

□ restricted_uid идентификаторы— разрешает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога;

□ restricted_gid идентификаторы— дает право группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога;

□ unrestricted_uid идентификаторы— запрещает гостевому пользователю с указанным ID получать доступ к директориям вне его домашнего каталога;

□ unrestricted_gid идентификаторы— запрещает группе пользователей с указанным ID получать доступ к директориям вне домашнего каталога;

□ dns refuse_no_reverse файл override— выдать сообщение, если клиент не имеет обратного адреса. При отсутствии параметра overrideсоединение будет завершено;

□ dns refuse_mismatch файл override— выдать сообщение, если прямой и обратный адреса не совпадают. Если не указать параметр override, то соединение будет завершено. По умолчанию я всегда включаю эту опцию, а отключаю, только если у действительных пользователей возникают проблемы при работе с сервером. Это необходимо для того, чтобы взломщик не мог подделать IP-адрес для входа в систему и обхода соответствующей проверки.

Загрузка файлов — самая опасная возможность для сервера. Каждый пользователь должен иметь право обращаться только к своей директории. А что делать, чтобы анонимные пользователи тоже могли работать с файлами? В этом случае нужно по возможности запретить загрузку в уязвимые с точки зрения безопасности директории, куда злоумышленник может поместить скрипты и выполнить их.

upload параметры— команда позволяет настроить права на загрузку файлов в определенные каталоги. Для запрета загрузки в каталог /etcнужно написать следующую строку:

upload /etc no

Давайте посмотрим, как можно разрешить загрузку в директорию:

upload /home yes root root 0600 nodir

В данной строке разрешается загрузка файлов в директорию /home. Третий и четвертый параметры определяют владельца и группу, которые будут установлены для файла. В обоих случаях я указал root, чтобы простой смертный после загрузки ничего не смог сделать с документом. Далее идут права доступа на файл — 0600, т.е. читать и писать в него сможет только администратор, а все остальные отдыхают. Последний параметр равен nodir, что соответствует запрету на создание директорий.

Следующий пример разрешает создавать директории:

upload /home/robert yes root root 0600 dir 0700

Предпоследний параметр равен dir, что позволяет создавать директории. Последний параметр 0700 — это права доступа на каталог (только администратору разрешено все). Изменение этого значения позволяет сделать возможной работу с файлами только администратору root. Даже если злоумышленник загрузит в указанную директорию свою программу, выполнить он ее не сможет, не имея соответствующих прав.